Obrázok 1 z 2
Menej ako 1 % exploitov, ktoré Microsoft odhalil v prvej polovici minulého roka, sa týkalo takzvaných zero-day zraniteľností – tých, ktoré boli predtým neznáme. Toto číslo vyvoláva otázku: ak je veľká väčšina skutočných exploitov „známymi hrozbami“, prečo sú nula dní také cenné, že splodili skrytý priemysel výskumníkov na lov odmien?
Väčšine ľudí vyhovuje myšlienka najať si penetračných testerov, aby urobili diery v podnikovej sieti, upozornili na nedostatky a v konečnom dôsledku posilnili túto obranu. Aplikujte však rovnaký princíp na softvérovú bezpečnosť a vrhnite ho na voľný trh a táto komfortná zóna je dobre a skutočne narušená.
Otázky a odpovede: Vnútorný príbeh
Etický hacker nám rozpráva o živote lovca odmien
Toto je šedý trh s bezpečnostnými technológiami, kde softvéroví giganti platia obrovské sumy jednotlivcom, aby našli diery v ich produktoch skôr, ako ich môžu zneužiť tí zlí. Nie každý v odvetví IT bezpečnosti je spokojný s týmto prístupom „lovca odmien“ k odstraňovaniu chýb a téma nultých dní sa stáva čoraz kontroverznejším vďaka ich použitiu v štátom sponzorovaných kyberzbraniach ako napr. Stuxnet. V tejto funkcii preskúmame tento prekvitajúci trh a vypočujeme si obe strany argumentu.
Rovnica 1 %.
Ak, ako naznačuje výskum spoločnosti Microsoft, 99 % exploitov je proti známym zraniteľnostiam, ktoré zostávajú neopravené buď dodávateľom alebo používateľom, tak prečo je taký rozruch okolo zvyšného 1 %?
Pravdepodobnosť, že sa stretnete s nultým dňom ako individuálny podnikový používateľ, je v neposlednom rade dosť nízka pretože doba použiteľnosti takéhoto útoku je obmedzená na krátke obdobie medzi spustením, detekciou a záplatovanie. Užitočnosť nultého dňa existuje len dovtedy, kým nie je k dispozícii tento patch, čo znamená, že majú tendenciu byť vyhradené pre útoky na vysokoprofilové a vysokohodnotné ciele. Stuxnet napríklad využíval štyri nultého dňa a bol použitý ako štátom sponzorovaný útok proti inému národnému štátu.
Ako hovorí Sean Sutton, riaditeľ Deloitte Cyber Threat & Vulnerability Management Services: „Toto by naznačovalo, že je pravdepodobnejšie, že vás zasiahne nultý deň, ak pracovať v organizácii, ktorá by mohla byť zameraná na tento typ vysokoúrovňových útočníkov – napríklad ak pracujete v obrannom priemysle alebo sa zaoberáte priemyselnými tajomstvá.”
Poskytuje tiež odpoveď na otázku týkajúcu sa hodnoty: nula dní je hodnotných, pretože sú v tak obmedzenom množstve a vo všeobecnosti sa dajú použiť iba raz, kým nebudú ohrozené. Ak chcete pri prvom spustení stlačiť spúšť, musíte zaplatiť aktuálnu sadzbu na tmavom trhu.
Temný trh nultého dňa
Tento temný trh pre nula dní nielenže existuje, je na vzostupe. Vyšetrovanie magazínu Forbes začiatkom tohto roka zostavilo cenník pre zero-day exploity na základe predajcu/cieľového produktu; pohybovala sa od približne 1 000 £ do viac ako 100 000 £. Ceny vyžadovali exkluzívny predaj (hodnota nultého dňa sa po distribúcii exploitu okamžite a fatálne rozriedi) a prísľub, že predajca nebol informovaný. Niektoré boli predané s rozloženými platbami, pričom zostatok bol splatný len vtedy, keď predajca ešte nevydal opravu.
Bezpečnostná výzva Google Pwnium začiatkom tohto roka ponúkla odmeny vo výške 1 milión dolárov pre ľudí, ktorí hacknú prehliadač Chrome
To isté vyšetrovanie hovorilo aj s maklérom zero-day exploit, ktorý pôsobil ako sprostredkovateľ pre bezpečnostných výskumníkov, ktorí odhaľujú tieto exploity a „vládni hackeri“, ktorí ich kupujú bez akýchkoľvek otázok za veľké peniaze – až 250 000 dolárov v jednom prípade. Zdá sa, že štátom podporovaný hacking má hlboko do vrecka.
Čo však odvrátená strana mince, keď bezpečnostní výskumníci predávajú svoje objavy predajcom, ktorých softvér je náchylný na útoky? Sam Stepanyan, hlavný bezpečnostný konzultant spoločnosti Integralis, hovorí, že predajcovia ako Google stanovujú limit na odmenu, ktorú sú ochotní zaplatiť. V prípade programu Google „Elite“ je to čudné číslo 3 133,7 USD – čudné, teda kým si neuvedomíte, že v reči hackerov je to „elita“.
Bezpečnostná výzva Google Pwnium zo začiatku tohto roka však ponúkla ľuďom odmeny vo výške 1 milión dolárov hacknutie prehliadača Chrome a jediní dvaja účastníci si za svoje zero-day exploity vybrali 60 000 dolárov.
Ide o to, že väčšina predajcov zaplatí za informácie potrebné na to, aby mohli zabezpečiť svoje produkty skôr, ako bude možné zneužiť príslušnú zraniteľnosť. Jedinou premennou je, koľko sú ochotní minúť.
