A principios de esta semana, el jefe de la unidad Operaciones de acceso a medida de la NSA dio una presentación extraordinaria en la conferencia de seguridad Enigma de USENIX . (Las noticias cubren aquí y aquí ; video de la charla aquí ). El tema de la charla: cómo defenderse contra los atacantes sofisticados, persistentes a nivel nacional, como, bueno, el TAO. Como se podría esperar, no hubo revelaciones asombrosas de técnicas clasificadas y novedosas para piratear o defender. Pero el jefe de TAO, sin embargo, hizo al menos algunos puntos que hacen pensar. Uno de ellos fue sobre el uso de exploits de día cero por parte de la NSA. O, en realidad, su carácter poco común:
"Mucha gente piensa que los estados nacionales están ejecutando sus operaciones en cero días, pero no es tan común ", dijo. “Para grandes corporativos La persistencia y el enfoque de las redes lo llevarán sin un día cero; Hay muchos más vectores que son más fáciles, menos riesgosos y más productivo ".
Uno podría sospechar, por cualquier motivo, que el jefe de los piratas informáticos de la NSA podría simplemente estar subestimando el rol de usar días cero en estas operaciones obviamente clasificadas. Y, obviamente, en los últimos años ha habido una cantidad de operaciones documentadas del estado-nación que han usado cero días. (Ninguno más ampliamente que ataques de Stuxnet orquestado en gran parte por, sí, la NSA.) Sin embargo, incluso si el grado de desestimación fue un poco "tú protestas demasiado", definitivamente he leído y escuchado cosas similares de otras fuentes que recientemente suenan temas similares . (Me gusta este artículo , y esta presentación en Defcon el mes pasado.) Y, por cierto, el resto de la charla fue bastante persuasiva de que los hackers de la NSA son expertos en encontrar y entrar a través de las grietas en las defensas de un objetivo sin Necesidad de recurrir a cero días.
(Editar: para aclarar, para esta pregunta, tomo "día cero" para referirme a una vulnerabilidad y una vulnerabilidad que la acompaña y que se desconoce para el defensor y para la comunidad infosec general cuando se usan en un ataque.)
Por lo tanto, la pregunta : cualquiera que conozca alguna información, a partir de estadísticas de algún tipo, anécdotas de experiencias personales, independientemente de lo que creas importante, habla de la frecuencia con la que los atacantes sofisticados tienen acceso. días cero: en otras palabras, ¿básicamente los estados-nación realmente recurren a usarlos en ataques?