Sant Grial del pirata informàtic maliciós
Un dels mantres de la seguretat de la informació és mantenir els sistemes parcheados i actualitzats. Com que els venedors aprenen sobre noves vulnerabilitats en els seus productes, ja sigui d'investigadors de tercers o a través dels seus propis descobriments, creen revisions, parches, paquets de servei i actualitzacions de seguretat per reparar els forats.
El Sant Grial per a programes maliciosos i escriptors de virus és el "zero dia d'explotació". Un exploit de zero dies és quan es crea l'exploit per la vulnerabilitat abans o el mateix dia que el proveïdor aprèn la vulnerabilitat. En crear un virus o cuc que s'aprofiti d'una vulnerabilitat, el proveïdor encara no sap i, per tant, actualment no existeix un pedaç, l'atacant pot causar el major desperfecte.
Algunes vulnerabilitats s'anomenen vulnerabilitats zero dies d'explotació per part dels mitjans de comunicació, però la pregunta és zero dia per quin calendari? Sovint els venedors i els proveïdors de tecnologia clau són conscients d'una setmana de vulnerabilitat o fins i tot mesos abans que es creï un exploit o abans que es publiqui públicament la vulnerabilitat.
Un exemple evident d'això va ser la vulnerabilitat SNMP (Protocol de gestió de xarxes simples) anunciada al febrer de 2002. Els estudiants de la Universitat Oulu de Finlàndia van descobrir els defectes durant l'estiu de 2001 mentre treballava en el projecte PROTOS, un conjunt de prova dissenyat per provar SNMPv1 (versió 1).
SNMP és un protocol senzill per a dispositius per parlar entre si. S'utilitza per a la comunicació de dispositius a dispositius i per a la supervisió remota i configuració de dispositius de xarxa per part dels administradors. SNMP està present en maquinari de xarxa (routers, switches, hubs, etc.), impressores, copiadores, màquines de fax, equips mèdics informatitzats de gamma alta i en gairebé tots els sistemes operatius.
Després de descobrir que podrien bloquejar o desactivar dispositius amb la seva suite de proves PROTOS, els estudiants de la Universitat d'Oulu van notificar de forma discreta els poders i la paraula als proveïdors. Tothom es va asseure en aquesta informació i el va mantenir en secret fins que, d'alguna manera, es va filtrar al món que la pròpia suite de prova PROTOS, que estava disponible de forma lliure i pública, es podria utilitzar com a codi d'explotació per eliminar els dispositius SNMP. Només llavors van fer que els venedors i el món lluitessin per crear i alliberar els pegats per fer front a la situació.
El món va entrar en pànic i es va tractar com un exploit de zero dies quan en realitat van passar més de 6 mesos des que es va descobrir la vulnerabilitat. De la mateixa manera, Microsoft troba nous forats o s'adverteix nous forats en els seus productes de forma regular. Alguns d'ells són una qüestió d'interpretació i Microsoft pot o no estar d'acord que és realment una falla o vulnerabilitat. Però, fins i tot per a molts dels que estan d'acord són vulnerabilitats, podrien passar setmanes o mesos abans que Microsoft publiqui una actualització de seguretat o un service pack que solucioni el problema.
Una organització de seguretat (PivX Solutions) va utilitzar per mantenir una llista en execució de vulnerabilitats de Microsoft Internet Explorer que Microsoft havia tingut en compte però que encara no s'havia adquirit. Hi ha altres llocs web freqüentats per hackers que mantenen llistes de vulnerabilitats conegudes i on els pirates informàtics i els desenvolupadors de codi maliciós també comercialitzen informació.
Això no vol dir que l'explotació del dia zero no existeixi. Desafortunadament, també passa sovint que la primera vegada que els venedors o el món són conscients d'un forat és quan es fa una investigació forense per esbrinar com es va trencar un sistema o quan s'analitza un virus que ja s'està estenent a la natura descobreix com funciona.
Ja sigui que els venedors coneguessin la vulnerabilitat fa un any o ho descobreixin aquest matí, si el codi exploit existeix quan la vulnerabilitat es fa pública, és un exploit de zero dies al vostre calendari.
El millor que pots fer per protegir-se de les gestes de dies zero és seguir les polítiques de bona seguretat en primer lloc. En instal·lar i mantenir el programari antivirus actualitzat, bloquegeu els fitxers adjunts als missatges de correu electrònic que poden ser nocius i mantenir el sistema rematat contra les vulnerabilitats que ja coneixeu, podeu protegir el vostre sistema o la xarxa contra el 99% del que hi ha fora .
Una de les millors mesures per protegir contra les amenaces actualment desconegudes és utilitzar un tallafocs per a maquinari o programari (o ambdós). També podeu habilitar l'escaneig heurístic (una tecnologia que s'utilitza per intentar bloquejar virus o cucs que encara no es coneixen) al vostre programari antivirus. En bloquejar el trànsit innecessari en primer lloc amb un servidor de seguretat de maquinari, bloquejar l'accés als recursos del sistema i als serveis amb un tallafocs de programari o utilitzar el vostre programari antivirus per detectar un comportament anòmil que us permeti protegir millor contra l'horrorós dia zero d'explotació.