Embedded Files
INB COMPUTERS "Honestidad, calidad y profesionalismo"
POST ED: 28 octubre, 2020. ACTUALIZADO EN: 3 noviembre, 2024.
¿Que es un ataque Zero Day o Día Cero?
¿Que es un ataque Zero Day o Día Cero?
Según la Oficina de Seguridad del Internauta OSI una vulnerabilidad de Día Cero o Zero Day nos comenta que "cuando el fabricante o desarrollador de una aplicación o servicio web descubre un fallo de seguridad en su sistema, rápidamente aplica una actualización o parche para solventarlo. Pero ¿qué ocurre si es el ciberdelincuente el que descubre la vulnerabilidad antes que el desarrollador y se aprovecha de ella sin que éste o los usuarios seamos conscientes? Esto es lo que se conoce como una vulnerabilidad Zero Day"
Oficina de Seguridad del Internauta OSI (28 de agosto de 2020). ¿Qué es una vulnerabilidad Zero Day. Recuperado el 02 de septiembre de 2020 de https://www.osi.es/es/actualidad/blog/2020/08/28/que-es-una-vulnerabilidad-zero-day
Oficina de Seguridad del Internauta OSI (28 de agosto de 2020). ¿Qué es una vulnerabilidad Zero Day [Archivo de imagen]. Recuperado el 02 de septiembre de 2020 de https://www.osi.es/es/actualidad/blog/2020/08/28/que-es-una-vulnerabilidad-zero-day
¿Cómo descubren los atacantes estas vulnerabilidades?
¿Cómo descubren los atacantes estas vulnerabilidades?
Los ciberdelincuentes invierten una gran cantidad de tiempo en la búsqueda de nuevas formas con las que llevar a cabo sus ataques, por ejemplo, tratando de identificar durante horas posibles fallos en el código de algún software, servicio o página web. Sin embargo, la estructura interna de una página web o una aplicación es muy compleja, y encontrar puntos débiles en su código es una tarea increíblemente compleja para una persona.
¿Cómo nos afecta a los usuarios?
¿Cómo nos afecta a los usuarios?
Desde que el atacante descubre la vulnerabilidad, hasta que el fabricante lanza una actualización con la que resolverla, el ciberdelincuente ha tenido tiempo para comprometer la seguridad del sistema e instalar malware, robar datos o modificar el comportamiento de la aplicación o servicio.
Algunos ejemplos de malware utilizados en ataques de día cero son: ransomware, keyloggers, adware o spyware, entre otros. En el caso de robo de datos, la prioridad del atacante es obtener el mayor número de credenciales de acceso, correos electrónicos e información personal posible.
Oficina de Seguridad del Internauta OSI (28 de agosto de 2020). ¿Qué es una vulnerabilidad Zero Day [Archivo de imagen]. Recuperado el 02 de septiembre de 2020 de https://www.osi.es/es/actualidad/blog/2020/08/28/que-es-una-vulnerabilidad-zero-day
¿Cómo podemos protegernos?
¿Cómo podemos protegernos?
Cuando se trata de vulnerabilidades, la medida más importante que debemos seguir para proteger nuestra seguridad y privacidad es la de mantener activadas todas las herramientas de protección de las que dispongamos. Un antivirus instalado y actualizado puede suponer la diferencia entre un dispositivo infectado y una amenaza contenida.
Además, otra medida fundamental es la de mantener actualizado todo el software que utilicemos. Las actualizaciones no son un capricho del desarrollador, sino parches de seguridad que solucionan errores, cierran brechas y vulnerabilidades que han sido descubiertas, como es el caso de las de día cero.
Fuentes de información
Fuentes de información
Oficina de Seguridad del Internauta OSI (28 de agosto de 2020). ¿Qué es una vulnerabilidad Zero Day. Recuperado el 02 de septiembre de 2020 de https://www.osi.es/es/actualidad/blog/2020/08/28/que-es-una-vulnerabilidad-zero-day
Más información
Más información
PROGRAMAS BUG BOUNTY y
PROGRAMAS BUG BOUNTY y
PROOF OF CONCEPT (PoC)
PROOF OF CONCEPT (PoC)
¿Que son los programas Bug Bounting?
¿Que son los programas Bug Bounting?
Un bug bounty es una recompensa monetaria que se da a los hackers éticos o investigadores de seguridad obtienen por descubrir e informar con éxito de una vulnerabilidad o bug al desarrollador de la aplicación. Los programas de recompensas por fallos permiten a las empresas aprovechar la comunidad de hackers éticos e investigadores de seguridad para mejorar continuamente la seguridad de sus sistemas. Las recompensas por fallos pueden complementar los controles de seguridad existentes al exponer vulnerabilidades que los escáneres automáticos pasan por alto, e incentivar a los investigadores de seguridad a emular lo que un posible malhechor intentaría explotar.
Yadmani, S. The, R. Gadyatskaya, O. (15 oct, 2022). How security professionals are being attacked: A study of malicious CVE proof of concept exploits in GitHub [Imagen]. arXiv:2210.08374v1. https://arxiv.org/pdf/2210.08374v1
¿Que son las PoCs?
¿Que son las PoCs?
Las pruebas de concepto (PoC) de exploits para vulnerabilidades conocidas son ampliamente compartidos en la comunidad de seguridad. Ayudan a los analistas de seguridad a aprender de entre sí y facilitan las evaluaciones de seguridad y las tareas de red teaming. En En los últimos años, las pruebas de concepto se han distribuido ampliamente, por ejemplo, a través de sitios web y plataformas, y también a través de repositorios de código público como GitHub. Sin embargo, los repositorios de código público no ofrecen ninguna garantía de que La PoC proviene de una fuente confiable, o incluso que simplemente hace exactamente lo que Se supone que lo hace.
Más información en el artículo
- Yadmani, S. The, R. Gadyatskaya, O. (15 oct, 2022). How security professionals are being attacked: A study of malicious CVE proof of concept exploits in GitHub. arXiv:2210.08374v1. https://arxiv.org/pdf/2210.08374v1
Yadmani, S. The, R. Gadyatskaya, O. (15 oct, 2022). How security professionals are being attacked: A study of malicious CVE proof of concept exploits in GitHub. arXiv:2210.08374v1. https://arxiv.org/pdf/2210.08374v1
Zerodium
Zerodium
De vez en cuando los ciber investigadores encuentran alguna vulnerabilidad que no ha sido descubierta a eso se le llama Cero Day, ellos pueden venderlas a páginas como Zerodium para monetizar su investigación y seguir generando más investigaciones posteriormente.
Zerodium paga GRANDES recompensas a los investigadores de seguridad para que adquieran sus investigaciones de día cero o zero day originales y no comunicadas previamente. Mientras que la mayoría de los programas de bug bounty existentes aceptan casi cualquier tipo de vulnerabilidades y PoCs pero pagan muy poco, en Zerodium se centra en vulnerabilidades de alto riesgo con exploits completamente funcionales.
Zerodium Exploit Acquisition Program https://zerodium.com/program.html
Zerodium paga hasta up to $2,500,000 per submission.
Proceso de envío
Proceso de envío
Zerodium revisa y valida todos los envíos en una semana o menos. Los pagos se realizan en uno o varios plazos mediante transferencia bancaria o criptomonedas (por ejemplo, Bitcoin, Monero, Zcash). El primer pago se envía en una semana o menos.
0day Today
0day Today
WEB: https://0day.today/
0day Today es la mejor base de datos de exploits y vulnerabilidades y un gran recurso para investigadores de vulnerabilidades y profesionales de la seguridad. El objetivo de 0day Today es recopilar exploits de envíos y varias listas de correo y concentrarlos en una base de datos de fácil navegación. 0day Today se ha escrito únicamente con fines educativos. Utilícelo bajo su propia responsabilidad. El autor de 0day Today no se hace responsable de ningún daño ni Profesor Iván Anguiano.
Hackerone
Hackerone
BUG PROGRAMS: https://hackerone.com/bug-bounty-programs/
Los programas de recompensas por fallos ofrecen recompensas monetarias a los hackers éticos que descubren e informan de una vulnerabilidad o fallo al desarrollador de la aplicación. Estos programas permiten a las empresas aprovechar la comunidad de hackers para mejorar la seguridad de sus sistemas con el paso del tiempo. Si está interesado en obtener más información sobre la creación de un programa de recompensas por fallos para su organización, consulte la página del producto HackerOne Bounty.
Microsoft Bug Bounty Program
Microsoft Bug Bounty Program
WEB: https://www.microsoft.com/en-us/msrc/bounty
Microsoft cree firmemente que una estrecha colaboración con la comunidad mundial de investigadores de seguridad hace que los clientes estén más seguros. Los investigadores de seguridad desempeñan un papel integral en el ecosistema descubriendo vulnerabilidades que no se detectan en el proceso de desarrollo de software y compartiéndolas en el marco de la divulgación coordinada de vulnerabilidades (CVD). Cada año colaboramos para proteger mejor a miles de millones de clientes en todo el mundo.
Apple Security Bounty
Apple Security Bounty
Apple Security Bounty: https://security.apple.com/bounty/
Si envía una investigación sobre una vulnerabilidad de seguridad o privacidad, su informe puede optar a una recompensa. El programa Security Bounty de Apple está diseñado para reconocer tu trabajo para ayudarnos a proteger la seguridad y la privacidad de nuestros usuarios.
Bugcrowd Managed Bug Bounty
Bugcrowd Managed Bug Bounty
Google Bug Hunters
Google Bug Hunters
Google Bug Hunters: https://bughunters.google.com/
Informar sobre vulnerabilidades de seguridad: https://bughunters.google.com/report
Reglas del programa: https://bughunters.google.com/about/rules/6744710187712512
Contenidos de aprendizaje: https://bughunters.google.com/learn
HackerOne Bounty
HackerOne Bounty
Open Bug Bounty
Open Bug Bounty
YesWeHack Bug Bounty
YesWeHack Bug Bounty
Page updated
Report abuse