Video: Микко Хайппонен: Агентство национальной безопасности предаёт мировое доверие. Время действовать! (Listopad 2024)
Každý druhý úterý v měsíci, „Patch Tuesday“, Microsoft vysílá záplaty na chyby a bezpečnostní díry ve Windows a v aplikacích Microsoft. Většinou se jedná o vážné bezpečnostní díry, chyby v programování, které mohou hackerům umožnit proniknout do zabezpečení sítě, ukrást informace nebo spustit libovolný kód. Adobe, Oracle a další prodejci mají své vlastní plány oprav. Alarmující nová studie NSS Labs naznačuje, že hackeři mají v průměru asi pět měsíců neomezeného přístupu k těmto bezpečnostním otvorům mezi počátečním objevem a nápravou. Horší je, že existují specializovaná tržiště pro prodej nově objevených zranitelných míst.
Dr. Stefan Frei, ředitel výzkumu NSS Labs, dohlížel na studii, která přenášela přes deset let data ze dvou hlavních „programů nákupu zranitelných míst“. Freiova zpráva poukazuje na to, že všechny výsledné hodnoty jsou minimální; zjevně se toho děje mnohem víc, o kterých prostě nevědí. Na základě toho, co vědí, se trh s informacemi o vykořisťování v posledních několika letech výrazně rozrostl. Před deseti lety měly tyto dvě studované společnosti v daný den jen hrst nezveřejněných zranitelností. V posledních několika letech se tento počet rozrostl na více než 150, z nichž více než 50 se týká pěti největších dodavatelů: Microsoft, Apple, Oracle, Sun a Adobe.
Využívá k prodeji, levné
Stuxnet a další útoky na úrovni státu se spoléhají na několik nezveřejněných bezpečnostních děr, aby pronikly bezpečností. Předpokládá se, že jejich tvůrci vyplácejí obrovské dividendy, aby získali exkluzivní přístup k těmto zranitelnostem v nulové době. V roce 2013 NSA vyčlenila 25 milionů dolarů na nákup zneužití. Freiova studie odhalila, že ceny jsou nyní mnohem nižší; stále vysoká, ale v dosahu kybernetických zločineckých organizací.
Frei cituje článek v New York Times, který zkoumal čtyři poskytovatele butikového využití. Jejich průměrná cena za znalost dosud neznámé zranitelnosti se pohybovala v rozmezí 40 000 až 160 000 USD. Na základě informací získaných od těchto poskytovatelů dochází k závěru, že mohou ročně přinést nejméně 100 exkluzivních využití.
Prodejci bojují zpět
Někteří dodavatelé softwaru nabízejí odměny za chyby a vytvářejí určitý druh výzkumného programu získaného z různých zdrojů. Vědec, který odhalí dříve neznámou bezpečnostní díru, může získat legitimní odměnu přímo od prodejce. To je jistě bezpečnější než jednání s kybernetickými podvodníky nebo s těmi, kteří prodávají kybernetickým podvodníkům.
Typické odměny za chyby se pohybují od stovek do tisíců dolarů. Microsoft "Mitigation Bypass Bounty" vyplácí 100 000 $, ale nejedná se o jednoduchou odměnu za chybu. Aby si to vědec vydělal, musí objevit „skutečně novou techniku vykořisťování“, která může vyvrátit nejnovější verzi systému Windows.
Byl jste hacknut
Odměny za chyby jsou pěkné, ale vždy budou existovat ti, kteří jdou za větší odměnu, kterou nabízejí poskytovatelé butiků a kybernetičtí zločinci. Zpráva dospěla k závěru, že jakýkoli podnik nebo velká organizace by měla předpokládat, že její síť již byla napadena. Blokování nebo dokonce odhalení nultého útoku je obtížné, takže bezpečnostní tým by měl naplánovat nejhorší pomocí dobře definovaného plánu reakce na incidenty.
A co malé obchodní a osobní sítě? Zpráva o nich nemluví, ale předpokládal bych, že někdo, kdo za přístup k zneužití zaplatil 40 000 nebo více dolarů, by ji namířil na co největší cíl.
Úplnou zprávu si můžete přečíst na webu NSS Labs.
