Hola #hacker, primero vamos a definir qué es un zero-day o vulnerabilidad de día cero, un zero-day sería el tipo de clasificación de una vulnerabilidad nueva según es descubierta, es decir un #hacker haciendo una labor de I+D o simplemente trabajando en su día a día, localiza un agujero de seguridad que no está documentado no aparece en ningún sitio ni tiene asignado ningún CVE, en ese momento ha encontrado un zero-day.
Si ese ha sido o es tu caso, no te pongas nervioso, investiga un poco y asegúrate de que no ha sido reportado y… enhorabuena.
La ética es lo que nos diferencia a los #hackers de los ciberdelincuentes, por lo que, cuando localizas uno, debes informar de ello, primeramente, al desarrollador del software o hardware para que lo solvente, a las autoridades pertinentes, si es algo que pueda afectar a alguna aplicación pública y también a Mitre para que la catalogue, ten en cuenta que es posible que inicialmente no te hagan caso, a veces pasa, insiste y luego ya decide qué hacer.
Nosotros el último que descubrimos tardaron casi 6 meses en concederlo, por lo que no desesperes.
Todo eso lleva su tiempo, y antes de hacer público el exploit o método de explotación de la vulnerabilidad, debemos dar un margen a la empresa que corresponda para que lo solucione, posteriormente podemos hacerlo, o no; no tenemos porqué publicar para todo el mundo como se explota una vulnerabilidad, ya se lo hemos dicho a la empresa para que lo solucione y a Mitre o a quien corresponda, tened en cuenta que, aunque la empresa desarrolle un parche, no todo el mundo se actualiza al instante, por lo que informar sobre cómo se explota una vulnerabilidad ha de hacerse con cabeza y dejando también un margen a las empresas para que se actualicen, no nos convirtamos en ayudantes de los ciberdelincuentes sin quererlo.
Después de ese margen, puede ser conveniente hacerlo para que otros #hackers tomemos nota y aprendamos, así como otras empresas con quizá softwares similares, ya sabes, cuando las barbas de tu vecino veas cortar…
Y, una vez definido qué es un zero-day, ¿cómo nos protegemos de ellos? Pues la verdad es que no es nada fácil, diría que cruzando los dedos, pero no, lo primero es estar informado, existen multitud de #newsletters o canales de alerta que nos indicarán la existencia de los zero-days o vulnerabilidades que vayan apareciendo, ni que decir tiene que debemos tener nuestros sistemas actualizados, siempre con mucho cuidado, no vaya a ser que por aplicar un parche liemos algo más grave, hay que seguir las indicaciones del fabricante y nuestra lógica, después de muchos años, ni se os ocurra hacer actualizaciones un viernes, a no ser que sea muy importante, seguro que más de uno entenderá porqué lo digo.
Obviamente os recomendaré hacer auditorías de #ciberseguridad o #pentesting de vuestras aplicaciones, es a lo que nos dedicamos, no solamente es posible que encontremos alguno, sino que vamos a testear y verificar los últimos que hayan aparecido para que tus sistemas estén protegidos, pero también os diré que el uso de herramientas defensivas y una buena configuración, puede mitigar muchos de esos zero-days, ya sabéis, firewalls, antivirus que analicen el comportamiento de procesos no solo las firmas de los ficheros, segmentación de la red, … y un etcétera que dependerá sobre todo del tamaño de la empresa.
Como veis no hay un antídoto o una varita mágica para protegerse de los zero-days, pero eso no quiere decir que se lo tengamos que poner fácil a los ciberdelincuentes.
Por último, como siempre digo…
#AlwaysLearning
