Llegamos a ustedes gracias a:



Reportajes y análisis

Ataques de día cero: Cómo defenderse

[19/08/2013] Con una ciberdelincuencia que ataca a más de 500 millones de víctimas a nivel mundial y un costo de 100 mil millones de dólares anuales, es claro que las violaciones de seguridad son un problema muy lejano de ser resuelto. Una amenaza particularmente peligrosa, que no parece estar recibiendo una buena cantidad de atención son los ataques de día cero.
Es cierto, los ataques de día cero son solo una parte del panorama general de amenazas. Sin embargo, casi todo el mundo está en riesgo de un ataque de día cero. Y la amenaza de las vulnerabilidades de día cero se producen mucho antes de que el proveedor o el público lo descubran, y permanece activo mucho después de que se liberan los parches.
Kasper Lindgaard, jefe de investigación de Secunia, explica que "una vulnerabilidad de día cero es una vulnerabilidad que solo ha sido descubierta por los piratas informáticos. El proveedor no sabe todavía de la vulnerabilidad y por lo tanto no se ha desarrollado un parche. En contraste, una vulnerabilidad general, se da a conocer por el proveedor cuando típicamente tiene un parche listo''.
Los ataques de día cero pueden afectar a casi cualquier usuario. Estos ataques llegan a través de diferentes vectores, incluidos los virus, archivos adjuntos de correo electrónico, páginas web, ventanas emergentes, mensajes instantáneos, chats, así como por la ingeniería social u otro tipo de engaño.
Satnam Narang, director de respuesta de seguridad de Symantec, señala: "Recientemente hemos visto una gran cantidad de vulnerabilidades de día cero en un navegador web, así como en aplicaciones de terceros necesarios para ejecutar algunos sitios web. Por ejemplo, las vulnerabilidades en WordPress permiten a los atacantes inyectar código malicioso en sitios web basados en WordPress. Este código malicioso le lleva a una página web que le dirigirá a un paquete de exploits que apuntará hacia una vulnerabilidad en una aplicación de terceros en su máquina, como Flash, Java o el propio navegador".
Scott, Gerlach, director de operaciones de seguridad de la información en Go Daddy, añade: "Se puede ver el crecimiento de ataques contra sitios web, ya que son fáciles de alcanzar y porque hay millones de ellos, la huella de lo que se puede atacar es enorme". Hoy, eso representa 2,4 millones de usuarios de Internet.
Día cero en números
Leyla Bilge y Tudor Dumitras de Symantec Research Labs publicaron un estudio el pasado otoño basado en cuatro años de datos de 11 millones de computadoras de todo el mundo. Encontraron que los ataques de día cero duraron un promedio de 312 días, golpeando múltiples blancos en todo el mundo.
En algunos casos, los ataques quedaron sin descubrir durante un máximo de dos años y medio. Incluso, después de que se dieron a conocer las vulnerabilidades, el número de ataques se disparó hasta cinco veces en magnitud. Aún más alarmante - uno de cada diez programas tiene errores de seguridad en sí mismo.
¿Por qué los ataques de día cero siguen siendo peligrosos después de que se publica un parche?
El hecho de que una vulnerabilidad de día cero esté parchado por el proveedor no quiere decir que la amenaza haya desaparecido. Gerlach señala que "la mayoría de los usuarios no actualizan Java regularmente, y parece que cada versión actualizada del motor de tiempo de ejecución Java tiene algún tipo de parche de día cero con respecto a la versión anterior. Como resultado, solo con visitar cualquier número de sitios web, los sistemas se infectan con un ataque de Java que es un nuevo-día cero, así como ex-día cero reviven y tienen pocas alternativas de defensa que no sea ejecutar Java".
Efectivamente, mientras que 1,1 millones de computadoras de escritorio ejecutan Java, el 93% de los usuarios de Java no está ejecutando la última versión.
Se trata más de una mayor protección que de detección
¿Cómo puede defenderse de algo que no sabe que existe? Según James A. Lewis del Center of Strategic and International Studies, hay cuatro medidas que, al desplegarse juntas, pueden detener casi todos los ataques.
Las medidas son: listas blancas, rápida implementación de parches para sistemas operativos, lo mismo para las aplicaciones, y reducir al mínimo el número de personas con privilegios de "administrador".
Narang añade el siguiente consejo: "En primer lugar, aísle las máquinas que tienen datos críticos - como la información financiera- de la red principal. Al mantenerlas separadas, las aplicaciones tienen menos probabilidades de estar en peligro, y si los usuarios necesitan buscar sitios web que podrían estar infectados, estarán mejor protegidos. A continuación, contrate seguridad por capas, desde la aplicación de parches regularmente hasta la instalación y mantenimiento de antivirus, antispam, antimalware, detección de intrusos y la aplicación de permisos apropiados de cuenta. Luego, esté siempre sospechando. Por último, y algo que es a menudo ignorado, especialmente en las oficinas más pequeñas, la educación del usuario. Un programa de capacitación sobre seguridad bien administrado puede ayudar a que los peligros de las ciberamenazas se vuelvan un rugido sordo".
Nuevas formas de atrapar ataques de día cero
De las tecnologías que pretenden atrapar formas nunca antes vistas de los ataques de día cero, dos parecen prometedoras. Una de ellos es una forma innovadora para visualizar e interactuar con anomalías en conjuntos de datos masivos de actividad del sistema; y el otro es un sistema recién publicado y muy automatizado que detecta la configuración sospechosa de ejecución automática.
Uno de los aspectos más frustrantes de la detección de día cero es la naturaleza de los datos en sí. Esto es así sobre todo en entornos empresariales donde los datos son enormes, multidimensionales, incluyen datos activos y estáticos, y provienen de miles de aplicaciones y dispositivos, a menudo con diferentes protocolos y formatos. En resumen, es abrumadora.
VisiTrend ha creado una solución para el Departamento de Defensa de EE.UU., que también está programada para su lanzamiento comercial a finales de este año. NDVis es una aplicación web que permite a los usuarios ver representaciones gráficas de los datos e interactuar efectivamente con ellas. Más precisamente, se trata de un sistema de información de seguridad y de gestión de eventos (SIEM), donde las capas son reglas que pueden mostrar alertas visuales o publicar una tabla de alertas.
Aunque a primera vista la información no parece intuitiva, un poco de entrenamiento permite que los usuarios identifiquen incluso una sola anomalía entre lo que puede ser más de un millón de eventos en la pantalla. También permite que los usuarios utilicen un mouse y toquen los datos en la pantalla para evaluar de inmediato las relaciones, los efectos de los proyectos, cursos del plan de acción (COA), y ver las relaciones entre las operaciones cibernéticas y cinéticas. Pensada para entornos empresariales con personal de TI capacitado, esta nueva forma de análisis visuales interactivos puede proporcionar indicadores tempranos de los ataques de día cero antes de que hagan daño.
Sampan Security, un nuevo jugador en el campo, tiene un enfoque interesante. La compañía asume que -no importa lo que haga- algunos ataques aterrizarán en su PC. Pero, puesto que la mayoría del malware tiene que programarse para ejecutarse automáticamente y sobrevivir tanto reinicios y escaneos del sistema, se requieren ciertos cambios de bajo nivel en el sistema y eso es justo lo que Sampan Security ha hecho con su tecnología de Fire Tower Guard.
A diferencia de otros sistemas de detección de autorun que requieren exploraciones y también requieren de expertos en la materia (SME), el producto de Sampan funciona automáticamente en tiempo real, y tiene una función de autenticación basada en la nube. El resultado es una solución que ayuda a su propio personal de TI a identificar cambios autorun sospechosos que indican que el malware ha intentado programarse para causar estragos. Esto es algo bueno teniendo en cuenta que, según Mandiant, el 97% de amenaza persistentes avanzadas (APT) de malware que recogió para su informe del 2011, fueron usando Windows Services o claves del registro, todos los cuales son seguidos por FireTower Guard.
Dirk A. D. Smith, Network World (EE.UU.)