viernes, 9 de mayo de 2008

¿Qué significan 0-day, zero day o día cero? (Lección 16)

Esta no era la siguiente lección que pensaba publicar, pero al final del post explicaré el por qué lo estoy haciendo :) (*)

El término día cero (que en inglés sería zero day o se designa a veces como 0-day) se puede aplicar al momento en que cualquier cosa se hace disponible. Si algo ya se conoce, no está en su día cero.

En cuanto a seguridad informática, se habla de vulnerabilidades 0-day, cuando se hace referencia a todos aquellas que previamente no son conocidas (siquiera por el fabricante del software, en teoría) y para las cuales no existe un parche, actualización o solucione que permita cerrar el agujero de seguridad.

De vez en cuando se encuentran exploits que aprovechan estas vulnerabilidades 0-day, lo cual las hace técnicamente más peligrosas, dado que no existe una solución para evitarlos.

Si hablamos de malware, aquel de día cero es específicamente cualquier nuevo malware para el cual aún no existen firmas específicas que sean capaces de detectarlo, y los cuales solamente pueden llegar a ser detectados a través de otros tipos de técnicas no reactivas.

En ambos casos, el concepto es simple: el día cero es aquel en el que la amenaza informática es conocida y a partir del momento en el que se puede actuar para detenerla. Si la amenaza no era conocida, ya que era de día cero, no puede haber una solución específica contra la misma.

“is”

(*) En un evento en el que me tocó estar como panelista, escuché de uno de los conferencistas, si se le puede llamar así, la frase “las firmas de antivirus son la mejor y única solución contra el malware 0-day”, diciendo que cualquier metodo, directamente, "no sirve". Esto es una falacia total dado que entre que dicho malware aparece (momento 0) hasta que la firma sea creada y liberada pasa un tiempo X durante el cual existe una ventana de vulnerabilidad a la que todos nosotros podemos ser susceptibles.

Si hay algo importante en la seguridad informática es evitar el alarmismo y la falacia para vender productos, sino intentar educar lo mejor posible a las personas para que comprendan el alcance el problema y así puedan elegir la solución que más les conviene. Si la comunidad de expertos en el tema no explica las cosas correctamente, o si no es tan “experto” cómo dice serlo, vamos a tener más problemas en lugar de trabajar en evitarlos. “Por lo menos así, lo veo yo”, parafraseando a G. Nimo.

No hay comentarios: