¿Con qué frecuencia los atacantes de alto nivel realmente utilizan ataques de día cero?

5

A principios de esta semana, el jefe de la unidad Operaciones de acceso a medida de la NSA dio una presentación extraordinaria en la conferencia de seguridad Enigma de USENIX . (Las noticias cubren aquí y aquí ; video de la charla aquí ). El tema de la charla: cómo defenderse contra los atacantes sofisticados, persistentes a nivel nacional, como, bueno, el TAO. Como se podría esperar, no hubo revelaciones asombrosas de técnicas clasificadas y novedosas para piratear o defender. Pero el jefe de TAO, sin embargo, hizo al menos algunos puntos que hacen pensar. Uno de ellos fue sobre el uso de exploits de día cero por parte de la NSA. O, en realidad, su carácter poco común:

  

"Mucha gente piensa que los estados nacionales están ejecutando sus operaciones   en cero días, pero no es tan común ", dijo. “Para grandes corporativos   La persistencia y el enfoque de las redes lo llevarán sin un día cero;   Hay muchos más vectores que son más fáciles, menos riesgosos y más   productivo ".

Uno podría sospechar, por cualquier motivo, que el jefe de los piratas informáticos de la NSA podría simplemente estar subestimando el rol de usar días cero en estas operaciones obviamente clasificadas. Y, obviamente, en los últimos años ha habido una cantidad de operaciones documentadas del estado-nación que han usado cero días. (Ninguno más ampliamente que ataques de Stuxnet orquestado en gran parte por, sí, la NSA.) Sin embargo, incluso si el grado de desestimación fue un poco "tú protestas demasiado", definitivamente he leído y escuchado cosas similares de otras fuentes que recientemente suenan temas similares . (Me gusta este artículo , y esta presentación en Defcon el mes pasado.) Y, por cierto, el resto de la charla fue bastante persuasiva de que los hackers de la NSA son expertos en encontrar y entrar a través de las grietas en las defensas de un objetivo sin Necesidad de recurrir a cero días.

(Editar: para aclarar, para esta pregunta, tomo "día cero" para referirme a una vulnerabilidad y una vulnerabilidad que la acompaña y que se desconoce para el defensor y para la comunidad infosec general cuando se usan en un ataque.)

Por lo tanto, la pregunta : cualquiera que conozca alguna información, a partir de estadísticas de algún tipo, anécdotas de experiencias personales, independientemente de lo que creas importante, habla de la frecuencia con la que los atacantes sofisticados tienen acceso. días cero: en otras palabras, ¿básicamente los estados-nación realmente recurren a usarlos en ataques?

    
pregunta mostlyinformed 29.01.2016 - 22:45
fuente

3 respuestas

5

Manejé un proyecto que lo vio mientras estaba en Microsoft. La respuesta es que la gran mayoría de las interrupciones no usan 0 días. Utilizamos malware como proxy para los inicios, porque los datos eran más accesibles y ponen el uso de 0days en perspectiva.

Los datos aquí no desglosan a los atacantes sofisticados, pero los argumentos que expones sobre por qué nadie quiere usar 0 días son sólidos. Probablemente se usaron en Stuxnet debido a las brechas de aire.

enlace

Dado que es un informe extenso, debo agregar que es la sección de apertura, "Enfocarse en los métodos de propagación de malware" que aborda la pregunta.

    
respondido por el Adam Shostack 30.01.2016 - 00:07
fuente
1

Irrumpir tiene que ver con la investigación. Debe dedicar tiempo a estudiar una red y sus diversos puntos de entrada o acceso. Parte de eso será revisar el firmware del hardware y el software en ejecución.

El primer punto de ataque que podría elegir sería wifi. Descubriría el modelo de punto de acceso que usan y luego descargaría el firmware. Una vez que tengo el archivo de firmware, generalmente puedo ver todos los archivos, páginas php y configuraciones que el sistema tiene de forma predeterminada.

Si descubro una debilidad, entonces eso es un día cero. Pero si descubro una debilidad en cómo la administración configuró ese dispositivo no es necesariamente un día cero. Así que estoy buscando debilidades y, a veces, encuentro un día cero que, por lo tanto, es una debilidad.

Los días cero son importantes porque son debilidades. Pero la información es mucho más valiosa. Más a menudo puedo encontrar debilidad en la configuración por parte de los usuarios finales y los administradores, luego puedo las corporaciones que al menos han pasado algún tiempo pensando en este tipo de cosas.

TL; DR; Si quieres atacarte investiga. Cada modelo. Cada firmware. Cada parche. Descubres todo lo que puedes y se hace evidente cómo las redes son débiles.

    
respondido por el Nick Young 30.01.2016 - 03:57
fuente
0

Por lo que he visto personalmente, escuchado por oradores en conferencias y sobre artículos de noticias, la mayoría de las compañías son extremadamente porosas cuando se trata de seguridad. Por lo tanto, no debería sorprender que los atacantes generalmente no tengan que usar vulnerabilidades de 0 días.

Si desea datos duros, Trustwave ha publicado algunas estadísticas que recopilaron de investigaciones disponibles en enlace

    
respondido por el Steve Sether 30.01.2016 - 01:16
fuente

Lea otras preguntas en las etiquetas