Ataques de Día Cero. ¿Qué son y cómo combatirlos?

Los Ataques de Día Cero (Zero-Day Attack, 0-Day Attack) son una amenaza permanente para cualquier sistema informático y ocurren cuando se crean exploits que se aprovechan de vulnerabilidades recientemente descubiertas para las cuales el fabricante del sistema no dispone todavía de una solución que permita corregir dicha vulnerabilidad.

Desde el 2013 se han reportado 46 vulnerabilidades con sus correspondientes exploits de día cero. En lo que va de año se han reportado 6 vulnerabilidades de Día Cero, ejemplo de estas son las CVE-2016-1019, CVE-2016-0167 y CVE-2016-4117, que pueden ser accedidas fácilmente usando CVEDetails y que afectan a diferentes sistemas operativos Windows y al muy conocido Adobe Flash Player.

P28.1

Figura 1. Principales conceptos que involucran un Ataque de Día Cero. Elaboración propia.

¿Todas las vulnerabilidades provocan que un sistema informático sea susceptible a recibir un Ataque de Día Cero? La respuesta es no. Lo que ocurre normalmente es que el fabricante descubre las vulnerabilidades en sus productos o recibe una notificación de parte de clientes y especialistas de que hay algún problema, con esta información el fabricante crea un parche o una nueva versión del producto sin la vulnerabilidad y lo publica y distribuye a sus clientes.

En el caso de las vulnerabilidades de día cero, lo que acontece es que un atacante descubre primero la vulnerabilidad y crea un exploit que se aprovecha de esta para afectar al sistema. Ocurre también que usuarios y especialistas hacen pública las vulnerabilidades en lugar de comunicárselo directamente al fabricante, esta información llega a los ciberdelincuentes, los cuales crean los exploits correspondientes. El día cero se comienza a contar desde el momento en que se hace público el primer exploit y concluye cuando que el fabricante publica el parche correspondiente.

P28.2.gif

Figura 2. Ventana de Vulnerabilidad ante Ataques de Día Cero. Tomado de http://www.impulsotecnologico.com.

¿Qué acciones podemos tomar para evitar el éxito de un Ataque de Día Cero? Las más sencillas y efectivas son:

  • Mantenerse informado de las alertas de seguridad emitidas por los fabricantes de los sistemas informáticos que usamos. Podemos suscribirnos a servicios gratuitos que compilan alertas de seguridad y las envían por correo electrónico (u otros servicios como Twitter). Recomiendo las alertas del National Cyber Awareness System del US-CERT y las emitidas por Hispasec Sistemas (enviar un correo electrónico a unaaldia-request@hispasec.com, con asunto “subscribe”) . Si usas algún otro servicio para mantenerte informado sobre alertas de seguridad te agradecería que lo dejaras en los comentarios de esta entrada para conocerlo.
P28.2.png

Figura 3. Pasos para suscribirse a los boletines de seguridad del US-CERT. Elaboración propia.

  • Una vez conocida la existencia de una vulnerabilidad y exploits de Día Cero, debe estudiarse si se pueden tomar medidas que bloqueen la ejecución del exploit o si es necesario desconectar el sistema hasta que sea publicado el parche correspondiente. Por ejemplo, si es un exploit que aprovecha la subida de archivos con determinadas extensiones a una aplicación web, puede bloquearse el enlace y ficheros que cumplan esas características.
  • Mantener actualizado nuestros sistemas informáticos, no hacemos nada si el fabricante publica un parche y no lo aplicamos, de otro modo, tendremos un Día Cero permanente y particular.
  • Establecer un sistema de copias de respaldo periódicas de la información que es considerada vital para los procesos sustantivos de la organización.
  • Establecer un sistema de trazas permanentes de nuestros sistemas, así podemos conocer si fuimos víctimas de un ataque de Día Cero y si el atacante dejó algún payload que aún le permite controlar nuestros sistemas sin que lo sepamos (Recordar que hay dos tipos de administradores, los que saben que lo están atacando y los que no).

Existen otras soluciones más costosas en tiempo y recursos de implementación como sería la utilización de un Sistema de Detección de Intrusos que aplique técnica de inteligencia artificial de reconocimiento de patrones y aprendizaje automático. Sin embargo, medidas sencillas como estar informado sobre las vulnerabilidades descubiertas y aplicar las actualizaciones correspondientes, pueden hacer una diferencia importante en la lucha contra los Ataques de Día Cero. Espero que te haya gustado esta entrada en el blog y hayas aprendido algo nuevo y sobre todo, que lo apliques en el trabajo del día a día. Me despido entonces con algunos enlaces de interés:

Guardar

Guardar

Guardar

Anuncios

3 comentarios en “Ataques de Día Cero. ¿Qué son y cómo combatirlos?

  1. Pingback: La Seguridad por Oscuridad en Aplicaciones Web ¿Opiniones o conceptos? | Behique Digital

  2. Pingback: ¿Qué es lo nuevo en el OWASP Top 10 2017 R1? | Behique Digital

  3. Pingback: WordPress 4.7.5 corrige seis vulnerabilidades de seguridad | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s