Ορισμένες άσχημες αλήθειες για την εκμετάλλευση μηδενικών ημερών
Εάν έχετε διαβάσει ποτέ σχετικά με την ασφάλεια στον κυβερνοχώρο, ο όρος "μηδενική ημέρα" πιθανότατα θα έρθει μια φορά σε λίγο για να περιγράψει τα τρωτά σημεία που έχουν εκμεταλλευτεί οι χάκερ. Θα βρείτε επίσης γρήγορα ότι αυτές τείνουν να είναι οι πιο θανατηφόρες. Αυτό που είναι και πώς λειτουργούν έχουν ήδη συζητηθεί συνοπτικά από τον συνάδελφό μου Simon Batt.
Αλλά καθώς πλησιάζετε στο θέμα, θα ανακαλύψετε μερικά πράγματα που ίσως ίσως να μην γνωρίζετε καθώς ξεκινάτε να σκέφτεστε δύο φορές για όλα όσα τρέχετε στις συσκευές σας (κάτι που δεν είναι απαραίτητα κακό). Οι μελέτες σχετικά με την ασφάλεια στον κυβερνοχώρο, όπως η έρευνα αυτή από τους ανθρώπους της RAND Corporation (ομάδα σκέψεων των ΗΠΑ για τις Ένοπλες Δυνάμεις), αποδεικνύουν ότι οι εκμεταλλεύσεις με μηδενική μέρα έχουν πολλούς τρόπους να μας δείξουν πόσο εύθραυστος είναι ο ψηφιακός μας κόσμος.
Οι μηδενικές εκμεταλλεύσεις δεν είναι τόσο δύσκολες
Η μελέτη RAND επιβεβαιώνει ότι πολλοί προγραμματιστές που έχουν πειραματιστεί σε πειραματική πειρατεία έχουν υποψιαστεί: δεν χρειάζεται πολύς χρόνος για να αναπτυχθεί ένα εργαλείο που απλοποιεί τη διαδικασία εκμετάλλευσης μιας ευπάθειας μόλις βρεθεί. Αναφερόμενος απευθείας στη μελέτη,
Μόλις βρεθεί μια εκμεταλλεύσιμη ευπάθεια, ο χρόνος για την ανάπτυξη ενός πλήρως λειτουργούντος εκμεταλλεύματος είναι σχετικά γρήγορος, με διάμεσο χρόνο 22 ημερών.
Λάβετε υπόψη ότι αυτός είναι ο μέσος όρος . Πολλά εκμεταλλεύματα τελικά τελειώνουν μέσα σε λίγες ημέρες, ανάλογα με την πολυπλοκότητα που εμπλέκεται στη σχεδίαση του λογισμικού και πόσο εκτεταμένη θέλετε να έχει το αποτέλεσμα του κακόβουλου λογισμικού σας.
Σε αντίθεση με την ανάπτυξη λογισμικού για εκατομμύρια τελικούς χρήστες, η δημιουργία κακόβουλου λογισμικού έχει στο μυαλό μόνο ένα άτομο όσον αφορά την ευκολία: ο δημιουργός του. Δεδομένου ότι γνωρίζετε τον κώδικα και το λογισμικό σας, δεν υπάρχει κίνητρο να επικεντρωθείτε στη φιλικότητα προς το χρήστη. Η ανάπτυξη λογισμικού για τους καταναλωτές αντιμετωπίζει πολλά εμπόδια λόγω του σχεδιασμού των διεπαφών και της αποφυγής της προστασίας από τον κώδικα, οπότε διαρκεί περισσότερο. Γράφετε για εσάς και συνεπώς δεν χρειάζεστε όλη τη λαβή, που κάνει τη διαδικασία προγραμματισμού εξαιρετικά ρευστό.
Ζουν για ένα συγκλονιστικό ποσό χρόνου
Είναι ένα σημείο υπερηφάνειας για έναν χάκερ που ξέρει ότι έχει εκμεταλλευτεί εδώ και πολύ καιρό έργα. Γι 'αυτό ίσως να είναι λίγο απογοητευτικό για τους να γνωρίζουν ότι αυτό είναι ένα συνηθισμένο περιστατικό. Σύμφωνα με τον RAND, ο μέσος όρος ευπάθειας θα διαρκέσει για 6, 9 χρόνια, με το συντομότερο να μετράει για ένα έτος και ενάμιση χρόνο. Για τους χάκερς αυτό είναι απογοητευτικό, διότι μέσα από αυτό διαπιστώνουν ότι δεν είναι απαραιτήτως ειδικές όταν κάνουν μια εκμετάλλευση που εξαπλώνεται μέσω του διαδικτύου για χρόνια. Για τα θύματά τους, ωστόσο, αυτό είναι τρομακτικό.
Η μέση "μακροχρόνια" ευπάθεια θα διαρκέσει 9, 53 χρόνια για να ανακαλυφθεί. Αυτό είναι σχεδόν μια δεκαετία που κάθε χάκερ στον κόσμο πρέπει να το βρει και να το χρησιμοποιήσει προς όφελός τους. Αυτή η δυσάρεστη στατιστική δεν αποτελεί έκπληξη, αφού η ευκολία συχνά καλεί καραμπίνα στην πορεία ενώ η ασφάλεια παραμένει με το πίσω κάθισμα στη διαδικασία ανάπτυξης. Ένας άλλος λόγος που υπάρχει αυτό το φαινόμενο είναι λόγω της παλιάς παροιμίας: "Δεν ξέρετε τι δεν γνωρίζετε." Εάν η ομάδα σας από δέκα προγραμματιστές δεν μπορεί να καταλάβει ότι υπάρχει ένα θέμα ευπάθειας στο λογισμικό σας, σίγουρα μία από τις χιλιάδες των χάκερ που ψάχνουν ενεργά για αυτό θα σας δώσει ένα χέρι και θα σας το δείξει σε σκληρό δρόμο. Και τότε θα πρέπει να το διορθώσετε, το οποίο είναι ένα άλλο κουτί των σκουληκιών από μόνο του, καθώς θα μπορούσατε να καταλήξετε να εισαγάγετε μια άλλη ευπάθεια ή οι χάκερ θα μπορούσαν γρήγορα να βρουν έναν τρόπο να παρακάμψουν αυτό που έχετε εφαρμόσει.
Ο αλτρουισμός δεν είναι σε υψηλή προσφορά
Οι Finifter, Akhawe και Wagner βρήκαν το 2013 ότι από όλες τις ευπάθειες που ανακαλύφθηκαν, μόνο το 2 έως 2, 5% αυτών αναφέρθηκαν πραγματικά από τους καλομάχους Samaritans οι οποίοι συναντήθηκαν σε μια πρωινή βόλτα ως μέρος ενός προγράμματος ανταμοιβής ευπάθειας (δηλ. καλούδια αν μας πείτε τους τρόπους που μπορεί να πειραματιστεί το λογισμικό μας "). Οι υπόλοιποι είτε ανακαλύφθηκαν από τον ίδιο τον προγραμματιστή είτε από έναν χάκερ ο οποίος οδυνηρά «φωτίζει» όλους με την ύπαρξή του. Παρόλο που η μελέτη δεν κάνει διάκριση μεταξύ κλειστού και ανοιχτού κώδικα, υποψιάζομαι ότι το λογισμικό ανοιχτού κώδικα παίρνει πιο αλτρουιστική αναφορά (δεδομένου ότι ο πηγαίος κώδικας είναι ανοιχτός καθιστά ευκολότερο για τους ανθρώπους να αναφέρουν ακριβώς πού συμβαίνει μια ευπάθεια) .
Το Takeaway
Ελπίζω εδώ ότι αυτό παρέχει μια προοπτική για το πόσο εύκολο είναι να πέσετε θύμα σε εκμετάλλευση και πώς τα εκμεταλλεύματα μηδενικής ημέρας δεν είναι τόσο σπάνια όσο φαίνονται. Υπάρχουν ακόμα πολλά αναπάντητα ερωτήματα σχετικά με αυτά, και ίσως η στενότερη μελέτη θα μας βοηθήσει να εξοπλίσουμε τα εργαλεία που χρειαζόμαστε για την καταπολέμησή τους. Η ιδέα εδώ είναι ότι πρέπει να παραμείνουμε στα δάχτυλα των ποδιών μας.
Ήταν έκπληξη από αυτά τα ευρήματα; Πες μας όλα αυτά σε ένα σχόλιο!