Imaginea 1 din 2
Mai puțin de 1% dintre exploit-urile detectate de Microsoft în prima jumătate a anului trecut au fost împotriva așa-numitelor vulnerabilități zero-day – cele care erau necunoscute anterior. Această cifră ridică o întrebare: dacă marea majoritate a exploatărilor din lumea reală sunt „amenințări cunoscute”, ce face zero zile atât de valoroase încât au dat naștere unei industrii ascunse de cercetători de vânătoare de recompense?
Majoritatea oamenilor se simt confortabil cu ideea de a angaja testeri de penetrare care să facă găuri în rețeaua corporativă, să evidențieze deficiențele și, în cele din urmă, să întărească aceste apărări. Cu toate acestea, aplicați același principiu securității software și aruncați-l pe piața liberă, iar acea zonă de confort este încălcată cu adevărat.
Întrebări și răspunsuri: Povestea interioară
Un hacker etic ne vorbește despre viața unui vânător de recompense
Aceasta este piața gri a tehnologiei de securitate, unde giganții software plătesc sume uriașe indivizilor pentru a găsi găuri în produsele lor înainte ca băieții răi să le poată exploata. Nu toată lumea din industria securității IT este mulțumită de această abordare a „vânătorului de recompense” pentru eliminarea erorilor și subiectul de zero zile devine din ce în ce mai controversată datorită utilizării lor în armele cibernetice sponsorizate de stat, cum ar fi Stuxnet. În această funcție, explorăm această piață în plină expansiune și auzim ambele părți ale argumentului.
Ecuația de 1%.
Dacă, după cum sugerează cercetările Microsoft, 99% dintre exploatări sunt împotriva vulnerabilităților cunoscute care rămân necorecte de către furnizor sau utilizator, atunci de ce există toată agitația legată de celălalt 1%?
Probabilitatea de a întâlni o zi zero ca utilizator individual de afaceri este destul de scăzută, nu în ultimul rând deoarece durata de valabilitate a unui astfel de atac este limitată la perioada scurtă dintre lansare, detectare și petice. Utilitatea unei zile zero există doar până când acel patch este disponibil, ceea ce înseamnă că acestea tind să fie rezervate pentru atacuri împotriva țintelor de mare profil și de mare valoare. Stuxnet, de exemplu, a folosit patru exploit-uri zero-day și a fost folosit ca un atac sponsorizat de stat împotriva unui alt stat național.
După cum spune Sean Sutton, directorul Deloitte Cyber Threat & Vulnerability Management Services: „Acest lucru ar sugera că este mai probabil să fii lovit de o zi zero dacă Lucrați la o organizație care ar putea fi vizată de acest tip de atacator de nivel înalt – de exemplu, dacă lucrați în industria de apărare sau aveți de-a face cu industria industrială secrete.”
De asemenea, oferă răspunsul la întrebarea valorii: zero zile sunt valoroase pentru că sunt într-o aprovizionare atât de limitată și, în general, pot fi folosite o singură dată înainte de a fi compromise. Dacă doriți să apăsați declanșatorul la acea lansare inițială, trebuie să plătiți rata curentă pe piața întunecată.
Piața întunecată cu zi zero
Această piață întunecată pentru zero zile nu doar există, ci este în plină expansiune. O investigație a revistei Forbes la începutul acestui an a creat o listă de prețuri pentru exploit-urile zero-day bazată pe furnizorul/produsul vizat; a variat de la aproximativ 1.000 de lire sterline la peste 100.000 de lire sterline. Prețurile au necesitat o vânzare exclusivă (valoarea unei zile zero este imediat și fatal diluată odată ce exploit-ul este distribuit) și o promisiune că vânzătorul nu a fost anunțat. Unele au fost vândute cu plăți eșalonate, soldul fiind plătit doar în timp ce vânzătorul încă nu a lansat un patch.
Provocarea de securitate Google Pwnium de la începutul acestui an a oferit recompense de un milion de dolari pentru persoanele care au piratat browserul Chrome
Aceeași investigație a vorbit și cu un broker de exploatare zero-day, care acționează ca intermediar pentru cercetătorii de securitate care descoperă aceste exploatări și „hackerii guvernamentali” care le cumpără, fără întrebări, pentru bani mari – până la 250.000 de dolari într-un caz. Se pare că hackingul sponsorizat de stat are buzunare adânci.
Cu toate acestea, ce zici de reversul monedei, în care cercetătorii de securitate își vând descoperirile vânzătorilor al căror software este vulnerabil la atac? Sam Stepanyan, consultant senior de securitate la Integralis, spune că furnizori precum Google au stabilit o limită pentru recompensa pe care sunt pregătiți să o plătească. În cazul programului Google „Elite”, este o cifră ciudată de 3.133,7 USD – ciudat, adică până când îți dai seama că scrie „elite” în vorbirea hackerilor.
Cu toate acestea, provocarea de securitate Google Pwnium de la începutul acestui an a oferit 1 milion de dolari în recompense pentru oameni piratarea browserului Chrome, iar singurii doi participanți au câștigat fiecare 60.000 USD pentru exploit-urile lor zero-day.
Ideea este că majoritatea vânzătorilor vor plăti pentru informațiile necesare pentru a le permite să-și securizeze produsele înainte ca vulnerabilitatea în cauză să poată fi exploatată. Singura variabilă este cât sunt dispuși să cheltuiască.
