Video: Entré a la WEB PROHIBIDA Y ME HACKEARON 😭LO GRABÉ TODO! Hacker Parte 1 | Mariale (Noviembre 2024)
El segundo martes de cada mes, "Patch Tuesday", Microsoft elimina parches para errores y agujeros de seguridad en Windows y en aplicaciones de Microsoft. La mayoría de las veces, los problemas abordados incluyen graves agujeros de seguridad, errores de programación que podrían permitir a los piratas informáticos penetrar la seguridad de la red, robar información o ejecutar código arbitrario. Adobe, Oracle y otros proveedores tienen sus propios horarios de parches. Un nuevo estudio alarmante de NSS Labs sugiere que, en promedio, los piratas informáticos tienen aproximadamente cinco meses de acceso sin restricciones a estos agujeros de seguridad entre el descubrimiento inicial y la reparación. Peor aún, existen mercados especializados para vender vulnerabilidades recién descubiertas.
El Dr. Stefan Frei, Director de Investigación de NSS Labs, supervisó un estudio que analizó más de diez años de datos de dos importantes "programas de compra de vulnerabilidad". El informe de Frei señala que todas las cifras resultantes son mínimas; Claramente, hay muchas más cosas que simplemente no conocen. Según lo que saben, el mercado de información sobre exploits ha crecido significativamente en los últimos años. Hace diez años, las dos compañías estudiadas tenían solo un puñado de vulnerabilidades no reveladas en un día determinado. En los últimos años, ese número ha aumentado a más de 150, de los cuales más de 50 están relacionados con los cinco principales proveedores: Microsoft, Apple, Oracle, Sun y Adobe.
Exploits para la venta, barato
Stuxnet y otros ataques a nivel de estado-nación dependen de múltiples agujeros de seguridad no revelados para penetrar la seguridad. Se supone que sus creadores pagan grandes dividendos para obtener acceso exclusivo a estas vulnerabilidades de día cero. La NSA presupuestaba $ 25 millones para la compra de exploits en 2013. El estudio de Frei reveló que los precios ahora son mucho más bajos; todavía alto, pero al alcance de las organizaciones ciberdelincuentes.
Frei cita un artículo del New York Times que examinó a cuatro proveedores boutique de exploits. Su precio promedio por el conocimiento de una vulnerabilidad aún no revelada oscilaba entre $ 40, 000 y $ 160, 000. Con base en la información obtenida de esos proveedores, concluye que pueden entregar al menos 100 exploits exclusivos por año.
Los vendedores se defienden
Algunos proveedores de software ofrecen recompensas de errores, creando una especie de programa de investigación de colaboración colectiva. Un investigador que descubre un agujero de seguridad previamente desconocido puede obtener una recompensa legítima directamente del proveedor. Eso es seguramente más seguro que tratar con ciberdelincuentes o con quienes venden a ciberdelincuentes.
Las recompensas por errores típicos varían de cientos a miles de dólares. La "Mitigación Bypass Bounty" de Microsoft paga $ 100, 000, pero no es una simple recompensa por errores. Para ganarlo, un investigador debe descubrir una "técnica de explotación verdaderamente novedosa" que pueda subvertir la última versión de Windows.
Has sido hackeado
Las recompensas de errores son agradables, pero siempre habrá quienes busquen la mayor recompensa que ofrecen los proveedores de exploits boutique y los ciberdelincuentes. El informe concluye que cualquier empresa u organización grande debería asumir que su red ya ha sido pirateada. Bloquear o incluso detectar un ataque de día cero es difícil, por lo que el equipo de seguridad debe planificar lo peor con un plan de respuesta a incidentes bien definido.
¿Qué pasa con las pequeñas empresas y las redes personales? El informe no habla de ellos, pero supongo que alguien que pagó $ 40, 000 o más por el acceso a un exploit lo apuntaría al objetivo más grande posible.
Puede leer el informe completo en el sitio web de NSS Labs.
