Santo Grial do hacker malicioso
Un dos mantras da seguridade da información é manter os seus sistemas parcheados e actualizados. Como os vendedores aprenden sobre novas vulnerabilidades nos seus produtos, ben a partir de investigadores de terceiros ou a través dos seus propios descubrimentos, crean revisiones, parches, service packs e actualizacións de seguridade para reparar os buratos.
O Santo Grial para programas maliciosos e escritores de virus é o "cero día de explotación". Un exploit de cero días é cando o creador da vulnerabilidade creouse antes ou o mesmo día que o vendedor coñece a vulnerabilidade. Ao crear un virus ou worm que aproveite a vulnerabilidade que o vendedor aínda non coñece e para o cal non hai actualmente un parche dispoñible, o atacante pode provocar o maior estragos.
Algunhas vulnerabilidades denomínanse cero días de vulnerabilidades por parte dos medios de comunicación, pero a cuestión é cero por cuxo calendario? Moitas veces, o vendedor e os provedores de tecnoloxía clave son conscientes dunha semana de vulnerabilidade ou incluso meses antes de que se crea un exploit ou antes de que a vulnerabilidade se divulga publicamente.
Un exemplo evidente disto foi a vulnerabilidade do SNMP (Protocolo de Xestión Rede Simple) anunciada en febreiro de 2002. Os estudantes da Universidade de Oulu en Finlandia descubriron os fallos no verán de 2001 mentres traballaban no proxecto PROTOS, unha suite de probas deseñada para probar SNMPv1 (versión 1).
O SNMP é un protocolo simple para dispositivos para falar entre si. Utilízase para a comunicación de dispositivo a dispositivo e para o seguimento remoto e configuración de dispositivos de rede por parte dos administradores. SNMP está presente en hardware de rede (enrutadores, interruptores, hubs, etc.), impresoras, copiadoras, máquinas de fax, equipos médicos informatizados de gama alta e en case todos os sistemas operativos.
Despois de descubrir que poden bloquear ou desactivar os dispositivos que utilizan a suite de probas PROTOS, os estudantes da Universidade de Oulu notificaron discretamente os poderes que se e a palabra saíron aos vendedores. Todos se sentaron nesa información e mantivérono en secreto ata que se filtrou dalgún xeito ao mundo que a propia suite de probas PROTOS, que estaba dispoñible de forma gratuíta e pública, podería usarse como o código de explotación para derribar os dispositivos SNMP. Só entón fixeron que os vendedores e o mundo loitaron para crear e publicar parches para solucionar a situación.
O mundo entrou en pánico e foi tratado como un cero día de explotación cando en realidade pasaron máis de 6 meses desde o momento en que a vulnerabilidade foi orixinalmente descuberta. Do mesmo xeito, Microsoft atopa novos buracos ou se avisa a novos buracos nos seus produtos nunha base regular. Algúns deles son unha cuestión de interpretación e Microsoft pode ou non estar de acordo en que é realmente unha falla ou vulnerabilidade. Pero, mesmo para moitos dos que están de acordo son vulnerabilidades, pode haber semanas ou meses que pasan antes de que Microsoft publique unha actualización de seguridade ou service pack que aborda o problema.
Unha organización de seguridade (PivX Solutions) utilizada para manter unha lista en execución de vulnerabilidades de Microsoft Internet Explorer que Microsoft tiña coñecemento pero que aínda non tiña remendado. Existen outros sitios na web frecuentados por hackers que manteñen listas de vulnerabilidades coñecidas e onde os hackers e os desenvolvedores de código maliciosos tamén intercambian información.
Isto non quere dicir que o exploit de cero días non existe. Desafortunadamente tamén ocorre moitas veces que a primeira vez que os vendedores ou o mundo son conscientes dun burato é cando se fai unha investigación forense para descubrir como se dividiu un sistema ou ao analizar un virus que xa se está estendendo en estado salvaxe descubrir como funciona.
Se os vendedores sabían sobre a vulnerabilidade dun ano atrás ou se decataron delas esta mañá, se o código de explotación existe cando a vulnerabilidade se fai pública é un exploit de cero días no seu calendario.
O mellor que podes facer para protexer contra as fazañas de cero días é seguir políticas de boa seguridade en primeiro lugar. Ao instalar e manter o software antivirus actualizado, bloquear arquivos adxuntos a correos electrónicos que poden ser prexudiciais e manter o sistema parcheado contra as vulnerabilidades que xa coñeza, pode protexer o seu sistema ou rede contra o 99% do que está aí fóra .
Unha das mellores medidas para protexer contra as ameazas actualmente descoñecidas é empregar un hardware ou software (ou os dous) firewall . Tamén pode habilitar o escaneo heurístico (unha tecnoloxía empregada para intentar bloquear virus ou gusanos que aínda non se coñecen) no seu programa antivirus. Ao bloquear o tráfico innecesario en primeiro lugar cun firewall de hardware, bloquear o acceso a recursos e servizos do sistema cun firewall de software ou usar o seu software antivirus para axudar a detectar un comportamento anómalo que poida protexer mellor contra o temido exploit de cero días.