Si alguna vez ha leído sobre seguridad cibernética, es probable que el término «día cero» haya surgido de vez en cuando para describir las vulnerabilidades que han sido explotadas por piratas informáticos. También descubrirá rápidamente que estos tienden a ser los más letales. Lo que son y cómo funcionan ya ha sido discutido sucintamente por mi colega Simon Batt.
Pero a medida que profundices en el tema, descubrirás algunas cosas que tal vez preferirías no haber sabido a medida que comienzas a pensar dos veces sobre todo lo que ejecutas en tus dispositivos (lo cual no es necesariamente algo malo). Estudios de ciberseguridad como esta investigación de la gente de RAND Corporation (un grupo de expertos de las Fuerzas Armadas de los EE. UU.) demuestran que las hazañas de día cero tienen muchas formas de mostrarnos cuán frágil es nuestro mundo digital.
Las hazañas de día cero no son tan difíciles de hacer
El estudio RAND confirma algo que muchos programadores que han incursionado en la piratería de prueba de concepto han sospechado: no lleva mucho tiempo desarrollar una herramienta que simplifique el proceso de explotación de una vulnerabilidad una vez que se encuentra. Citando directamente del estudio,
Una vez que se ha encontrado una vulnerabilidad explotable, el tiempo para desarrollar un exploit completamente funcional es relativamente rápido, con una mediana de tiempo de 22 días.
Tenga en cuenta que este es el promedio. Muchos exploits se terminan en cuestión de días, según la complejidad involucrada en la creación del software y el alcance que desea que tenga el efecto de su malware.
A diferencia del desarrollo de software para millones de usuarios finales, la creación de malware solo tiene en mente a una persona en lo que respecta a la conveniencia: su creador. Dado que usted «conoce» su código y software, no hay ningún incentivo para concentrarse en la facilidad de uso. El desarrollo de software para el consumidor experimenta muchos obstáculos debido al diseño de la interfaz y la infalibilidad del código, por lo que lleva más tiempo. Está escribiendo para usted y, por lo tanto, no necesita que lo lleven de la mano, lo que hace que el proceso de programación sea extremadamente fluido.
Viven una cantidad de tiempo impactante
Es un motivo de orgullo para un hacker saber que un exploit que han creado funciona durante mucho tiempo. Por lo tanto, puede ser un poco decepcionante para ellos saber que esto es algo común. Según RAND, la vulnerabilidad promedio vivirá 6,9 años, y la más corta que hayan medido vivirá un año y medio. Para los piratas informáticos esto es decepcionante, ya que a través de esto descubren que no son necesariamente especiales cada vez que hacen un exploit que arrasa la web durante años. Para sus víctimas, sin embargo, esto es aterrador.
La vulnerabilidad promedio «de larga duración» tardará 9,53 años en ser descubierta. Eso es casi una década que todos los piratas informáticos del mundo tienen que encontrar y utilizar en su beneficio. Esta estadística problemática no sorprende, ya que la conveniencia a menudo llama la atención mientras que la seguridad se deja en un segundo plano en el proceso de desarrollo. Otra razón por la que existe este fenómeno es por el viejo adagio: «No sabes lo que no sabes». Si su equipo de diez programadores no puede darse cuenta de que hay una vulnerabilidad en su software, seguramente uno de los miles de piratas informáticos que la están buscando activamente le dará una mano y se la mostrará de la manera difícil. Y luego tendrá que parchearlo, que es otra lata de gusanos en sí mismo, ya que podría terminar introduciendo otra vulnerabilidad, o los piratas informáticos podrían encontrar rápidamente una manera de eludir lo que ha implementado.
El altruismo no es abundante
Finifter, Akhawe y Wagner descubrieron en 2013 que, de todas las vulnerabilidades descubiertas, solo entre el 2 y el 2,5 por ciento de ellas fueron reportadas por buenos samaritanos que las encontraron en un paseo matutino como parte de un programa de recompensas por vulnerabilidades (es decir, «Te damos obsequios si nos dice las formas en que nuestro software puede ser pirateado”). El resto de ellos fueron descubiertos por el propio desarrollador o por un pirata informático que dolorosamente «iluminó» a todos sobre su existencia. Aunque el estudio no diferencia entre código cerrado y abierto, sospecho que el software de código abierto recibe informes más altruistas (ya que tener el código fuente a la vista hace que sea más fácil para las personas informar exactamente dónde ocurre una vulnerabilidad) .
la comida para llevar
Mi esperanza aquí es que esto proporcione una perspectiva de lo fácil que es ser víctima de un exploit y cómo los exploits de día cero no son tan raros como parecen. Todavía hay muchas preguntas sin respuesta sobre ellos, y tal vez un estudio más detallado nos ayude a equiparnos con las herramientas que necesitamos para combatirlos. La idea aquí es que tenemos que estar alerta.
¿Te sorprendieron estos hallazgos? ¡Cuéntanoslo todo en un comentario!