Vulnerability Research
  • Jueves 26 de Noviembre de 2020

Vulnerability Research

Antes de arrancar vamos a ir con 2 definiciones que podríamos decir que son de manual pero nos permitirán de acá en adelante saber de qué estamos hablando.

  • Vulnerabilidades: La entendemos como una ausencia de un control o una falla o debilidad en un control.
  • Exploit: Es un software que tiene la capacidad de explotar una Vulnerabilidad. Entendemos que un exploit explota solo una vulnerabilidad.

Entre lo bueno y lo malo

Cada exploit existente o cada app que es utilizada para realizar pruebas de seguridad está disponible para quien la quiera usar. Indiferentemente de si sos un Hacker Chino (y cuando hablamos de hacker lo hacemos de verdad no de gente que usa Kali para lo cual te recomiendo leer   ¿qué es un hacker? ), un empleado de seguridad defensiva, o un ciberdelincuente de la DeepWeb. Lo cual hace que el trabajo, al ser mayormente colaborativo, se vea reflejado para todos los “bandos”.

¿Qué es Vulnerability Research?

Usar una traducción literal acá nos alejaría del significado real. Básicamente Vulnerability Research es la búsqueda (o también llamado investigación) de vulnerabilidades. Estas búsquedas suelen extenderse mucho más allá de lo que nosotros creemos. Se suelen hacer en:

  • Software: Aplicaciones, programas de uso diario, etc.
  • Dispositivos: Celulares, computadores, routers, etc.
  • Procesos: Esto se ve mayormente en empresas, aceptación de pagos, o formas de verificar, etc.
  • Entornos Físicos: Alarmas, cerraduras electrónicas, una puerta que no cierre bien, etc.

Y más allá de estos tipos de vulnerabilidades que debemos investigar existe una forma de clasificarlos y estas formas son:

  • Explotabilidad
  • Impacto

Veremos más adelante en profundidad estos dos tipos. Lo interesante de Vulnerability Research es que más allá de las conocidas que podemos encontrar en los exploit o en las listas, al encontrar nuevas vulnerabilidades marcan hacia donde moverse la industria en el dia a dia.

¿Quienes hacen esto?

Claramente los profesionales no son los únicos que se dedican a esto. Existen muchas personas independientes o entusiastas que se dedican a esto por diversos motivos, los cuales pueden ser, diversión, curiosidad, dinero, autosuperación, etc. Muchas herramientas son libre, gratuitas o estan a disponibilidad de todos. Por ejemplo podemos encontrar:

  • Kali Linux: Una distro basada en Debian que busca posicionarse como la más importante en seguridad, desde mi punto de vista es que su comunidad está llena de gente que se cree hacker por usar nmap o airodump-ng
  • ReadOS: Una distro basada en Arch que contiene todo lo necesario para iniciarnos en el mundo de la seguridad informática

Ciclo de vida de una Vulnerabilidad

Las vulnerabilidades tienen un ciclo de vida definido en cuanto a proceso o método, sin embargo el tiempo en que cada etapa existe es completamente diferente en cada caso y así mismo su resolución final.

  • Aplicación liberada al mercado: Si bien decimos la aplicación puede deberse a un producto (hardware, como los populares intel que les encanta tener vulnerabilidades) y no necesariamente es durante el lanzamiento puede estar relacionado también a una actualización.
  • Descubrimiento de vulnerabilidad: El descubrimiento puede darse por parte de la misma empresa o por un tercero. Si bien muchas veces es público, algunas veces deciden mantener el exploit en privado.
  • Conocimiento del fabricante: En caso de que no lo haya descubierto el mismo fabricante, esta etapa lleva un tiempo adicional que está relacionado a cuánto tarda en enterarse de dicha vulnerabilidad.
  • Liberación de la solución: La solución está desarrollada y liberada
  • Gestión de la actualización: Se gestiona y distribuye la actualización con el parche correspondiente.

Recorda apoyarnos en nuestras redes para poder seguir adelante con todo lo que implica PatoJAD es un proyecto que poco a poco crece e intenta estar al lado de todos de los usuarios dándoles dia a dia herramientas o funcionalidades. Mostranos tu apoyo con pequeños gestos, desactivando el bloqueador de anuncios, apoyándonos en las redes sociales, donando o compartiendo el contenido, esto solo es posible gracias a cada lector y cada persona que demuestra su agradecimiento

Contenido Relacionado

PatoJAD

PatoJAD

Arquitecto de Software

Autor

Sobre mi no hay mucho para decir, me dedico a desarrollar en una empresa de telecomunicaciones, utilizo GNU/Linux desde el 2.012 y hace años que es mi Sistema Operativo main. Soy una persona que busca crecer profesionalmente sin dejar de divertirse y hacer lo que me gusta. Siempre digo que cuando un proyecto sale es importante agradecer, por lo cual les recomiendo a todos leer la seccion Agradecimientos en la cual me tomé un tiempito para poder agradecer a todos y cada uno de los que hicieron posible todo esto.