"1"

Zero-day – головний біль розробників, ходовий товар на чорному ринку і зброя, з якою спецслужби і хакери не поспішають розлучатися. Але чи насправді вони корисні і як довго залишаються актуальними? На що частіше покладаються хакери: на «козир», у вигляді 0-day, чи на тривіальний фішинг, соціальну інженерію і примітивні паролі? Нарешті, чи варто уряду приховувати інформацію про уразливості нульового дня, продовжуючи експлуатувати їх з нібито благими намірами? Дослідники RAND Corporation спробували розібратися і відповісти на ці питання, вивчивши понад 200 вразливостей нульового дня.

Дослідження, опубліковане RAND Corporation, отримало поетичну назву Zero Days, Thousands of Nights. Для проведення цього аналізу експерти вивчили більше 200 вразливостей нульового дня і експлойтів для них, зібравши дані за останні 14 років, тобто з 2002 по 2016 роки. Зокрема в цей список увійшли експлоїти для платформ Microsoft і Linux, а також атаки, спрямовані проти продуктів Mozilla, Google і Adobe.

При цьому дослідники не розкривають своїх джерел і пишуть, що близько половини вивчених ними вразливостей досі невідомі широкому загалу, тобто це справжнісінькі 0-day, для яких поки не існує патчів, і про які не знають розробники проблемних продуктів. Єдине, що відомо про походження цих даних, – вони надані якоюсь групою дослідників, яка носить ім’я BUSBY, але це лише кодове ім’я, придумане спеціально для звіту. Експерти RAND Corporation відзначають, що деякі учасники BUSBY працюють на уряд.

Перша і одна з найбільш цікавих цифр в звіті – це «термін життя» середньостатистичної 0-day уразливості і експлойтів для неї. Виявилося, що уразливості нульового дня в середньому «живуть» 6,9 року, тобто дві тисячі п’ятсот двадцять один день. При цьому чверть вразливостей зберігають статус 0-day всього півтора року, тоді як ще чверть не втрачають актуальності навіть через дев’ять з половиною років. Дослідники пишуть, що їм не вдалося виявити жодного зв’язку між «часом життя» і типом уразливості, тобто передбачити, який 0-day баг «проживе» довше, не представляється можливим.

Ще один цікавий факт: шанс, що різні люди зуміють виявити одну і ту ж уразливість нульового дня, мізерно малий. Експерти оцінюють цю «частоту зіткнень» всього в 5,7% в рік. Таким чином, виходить, що спецслужби, які роками «накопичують» 0-day уразливості в своєму арсеналі, не ставлять тим самим під удар мільйони користувачів і «всю індустрію», як люблять заявляти ІБ-експерти? Адже шанс, що ту ж проблему виявили та експлуатують хакери, дуже малий. Колишній співробітник АНБ Девід Айтель, якому журналісти видання Vice Motherboard поставили це питання, відповів: «Це вірна на сто відсотків інтерпретація».

Самі дослідники не роблять категоричних висновків. Вони пишуть: «Звичайні white hat дослідники частіше схильні повідомляти виробників ПЗ про вразливості нульового дня відразу, як тільки їх виявили. Інші, наприклад, фірми, які надають послуги пентестінга і grey hat організації, більш схильні накопичувати уразливості. Однак рішення накопичувати або публічно розкрити дані про 0-day уразливості (або про експлоїти для них) – це гра компромісів, в основному на рівні урядів». Разом з цим дослідники відзначають, що слабкі паролі, фішинг і застаріле, давно не оновлюване ПЗ часто являють собою куди більший ризик, ніж «розрекламовані» 0-day уразливість, оточені галасом.

З цією позицією згоден представник компанії AlienVault, Джаввад Малик. «Уразливості нульового дня – не такий вже великий привід для занепокоєння для середньостатистичних користувачів. Щоб атакувати користувачів, кіберзлочинці частіше звертаються до перевірених методів, у них розроблені дієві процеси, такі як фішинг і здирницькі ПЗ. Фактор спрямованих атак і 0-day вразливостей більше потрібен для атак на більш великі підприємства: фінансові послуги, критичні об’єкти національної інфраструктури, а також уряд», – каже фахівець.

Втім, деякі експерти вже висловили незгоду з висновками, представленими в звіті RAND Corporation. Наприклад, Крейг Янг, співробітник компанії Tripwire, взагалі назвав опубліковану доповідь «антинауковою», тому як 200 вивчених вразливостей, на його думку, це занадто мало, адже з року в рік експерти виявляють тисячі різних проблем. Ще однією невідповідністю дійсності Янг назвав середній час, який, на думку RAND Corporation, потрібно для створення працюючого експлоїта: 22 дні. Янг відзначає, що час на розробку експлоїта може відрізнятися радикально, і тут все залежить від конкретної уразливості.

Вас також зацікавить інформація про те, що Trend Micro підвела підсумки 2016 року, назвавши його роком онлайн-вимагання.

Коментарі закрито.

Поділитися

Виявлено новий троян, що інфікує POS-термінали

«Доктор Веб» попереджає про появу нової шкідливої програми, що інфікує POS-термінали, – апаратно-програмні комплекси, що дозволяють здійснювати операції за допомогою платіжних карт. Троян отримав назву Trojan.Kasidet.1. Він поширюється у вигляді ZIP-архіву, всередині якого розташований файл з розширенням .SCR, що представляє собою SFX-RAR-архів, що саморозпаковується. Цей файл витягує і запускає саму шкідливу програму. Після активації троян […]

Apple може зберегти ім’я «iPhone 7» для моделі 2017 року

Судячи з наявних даних, Apple планує приберегти назву «iPhone 7» для смартфона, який дебютує на ринку в 2017 році. Про це повідомляє Venturebeat з посиланням на джерела, близькі до компанії. На даний момент цю інформацію варто відносити до категорії чуток. Проте, в цьому є сенс, з огляду на незначні зміни дизайну наступного iPhone. Крім того, […]

LG зареєструвала торгову марку «G5 SE», і це тільки початок

Після виходу 4-дюймового iPhone SE ми задалися питанням: чи запустить новий iPhone хвилю компактних, але потужних Android-смартфонів? Сьогодні в світі Android компактні смартфони зазвичай є недорогими і малопотужними. Нам треба буде це перевірити, але, здається, все-таки виробники смартфонів готові слідувати за Apple у всьому. Компанія LG, генеральний директор якої вже висловив свою негативну думку про […]