Cómo medir las vulnerabilidades


Ningún software está libre de fallas o vulnerabilidades de seguridad, es una realidad de la que nadie que administre computadoras se escapa. Recientemente se publicó el documento científico"Beyond Heuristics: Learning to Classify Vulnerabilities and Predict Exploits" en la conferencia KDD 2010 y cuyo autor principal es Mehran Bozorgi. El documento presenta el uso de una técnica de aprendizaje de máquinas llamada Linear SVM para determinar la posibilidad que una vulnerabilidad de seguridad sea implementada (lo que se conoce como crear un exploit). Esta técnica busca ayudar a los administradores de sistemas, quienes tienen que decidir a cuales vulnerabilidades prestarles atención primero debido a la gran cantidad de anuncios que aparecen a diario sobre fallas de seguridad. En los últimos 8 años se han publicado en promedio más de 140 vulnerabilidades por semana. Aun cuando no todas aplican a un sistema informático en particular, el número de publicaciones que debe revisar un administrador de sistema sigue siendo alto debido a la naturaleza heterogénea del sistema (está compuesto de distintos programas, cada uno con sus propias vulnerabilidades).





El documento apunta a una pregunta que ataca a todo profesional de seguridad informática: cuán importante es la experiencia para resolver problemas de seguridad, especialmente en esta área que carece de principios de diseño y modelos matemáticos robustos y que demuestra estar en sus primeras fases de desarrollo? El área de aprendizaje de máquinas por el contrario se basa principalmente en realizar análisis estadístico sobre conjuntos de datos (datasets) que permitan dar respuestas, sin necesidad de depender en la opinión de "expertos" (aunque también existen métodos estadísticos que aprovechan esta información). Los resultados presentados por Bozorgi y sus compañeros son promisorios, comparando su técnica con un método heurístico y popular en la comunidad de seguridad: el métrico CVSS.

En el año 2004, como miembro del equipo de seguridad informática de la Autoridad del Canal de Panama, nos enfrentamos al tema de como manejar la creciente ola de reportes de vulnerabilidades que recibíamos semanalmente. Nuestra solución fue completamente heurística, basándose en un sistema de puntaje similar al CVSS (antes de que ellos hicieran lo mismo :). Aunque no tan elegante como CVSS, nuestra solución era de fácil implementación y uso.

La parte medular del sistema de ACP era el cuestionario utilizado para evaluar cada nueva vulnerabilidad. Por cada respuesta afirmativa, se asignaba un puntaje a la vulnerabilidad. El puntaje oscilaba entre 0 y 10 puntos y dependiendo del puntaje total se clasificaba la vulnerabilidad como critica (7 a 10 puntos), alta (5 a 6), moderada (3 a 4) y baja (0 a 2). Dependiendo de esta clasificación, se determinaba si debíamos informar a los administradores de sistemas o no. He aquí el cuestionario y puntaje por pregunta afirmativa:
Afecta a recursos de alto valor? 1 punto
Afecta la infraestructura de red (ej. conmutadores, murallas de fuego, DNS)? 1 punto
Afecta a un producto ampliamente usado o instalado en la ACP? 1 punto
Afecta instalaciones por defecto de un producto? 1 punto
Existe código disponible públicamente que aproveche la vulnerabilidad o está siendo ejecutada ampliamente en el Internet? (ej. virus) 1 punto
La vulnerabilidad se puede acceder remotamente? 1 punto
La vulnerabilidad se puede acceder sin credenciales? 1 punto
Se han publicado detalles técnicos de la vulnerabilidad? 0.5 punto
El resultado permite acceso administrativo o con privilegios? 1 punto
Se requiere de ingeniería social (ej. visitar un sitio, hacer clic sobre un enlace web) para aprovechar la vulnerabilidad? 0.5 punto
Existen registros de auditoria en la ACP que demuestran intentos o ataques utilizando la vulnerabilidad? 1 punto
Los resultados fueron alentadores. En el 2004, sólo enviamos 5 alertas de 54 vulnerabilidades reportadas en productos Microsoft y utilizados en la ACP. Sin embargo, los valores seleccionados para cada pregunta carecían de base científica y se basan exclusivamente en la opinión consensuada del grupo que desarrolló el documento. Además, el documento de Bozorgi sugiere que se pueden obtener mejores resultados si se utiliza técnicas de análisis estadístico.

El área de aprendizaje de máquinas sugiere implícitamente que una persona nunca puede vencer al mundo, en términos del conocimiento que cada uno puede aportar. En otras palabras, no importa cuan inteligente sea un ser humano para resolver un problema, el mundo real puede darnos una mejor solución. En el caso de las vulnerabilidades, las soluciones humanas son la de la ACP y CVSS, mientras que la solución basada en Linear SVM es la del mundo real. La razón por la que esta última es la del mundo real es que utiliza el registro de las características de cada vulnerabilidad reportada desde el anyo 2001 (un largo periodo) y realiza un análisis estadístico sobre este registro. O sea, toma una postura imparcial sobre los datos que se le presentan, a diferencia de la tabla de la ACP en donde a priori se le da mayor peso a cierto tipo de información (por ejemplo, la pregunta 1 tiene mayor valor que la pregunta 8).

La primera columna indica el número de días (t) utilizados para determinar la factibilidad de que una vulnerabilidad sea explotada/implementada luego de t días. La segunda y tercera columna indican el número de casos positivos (|P|) y casos negativos (|P|) utilizados para entrenar el modelo. La cuarta y quinta columna indican los resultados de utilizar el método heurístico CVSS y de Linear SVM respectivamente, para determinar la factibilidad de implementación de la vulnerabilidad. Como puede observarse en cada renglón, los valores de la quinta columna son superiores a los de la cuarta.

Les recomiendo leer el documento de Bozorgi ya que es un excelente documento para aprender más de la técnica propuesta y también un buen ejemplo sobre como presentar resultados en una publicación científica. Al leerlo, uno puede determinar que la técnica propuesta posee limitaciones. Para comenzar, la técnica sólo busca determinar cuan rápido será implementada una vulnerabilidad. Mientras tanto, los métodos de ACP y CVSS buscan determinar cuan peligrosa es una vulnerabilidad (lo que no solo depende de si la vulnerabilidad ha sido implementada o no). Adicionalmente, en el sitio web del proyecto no está disponible (al momento de escribir este artículo) el dataset utilizado para calcular los valores presentados en el documento. Esto impide que uno mismo puede validar los resultados. Al final, los autores del documento sugieren que se utilicen técnicas estadísticas como complemento a las técnicas heurísticas. Esto será más viable a medida que continua nuestra uso y dependencia en sistemas informáticos, lo que generará más y mejores grupos de datos para ser analizados con técnicas como Linear SVM.

Enlaces:
Beyond Heuristics: Learning to Classify Vulnerabilities and Predict Exploits
http://www.sysnet.ucsd.edu/projects/exploit-learn/kdd2010.pdf

KDD 2010
http://www.kdd2010.com

Aprendizaje de Máquinas
http://es.wikipedia.org/wiki/Aprendizaje_automático

CVSS
http://www.first.org/cvss/

Sysnet
http://www.sysnet.ucsd.edu/projects/exploit-learn/

 

Enlace del artículo
Seguridad + Investigación
http://iobses.blogspot.com/



Otras noticias de interés:

BYOD, trae nuevos retos a la seguridad corporativa
Fortinet presenta los resultados de un estudio llevado a cabo para tratar a fondo el fenómeno del BYOD - Bring Your Own Device (trae tu propio dispositivo) - y sus implicaciones en la seguridad corporativa. Entre las principales conclusiones destaca...
Sellado y Registro Digital: SerialStamper
La protección frente a uso indebido, competencia desleal, plagio o usurpación de autoría. Profesionales, comunidades de creativos, editoriales, publicaciones oficiales, universidades, portales, sistemas de gestión de propiedad intelectual, guione...
Ejecución de código arbitrario en Microsoft Word 2002 y Word 2003
Se ha encontrado una vulnerabilidad en Microsoft Word que puede ser aprovechada por atacantes para comprometer el sistema....
Es sencillo hackear los pasaportes biométricos
Expertos holandeses en seguridad informática han demostrado lo fácil que es robar la información biométrica de los nuevos pasaportes, que incluso pueden ser leídos con dispositivos inalámbricos a 10 ...
Ya se puede ejecutar Flash en el iPad con Frash
Los hackers se acaban de colar en la guerra abierta entre Apple y Adobe. Concretamente, de la forma más dolorosa para Steve Jobs: haciendo funcionar Flash en un iPad. Se ha logrado a través una aplicación llamada Frash que requiere jailbreak, aunq...
Geinimi - troyano para Android con capacidad para recibir órdenes
Recientemente se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con ciertas características similares a las encontradas en el malware asociado a botnets....
Cuánto cuesta el robo de datos?
En 2010 los programas maliciosos para robar datos incrementaron más de un 100%, crear un emporio del cibercrimen sólo sale por 6.000 dólares. Kaspersky Lab ha analizado el funcionamiento de la oferta y la demanda de los datos en el mercado negro, ...
Falso parche de Microsoft enlaza a un troyano
El Internet Storm Center del SANS Institute, reportó la aparición en las últimas horas, de numerosas muestras de un correo electrónico que parece ser enviado activamente en forma de spam....
Las redes sociales también necesitan seguridad
Los entornos sociales virtuales vivirán un auge espectacular de aquí a diez años y las organizaciones deben implantar ya medidas antispam para protegerlos....
Sabes porque Perdimos en el Referendum del 15/08?
Perdimos... pero no perdimos en las urnas electorales sino por haber puesto nuestra esperanza en manos de los Adecos y de los dinosaurios de la izquierda venezolana ......

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • medir
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra