en Noticias

La carrera entre los bueno y malos

Vamos a dar unos datos sobre cuanto tardan los buenos (fabricantes de software, sistemas operativos, sistemas de seguridad etc) en publicar parches cuando los malos (hackers, phisers y toda mala hierba) descubren una vulnerabilidad

Antes de nada vamos a decir que existe algo que se llama la NVD (National Vulnerability Database) que es una base de datos que contiene vulnerabilidades y agujeros de seguridad sobre todo tipo de productos. Esta base de datos pertenece al NIST (National Institute of Standars and Technology) que pertenece al gobierno norteamericano. Cuando se descubre un agujero de seguridad en Microsoft, Apple, Oracle o quien sea, se publica en esa base de datos (obviamente antes se ha avisado al fabricante para que lo solucione). Todo este párrafo de arriba forma parte de los buenos, el lado del bien (aunque algunas veces uno se pregunta si esto es cierto)

El problema surge cuando los malos, descubren un agujero de seguridad (vulnerabilidad) y se empieza a pasar la voz de unos a otros para intentar robar información , ganar dinero etc. ¿Donde se comparte esta información?: pues generalmente en la dark web usando TOR

Algunas veces los buenos se enteran porque se infiltran en los blogs que usan los malos en TOR, pero claro, los malos no son tontos y ya ponen ellos sus medidas para detectarlos. En otras ocasiones, los buenos hacen algo que se llaman «crawlers» (literalmente «arañas») que son programas que van recorriendo páginas buscando cierto tipo de palabras que puedan ser indicios de delito

Pues con estos conceptos previos, veamos las siguientes cifras

  • El 75% de las vulnerabilidades se descubren antes que se entere la NVD, por lo general la media son unos 7 días antes. Este valor medio está creciendo y como es lógico, cuanto más crece más se tarda en saber que los malos están haciendo faenas
  • Unas 1.500 fuentes han reportado unas 114.000 veces sobre vulnerabilidades antes que se liberen, incluyendo fuentes en la deep y dark web
  • Las vulnerabilidades con más severas tienen tiempos de liberación más cortos. No hay un tiempo medio para publicar parches, depende de la compañía que padece la vulnerabilidad
  • Se tiene detalle del 5% de las vulnerabilidades antes que lleguen a la NVD y tienen un mayor nivel de severidad que el que se esperaba
  • El 30% (de ese 5%) se encuentra en lenguajes distintos al inglés

Este es el esquema de cómo funciona la carrera

  • El proveedor se da cuenta de una vulnerabilidad y le asigna un código CVE
  • Proporciona una información inicial sobre al vulnerabilidad en la WEB

Empieza la carrera (Race Start)

  • Se hace una evaluación inicial de la vulnerabilidad via la NVD del NIST
    • Lo malos monitorizan sitios en busca de nuevas vulnerabilidades que puedan explotar
  • Los proveedores parchean la vulnerabilidad
    • Lo malos identifican el impacto de la vulnerabilidad y comienzan a informar en forums, dark web etc
  • El equipo de gestión de vulnerabilidades aplica los parches para proteger los sistemas
    • Se desarrollan explots para las vulnerabilidades elegidas ny se venden o se comparten en la dark web

Esto es asi siempre y cuando no sean los malos los primeros en descubrir la vulnerabilidad. En ese caso analizan el impacto y comienzan a explotarla antes que los fabricantes se den cuenta. El tiempo que un malware puede estar espiando una red puede llegar a meses, asi que imaginese la cantidad de información que se puede llegar a obtener si las comunicaciones no van cifradas

Fuente: Recorded Future