viernes, 26 de octubre de 2007

Maximizando la publicación de parches

Es sabido por la comunidad que el segundo martes de cada mes, la empresa Microsoft publica sus parches que solucionan diversas vulnerabilidades. Para los usuarios caseros tal vez esto suceda automáticamente con Windows Update y no se percaten de este hecho. Para algunas empresas, donde no simplemente se puede instalar un parche de manera automática debido a posibles incompatibilidades, cada segundo martes de mes significa estudiar qué pares se necesitan instalar.

Hasta ahora, nada interesante. Pues bien, la cuestión es que en los últimos meses se ha visto una tendencia a que se exploten vulnerabilidades con unos días antes o después de que Microsoft publica sus parches. Por ejemplo: el MS07-060 (publicado el 9 de octubre). Symantec (una compañía de seguridad reconocida) se percató de que un día después de la publicación del parche referido, salió un troyano para este parche. ¿Qué significa? Que los atacantes se apuran a hacer el código malicioso para sacarlo a la luz rápidamente, sabiendo que pocos usuarios habrán parchado. Así maximizan el tiempo entre el parche y el troyano. Entre más se tarden en sacar su código, habrá más usuarios con el parche y el troyano será menos exitoso.

El caso que les acabo de describir se trata de sacar código malicioso unos días después de que se publique el parche. Pero hay una variante: sacar un código malicioso cercano a la fecha  de publicación de parches PERO esta vez explotando una nueva debilidad. Es decir, alguien descubre una debilidad "nueva" en un software de Microsoft y en lugar de hacer código malicioso "luego luego", el atacante se espera hasta la fecha cercana a la publicación. El atacante sabe que Microsoft publicará parches de nuevo hasta dentro de un mes, así que tienen un mes para infectar aquí y allá SIN que haya parches que solucionen la debilidad. Este tipo de ataques desconocidos para los cuales no existen parches se llaman ataques de "día cero": el exploit está ahí pero los usuarios no pueden hacer nada, hasta que se publique un parche. El fabricante por lo general minimiza los ataques y se espera hasta la siguiente fecha de publicación; claro, hay algunas excepciones cuando los ataques verdaderamente son muy peligrosos.

Así pues, la publicación de parches cada martes es usada en ventaja de los crackers y demás atacantes en su beneficio, explotando al máximo el hecho de que Microsoft excepcionalmente publica parches fuera de su calendario ya establecido.

Recuerden: lo que es crítico para ustedes no es crítico para el fabricante. A ustedes les urge que se publique un parche porque les afecta; al fabricante no le afecta y no le urge. Así de sencillo.

Hay una liga muy interesante donde se tiene la cuenta de cuántos exploits de "día cero" existen. yo pensé que no eran muchos, pero si visitan la página se darán cuenta de lo grave de esta situación. Recuerden que esto significa que existe una debilidad SIN parche y que puede ser explotada en cualquier momento. ¿Quién dijo miedo? http://research.eeye.com/html/alerts/zeroday/index.html

Anexo liga de Symantec donde tratan también el tema: http://www.symantec.com/enterprise/security_response/weblog/2007/10/patch_tuesdayexploit_wednesday.html