domingo, 8 de agosto de 2010

Reflexiones Sobre el Día Cer0


Por alguna razón, el Día Cero siempre me ha sonado a título de película apocalíptica donde Stallone, Willis y Schwarzenegger protagonizan la cinta y ya saben, empieza con una música tenebrosa diciendo “Son los mejores mercenarios del mundo. La única vida que conocen es la del Día Cero (Ah! Ese es un trailer, verdad?).

Pero dejando mi imaginación esquizofrénica a un lado, de lo que quiero hablar es del tema de las llamadas “vulnerabilidades de día cero”. Los asiduos lectores del blog (quiero pensar que tengo un par) sabrán de lo que hablo: cuando se publica en Internet una debilidad de software sin que tenga su parche (solución) correspondiente, se dice que hay una debilidad de día cero. Ahí está el error latente, pero debemos esperar a que haya una respuesta (parche) del fabricante.

Por ejemplo, el viernes 6 de agosto se anunció de una debilidad de día cero en el kernel de Windows.

¿Son las debilidades de día cero la gasolina principal que mueve al mundo underground criminal? El éxito que han tenido los criminales en línea no se debe a estas debilidades de día cero (morirían de hambre, por así decirlo). Estos señores viven realmente de los millones de usuarios que tienen software des-actualizado.

El esfuerzo (tiempo y dinero) que se podría invertir en descubrir las debilidades de día cero (que tampoco son de “enchílame éstas”), simplemente es mejor invertirlo en explotar la gran cantidad de debilidades –conocidas y con solución- que tienen en su conjunto los sistemas en todo el mundo pertenecientes a cualquier tipo de usuario.

Existen millones de computadoras que no se encuentran al día y que seguramente tendrán un hueco en el sistema operativo o sus aplicaciones. Por ejemplo, tú podrías asegurar que tienes tu sistema “updeiteado” 100% al día de hoy?

¿”Tons pa” qué sirven las debilidades de día cero? Sé lo que están pensando (sin ser el pulpo Paul): en ataques dirigidos. Esos ataques donde específicamente se tiene a una persona u organización en la mira. Depende de quién lo haga, le sacará mayor provecho (sin ser una regla).

Desde el punto de vista del crimen en línea, para qué esforzarse en la investigación y descubrimiento del día cero? Mejor usar una debilidad conocida, probada y hasta documentada. No me malentiendan, las debilidades de día cero sí se han usado y se llega a pagar por ellas, pero para el crimen en línea no es realmente tan rentable ya que confían en que “sus” usuarios tendrán huecos de seguridad explotables existentes: piensen en el gusano Conficker que sigue siendo exitoso a pesar de que el parche que en gran medida lo previene se publicó hace más de 18 meses.

Desde el punto de vista de Estados, el espionaje dirigido bien puede valerse de estos días cero y podría ser el mayor cliente. Y aún así no es forzoso; hasta en el ataque dirigido podemos apostar a que la víctima tiene al menos un hueco de seguridad explotable en su operativo o respectivas aplicaciones.

En conclusión. ¿Debemos temerle a las debilidades de día cero? Estimados, debemos temerle en todo caso a las debilidades conocidas con parche. Si “nos cae” un exploit, es altamente probable que ataque una debilidad conocida con parche publicado y que nosotros no hemos aplicado.

Si mantenemos nuestro sistema al día en todo momento (más fácil de decir que de hacer), habremos eliminado a la gran, gran mayoría de malware que usa exploits y que abundan en Internet. Claro, otra opción sería usar OS X o Linux, pero ese es tema de otro blog!

(Varias de estas ideas me las dio mi amigo @danchodanchev).