Seguro que no es la primera vez que lees el términos como «zero day» o «ataque de día cero». ¿Pero qué quiere decir en realidad? ¿Por qué día cero?¿Cómo son estos ataques y de qué forma se benefician los atacantes?
Por definición un zero day es una brecha de seguridad que aún no ha sido parcheada (o incluso descubierta) por el vendedor, que puede ser explotada y a la vez, convertida en una arma poderosa.
Su «popularidad» se debe en parte a que se ha demostrado que en ocasiones algunos gobiernos y empresas no solo han descubierto, sino también «comprado» y utilizado estos fallos de seguridad para sus propios fines, en terrenos como el militar, espionaje de la competencia (o sobre los propios ciudadanos), etc. lo que a su vez ha provocado que exista un mercado negro en el que se venden las herramientas que permiten explotar este tipo de fallos.
Los ataques zero day, que se encuentran por este motivo entre los más peligrosos, tienen a la vez (teóricamente) una ventana pequeña de actuación: la que comprende el tiempo que transcurre entre el momento en que se descubre la vulnerabilidad y cuando finalmente es parcheada. Lo que nos lleva a explicar por qué este tipo de ataques se denominan de día cero. Cero, indica el número de días en los que ha existido un parche que pone fin a la vulnerabilidad que acaba de ser descubierta. Esto es, ningún día.
Una vez que se publica un parche que la elimina, si el sistema es explotado utilizándola, se denomina un ataque Oldday: se ha explotado un sistema/aplicación parcheable, pero por desconocimiento o descuido del responsable pertinente, no se ha parcheado a tiempo.
Los ataques de día cero se han vuelto tan «populares» que para prevenirlos, cada vez son más las empresas que animan a la comunidad hacker a descubrir este tipo de vulnerabilidades en los productos que desarrollan, ofreciéndoles a cambio recompensas que van desde premios en metálico hasta la posibilidad de ser contratados como integrantes de su equipo IT.
También es importante señalar que aunque hace unos años, explotar una única vulnerabilidad de día cero podía permitir al atacante un controlar completamente un sistema de forma remota, lo cierto es que hoy en día resulta mucho más complicado. En sistemas operativos modernos como iOS o Windows 10, o aplicaciones complejas, lograr un nivel similar de privilegios supondría para un atacante haber conseguido explotar con éxito varias de estas vulnerabilidades (en ocasiones decenas) de forma simultánea.
Por supuesto, esto se ha traducido que en ese mercado negro del que hablábamos antes, el precio a pagar para este tipo de ataques en determinados sistemas, haya alcanzado niveles astronómicos.
Zerodium: vende tu ataque Zero Day…por más de un millón de euros
¿Dónde se venden y se compran este tipo de ataques? No desde luego en un oscuro sub-foro de Internet. No junto a los números de tarjeta de crédito que se han robado o con los kits de malware para hackers principiantes. Teniendo en cuenta que el precio de estos packs puede fácilmente superar el millón de euros, o que como hemos visto, algunos de sus principales clientes son grandes empresas y gobiernos, lo que se lleva en este caso son «intermediarios serios».
Uno de los más conocidos es «Zerodium«. Esta plataforma se presenta ante su público como «la plataforma de adquisición de exploits líder en el mundo, fundada por expertos en ciberseguridad con una experiencia sin precedentes en investigación avanzada de vulnerabilidades y seguridad activa».
Pero unos párrafos más abajo podemos leer lo siguiente: «ZERODIUM rewards security researchers to acquire their zero-day exploits and then analyzes, aggregates, documents, and provides all acquired security intelligence to its institutional clients» que como veremos en otra de sus páginas, son exclusivamente clientes muy seleccionados (afirman de hecho que únicamente trabajan con instituciones militares).
¿Qué es lo que están dispuestos a comprar en estos momentos? Basta consultar su página principal, en la que publican sus ofertas. En estos momentos, se muestran dispuestos a pagar 500.000 dólares para ataques efectivos sobre Microsoft Hyper-V o VMware ESXi, 100.000 dólares para aquellos que puedan «reventar» las medidas de seguridad de los ruoters MikroTik y una cantidad no especificada para los que hagan lo propio con los bootloaders de los últimos smartphones de Samsung (S10 y S9).
Otros intermediarios no son sin embargo tan «honestos» en sus declaraciones y al igual que Zerodium es más o menos transparente en sus intenciones (o por lo menos podemos decir que se mueve en la zona gris del mercado), estos no tienen ningún problema a la hora de vender sus herramientas a todo tipo de gobiernos y regímenes dictatoriales, con las consecuencias que todos podemos imaginar, como por ejemplo la persecución de disidentes políticos o el espionaje a periodistas críticos.
Fuente:https://www.muyseguridad.net