Todo software tiene errores, y algunos de esos errores son fallas de seguridad que pueden ser explotadas y convertidas en armas. A continuación conocerá sobre un exploit de día cero, un arma poderosa pero frágil.

1. Definición: zero-day

Un día cero es una falla de seguridad que aún no ha sido reparada por el fabricante de software y puede ser explotada y convertida en un arma poderosa pero frágil. Los gobiernos descubren, compran y usan días cero para fines militares, de inteligencia y de aplicación de la ley, una práctica controvertida, ya que deja a la sociedad indefensa frente a otros atacantes que descubren la misma vulnerabilidad.

Los días cero cobran precios altos en el mercado negro, pero las recompensas de errores (bug bounties) apuntan a alentar el descubrimiento y el informe de fallas de seguridad al fabricante.

2. Por qué los días cero son peligrosos

Un día cero (zero-day) recibe su nombre del número de días que un parche ha existido para la falla o error: cero. Una vez que el fabricante anuncia un parche de seguridad, el error ya no es un día cero (o “0-day” como les gusta decir a algunos). Después de eso, la falla de seguridad se une a los innumerables días de parches.

En el pasado, digamos hace diez años, un solo día cero podría haber sido suficiente para el control remoto de un ordenador. Esto hizo que el descubrimiento y posesión de cualquier día cero sea extremadamente poderoso.

En la actualidad, las medidas de mitigación de seguridad en los sistemas operativos de consumo como Windows 10 o iOS de Apple significan que a menudo es necesario encadenar varios, a veces docenas, días cero menores para obtener el control completo de un objetivo determinado. Esto ha impulsado el pago en el mercado negro por una ejecución remota de día cero en iOS a niveles astronómicos.

3. Días cero en el mercado negro

¿Quieres ganar $1.5 millones? Encuentra el mejor día cero del iPhone y véndelo a Zerodium, uno de los brokers más prominentes que afirma pagar “las recompensas más altas del mercado“, según su sitio web. Agentes como Zerodium venden solo a grupos de espionaje militar, pero también se sabe que la personajes encubiertos de los regímenes represivos de todo el mundo compra hazañas de día cero para hackear a periodistas y perseguir a los disidentes.

Zerodium programa de adquisición de exploits

Zerodium es un programa de adquisición de exploits

A diferencia del mercado gris que restringe las ventas a los gobiernos aprobados, el mercado negro se lo venderá a cualquiera, incluido el crimen organizado, los carteles de droga y países como Corea del Norte o Irán que están excluidos del mercado gris.

La regulación del mercado negro/gris para las explotaciones de día cero ha sido una lucha que el Acuerdo de Wassenaar no ha resuelto, al menos hasta ahora. Wassenaar prohíbe la exportación de tecnologías de doble uso, como centrifugadoras, a países prohibidos. Una propuesta del 2013 para poner controles que podrían ser utilizados con fines maliciosos fue derribada, y muchos creyeron que la propuesta empeoraría las cosas en lugar de mejorarlas.

En la actualidad, cualquier gobierno o empresa criminal suficientemente incentivada puede tener en sus manos herramientas de hacking, incluidos los exploits de día cero, independientemente de la regulación.

4. Recompensas de errores vs. divulgación coordinada de vulnerabilidades

Los sombreros negros a los que no les importa que los días cero terminen ayudando a torturar a los disidentes serán los que más dinero obtendrán de los mercados negros o grises. Los investigadores de seguridad con conciencia son los que mejor informan al proveedor sobre las vulnerabilidades de día cero.

Las organizaciones de cualquier tamaño significativo deben publicar un proceso de divulgación de vulnerabilidades, que promete públicamente mantener inofensivos los informes de buena fe sobre los problemas de seguridad y realizar un seguimiento interno de los mismos. Esta es ahora una buena práctica estandarizada en la ISO 29147 e ISO 30111.

Recompensas de errores Bug bounties

Programa de Recompensas de errores (Bug bounties)

Para fomentar los informes de vulnerabilidades de día cero, las organizaciones pueden ofrecer opcionalmente un programa de recompensa de errores, que estimula la investigación y la divulgación al ofrecer importantes pagos financieros a los investigadores de seguridad ética. Estos pagos no rivalizan ni rivalizarán nunca con el mercado negro, sino que tienen como objetivo recompensar a los investigadores de seguridad que hacen lo correcto.

5. ¿Deberían los gobiernos poseer días cero?

La NSA, la CIA y el FBI descubren, compran y usan exploits de día cero, una práctica controvertida que ha generado críticas. Al utilizar días cero para hackear a los delincuentes y no informarle al fabricante sobre los defectos, el gobierno nos hace a todos vulnerables de los hackers y espías extranjeros que podrían encontrar -o robar- esas vulnerabilidades de día cero, lo que nos hace a todos menos seguros. Si el trabajo del gobierno es protegernos, entonces deberían estar jugando a la defensiva en vez de a la ofensiva, argumentan los críticos.

Gobiernos poseen exploits día cero

Gobiernos poseen exploits día cero

En los EE. UU., el Vulnerabilities Equities Process (VEP) es el mecanismo defectuoso que Washington utiliza actualmente para evaluar las vulnerabilidades de día cero para su divulgación. Criticado como ineficaz por muchos, el VEP intenta equilibrar la ofensa y la defensa, y decidir cuáles fallas de seguridad deben ser reportadas al fabricante y cuáles deben ser acaparadas para propósitos ofensivos.

6. El parche es un problema mayor que el día cero

Los días cero son emocionantes, pero, seamos realistas, no son tan grandes como solían ser. El hecho de que un fabricante haya anunciado un parche no significa que los dispositivos vulnerables se hayan parcheado. En muchos casos, como en el caso de los dispositivos IoT, éstos se envían desde la fábrica en un estado vulnerable y nunca se parchean. A veces es físicamente imposible parchar estos dispositivos. Un parche de seguridad publicado por el fabricante no sirve de mucho si ese parche nunca se implementa en producción.

Como resultado, los 0 días son a menudo más que suficientes para los atacantes, tanto de la variedad criminal como gubernamental. En muchos casos, los atacantes que poseen exploits de día cero prefieren no usarlos, porque usar un exploit de día cero contra un defensor inteligente podría revelar ese día cero al defensor. Esto hace que el día cero explote las armas frágiles, especialmente cuando se despliega en el combate de lucha encubierta entre naciones-estado que tiene lugar hoy en el dominio cibernético.

¿Qué es un exploit de día cero?
5 (100%) 11 votes