Las vulnerabilidades de día-cero –exploits que se descubrieron recientemente y no se han identificado con anterioridad- están surgiendo con mayor frecuencia. Y peor aún es el hecho de que estas fallas algunas veces no se detectan hasta que los hackers ya se han aprovechado de ellas.
De acuerdo con una predicción hecha por Steven Morgan, fundador y editor de Cybersecurity Ventures, la frecuencia de los exploits de día cero –que ocurrían una vez a la semana en 2015– podría aumentar a una al día en los próximos cuatro años.
El aumento de los ciberataques no es algo nuevo – esto ha sido una tendencia en la industria de la tecnología por años. Sin embargo, no significa que los investigadores y desarrolladores no deban tomar las medidas necesarias para reducir el número de vulnerabilidades que están presentes en el software y sistemas de TI críticos.
Las cosas cambian: Investigación de las vulnerabilidades
Aquí es donde entra la investigación de las vulnerabilidades, una tendencia en aumento que está repercutiendo en la industria de la seguridad informática. Este tipo de investigación normalmente es una tarea del equipo de ingeniería, y supervisa el uso de las técnicas avanzadas en un esfuerzo por identificar las fallas o problemas que tiene el software y que podrían utilizarse para provocar ataques, brechas y otros incidentes de seguridad.
Este proceso significa que las amenazas de día-cero y otros problemas de software se identifican pronto, con suerte antes de que caigan en manos de los cibercriminales. Así, las infecciones provocadas por las nuevas vulnerabilidades disminuyen, y los vectores de ataque disponibles para los hackers se reducen.
Una batalla difícil: Se necesitan habilidades especiales
[blockQuote position=”left”]La frecuencia de los exploits de día cero podría aumentar hasta una vez al día en los próximos cuatro años.[/blockQuote]
Sin embargo, como Rutrell Yasin, colaborador de Dark Reading, lo señala, uno no sólo se embarca en este tipo de investigación así como así. La investigación de las vulnerabilidades y la seguridad requiere que se cuente con ciertas habilidades y capacidades, especialmente por la velocidad en que cambia panorama de amenazas.
“La disciplina es para la gente que tiene la curiosidad innata de saber cómo se puede “abrir” el software para lograr hacer cosas con el software que nunca se imaginaron siquiera”, escribió Yasin.
Además, los investigadores deben “sumergirse en la tecnología” y tener un gran interés por entender las operaciones y los usos maliciosos de diferentes sistemas así como las formas en que se integran entre sí.
“Los ingenieros de seguridad ven al mundo de modo distinto que otros ingenieros”, afirma Bruce Shneier, experto en seguridad de la información. “En lugar de enfocarse en cómo funcionan los sistemas, se concentran en cómo fallan los sistemas, en que los hace fallar y cómo prevenir esas fallas –o protegerse contra ellas”.
Los mejores investigadores son aquellos que se consideran expertos en todo, apuntó Jasin, pero también tienen ciertas especialidades. Así, esas habilidades especializadas pueden ponerse a trabajar de modo que beneficien la investigación y ayuden a identificar las vulnerabilidades que de otra manera hubieran pasado desapercibidas.
Beneficios en ambas caras de la moneda
Las ventajas de la investigación de las vulnerabilidades no son difíciles de advertir. A medida que aumenta la frecuencia de los ataques, la investigación de las vulnerabilidades ofrece la oportunidad de reducir la superficie de ataque disponible. Como lo mencionó Morgan, esta superficie crece en 111 mil millones de nuevas líneas de código al año, por lo que cualquier esfuerzo por reducir las explotaciones de ataques disponibles son buenas noticias para los usuarios, desarrolladores de código y proveedores de software.
Como lo mencionó el analista Weimin Wu, los proveedores aprovechan los resultados de la investigación de las vulnerabilidades para su ventaja ya que pueden mejorar considerablemente las soluciones que están creando para los usuarios, y adoptar una postura proactiva contra las tácticas de hackeo más recientes.
“Le permite a los proveedores anticipar el panorama de los exploits y crear soluciones de antemano”, escribió Wu.
Esto, a su vez, ayuda a proteger mejor a los consumidores individuales y empresas, que dependen cada vez más de los sistemas de software para manejar información sensible y apoyar las operaciones de misión crítica.
White hats contra black hats
Es importante que los investigadores y usuarios tengan en cuenta que si estas vulnerabilidades no son identificadas por los white hats, existen altas probabilidades de que los black hats las encuentren y las utilicen con fines maliciosos en un punto u otro.
Además, el trabajo realizado por los investigadores de las vulnerabilidades para identificar los exploits de un programa de software probablemente beneficiará a otras plataformas que utilizan programación y funciones similares. Así, los esfuerzos no son únicos para el programa, pero tienen el potencial de beneficiar a toda la industria de software, asegurando que los mismos errores que pueden explotarse no se vuelvan a repetir .
[image url=”https://pictures.brafton.com/x_0_0_0_14131627_800.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”800″ height=”533″]
Los investigadores de vulnerabilidades esperan identificar exploits antes de que sean descubiertas y las aprovechen los hackers de sombrero negro.
La investigación de las vulnerabilidades en acción: Pwn2Own
Gracias a su importancia, la investigación de las vulnerabilidades ahora está ocupando un lugar a una mayor escala. Un ejemplo importante de esto es el evento Pwn2Own que realiza Trend Micro, el cual reúne a investigadores y expertos en seguridad de todos los ámbitos de la sociedad y que otorga premios en efectivo y reconocimientos a los proyectos de identificación de exploits más exitosos.
En este año se celebra el décimo aniversario de Pwn2Own, el cual inició originalmente en 2007. Desde entonces, el evento se ha ampliado para incluir nuevas áreas de investigación –este año, la Zero Day Initiative tiene más de $1 millón de dólares en premios en categorías que incluyen Evasión de Máquinas Virtuales, Navegador Web y Plugins, Aplicaciones Empresariales, Aumento Local de Privilegios y el Lado del Servidor.
En el evento del año pasado se logró identificar varias vulnerabilidades. Una vez que los equipos de hackeo identificaron estos elementos, los organizadores del concurso enviaron los detalles de los resultados de la investigación a los proveedores para que se pudieran tomar las acciones para mejorar la protección de los datos.
“Por lo tanto, a medida que los proveedores aprenden más de las vulnerabilidades de su software y dispositivos, pueden fortalecer su seguridad informática, lo cual refuerza la seguridad de sus clientes”, escribió Noah Gamer de Trend Micro en un blog de 2016. “¿Cómo pueden los consumidores y empresas evitar estas vulnerabilidades de los programas que usan a diario? Implementar soluciones de ciberseguridad efectivas podría ser la respuesta a este problema. Al invertir en este tipo de herramientas se pueden proteger sus sistemas y asegurarse de que sus datos estén protegidos contra los agentes maliciosos”.
El evento de este año captó gran interés y se tuvo que agregar un tercer día a la competencia debido al alto número de participantes registrados. Los investigadores tomaron parte en varios proyectos de investigación de vulnerabilidades importantes, incluyendo un intento de evasión completa de máquinas virtuales a través de Microsoft Edge, investigando el kernel de Windows y examinando el buffer de una VMware Workstation.
En general, la investigación de las vulnerabilidades se convertirá en un proceso crítico a medida que el entorno de amenazas siga expandiéndose. Cualquier esfuerzo de desviar la avalancha de ataques maliciosos es benéfico para los investigadores, proveedores y usuarios.
Para consultar más información sobre Pwn2Own de este año y los resultados de la competencia, contacte a Trend Micro.
Leave a Reply