Uno de los mantras de la seguridad de la información es mantener sus sistemas parcheados y actualizados. A medida que los proveedores aprenden sobre nuevas vulnerabilidades en sus productos, ya sea por parte de investigadores externos o a través de sus propios descubrimientos, crean revisiones, parches, paquetes de servicio y actualizaciones de seguridad para reparar los agujeros.
El Santo Grial para los programadores de virus y programas maliciosos es el "explotador de día cero". Un exploit de día cero es cuando el exploit para la vulnerabilidad se crea antes, o el mismo día en que el proveedor conoce la vulnerabilidad. Al crear un virus o gusano que aprovecha una vulnerabilidad que el proveedor aún no conoce y para el cual no hay un parche disponible, el atacante puede causar el máximo estrago.
Algunas vulnerabilidades se denominan vulnerabilidades de explotación de día cero por parte de los medios de comunicación, pero la pregunta es ¿día cero por cuyo calendario? Muchas veces, el proveedor y los proveedores de tecnología clave son conscientes de una vulnerabilidad semanas o incluso meses antes de que se cree una vulnerabilidad o antes de que la vulnerabilidad se divulgue públicamente.
Un claro ejemplo de esto fue la vulnerabilidad SNMP (Simple Network Management Protocol) anunciada en febrero de 2002. Los estudiantes de la Universidad de Oulu en Finlandia descubrieron las fallas en el verano de 2001 mientras trabajaban en el proyecto PROTOS, un conjunto de pruebas diseñado para probar SNMPv1. (versión 1).
SNMP es un protocolo simple para que los dispositivos se comuniquen entre sí. Se utiliza para la comunicación de dispositivo a dispositivo y para la supervisión y configuración remota de dispositivos de red por parte de los administradores. SNMP está presente en hardware de red (enrutadores, conmutadores, hubs, etc.), impresoras, copiadoras, máquinas de fax, equipos médicos computarizados de alta gama y en casi todos los sistemas operativos.
Después de descubrir que podían bloquearse o deshabilitar los dispositivos usando su suite de prueba PROTOS, los estudiantes de la Universidad de Oulu notificaron discretamente los poderes y se lo comunicaron a los proveedores. Todos se sentaron en esa información y la mantuvieron en secreto hasta que de alguna manera se filtró al mundo que el conjunto de pruebas PROTOS, que estaba disponible de forma gratuita y pública, podría usarse como el código de explotación para derribar los dispositivos SNMP. Solo entonces los proveedores y el mundo se apresuraron a crear y lanzar parches para abordar la situación.
El mundo entró en pánico y fue tratado como un exploit de día cero cuando, de hecho, pasaron más de 6 meses desde el momento en que se descubrió la vulnerabilidad. Del mismo modo, Microsoft encuentra nuevos agujeros o recibe alertas sobre nuevos agujeros en sus productos de forma regular. Algunos de ellos son una cuestión de interpretación y Microsoft puede o no estar de acuerdo en que es realmente una falla o vulnerabilidad. Pero, incluso para muchos de los que están de acuerdo en que son vulnerabilidades, pueden pasar semanas o meses antes de que Microsoft lance una actualización de seguridad o un paquete de servicio que resuelva el problema.
Una organización de seguridad (Soluciones PivX) solía mantener una lista actualizada de vulnerabilidades de Microsoft Internet Explorer de las que se había informado a Microsoft, pero que aún no habían sido parcheadas. Hay otros sitios en la web frecuentados por piratas informáticos que mantienen listas de vulnerabilidades conocidas y donde los piratas informáticos y los desarrolladores de códigos maliciosos también intercambian información.
Esto no quiere decir que el exploit de día cero no exista. Desafortunadamente, también sucede con mucha frecuencia que la primera vez que los vendedores o el mundo se dan cuenta de un agujero es al hacer una investigación forense para averiguar cómo se rompió un sistema o al analizar un virus que ya se está propagando en la naturaleza. Descubre cómo funciona.
Ya sea que los proveedores conocieron la vulnerabilidad hace un año o se enteraron esta mañana, si el código de vulnerabilidad existe cuando se hace pública la vulnerabilidad, se trata de una vulnerabilidad de día cero en tu calendario.
Lo mejor que puede hacer para protegerse contra las vulnerabilidades del día cero es, en primer lugar, seguir buenas políticas de seguridad. Al instalar y mantener actualizado su software antivirus, bloquear los archivos adjuntos a los correos electrónicos que pueden ser dañinos y mantener su sistema parcheado contra las vulnerabilidades que ya conoce puede proteger su sistema o red contra el 99% de lo que está disponible .
Una de las mejores medidas para protegerse contra amenazas actualmente desconocidas es emplear un firewall de hardware o software (o ambos). También puede habilitar el escaneo heurístico (una tecnología utilizada para intentar bloquear virus o gusanos que aún no se conocen) en su software antivirus. Al bloquear el tráfico innecesario en primer lugar con un firewall de hardware, al bloquear el acceso a los recursos y servicios del sistema con un firewall de software o al usar su software antivirus para ayudar a detectar comportamientos anómalos, puede protegerse mejor contra el temido ataque del día cero.
