"1"

Zero-day – головний біль розробників, ходовий товар на чорному ринку і зброя, з якою спецслужби і хакери не поспішають розлучатися. Але чи насправді вони корисні і як довго залишаються актуальними? На що частіше покладаються хакери: на «козир», у вигляді 0-day, чи на тривіальний фішинг, соціальну інженерію і примітивні паролі? Нарешті, чи варто уряду приховувати інформацію про уразливості нульового дня, продовжуючи експлуатувати їх з нібито благими намірами? Дослідники RAND Corporation спробували розібратися і відповісти на ці питання, вивчивши понад 200 вразливостей нульового дня.

Дослідження, опубліковане RAND Corporation, отримало поетичну назву Zero Days, Thousands of Nights. Для проведення цього аналізу експерти вивчили більше 200 вразливостей нульового дня і експлойтів для них, зібравши дані за останні 14 років, тобто з 2002 по 2016 роки. Зокрема в цей список увійшли експлоїти для платформ Microsoft і Linux, а також атаки, спрямовані проти продуктів Mozilla, Google і Adobe.

При цьому дослідники не розкривають своїх джерел і пишуть, що близько половини вивчених ними вразливостей досі невідомі широкому загалу, тобто це справжнісінькі 0-day, для яких поки не існує патчів, і про які не знають розробники проблемних продуктів. Єдине, що відомо про походження цих даних, – вони надані якоюсь групою дослідників, яка носить ім’я BUSBY, але це лише кодове ім’я, придумане спеціально для звіту. Експерти RAND Corporation відзначають, що деякі учасники BUSBY працюють на уряд.

Перша і одна з найбільш цікавих цифр в звіті – це «термін життя» середньостатистичної 0-day уразливості і експлойтів для неї. Виявилося, що уразливості нульового дня в середньому «живуть» 6,9 року, тобто дві тисячі п’ятсот двадцять один день. При цьому чверть вразливостей зберігають статус 0-day всього півтора року, тоді як ще чверть не втрачають актуальності навіть через дев’ять з половиною років. Дослідники пишуть, що їм не вдалося виявити жодного зв’язку між «часом життя» і типом уразливості, тобто передбачити, який 0-day баг «проживе» довше, не представляється можливим.

Ще один цікавий факт: шанс, що різні люди зуміють виявити одну і ту ж уразливість нульового дня, мізерно малий. Експерти оцінюють цю «частоту зіткнень» всього в 5,7% в рік. Таким чином, виходить, що спецслужби, які роками «накопичують» 0-day уразливості в своєму арсеналі, не ставлять тим самим під удар мільйони користувачів і «всю індустрію», як люблять заявляти ІБ-експерти? Адже шанс, що ту ж проблему виявили та експлуатують хакери, дуже малий. Колишній співробітник АНБ Девід Айтель, якому журналісти видання Vice Motherboard поставили це питання, відповів: «Це вірна на сто відсотків інтерпретація».

Самі дослідники не роблять категоричних висновків. Вони пишуть: «Звичайні white hat дослідники частіше схильні повідомляти виробників ПЗ про вразливості нульового дня відразу, як тільки їх виявили. Інші, наприклад, фірми, які надають послуги пентестінга і grey hat організації, більш схильні накопичувати уразливості. Однак рішення накопичувати або публічно розкрити дані про 0-day уразливості (або про експлоїти для них) – це гра компромісів, в основному на рівні урядів». Разом з цим дослідники відзначають, що слабкі паролі, фішинг і застаріле, давно не оновлюване ПЗ часто являють собою куди більший ризик, ніж «розрекламовані» 0-day уразливість, оточені галасом.

З цією позицією згоден представник компанії AlienVault, Джаввад Малик. «Уразливості нульового дня – не такий вже великий привід для занепокоєння для середньостатистичних користувачів. Щоб атакувати користувачів, кіберзлочинці частіше звертаються до перевірених методів, у них розроблені дієві процеси, такі як фішинг і здирницькі ПЗ. Фактор спрямованих атак і 0-day вразливостей більше потрібен для атак на більш великі підприємства: фінансові послуги, критичні об’єкти національної інфраструктури, а також уряд», – каже фахівець.

Втім, деякі експерти вже висловили незгоду з висновками, представленими в звіті RAND Corporation. Наприклад, Крейг Янг, співробітник компанії Tripwire, взагалі назвав опубліковану доповідь «антинауковою», тому як 200 вивчених вразливостей, на його думку, це занадто мало, адже з року в рік експерти виявляють тисячі різних проблем. Ще однією невідповідністю дійсності Янг назвав середній час, який, на думку RAND Corporation, потрібно для створення працюючого експлоїта: 22 дні. Янг відзначає, що час на розробку експлоїта може відрізнятися радикально, і тут все залежить від конкретної уразливості.

Вас також зацікавить інформація про те, що Trend Micro підвела підсумки 2016 року, назвавши його роком онлайн-вимагання.

Коментарі закрито.

Поділитися

Тім Кук уточнив квартальні продажі Apple Watch

Відзвітувавшись перед акціонерами за підсумками чергового кварталу, Тім Кук з товаришами замість відпочинку провів загальні збори з співробітниками компанії. На якою зустрічі особисто озвучив порцію анонсів для корпоративного користування, а також відповів на питання численних підлеглих. Навіть гранично короткий конспект виступу дуету Кук-Вільямс (гендиректор акомпанував топ менеджер в званні Chief Operating Officer) вимагає окремої важкої публікації, […]

У Apple дійсно великі плани на Apple Watch 2

Переваги нової watchOS 3, швидкодія і дружелюбність якої збільшилися в рази в порівнянні з попереднім оновленням, зайняли неабиякі півгодини і без того незатягнутої презентації. Вперше з часів свого релізу Apple Watch знайшли настільки неабияку кількість інноваційних можливостей і фішок, дозволивши навіть на мить засумніватися в бажанні компанії представити сиквел «розумних» годинників. Але постачальники Apple впевнені […]

Пристрій OWC DEC наділить MacBook Pro додатковими портами і накопичувачем

Компанія Other World Computing (OWC) в рамках виставки CES 2017, яка зараз проходить в США, представила пристрій DEC, покликаний розширити функціональність ноутбуків Apple 2016 MacBook Pro. В MacBook Pro нового покоління всі завдання введення/виведення вирішуються за рахунок портів Thunderbolt 3 з роз’ємом USB Type-C. Інші інтерфейси, якщо не брати до уваги 3,5-мм аудіогнізда, відсутні. Пристрій OWC […]