¿Sabes lo que es un “0-day attack”? Twitter y Facebook sí…

Jorge Ordovás    19 febrero, 2013

Ser el primero en descubrir una vulnerabilidad es para los piratas del siglo XXI como encontrar el tesoro de Barbanegra. Y si ese bug afecta a un software ampliamente extendido, tendremos un peligroso “0-day attack” que puede provocar muchos quebraderos de cabeza.

Este moderno botín es tan apreciado porque, al tratarse de un problema que nadie había encontrado anteriormente, no hay defensa que permita detectarlo y combatirlo hasta que éste ya ha infectado a su víctima, quedando desprotegida y a merced de su atacante durante un buen tiempo. Y este conocimiento puede suponer mucho dinero para su descubridor, compitiendo en la puja por un lado los fabricantes, que quieren corregir el problema cuanto antes, y por otro los amigos de lo ajeno, que pretenden explotarlo en su beneficio.

Recientemente se ha descubierto un “0-day exploit” que afecta a Java (incorporado desde hace tiempo en los navegadores para procesar páginas web interactivas, que contienen applets). Oracle ha reaccionado lanzando un aviso de seguridad y generando un parche que solventa el problema, pero hasta que los ordenadores estén actualizados el peligro continúa.

De hecho, salvo que sea necesario (y hasta que se demuestre que la vulnerabilidad está efectivamente resuelta con este parche), lo más recomendable es deshabilitar Java (en la actualidad prácticamente no se utiliza, habiendo sido sustituído por otras tecnologías, por lo que desactivarlo no tiene consecuencias prácticas). En el portal de la Oficina de Seguridad del Internauta (OSI) se explican los pasos para hacerlo.

No es una recomendación gratuita, porque en el tiempo en el que Oracle ha sido consciente del problema, y generado una solución, importantes empresas han sufrido las consecuencias, destacando especialmente por su repercusión las redes sociales.

A principios de Febrero, Twitter comunicó que había detectado un ataque en el que se podrían haber visto comprometidos datos de sus usuarios, por lo que unilateralmente decidió cambiar las contraseñas de unas 250.000 cuentas. Este ataque estaba relacionado con el “0-day exploit” de Java.

“This week, we detected unusual access patterns that led to us identifying unauthorized access attempts to Twitter user data. We discovered one live attack and were able to shut it down in process moments later. However, our investigation has thus far indicated that the attackers may have had access to limited user information – usernames, email addresses, session tokens and encrypted/salted versions of passwords – for approximately 250,000 users.
As a precautionary security measure, we have reset passwords and revoked session tokens for these accounts.
We also echo the advisory from the U.S. Department of Homeland Security and security experts to encourage users to disable Java in their browsers.”

Y Twitter no ha sido la única red social afectada. El pasado 15 de Febrero, Facebook comunicó que había registrado un ataque en el último mes, originado por el acceso por parte de algún empleado a una página web que tenía un exploit en el que se aprovechaba la vulnerabilidad de Java. Según Facebook no hay evidencias de que se hayan visto comprometidos datos de sus usuarios.

“Last month, Facebook Security discovered that our systems had been targeted in a sophisticated attack. This attack occurred when a handful of employees visited a mobile developer website that was compromised. The compromised website hosted an exploit which then allowed malware to be installed on these employee laptops. The laptops were fully-patched and running up-to-date anti-virus software. As soon as we discovered the presence of the malware, we remediated all infected machines, informed law enforcement, and began a significant investigation that continues to this day.
We have found no evidence that Facebook user data was compromised.
After analyzing the compromised website where the attack originated, we found it was using a “zero-day” (previously unseen) exploit to bypass the Java sandbox (built-in protections) to install the malware. “

Ante este tipo de amenazas, la seguridad preventiva es el mejor método para mitigar las consecuencias en caso de resultar atacado, en el terreno personal, y especialmente en la empresa:

  • Estar al tanto de los problemas de seguridad, y hacer caso de las recomendaciones (como la desactivación de Java que comentamos anteriormente).
  • Contar con un antivirus actualizado en los puestos de trabajo, y evitar la instalación de software de dudosa procedencia.
  • Mantener al día todos los productos, instalando los parches de seguridad que liberan los fabricantes.
  • Custodiar adecuadamente los datos sensibles (usuarios, contraseñas, etc) y restringir quién tiene acceso a esta información.
  • Contar con firewalls para bloquear conexiones hacia o desde puertos sospechosos, permitiendo sólo el tráfico que se necesita.
  • Implantar IDS/IPS que analicen en tiempo real el tráfico de red para identificar potenciales ataques y reaccionar (bloqueando la IP origen, por ejemplo, cuando detectan un escaneo de puertos).

Todas las precauciones son pocas. Porque ellos tienen un “0-day exploit”, y no dudarán en usarlo.

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *