Video: Calling All Cars: The 25th Stamp / The Incorrigible Youth / The Big Shot (Septembra 2024)
Každý druhý utorok v mesiaci „Patch Tuesday“ (Microsoft Patch Tuesday) spoločnosť Microsoft vytláča opravy chýb a bezpečnostných medzier v systéme Windows av aplikáciách spoločnosti Microsoft. Problémy sa väčšinou zaoberajú závažnými bezpečnostnými dierami, chybami pri programovaní, ktoré môžu hackerom umožniť preniknúť do siete, ukradnúť informácie alebo spustiť ľubovoľný kód. Spoločnosti Adobe, Oracle a ďalší predajcovia majú svoje vlastné plány opráv. Alarmujúca nová štúdia spoločnosti NSS Labs naznačuje, že hackeri majú v priemere približne päť mesiacov neobmedzeného prístupu k týmto bezpečnostným medzerám medzi počiatočným objavom a nápravou. Horšie je, že existujú špecializované trhy na predaj novoobjavených zraniteľností.
Stefan Frei, riaditeľ pre výskum v laboratóriách NSS, dohliadal na štúdiu, ktorá prenášala údaje z viac ako desiatich rokov z dvoch hlavných programov na nákup zraniteľností. V správe Frei sa uvádza, že všetky výsledné údaje sú minimá; Očividne sa toho deje omnoho viac, o ktorých jednoducho nevedia. Na základe toho, čo vedia, sa trh s informáciami o zneužívaní v posledných rokoch výrazne zvýšil. Pred desiatimi rokmi mali obe skúmané spoločnosti v ktorýkoľvek deň iba hŕstku nezverejnených zraniteľností. Za posledných niekoľko rokov sa ich počet zvýšil na viac ako 150, z čoho viac ako 50 sa týka piatich najväčších dodávateľov: Microsoft, Apple, Oracle, Sun a Adobe.
Využíva na predaj, lacný
Stuxnet a ďalšie útoky na úrovni štátu sa spoliehajú na viac nezverejnených bezpečnostných dier, aby prenikli do bezpečnosti. Predpokladá sa, že ich tvorcovia platia obrovské dividendy, aby získali exkluzívny prístup k týmto zraniteľnostiam v nultom dni. V roku 2013 NSA vyčlenil 25 miliónov dolárov na nákup na využitie. Štúdia Frei odhalila, že ceny sú teraz oveľa nižšie; stále vysoký, ale v dosahu kybernetických zločineckých organizácií.
Frei cituje článok v New York Times, ktorý skúmal štyroch poskytovateľov butikového vykorisťovania. Ich priemerná cena za poznanie doteraz nezverejnenej zraniteľnosti sa pohybovala v rozmedzí od 40 000 do 160 000 $. Na základe informácií získaných od týchto poskytovateľov vyvodzuje záver, že môžu dodávať najmenej 100 exkluzívnych využití ročne.
Predajcovia bojujú
Niektorí dodávatelia softvéru ponúkajú odmenu za chyby a vytvárajú tak nejaký druh výskumného programu získaného z viacerých zdrojov. Výskumník, ktorý objaví predtým neznámu bezpečnostnú dieru, môže získať legitímnu odmenu priamo od dodávateľa. To je určite bezpečnejšie ako zaobchádzať s počítačovými podvodníkmi alebo s tými, ktorí predávajú počítačovým podvodníkom.
Typické odmeny za chyby sa pohybujú od stoviek do tisícov dolárov. Microsoft "Mitigation Bypass Bounty" vypláca 100 000 dolárov, ale nejde o jednoduchú odmenu za chybu. Aby si to vedecký pracovník zaslúžil, musí objaviť „skutočne novú techniku vykorisťovania“, ktorá môže vyvrátiť najnovšiu verziu systému Windows.
Boli ste hackovaní
Odplaty za chyby sú pekné, ale vždy budú existovať tí, ktorí idú za väčšiu odmenu, ktorú poskytujú poskytovatelia butikov a kybernetickí zločinci. V správe sa dospelo k záveru, že každý podnik alebo veľká organizácia by mala predpokladať, že jeho sieť už bola napadnutá. Blokovanie alebo dokonca odhalenie nultého dňa je ťažké, takže bezpečnostný tím by mal naplánovať najhoršie s dobre definovaným plánom reakcie na incidenty.
A čo malé obchodné a osobné siete? Správa o nich nehovorí, predpokladal by som však, že niekto, kto zaplatil za prístup k zneužitiu 40 000 dolárov alebo viac, by sa zameral na čo najväčší možný cieľ.
Celú správu si môžete prečítať na webových stránkach laboratórií NSS.
