Llegar a la raíz: cómo identifican los investigadores …


La investigadora de Google Task Zero, Maddie Stone, explica la importancia de identificar las fallas explotadas en la naturaleza y las técnicas utilizadas para hacerlo.

Cuando se explota una vulnerabilidad de día cero en la naturaleza, es esencial identificar el mistake en la raíz del ataque. Este «análisis de la causa raíz» informa a los investigadores cómo se desarrolló un ataque.

«Nos preocupamos mucho por hacer que sea más difícil para las personas explotar a los usuarios usando días cero», dijo Maddie Stone, investigadora de Google Challenge Zero, en una presentación de Black Hat sobre el tema. «Cuando se detectan exploits de día cero en la naturaleza, ese es el caso de falla para estos atacantes. Por lo tanto, debemos aprender tanto como sea posible cada vez que eso suceda».

La mayor parte del tiempo, cuando la industria de la seguridad se entera de un exploit de día cero en una publicación de site o un aviso, a menudo hay información sobre la carga útil del malware o el grupo de ataque detrás de él, pero poco sobre el «meollo del asunto» de cómo los intrusos obtuvieron el acceso inicial para lanzar su ataque.

El objetivo de un análisis de la causa raíz se lower a descubrir cuál es esa vulnerabilidad, con tanta profundidad que los investigadores puedan desencadenarla, explicó Stone. Esto demuestra que comprenden todos los detalles, no solo el resumen normal, así como la metodología de explotación de los atacantes. Esta información puede ayudar a determinar qué acciones deben tomarse a continuación para evitar que se explote nuevamente, como mejoras estructurales, análisis de variantes y nuevos métodos de detección.

Durante los últimos 12 meses, Task Zero ha analizado 11 vulnerabilidades de día cero explotadas en la naturaleza. Los investigadores utilizaron cinco técnicas diferentes para identificar su causa raíz, subrayando un punto que Stone enfatizó en su charla: el proceso para analizar una vulnerabilidad puede variar cada vez.

«Hay muchas formas diferentes de aplicar ingeniería inversa a una vulnerabilidad», explicó, y estas pueden variar según la información disponible y el objetivo que se explote. Los investigadores de seguridad suelen hablar de los procesos como un monolito en realidad, hay mucha creatividad involucrada y caminos que pueden tomar para aumentar la probabilidad de éxito utilizando menos recursos.

Ella dividió las técnicas en cuatro categorías. Se puede revertir el código de explotación si un investigador tiene la muestra de explotación. La diferencia de parches de código fuente se puede utilizar si tienen acceso al código fuente de un objetivo por ejemplo, si alguien está investigando en Android, Chrome o Firefox, o si tiene acceso privilegiado como proveedor o socio. La diferenciación de parches binarios implica comparar dos versiones binarias del mismo código uno que se sabe que es vulnerable y otro que contiene un parche. La «búsqueda de errores basada en los detalles del exploit» es posible con consejos sobre una vulnerabilidad sin parchear.

La técnica que utiliza un investigador depende en gran medida de su función. Comprender no solo cuál es la técnica, sino cómo se hace, puede variar de un día cero a otro.

«Su función influye en los datos a los que tiene acceso y cuánto está dispuesto a invertir para llegar a la vulnerabilidad que causa la raíz», explicó Stone.

Una persona que descubrió el exploit, por ejemplo, puede que no decida hacer un análisis de la causa raíz porque su objetivo principal es solucionarlo. Si esperan en la presentación de informes hasta lograr el análisis de la causa raíz, prolongan la cantidad de tiempo que una vulnerabilidad no se repara. En estos casos, a menudo tienen acceso a un exploit, pero no necesariamente al código fuente o la experiencia del proveedor.

Los vendedores son otra historia. Si un investigador trabaja para un proveedor, es possible que tenga acceso a más detalles, ya sean los expertos que escribieron el código que se está explotando o el código fuente en sí y / o el exploit. En estos casos, dijo Stone, deberían completar el análisis de la causa raíz.

Luego están los usuarios e investigadores de terceros, que ven que algo fue explotado en la naturaleza a través de una publicación de website o un aviso y probablemente tengan la menor cantidad de información. Deberán decidir cuánto tiempo y energía quieren invertir en el proyecto.

Job Zero ha estado en cada una de estas posiciones, señaló. «A veces descubrimos (la vulnerabilidad), a veces los proveedores piden asociarse con nosotros para obtener experiencia (y) ayudar a descubrir la causa raíz y la mayoría de las veces somos investigadores externos que intentamos profundizar y aprender tanto como nosotros lata.»

Presentación de Stone (diapositivas disponibles) detallaron siete estudios de casos en una variedad de plataformas, incluidas Windows, iOS, WhatsApp, Firefox y Android. Estos casos revelaron similitudes y diferencias en las técnicas de ingeniería inversa entre los objetivos. Algunos tuvieron éxito, otros no, una conclusión que enfatizó a su audiencia de profesionales de seguridad.

«No todos los esfuerzos tienen éxito», dijo, pero «cada vez que no llegamos al objetivo closing o no logramos identificar la causa raíz, tenemos mucho que aprender de lo que podemos aplicar, si logramos son deliberados, al siguiente conjunto para aumentar la probabilidad de éxito «.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente digital de este año, que tendrá lugar ahora, y obtenga más información sobre el evento en el sitio world-wide-web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Kelly Sheridan es la editora de individual de Darkish Examining, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia primary