Vulnerabilidad de día cero

Vulnerabilidad de software no reparada

Un día cero (también conocido como día 0 ) es una vulnerabilidad en el software o hardware que normalmente el proveedor desconoce y para la cual no hay ningún parche u otra solución disponible. El proveedor no tiene días para preparar un parche ya que la vulnerabilidad ya ha sido descrita o explotada.

A pesar del objetivo de los desarrolladores de ofrecer un producto que funcione completamente según lo previsto, prácticamente todo el software y hardware contiene errores. Muchos de ellos perjudican la seguridad del sistema y, por tanto, son vulnerabilidades. Aunque son la base de solo una minoría de los ciberataques, los días cero se consideran más peligrosos que las vulnerabilidades conocidas porque hay menos contramedidas posibles.

Los estados son los principales usuarios de las vulnerabilidades de día cero, no sólo por el alto costo de encontrarlas o comprarlas, sino también por el importante costo de escribir el software de ataque. Muchas vulnerabilidades son descubiertas por piratas informáticos o investigadores de seguridad, quienes pueden revelarlas al proveedor (a menudo a cambio de una recompensa por errores ) o venderlas a estados o grupos criminales. El uso de días cero aumentó después de que muchas empresas de software populares comenzaron a cifrar mensajes y datos, lo que significa que los datos no cifrados sólo podían obtenerse pirateando el software antes de que fuera cifrado.

Definición

A pesar del objetivo de los desarrolladores de ofrecer un producto que funcione completamente según lo previsto, prácticamente todo el software y hardware contiene errores. ^[1] Si un error crea un riesgo de seguridad, se denomina vulnerabilidad . Las vulnerabilidades varían en su capacidad de ser explotadas por actores maliciosos. Algunos no son utilizables en absoluto, mientras que otros pueden usarse para interrumpir el dispositivo con un ataque de denegación de servicio . Los más valiosos permiten al atacante inyectar y ejecutar su propio código, sin que el usuario se dé cuenta. ^[2] Aunque el término "día cero" inicialmente se refería al tiempo transcurrido desde que el proveedor tuvo conocimiento de la vulnerabilidad, las vulnerabilidades de día cero también pueden definirse como el subconjunto de vulnerabilidades para las cuales no hay ningún parche u otra solución disponible. ^{[3] [4] [5]} Un exploit de día cero es cualquier exploit que aprovecha dicha vulnerabilidad. ^[2]

Hazañas

Un exploit es el mecanismo de entrega que aprovecha la vulnerabilidad para penetrar los sistemas del objetivo, con fines tales como interrumpir operaciones, instalar malware o extraer datos . ^[6] Los investigadores Lillian Ablon y Andy Bogart escriben que "se sabe poco sobre el verdadero alcance, uso, beneficio y daño de los exploits de día cero". ^[7] Los exploits basados ​​en vulnerabilidades de día cero se consideran más peligrosos que aquellos que aprovechan una vulnerabilidad conocida. ^{[8] [9]} Sin embargo, es probable que la mayoría de los ciberataques utilicen vulnerabilidades conocidas, no días cero. ^[7]

Los estados son los principales usuarios de exploits de día cero, no sólo por el alto costo de encontrar o comprar vulnerabilidades, sino también por el importante costo de escribir el software de ataque. Sin embargo, cualquiera puede aprovechar una vulnerabilidad ^[4] y, según una investigación de RAND Corporation , "cualquier atacante serio siempre puede conseguir un día cero asequible para casi cualquier objetivo". ^[10] Muchos ataques dirigidos ^[11] y las amenazas persistentes más avanzadas se basan en vulnerabilidades de día cero. ^[12]

El tiempo promedio para desarrollar un exploit a partir de una vulnerabilidad de día cero se estimó en 22 días. ^[13] La dificultad de desarrollar exploits ha aumentado con el tiempo debido al aumento de las funciones antiexplotación en el software popular. ^[14]

Ventana de vulnerabilidad

Cronograma de vulnerabilidad

Las vulnerabilidades de día cero a menudo se clasifican como vivas (lo que significa que no hay conocimiento público de la vulnerabilidad) y muertas (la vulnerabilidad ha sido revelada, pero no parcheada). Si los mantenedores del software están buscando activamente vulnerabilidades, se trata de una vulnerabilidad viva; Estas vulnerabilidades en el software que no se mantiene se denominan inmortales. Las vulnerabilidades zombies se pueden explotar en versiones anteriores del software, pero se han parcheado en versiones más nuevas. ^[15]

Incluso las vulnerabilidades zombis y conocidas públicamente suelen ser explotables durante un período prolongado. ^{[16] [17]} Los parches de seguridad pueden tardar meses en desarrollarse, ^[18] o es posible que nunca se desarrollen. ^[17] Un parche puede tener efectos negativos en la funcionalidad del software ^[17] y es posible que los usuarios necesiten probar el parche para confirmar la funcionalidad y la compatibilidad. ^[19] Es posible que las organizaciones más grandes no logren identificar y parchear todas las dependencias, mientras que las empresas más pequeñas y los usuarios personales pueden no instalar parches. ^[17] Las investigaciones sugieren que el riesgo de un ciberataque aumenta si la vulnerabilidad se hace pública o se lanza un parche. ^[20] Los ciberdelincuentes pueden aplicar ingeniería inversa al parche para encontrar la vulnerabilidad subyacente y desarrollar exploits, ^[21] a menudo más rápido de lo que los usuarios instalan el parche. ^[20]

Según una investigación de RAND Corporation publicada en 2017, los exploits de día cero siguen siendo utilizables durante una media de 6,9 ​​años, ^[22] aunque los comprados a un tercero solo siguen siendo utilizables durante una media de 1,4 años. ^[13] Los investigadores no pudieron determinar si alguna plataforma o software en particular (como el software de código abierto ) tenía alguna relación con la esperanza de vida de una vulnerabilidad de día cero. ^[23] Aunque los investigadores de RAND descubrieron que el 5 por ciento de una reserva de vulnerabilidades secretas de día cero habrá sido descubierta por otra persona, ^[22] otro estudio encontró una tasa de superposición más alta, tan alta como del 10,8 por ciento al 21,9 por ciento por año. ^[24]

Contramedidas

Debido a que, por definición, no existe ningún parche que pueda bloquear un exploit de día cero, todos los sistemas que emplean el software o hardware con la vulnerabilidad están en riesgo. Esto incluye sistemas seguros como bancos y gobiernos que tienen todos los parches actualizados. ^{[25] El software} antivirus suele ser ineficaz contra el malware introducido por los exploits de día cero. ^[26] Los sistemas de seguridad están diseñados en torno a vulnerabilidades conocidas, y el malware insertado mediante un exploit de día cero podría continuar funcionando sin ser detectado durante un período prolongado de tiempo. ^[17] Aunque ha habido muchas propuestas para un sistema que sea eficaz para detectar exploits de día cero, esta seguirá siendo un área activa de investigación en 2023. ^[27]

Muchas organizaciones han adoptado tácticas de defensa en profundidad, por lo que es probable que los ataques requieran violar múltiples niveles de seguridad, lo que hace que sea más difícil de lograr. ^[28] Las medidas convencionales de ciberseguridad, como la capacitación y el control de acceso , como la autenticación multifactor , el acceso con privilegios mínimos y la separación de aire, hacen que sea más difícil comprometer los sistemas con un exploit de día cero. ^[29] Dado que escribir software perfectamente seguro es imposible, algunos investigadores sostienen que aumentar el costo de los exploits es una buena estrategia para reducir la carga de los ciberataques. ^[30]

Mercado

Comparación de los precios medios de diferentes tipos de exploits, 2015-2022

Los exploits de día cero pueden generar millones de dólares. ^[4] Hay tres tipos principales de compradores: ^[31]

• Blanco: el proveedor, o a terceros como Zero Day Initiative que divulgan al proveedor. A menudo, dicha divulgación se realiza a cambio de una recompensa por errores . ^{[32] [33] [34]} No todas las empresas responden positivamente a las divulgaciones, ya que pueden causar responsabilidad legal y gastos operativos. No es raro recibir cartas de cese y desistimiento de proveedores de software después de revelar una vulnerabilidad de forma gratuita. ^[35]
• Gray: el más grande ^[4] y el más lucrativo. Las agencias gubernamentales o de inteligencia compran días cero y pueden usarlos en un ataque, almacenar la vulnerabilidad o notificar al proveedor. ^[31] El gobierno federal de los Estados Unidos es uno de los mayores compradores. ^[4] A partir de 2013, los Cinco Ojos (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) capturaron la pluralidad del mercado y otros compradores importantes incluyeron Rusia, India, Brasil, Malasia, Singapur, Corea del Norte y Irán. Más tarde, los países de Medio Oriente aumentarían su gasto. ^[36]
• Negro: crimen organizado, que normalmente prefiere explotar el software en lugar de simplemente conocer una vulnerabilidad. ^[37] Es más probable que estos usuarios empleen "medios días" cuando ya hay un parche disponible. ^[38]

En 2015, se estimó que los mercados para el gobierno y el crimen eran al menos diez veces mayores que el mercado blanco. ^[31] Los vendedores suelen ser grupos de piratas informáticos que buscan vulnerabilidades en software ampliamente utilizado para obtener recompensas financieras. ^[39] Algunos sólo venderán a ciertos compradores, mientras que otros venderán a cualquiera. ^[38] Es más probable que los vendedores del mercado blanco estén motivados por recompensas no pecuniarias, como el reconocimiento y el desafío intelectual. ^[40] Vender exploits de día cero es legal. ^{[34] [41]} A pesar de los llamados a una mayor regulación, la profesora de derecho Mailyn Fidler dice que hay pocas posibilidades de un acuerdo internacional porque actores clave como Rusia e Israel no están interesados. ^[41]

Los vendedores y compradores que comercian en días cero tienden a ser reservados y se basan en acuerdos de confidencialidad y leyes de información clasificada para mantener los exploits en secreto. Si se conoce la vulnerabilidad, se puede parchear y, en consecuencia, su valor colapsa. ^[42] Debido a que el mercado carece de transparencia, puede resultar difícil para las partes encontrar un precio justo. Es posible que a los vendedores no se les pague si la vulnerabilidad se reveló antes de que se verificara, o si el comprador se negó a comprarla pero la usó de todos modos. Con la proliferación de intermediarios, los vendedores nunca podrían saber qué uso se les podría dar a los exploits. ^[43] Los compradores no podían garantizar que el exploit no fuera vendido a otra parte. ^[44] Tanto los compradores como los vendedores se anuncian en la web oscura . ^[45]

Una investigación publicada en 2022 basada en los precios máximos pagados por un único corredor de exploits encontró una tasa de inflación anualizada del 44 por ciento en los precios de exploits. Los exploits remotos sin clic podrían alcanzar el precio más alto, mientras que aquellos que requieren acceso local al dispositivo son mucho más baratos. ^[46] Las vulnerabilidades en el software ampliamente utilizado también son más caras. ^[47] Estimaron que alrededor de 400 a 1200 personas vendieron exploits a ese corredor y ganaron en promedio alrededor de $ 5000 a $ 20 000 al año. ^[48]

Divulgación y almacenamiento

A partir de 2017 ^[actualizar], existe un debate en curso sobre si Estados Unidos debería revelar las vulnerabilidades que conoce, para poder parchearlas, o mantenerlas en secreto para su propio uso. ^[49] Las razones por las que los estados mantienen una vulnerabilidad en secreto incluyen querer usarla de manera ofensiva o defensiva en pruebas de penetración . ^[10] Revelar la vulnerabilidad reduce el riesgo de que los consumidores y todos los usuarios del software sean víctimas de malware o violaciones de datos . ^[1]

Historia

Los exploits de día cero aumentaron en importancia después de que servicios como Apple, Google, Facebook y Microsoft cifraran servidores y mensajes, lo que significa que la única forma de acceder a los datos de un usuario era interceptarlos en la fuente antes de cifrarlos. ^[25] Uno de los usos más conocidos de exploits de día cero fue el gusano Stuxnet , que utilizó cuatro vulnerabilidades de día cero para dañar el programa nuclear de Irán en 2010. ^[7] El gusano mostró lo que se podía lograr con exploits de día cero , desatando una expansión en el mercado. ^[36]

La Agencia de Seguridad Nacional (NSA) de los Estados Unidos incrementó su búsqueda de vulnerabilidades de día cero después de que las grandes empresas tecnológicas se negaran a instalar puertas traseras en el software, y encomendó a Tailored Access Operations (TAO) la tarea de descubrir y comprar exploits de día cero. ^[50] En 2007, el ex empleado de la NSA Charlie Miller reveló públicamente por primera vez que el gobierno de los Estados Unidos estaba comprando exploits de día cero. ^[51] Alguna información sobre la participación de la NSA en los días cero se reveló en los documentos filtrados por el contratista de la NSA Edward Snowden en 2013, pero faltaban detalles. ^[50] La reportera Nicole Perlroth concluyó que "o el acceso de Snowden como contratista no lo llevó lo suficientemente lejos en los sistemas del gobierno para obtener la información necesaria, o algunas de las fuentes y métodos del gobierno para adquirir días cero eran tan confidenciales o controvertidos". , que la agencia nunca se atrevió a ponerlas por escrito". ^[52]

Referencias

1. Ablon y Bogart 2017, pág. 1.
2. Ablon y Bogart 2017, pág. 2.
3. Ablon y Bogart 2017, págs.iii, 2.
4. Sood y Enbody 2014, pág. 1.
5. Perlroth 2021, pag. 7.
6. Trucha 2023, pag. 23.
7. Ablon y Bogart 2017, pag. 3.
8. Sood y Enbody 2014, pag. 24.
9. Bravo y cocina 2022, pag. 11.
10. Ablon y Bogart 2017, pág. xiv.
11. Sood y Enbody 2014, págs. 2-3, 24.
12. Sood y Enbody 2014, pag. 4.
13. Ablon y Bogart 2017, pág. xiii.
14. Perlroth 2021, pag. 142.
15. Ablon y Bogart 2017, pag. xi.
16. Ablon y Bogart 2017, pag. 8.
17. Sood y Enbody 2014, pág. 42.
18. Trucha 2023, pag. 26.
19. Libicki, Ablon y Webb 2015, pág. 50.
20. Libicki, Ablon y Webb 2015, págs.
21. Trucha 2023, pag. 28.
22. Ablon y Bogart 2017, pág. X.
23. Ablon y Bogart 2017, págs. xi-xii.
24. Leal, Marcelo M.; Musgrave, Paul (2023). "Hacia atrás desde cero: cómo el público estadounidense evalúa el uso de vulnerabilidades de día cero en ciberseguridad". Política de seguridad contemporánea . 44 (3): 437–461. doi :10.1080/13523260.2023.2216112. ISSN  1352-3260.
25. Perlroth 2021, pag. 8.
26. Sood y Enbody 2014, pag. 125.
27. Ahmad y otros. 2023, pág. 10733.
28. Trucha 2023, pag. 24.
29. Libicki, Ablon y Webb 2015, pág. 104.
30. Dellago, Simpson y Woods 2022, pag. 41.
31. Libicki, Ablon y Webb 2015, pág. 44.
32. Dellago, Simpson y Woods 2022, pag. 33.
33. O'Harrow 2013, pag. 18.
34. Libicki, Ablon y Webb 2015, pág. 45.
35. Trucha 2023, pag. 36.
36. Perlroth 2021, pag. 145.
37. Libicki, Ablon y Webb 2015, págs.44, 46.
38. Libicki, Ablon y Webb 2015, pág. 46.
39. Sood y Enbody 2014, pag. 116.
40. Libicki, Ablon y Webb 2015, págs.
41. Gooding, Matthew (19 de julio de 2022). "El comercio de vulnerabilidad de día cero es lucrativo pero arriesgado". Monitor técnico . Consultado el 4 de abril de 2024 .
42. Perlroth 2021, pag. 42.
43. Perlroth 2021, pag. 57.
44. Perlroth 2021, pag. 58.
45. Sood y Enbody 2014, pag. 117.
46. Dellago, Simpson y Woods 2022, págs.31, 41.
47. Libicki, Ablon y Webb 2015, pág. 48.
48. Dellago, Simpson y Woods 2022, pag. 42.
49. Ablon y Bogart 2017, pag. III.
50. Perlroth 2021, pag. 9.
51. Perlroth 2021, págs.60, 62.
52. Perlroth 2021, pag. 10.

Fuentes

• Ablón, Lilian; Bogart, Andy (2017). Días cero, miles de noches: la vida y la época de las vulnerabilidades de día cero y sus explotaciones (PDF) . Corporación Rand. ISBN 978-0-8330-9761-3.
• Ahmad, Rashid; Alsmadi, Izzat; Alhamdani, Wasim; Tawalbeh, Lo'ai (2023). "Detección de ataques de día cero: una revisión sistemática de la literatura". Revisión de inteligencia artificial . 56 (10): 10733–10811. doi :10.1007/s10462-023-10437-z. ISSN  1573-7462.
• Bravo, César; Cocina, Darren (2022). Dominar la seguridad defensiva: técnicas efectivas para proteger su infraestructura de Windows, Linux, IoT y la nube . Publicación de paquetes. ISBN 978-1-80020-609-0.
• Dellago, Matías; Simpson, Andrés C.; Maderas, Daniel W. (2022). "Corredores de explotación y operaciones cibernéticas ofensivas". La revisión de la ciberdefensa . 7 (3): 31–48. ISSN  2474-2120.
• Libicki, Martín C.; Ablón, Lilian; Webb, Tim (2015). El dilema del defensor: trazando un rumbo hacia la ciberseguridad (PDF) . Corporación Rand. ISBN 978-0-8330-8911-3.
• O'Harrow, Robert (2013). Día cero: la amenaza en el ciberespacio . Libros de desvío. ISBN 978-1-938120-76-3.
• Perlroth, Nicole (2021). Así es como me dicen que el mundo se acaba: Ganador del premio FT & McKinsey Business Book of the Year 2021 . Publicación de Bloomsbury. ISBN 978-1-5266-2983-8.
• Bien, Aditya; Encuerdo, Richard (2014). Ataques cibernéticos dirigidos: ataques en varias etapas impulsados ​​por exploits y malware . Singreso. ISBN 978-0-12-800619-1.
• Strout, Benjamín (2023). El manual del investigador de vulnerabilidades: una guía completa para descubrir, informar y publicar vulnerabilidades de seguridad . Publicación de paquetes. ISBN 978-1-80324-356-6.