0day exploits

En estos últimos tiempos están muy de moda los «0day exploits», esto es, exploits existentes y en uso, para los cuales aun no ha sido publicada la vulnerabilidad y por supuesto no existe parche al respecto.

Un administrador de sistemas puede pensar que las vulnerabilidades de seguridad siguen el siguiente patrón:

Un grupo de hackers descubren una vulnerabilidad
(pasan días)
El fabricante proporciona el parche de seguridad
(pasan meses)
El administrador de sistemas parchea sus servidores
(pasan meses)
Aparece el exploit y es explotado por gusanos y hackers
(pasan meses)
El administrador *que no ha parcheado* sufre una intrusión
y tiene un incidente de seguridad

Cuando en realidad, la secuencia que se sigue estos días con este tipo de exploits es la siguiente:

Aparece el exploit y es explotado por gusanos y hackers
(pasan días)
El administrador sufre una intrusión y tiene un incidente de seguridad

Así pues, no queda mas remedio que prepararse para el incidente, y para la segunda de las posibilidades en el ciclo de vida de las vulnerabilidades. Y en todo caso, tener presente que cualquier software de los que tenemos instalados en estos momentos puede ser vulnerable. La conclusión es que hay que tener siempre el menor número de servicios y servidores expuestos, de modo que la definición de «RED DMZ» sea la de «red en la que se ubican servidores que en algun momento van a ser hackeados«.

No por nada, la siguiente frase contradictoria tiene mucho sentido «Expect the unexpected!«.