Această valoare mare pentru criminali este cea care îmi rămâne cu adevărat în mintea acestei afaceri false de cercetători în securitate, deoarece acestea cercetătorii de securitate auto-numiți nu urmează niciun cod de etică profesional, spre deosebire de cei adevărați, care sunt întotdeauna conștienți de consecințele acțiunile lor.
Consecințele aruncării unei bombe zero-day pe internet sunt simple și imediate: băieții răi încep să exploateze acea vulnerabilitate în câteva ore, deoarece primul care lovește este cel mai probabil să culeagă cele mai mari recompense în ceea ce privește resursele compromise sau datele furate.
Consecințele aruncării unei bombe zero-day pe internet sunt simple și imediate
Nu chiar atât de imediat, dar adesea în câteva zile, diverse instrumente de atac devin disponibile gratuit (există puține onoare printre hoții cibernetici și se piratează reciproc kiturile de atac ale celorlalți) și vor fi actualizate pentru a include cele mai recente zero-day exploatează.
Toate acestea înseamnă că clienții nevinovați sunt expuși riscului, în timp ce cealaltă victimă în toate acestea – vânzătorul al cărui codul este compromis – este forțat pe piciorul din spate în timp ce încearcă cu disperare să repare gaura și să distribuie plasture.
Dacă securitatea a fost cu adevărat motivația cercetării care a descoperit ziua zero în primul rând, cu siguranță obișnuită sensul ar dicta ca tu să faci totul pentru a ajuta vânzătorul să pună lucrurile în ordine pe primul loc, fără a pune pe utilizatori nevinovați risc?
Îmi pot imagina furia neprihănită care va fi aruncată în direcția mea de unii dintre acești „cercetători de securitate” citind asta, cine va argumenta că ori de câte ori predați astfel de informații vânzătorilor, aceștia stau pe ele și nu fac nimic timp de săptămâni, uneori luni.
Această mentalitate, adesea expusă de bucuria cu care oamenii menționati distribuie detalii despre exploatările care au impact asupra Produsele și serviciile Microsoft, pare a fi unul dintre vânzător ca răufăcător, cercetător de securitate ca supererou.
Dar această viziune asupra lumii este pur și simplu simplistă. Cu câteva excepții triste și notabile de-a lungul anilor, majoritatea vânzătorilor iau notificarea despre zilele zero extrem de în serios. Departe de a nu face nimic, toți, cu excepția celor mai reținți anal dintre ei, vor trece în acțiune și vor dezvolta patch-uri pentru a remedia problema. Având în vedere informațiile corecte, acest lucru poate dura remarcabil de puțin timp.
Timpii de testare
Din păcate, nu același lucru se poate spune despre procesul de testare și aici se află adevărata problemă a ignoranței și a vinei greșite. Cu cât vânzătorul este mai mare, cu atât este mai probabil să fie perceput ca ignorând cercetătorii informatori și informațiile pe care le-au oferit și, prin urmare, cu atât trebuie să fie mai rău.
Am fost vinovat că am ajuns la astfel de concluzii, dar adevărul este că cu cât este mai mare furnizorul, cu atât are mai mulți utilizatori și cu atât mai mult. va fi nevoie pentru a testa remedierea și pentru a vă asigura că nu întrerupe funcționalitatea produsului în toate milioanele de sisteme pe care se află instalat.
Aceasta nu ar trebui să fie o problemă pentru un cercetător de securitate cu adevărat profesionist, deoarece detaliile acelei zile zero nu ar trebui să fie cunoscut de oricine, altul decât ei înșiși și furnizorul, deoarece vulnerabilitatea nu a fost iresponsabilă și prematură dezvăluite.
Acestea fiind spuse, trebuie aplicat un anumit grad de urgență atunci când se descoperă o zi zero, pentru că va fi doar o chestiune de timp până când un cercetător auto-proclamat în securitate de asemenea, îl va descoperi și va sări cu foame la potențialul său de câștig de lauda din grupul de colegi, sau, mai rău, va fi descoperit de o bandă criminală, care cu siguranță nu va spune nimănui despre.
