INSTITUTO TECNOLOGICO SUPERIOR DE LA SIERRA NEGRA DE AJALPAN

ALUMNA CASTRO HERNANDEZ ELIZABETH

CARRERA ING EN SISTEMAS COMPUTACIONALES

CATEDRATICO MARCO ANTONIO ISIDRO ABRIL

MATERIA SISTEMAS OPERATIVOS

3ER SEMESTRE

DEFINICION DE LOGS
Un log es un registro de actividad de un sistema, que generalmente se guarda en un fichero de texto, al que se le van aadiendo lneas a medida que se realizan acciones sobre el sistema. Se utiliza en muchos casos distintos, para guardar informacin sobre la actividad de sistemas variados. Tal vez su uso ms inmediato a nuestras actividades como desarrolladores del web sera el log de accesos al servidor web, que analizado da informacin del trfico de nuestro sitio. Cualquier servidor web dispone de un log con los accesos, pero adems, suelen disponer de otros log, por ejemplo, de errores. Los sistemas operativos tambin suelen trabajar con logs, por ejemplo para guardar incidencias, errores, accesos de usuarios, etc. A travs de los log se puede encontrar informacin para detectar posibles problemas en caso de que no funcione algn sistema como debiera o se haya producido una incidencia de seguridad Familiarizndonos con los logs de Linux

Linux tiene un sistema muy simple para el manejo de eventos del sistema, o mejor conocidos como logs, con ver los logs nos es posible saber una increble cantidad de informacin, quien se logueo al sistema, quien hiso peticiones a un servidor de apache, que eventos han sucedido en el sistema, entre otros tantos, es por eso la importancia de saber dnde buscar la informacin, y como encontrar.

Los logs de Linux se encuentran en /var/logs/ la forma ms viable para verlos es con tail y su flag -f (para ver en tiempo real lo que se va escribiendo en los logs) si usamos F (mayscula) nos mostrara todo el contenido del archivo, y aparte nos mostrara lo que se va escribiendo segundo a segundo, es quizs mas viable que un simple cat, lo que en archivos grandes se puede volver una pesadilla. Por lo mismo contamos con otro comando, grep, con el cual podemos buscar cadenas de texto dentro de un log, de hecho es muy completo y nos permite usar comodines y varias opciones ms. Entre los logs ms comunes y que es ms comn encontrar en un sistema con Linux estn:

auth.log Informacin sobre autentificaciones y logueos boot.log Informacion del boot crond Tareas programadas (cron) daemon.log Alertas especificas de algunos demonios dmesg Mensajes del kernel errors.log . el nombre lo dice everything.log .. httpd si tenemos un servidor de apache aqu se registran los eventos, en sistemas deban tiene otro nombre mail.log Logs del servidor del correo, tambien puede variar, si usamos exim sera exim_main.log etc. messages.log Alertas generales del sistema mysqld.log Registro de eventos de mysql secure Log de seguridad syslog.log Recursividad RlZ un log del sistema de registro de eventos vsftpd.log El log del servidor FTP (vsfp) Xorg.0.log El log de las X

Ahora bien, si quisiramos ver cuando se a conectado el usuario pepito al servidor podramos poner Sudo cat /var/log/secure |grep pepito Es bastante ambiguo, pero podriamos ver los eventos involucrados con pepito

Test de Penetracin
Test de Penetracin Tambin llamado a veces hacking tico es una evaluacin activa de las medidas de seguridad de la informacin. En los entornos de red complejos actuales, la exposicin potencial al riesgo es cada vez mayor y securizar los sistemas se convierten en un autntico reto. A travs del Test de Penetracin es posible detectar el nivel de Seguridad Interna y Externa de los Sistemas de Informacin de la empresa, determinando el grado de acceso que tendra un atacante con intenciones maliciosas. Adems, el servicio chequea las vulnerabilidades que pueden ser vistas y explotadas por individuos no autorizados, crackers, agentes de informacin, ladrones, antiguos empleados, competidores, etc. Los servicios de Test de Penetracin permiten:

Evaluar vulnerabilidades por medio de la identificacin de debilidades de configuracin que puedan ser explotadas. Analizar y categorizar las debilidades explotables basadas en el impacto potencial y posibilidad de ocurrencia. Proveer recomendaciones prioritizadas para mitigar y eliminar las debilidades.

El Test de Penetracin est dirigido a la bsqueda de agujeros de seguridad de forma focalizada en uno o varios recursos crticos, como puede ser el firewall o el servidor Web. Este ser el espacio de recopilacin de todos los Post relacionados con los entornos, retos, pruebas, wargames, CTF y documentacin de la temtica Test de Penetracin. La finalidad ser desarrollar los objetivos propuestos por los desarrolladores de las pruebas

BackTrack Es una distribucin GNU/Linux en formato LiveCD pensada y diseada para la auditora de seguridad y relacionada con la seguridad informtica en general.

Vulnerabilidades
Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar informacin, de los agujeros ms famosos est el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rpidamente. Cmo evitarlas? Es imposible evitar las vulnerabilidades al 100% incluso cuando tenemos operando en nuestro sistema cortafuegos, antispam, antivirus, y detectores de cdigo maligno. Lo que s es posible es tratar de evitarlas al mximo posible. Tengamos presente que las comunicaciones en la red constan de 7 capas segn el modelo OSI, y las vulnerabilidades pueden estar presentes en varias capas, o incluso dentro del ncleo de nuestro sistema operativo. No debemos imaginar que con un buen antivirus podemos estar libres de vulnerabilidades, ya que las vulnerabilidades no son solo mediante virus que estn radicando en nuestra computadora sino que tambin pueden llegar a ser mediante ejecucin de cdigo mientras visitemos alguna pgina web, o cuando el atacante tiene privilegios de acceso a nivel administrativo a nuestra computadora As que se debe tener presente que para evitar las vulnerabilidades no solamente basta con tener un antivirus y ejecutarlo de manera peridica Lista de recomendaciones para tener nuestra computadora libre de virus: -Actualice o cheque las actualizaciones cada cierto tiempo, pues eso permite casi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad. 2- Activar Firewall. 3- Programar escaneos completos del Antivirus mensuales. 4No caer en trampas obvias como correos spam dicindote que ganaste la lotera en un pas que ni siquiera conoces 5- Si vas a descargar msica, libros, programas ejecutables, etc. procura hacerlo solo de fuentes confiables 6- Vacunar unidades externas. (Genaro aportation)

Para la mayora de los usuarios de internet estas simples recomendaciones sern suficientes y tiles. Como las explotan? Aunque no siempre hay una regla general para explotar vulnerabilidades de los sistemas podemos describir a grandes rasgos una serie de pasos para llegar a tal cometido: Paso 1 conocer la existencia de la vulnerabilidad Paso 2 documentarse sobre las caractersticas de la vulnerabilidad Paso 3 conocer las caractersticas del sistema que se va a explotar Paso 4 conseguir acceso a ese sistema con los privilegios suficientes una vez conseguido el acceso al sistema en cuestin, se es libre de hacer lo que se quiera hacer, es como estar operando frente al computador vctima.

Qu consecuencias traen? Simplifican un ataque, permitiendo a los crackers obtener ms permisos en el equipo vctima y poder usarlo al libre albedro, o el sistema puede ejecutar automticamente cdigos maliciosos, abrir puertos, o en algunos casos es el almacenamiento incorrecto de datos privados, como contraseas. Un ejemplo es el Remote File Inclusion hola

Vulnerabilidades en MySQL El sbado 9 de Junio Sergei Golubchik, coordinador de seguridad de MariaDB publicaba un post en la lista OSS-SEC sobre una grave vulnerabilidad que afectaba a diferentes versiones de MySQL y MariaDB. Se evidencia la posibilidad de autenticarse como usuario con mximos privilegios (root) nicamente realizando conexiones simultneas, con CUALQUIER contrasea introducida como parmetro y contra un servidor vulnerable. Al cabo de un nmero indeterminado de intentos fallidos, el servidor aceptar la conexin y se realizar la autenticacin de forma satisfactoria. Sin ms. Sin shellcodes raras, sin casusticas extraas: nicamente tenemos que tener delante un servidor vulnerable, que cumpla con las siguientes versiones:

Son vulnerables todas las versiones de MariaDB y MySQL hasta la 5.1.61, 5.2.11, 5.3.5 y 5.5.22 NO SON vulnerables las versiones de MySQL 5.1.63, 5.5.24 y 5.6.6 NO SON vulnerables las versiones de MariaDB 5.1.62, 5.2.12, 5.3.6 y 5.5.23 Con la siguiente lnea en Shell script, teniendo instalada una base de datos vulnerable en el sistema local, y contando con el cliente 'mysql', se podra realizar una autenticacin como usuario root sin conocer la contrasea: For i in `seq 1 1000`; do mysql -u root --password=blablabla -h 127.0.0.1 2>/dev/null; done Bsicamente, se ejecutar la sentencia de autenticacin mediante cliente por consola (comandomysql) como usuario root (-u root) y cualquier contrasea (-password=blablabla) contra el servidor vulnerable presente en el mismo sistema donde se ejecuta este script (-h 127.0.0.1), sin mostrar ningn mensaje de error por pantalla (2>/dev/null). Vamos a ver el ejemplo real. Las siguientes pruebas se han realizado sobre una Fedora Core 16, con MySQL versin 5.5.21:

En primer lugar, y para este ejemplo, cambiaremos la contrasea original de MySQL para el usuario root, que antes la tenamos establecida a 'password', para que ahora sea 'SuperPassWordDeLaMuerte':

Seguidamente, salimos de la sesin de root, y nos quedamos como usuario sin privilegios, y ejecutamos la secuencia anterior, que realizar conexiones como usuario root y cualquier contrasea, programando un total de 1000 intentos. A continuacin se ejecutar la consola de mysql satisfactoriamente:

Comprobamos el usuario con el que estamos autenticados mediante la sentencia select current_user (), obteniendo como resultado 'root@localhost'

Obviamente, este "ataque" ya se encuentra integrado como exploit de Metasploit Framework, permitiendo adems el volcado de hashes de todos los usuarios, todo ello con el mdulo mysql_authbypass_hashdump:

Bakdrop
Una puerta trasera (o en ingls backdoor), en un sistema informtico es una secuencia especial dentro del cdigo de programacin, mediante la cual se pueden evitar los sistemas de seguridad del algoritmo (autentificacin) para acceder al sistema. Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseadas con la intencin de tener una entrada secreta. Puertas traseras ms conocidas Los ms conocidos son Back Orifice y NetBus, dos de los primeros backdoors, que hasta nuestros das siguen vigentes aunque en menor cantidad dado que la mayora de los programas antivirus los detectan. Otro muy conocido es

el SubSeven, que tambin fue introducido en millones de ordenadores en el mundo.

Una puerta trasera en un ordenador del sistema (o criptosistema o algoritmo ) es un mtodo para evitar la normal de autenticacin , garantizar el acceso remoto a un ordenador, la obtencin de acceso a texto plano , y as sucesivamente, mientras intenta pasar desapercibido. La puerta trasera puede tomar la forma de un programa instalado (por ejemplo, Back Orifice ) o puede subvertir el sistema a travs de un rootkit . Descripcin La amenaza de las puertas traseras a la superficie cuando los sistemas operativos multiusuario y en red lleg a ser ampliamente adoptada. Petersen y Giro discutido subversin equipo en un artculo publicado en las actas de la Conferencia de 1967 AFIPS. [ 1 ] Se observ una clase de ataques de infiltracin activos que utilizan "trampilla" puntos de entrada al sistema para eludir las instalaciones de seguridad y permitir el acceso directo a los datos . El uso de la palabra trampillaaqu coincide claramente con definiciones ms recientes de una puerta trasera. Sin embargo, desde la llegada de la criptografa de clave pblica del trmino trampilla ha adquirido un significado diferente . En trminos ms generales, tales infracciones de seguridad fueron discutidas en detalle en una RAND Corporationinforme del equipo especial publicado bajo ARPA patrocinio por parte de JP Anderson y Edwards DJ en 1970. Una puerta trasera en un sistema de inicio de sesin puede tomar la forma de un duro cdigo de usuario y una contrasea que le da acceso al sistema. Un ejemplo famoso de este tipo de puerta trasera se utiliza como un recurso argumental en los 1983 pelcula Juegos de guerra , en la que el arquitecto de la " WOPR sistema "equipo haba insertado una contrasea codificada (el nombre de su hijo muerto), que dio el acceso de los usuarios al sistema , ya partes indocumentados del sistema (en particular, un video juego como el modo de simulacin e interaccin directa con la inteligencia artificial ). Un backdoor, traducido al espaol, es un troyano de puerta trasera. Es un tipo especfico de troyano que funciona como cuando en las pelculas ponen un chicle (goma de mascar) en la cerradura de la puerta: la deja abierta. Cuando un backdoor se instala en una computadora, lo primero que hace es modificar el sistema de manera de estar siempre activo (como un proceso, servicio, etc.), y tras eso, deja abierto un puerto de comunicacin.

El backdoor suele tener, como contrapartida, un programa adicional, en posesin del creador del malware, con el que es posible conectarse a dicho puerto de comunicacin, y de esa manera, enviar instrucciones al equipo infectado. Los backdoor estn normalmente preparados para recibir ciertas instrucciones particulares, y dependiendo de ellas, ejecutar distintos tipos de acciones, por ejemplo: Ejecutar otras aplicaciones Enviar archivos al autor Modificar parmetros de configuracin del sistema Instalar otras aplicaciones y/o malware

Algunos de los backdoors ms conocidos fueron el BackOriffice, Netbus y Subseven, y de este tipo de malware es de los que descienden los actuales troyanos bots, si tenemos que encontrar alguna evolucin.

ESCUCHA DE PUERTOS

Dentro de las tcnicas del hacking, una de las ms utilizadas es el Escaneo de Puertos, o Escucha de Puertos. Qu es el Escaneo de Puertos? Consiste en el envo de una serie de seales denominadas paquetes, que llegan a la mquina atacada, y esta responde reenviando otra determinada cantidad de paquetes, que el escaneador decodificara y traducir. Dicha informacin consta esencialmente del nmero IP de la mquina atacada y datos sobre el o los puertos que se encuentran en ese momento abiertos.

Cabe aclarar que con solo dos datos de esa informacin (nmero IP y un puerto abierto vulnerable), es ms que suficiente para realizar un ataque, o intentar tomar el control del ordenador. Muchos programas escaneadores de puertos permiten realizar escaneos masivos por internet, encontrando aquellas mquinas vulnerables. Incluso dentro de Windows encontramos una herramienta utilizada en redes llamada Telnet, que permite realizar un escaneo de puertos bajo DOS. De todas maneras esta herramienta no es muy potente para los hackers, y tambin puede dar errores en sus resultados (por ejemplo, una falta de respuesta de un determinado puerto, lo interpreta como "puerto cerrado", lo cual no necesariamente es cierto). Si queremos evitar cualquier tipo de intrusin a nuestro ordenador mediante el escaneo de puertos, la mejor opcin ser utilizar un buen Firewall (o Cortafuego), el cual se encarg de bloquear el envo continuo de paquetes que realizan los escaneadores. Windows cuenta con firewalls desde Windows XP SP2 en adelante. Direcciones IP y puertos de escucha Idiomas disponibles: en | es | fr | ja | ko Cuando Apache se inicia, comienza a esperar peticiones entrantes en determinados puertos y direcciones de la mquina en la que se est ejecutando. Sin embargo, si quiere que Apache escuche solamente en determinados puertos especficos, o solamente en determinadas direcciones, o en una combinacin de ambos, debe especificarlo adecuadamente. Esto puede adems combinarlo con la posibilidad de usar hosts virtuales, funcionalidad con la que un servidor Apache puede responder a peticiones en diferentes direcciones IP, diferentes nombres de hosts y diferentes puertos. La directiva Listen le indica al servidor que acepte peticiones entrantes solamente en los puertos y en las combinaciones de puertos y direcciones que se especifiquen. Si solo se especifica un nmero de puerto en la directiva Listen el servidor escuchar en ese puerto, en todas las interfaces de red de la mquina. Si se especifica una direccin IP y un puerto, el servidor escuchar solamente en la interfaz de red a la que pertenezca esa direccin IP y solamente en el puerto indicado. Se pueden usar varias directivas Listen para especificar varias direcciones IP y puertos de escucha. El servidor responder a las peticiones de todas las direcciones y puertos que se incluyan.

Por ejemplo, para hacer que el servidor acepte conexiones tanto en el puerto 80 como en el puerto 8000, puede usar: Listen 80

Listen 8000 Para hacer que el servidor acepte conexiones en dos interfaces de red y puertos especficos, use Listen 192.170.2.1:80

Listen 192.170.2.5:8000 Las direcciones IPv6 deben escribirse entre corchetes, como en el siguiente ejemplo: Listen [2001:db8::a00:20ff:fea7:ccea]:80

Consideraciones especiales para IPv6 Cada vez ms plataformas implementan IPv6, y APR soporta IPv6 en la mayor parte de esas plataformas, permitiendo que Apache use sockets IPv6 y pueda tratar las peticiones que se envan con IPv6. Un factor de complejidad para los administradores de Apache es si un socket IPv6 puede tratar tanto conexiones IPv4 como IPv6. Para tratar conexiones IPv4 con sockets IPv6 se utiliza un traductor de direcciones IPv4-IPv6, cuyo uso est permitido por defecto en la mayor parte de las plataformas, pero que est desactivado por defecto en FreeBSD, NetBSD, y OpenBSD para cumplir con la poltica system-wide en esas palaformas. Pero incluso en los sistemas en los que no est permitido su uso por defecto, un parmetro especial de configure puede modificar ese comportamiento. Si quiere que Apache trate conexiones IPv4 y IPv6 con un mnimo de sockets, lo que requiere traducir direcciones IPv4 a IPv6, especifique la opcin de configure -enable-v4-mapped y use directivas Listen genricas de la siguiente forma: Listen 80 Con --enable-v4-mapped, las directivas Listen en el fichero de configuracin por defecto creado por Apache usarn ese formato. --enable-v4-mapped es el valor

por defecto en todas las plataformas excepto en FreeBSD, NetBSD, y OpenBSD, de modo que esa es probablemente la manera en que su servidor Apache fue construido. Si quiere que Apache solo procese conexiones IPv4, sin tener en cuenta cul es su plataforma o qu soporta APR, especifique una direccin IPv4 en todas las directivas Listen, como en estos ejemplos: Listen Listen 192.170.2.1:80 0.0.0.0:80

Si quiere que Apache procese conexiones IPv4 y IPv6 en sockets diferentes (es decir, deshabilitar la conversin de direcciones IPv4 a IPv6), especifique la opcin de configure --disable-v4-mapped y use directivas Listen especficas como en el siguiente ejemplo: Listen Listen 0.0.0.0:80 [::]:80

Con --disable-v4-mapped, las directivas Listen en el fichero de configuracin que Apache crea por defecto usarn ese formato. --disable-v4-mapped se usa por defecto en FreeBSD, NetBSD, y OpenBSD. Cmo funciona este mecanismo en hosts virtuales Listen no implementa hosts virtuales. Solo le dice al servidor principal en qu direcciones y puertos tiene que escuchar. Si no se usan directivas <VirtualHost>, el servidor se comporta de la misma manera con todas las peticiones que se acepten. Sin embargo,<VirtualHost> puede usarse para especificar un comportamiento diferente en una o varias direcciones y puertos. Para implementar un host virtual, hay que indicarle primero al servidor que escuche en aquellas direcciones y puertos a usar. Entonces se debe crear un una seccin <VirtualHost> en una direccin y puerto especficos para determinar el comportamiento de ese host virtual. Tenga en cuenta que si se especifica en una seccin <VirtualHost> una direccin y puerto en los que el servidor no est escuchando, ese host virtual no podr ser accedido.

Cookies
Dnde se guardan? La tabla siguiente muestra dnde guardan las cookies los navegadores de Firefox e Internet Explorer.

Firefox

En un nico fichero, de nombre cookies.txt (Windows) o cookies (Unix), en la carpeta del perfil Firefox del usuario. Para Windows XP, por ejemplo, esta carpeta est en C:\Documents and Settings\[usuario]\Datos de programa\Mozilla\Firefox\Profiles. Un slo fichero almacena todas lascookies del usuario. Nota: normalmente, la carpeta Datos de programa no se muestra, porque Windows XP est configurado por defecto para no mostrar archivos y carpetas ocultos. Depende del sistema operativo Windows. Para el Windows XP, normalmente se encontrarn en una carpeta Cookies, dentro de la carpeta de configuracin local del usuario (C:\Documents and Settings\[usuario]\Cookies). En esta carpeta, existe un fichero de extensin .txt para cada cookie. Su nombre tiene la forma[usuario]@[dominio.txt], donde dominio es la direccin de la mquina o bien el directorio (si es que no es el raz) desde donde se envi la cookie.

Internet Explorer

Debido a que las cookies se almacenan en memoria hasta que se cierra el navegador, (momento en que se escriben en el fichero), no es posible ver qu cookies se han aceptado durante la sesin en curso hasta que se sale (salvo que se utilice alguna extensin del Firefox para mostrarlas). Sin embargo, escribiendo el siguiente comando en la barra de direcciones: JavaScript: alert(document.cookie);

aparecer un cuadro con informacin sobre las cookies que se estn utilizando en ese instante. Esto no funciona con Microsoft Internet Explorer. Qu guardan las cookies?

Cada galleta representa una pequea porcin de informacin que se aade al fichero de cookies con el siguiente formato: Set-Cookie: [nombre]=[valor]; domain=[dominio]; secure nombre valor expires=[fecha]; path=[camino];

Nombre del dato almacenado. Valor del dato almacenado.

expires = Parmetro opcional que indica el tiempo que se fechaCaducidad conservar la galleta. Si no se especifica, la cookie se destruye cuando el usuario sale de la sesin en curso. dominio El navegador devolver la cookie a todo host que encaje con el nombre de dominio parcial. Si no se especifica ningn dominio, entonces el navegador slo la devolver a la mquina que la origin. Adems, este atributo viene acompaado de un flag que indica si todas las mquinas dentro del dominio especificado pueden acceder a la variable. El navegador contrasta este atributo con la URL antes de devolver la cookie. Slo es devuelta cuando se abren documentos de URLs que contengan el valor de este atributo en el path. Este atributo indica que la galleta slo ser transmitida a travs de un canal seguro con SSL.

camino

secure

Cmo desactivarlas? Con las opciones que proporciona el Firefox, se puede navegar sin aceptar cookies, o con un aviso cada vez que un servidor intenta enviar una. Sin embargo, una solucin ms interesante es aquella que permita tenerlas en memoria mientras dure la sesin, sin que se almacenen despues en el fichero de cookies. Todo esto se puede configurar fcilmente en la pestaa de Cookies del men Privacy. Desde esta pestaa tambin podremos ver las cookies almacenadas y borrar las que no queramos mantener en nuestro sistema.

Cmo utilizarlas con JavaScript? Puede ver un ejemplo de un sencillo programa JavaScript que permite crear, almacenar y borrar una cookieen nuestra seccin de Cookies de la seccin de scripts y cdigo de ejemplo para JavaScript.

cmo borrar la memoria cach y cookies del navegador

Qu es la memoria cach? Archivos de imgenes, texto o sonido de websites que has visitado en Internet. Qu es un cookie? Un archivo que almacena contenido especfico mientras visitas un sitio web. Por qu borrar la memoria cach y cookies? La memoria cach y cookies pasadas pueden interferir con los nuevos cdigos de la pgina.

ZERO-DAY ATAQUE.
Un da cero (o cero horas o da cero ) ataque o amenaza es un ataque que explota una desconocida vulnerabilidad en una aplicacin informtica , lo que significa que el ataque se produce en el "da cero" de la conciencia de la vulnerabilidad. Este significa que los desarrolladores han tenido cero das para tratar y arreglar la vulnerabilidad. Da cero exploits (programas informticos real que utiliza un agujero de seguridad para llevar a cabo un ataque ) se utilizan o compartidos por los atacantes antes de que el desarrollador del software de destino sabe acerca de la vulnerabilidad.

Vulnerabilidad y ventana
De da cero ataques ocurren durante la ventana de vulnerabilidad que existe en el tiempo entre el momento de una vulnerabilidad explotada por primera vez y cuando los desarrolladores de software comienzan a desarrollar y publicar un contador a esa amenaza. Para los virus , troyanos y otros ataques de da cero, la ventana de vulnerabilidad sigue esta lnea de tiempo: El desarrollador crea software que contiene una vulnerabilidad desconocida El atacante descubre la vulnerabilidad antes de que el desarrollador hace

El atacante escribe y distribuye un exploit mientras que la vulnerabilidad no se sabe que el programador El desarrollador se da cuenta de la vulnerabilidad y comienza a desarrollar una solucin.

La medicin de la longitud de la ventana de vulnerabilidad puede ser difcil, ya que los atacantes no anuncian cuando la vulnerabilidad fue descubierta por primera vez. Los desarrolladores no lo desea, puede distribuir los datos por razones comerciales o de seguridad. Los desarrolladores tambin pueden no saber si la vulnerabilidad se est explotando cuando lo arreglan, por lo que no puede registrar la vulnerabilidad como un ataque de da cero. Segn una estimacin, "los hackers explotan las vulnerabilidades de seguridad en el software durante 10 meses en promedio antes de los detalles de la superficie de los agujeros en pblico", es decir, la ventana de vulnerabilidad promedio de un exploit de da cero es de aproximadamente 10 meses. Sin embargo, puede ser fcilmente demostrado que esta ventana puede ser de varios aos de largo. Por ejemplo, en 2008 Microsoft confirma una vulnerabilidad en Internet Explorer , que afect a algunas versiones que se publicaron en 2001. La fecha en que se encontr la primera vulnerabilidad un atacante no se conoce, sin embargo, la ventana de vulnerabilidad en este caso podra haber sido hasta 7 aos