211service.com
Google dice que es demasiado fácil para los piratas informáticos encontrar nuevas fallas de seguridad
Lewis Ngugi en Unsplash
En diciembre de 2018, los investigadores de Google detectaron a un grupo de piratas informáticos con la vista puesta en Internet Explorer de Microsoft. Aunque el nuevo desarrollo se cerró dos años antes, es un navegador tan común que si puede encontrar una manera de piratearlo, tiene una puerta abierta potencial para miles de millones de computadoras.
Los piratas informáticos estaban buscando y encontrando fallas previamente desconocidas, conocidas como vulnerabilidades de día cero.
Poco después de que fueron detectados, los investigadores vieron que se usaba un exploit en la naturaleza. Microsoft emitió un parche y solucionó la falla, más o menos. En septiembre de 2019, se descubrió que el mismo grupo de piratería explotaba otra vulnerabilidad similar.
Más descubrimientos en noviembre de 2019, enero de 2020 y abril de 2020 sumaron al menos cinco vulnerabilidades de día cero explotadas por la misma clase de error en poco tiempo. Microsoft emitió múltiples actualizaciones de seguridad: algunas no lograron reparar la vulnerabilidad a la que se dirigían, mientras que otras solo requirieron pequeños cambios que requirieron solo una línea o dos para cambiar en el código del pirata informático para que el exploit volviera a funcionar.
'Una vez que comprenda uno solo de esos errores, puede cambiar algunas líneas y continuar teniendo días cero'.
Esta saga es emblemática de un problema mucho mayor en la ciberseguridad, según una nueva investigación de Maddie Stone, investigadora de seguridad en Google: que es demasiado fácil para los piratas informáticos seguir explotando los insidiosos días cero porque las empresas no están haciendo un buen trabajo de forma permanente. cerrando fallas y lagunas.
La investigación realizada por Stone, que forma parte de un equipo de seguridad de Google conocido como Project Zero, destaca múltiples ejemplos de esto en acción, que incluyen problemas que el propio Google ha tenido con su popular navegador Chrome.
Lo que vimos afecta a toda la industria: los parches incompletos facilitan que los atacantes exploten a los usuarios con días cero, dijo Stone el martes en la conferencia de seguridad Enigma. No estamos exigiendo que los atacantes presenten todas las nuevas clases de errores, desarrollen una nueva explotación, miren el código que nunca antes se había investigado. Estamos permitiendo la reutilización de muchas vulnerabilidades diferentes que conocíamos anteriormente.
Fruta madura
Project Zero opera dentro de Google como un equipo único y, a veces, controvertido que se dedica por completo a cazar las enigmáticas fallas de día cero. Estos errores son codiciados por piratas informáticos de todas las tendencias y más apreciados que nunca, no necesariamente porque sean cada vez más difíciles de desarrollar, sino porque, en nuestro mundo hiperconectado, son más poderosos.
Durante su vida útil de seis años, el equipo de Google ha rastreado públicamente más de 150 errores importantes de día cero y, en 2020, el equipo de Stone documentó 24 días cero que estaban siendo explotados, una cuarta parte de los cuales eran extremadamente similares a vulnerabilidades previamente reveladas. Tres estaban parcheados de manera incompleta, lo que significa que solo se necesitaron algunos ajustes en el código del hacker para que el ataque siguiera funcionando. Muchos de estos ataques, dice, involucran errores básicos y frutos al alcance de la mano.
Para los piratas informáticos, no es difícil, dijo Stone. Una vez que comprenda uno solo de esos errores, puede cambiar algunas líneas y continuar teniendo días cero de trabajo.
¿Por qué no se arreglan? La mayoría de los equipos de seguridad que trabajan en las empresas de software tienen tiempo y recursos limitados, sugiere, y si sus prioridades e incentivos son defectuosos, solo verifican que hayan solucionado la vulnerabilidad muy específica frente a ellos en lugar de abordar los problemas más grandes. la raíz de muchas vulnerabilidades.
Otros investigadores confirman que este es un problema común.
En el peor de los casos, un par de días cero que descubrí eran un problema de que el proveedor arregló algo en una línea de código y, literalmente, en la siguiente línea de código, todavía estaba presente exactamente el mismo tipo de vulnerabilidad y no lo hicieron. No se moleste en arreglarlo, dice John Simpson, investigador de vulnerabilidades de la firma de seguridad cibernética Trend Micro. Todos podemos hablar hasta que estemos tristes, pero si las organizaciones no tienen la estructura adecuada para hacer más que corregir el error preciso que se les informó, se obtiene una amplia gama de calidad de parches.
Una gran parte de cambiar esto se reduce al tiempo y al dinero: dar a los ingenieros más espacio para investigar nuevas vulnerabilidades de seguridad, encontrar la causa raíz y solucionar los problemas más profundos que a menudo surgen en las vulnerabilidades individuales. También pueden completar el análisis de variantes, dijo Stone: buscando la misma vulnerabilidad en diferentes lugares u otras vulnerabilidades en los mismos bloques de código.
D fruta diferente en total
Algunos ya están probando diferentes enfoques. Apple, por ejemplo, ha logrado solucionar algunos de los riesgos de seguridad más serios del iPhone al eliminar vulnerabilidades a un nivel más profundo.
En 2019, otra investigadora de Google Project Zero, Natalie Silvanovich, apareció en los titulares cuando presentado Errores críticos de día cero y cero clics en iMessage de Apple. Estas fallas permitieron que un atacante se apoderara de todo el teléfono de una persona sin requerir que la víctima hiciera nada; incluso si no hizo clic en un enlace, los piratas informáticos aún podrían controlar su teléfono. (En diciembre de 2020, una nueva investigación encontró un campaña de hackeo contra periodistas explotando otro ataque de día cero sin clic contra iMessage).
Historia relacionada
Dentro de NSO, el gigante de software espía de miles de millones de dólares de Israel La compañía de vigilancia más notoria del mundo dice que quiere limpiar su acto. Adelante, estamos escuchando.En lugar de abordar de forma limitada las vulnerabilidades específicas, la empresa se adentró en las entrañas de iMessage para abordar los problemas estructurales fundamentales que los piratas informáticos estaban explotando. Aunque Apple nunca dijo nada sobre la naturaleza específica de estos cambios, solo anunció un conjunto de mejoras con su actualización de software iOS 14, Samuel Groß de Project Zero recientemente disecado iOS e iMessage y dedujo lo que había ocurrido.
La aplicación ahora está aislada del resto del teléfono con una función llamada BlastDoor, escrita en un lenguaje llamado Swift que dificulta que los hackers accedan a la memoria de iMessage.
Apple también modificó la arquitectura de iOS para que sea más difícil acceder al caché compartido del teléfono, una firma de algunos de los hacks de iPhone más destacados de los últimos años.
Finalmente, Apple impidió que los hackers intentaran ataques de fuerza bruta una y otra vez en rápida sucesión. Las nuevas características de limitación significan que las vulnerabilidades que antes podían tardar unos minutos ahora pueden tardar horas o días en completarse, lo que las hace mucho menos atractivas para los piratas informáticos.
Es genial ver que Apple reserva los recursos para este tipo de grandes refactorizaciones para mejorar la seguridad de los usuarios finales, escribió Groß. Estos cambios también resaltan el valor del trabajo de seguridad ofensivo: no solo se corrigieron errores individuales, sino que se realizaron mejoras estructurales basadas en los conocimientos obtenidos del trabajo de desarrollo de exploits.
Las consecuencias de los ataques informáticos se vuelven mayores a medida que nos conectamos cada vez más, lo que significa que es más importante que nunca que las empresas de tecnología inviertan y prioricen los principales problemas de ciberseguridad que dan lugar a familias enteras de vulnerabilidades y exploits.
Un consejo para sus superiores es invertir, invertir, invertir, explicó Stone. Dé a sus ingenieros tiempo para investigar completamente la causa raíz de las vulnerabilidades y parchear eso, bríndeles margen de maniobra para realizar análisis de variantes, recompense el trabajo para reducir la deuda técnica, concéntrese en soluciones sistémicas.