"1"

Zero-day – головний біль розробників, ходовий товар на чорному ринку і зброя, з якою спецслужби і хакери не поспішають розлучатися. Але чи насправді вони корисні і як довго залишаються актуальними? На що частіше покладаються хакери: на «козир», у вигляді 0-day, чи на тривіальний фішинг, соціальну інженерію і примітивні паролі? Нарешті, чи варто уряду приховувати інформацію про уразливості нульового дня, продовжуючи експлуатувати їх з нібито благими намірами? Дослідники RAND Corporation спробували розібратися і відповісти на ці питання, вивчивши понад 200 вразливостей нульового дня.

Дослідження, опубліковане RAND Corporation, отримало поетичну назву Zero Days, Thousands of Nights. Для проведення цього аналізу експерти вивчили більше 200 вразливостей нульового дня і експлойтів для них, зібравши дані за останні 14 років, тобто з 2002 по 2016 роки. Зокрема в цей список увійшли експлоїти для платформ Microsoft і Linux, а також атаки, спрямовані проти продуктів Mozilla, Google і Adobe.

При цьому дослідники не розкривають своїх джерел і пишуть, що близько половини вивчених ними вразливостей досі невідомі широкому загалу, тобто це справжнісінькі 0-day, для яких поки не існує патчів, і про які не знають розробники проблемних продуктів. Єдине, що відомо про походження цих даних, – вони надані якоюсь групою дослідників, яка носить ім’я BUSBY, але це лише кодове ім’я, придумане спеціально для звіту. Експерти RAND Corporation відзначають, що деякі учасники BUSBY працюють на уряд.

Перша і одна з найбільш цікавих цифр в звіті – це «термін життя» середньостатистичної 0-day уразливості і експлойтів для неї. Виявилося, що уразливості нульового дня в середньому «живуть» 6,9 року, тобто дві тисячі п’ятсот двадцять один день. При цьому чверть вразливостей зберігають статус 0-day всього півтора року, тоді як ще чверть не втрачають актуальності навіть через дев’ять з половиною років. Дослідники пишуть, що їм не вдалося виявити жодного зв’язку між «часом життя» і типом уразливості, тобто передбачити, який 0-day баг «проживе» довше, не представляється можливим.

Ще один цікавий факт: шанс, що різні люди зуміють виявити одну і ту ж уразливість нульового дня, мізерно малий. Експерти оцінюють цю «частоту зіткнень» всього в 5,7% в рік. Таким чином, виходить, що спецслужби, які роками «накопичують» 0-day уразливості в своєму арсеналі, не ставлять тим самим під удар мільйони користувачів і «всю індустрію», як люблять заявляти ІБ-експерти? Адже шанс, що ту ж проблему виявили та експлуатують хакери, дуже малий. Колишній співробітник АНБ Девід Айтель, якому журналісти видання Vice Motherboard поставили це питання, відповів: «Це вірна на сто відсотків інтерпретація».

Самі дослідники не роблять категоричних висновків. Вони пишуть: «Звичайні white hat дослідники частіше схильні повідомляти виробників ПЗ про вразливості нульового дня відразу, як тільки їх виявили. Інші, наприклад, фірми, які надають послуги пентестінга і grey hat організації, більш схильні накопичувати уразливості. Однак рішення накопичувати або публічно розкрити дані про 0-day уразливості (або про експлоїти для них) – це гра компромісів, в основному на рівні урядів». Разом з цим дослідники відзначають, що слабкі паролі, фішинг і застаріле, давно не оновлюване ПЗ часто являють собою куди більший ризик, ніж «розрекламовані» 0-day уразливість, оточені галасом.

З цією позицією згоден представник компанії AlienVault, Джаввад Малик. «Уразливості нульового дня – не такий вже великий привід для занепокоєння для середньостатистичних користувачів. Щоб атакувати користувачів, кіберзлочинці частіше звертаються до перевірених методів, у них розроблені дієві процеси, такі як фішинг і здирницькі ПЗ. Фактор спрямованих атак і 0-day вразливостей більше потрібен для атак на більш великі підприємства: фінансові послуги, критичні об’єкти національної інфраструктури, а також уряд», – каже фахівець.

Втім, деякі експерти вже висловили незгоду з висновками, представленими в звіті RAND Corporation. Наприклад, Крейг Янг, співробітник компанії Tripwire, взагалі назвав опубліковану доповідь «антинауковою», тому як 200 вивчених вразливостей, на його думку, це занадто мало, адже з року в рік експерти виявляють тисячі різних проблем. Ще однією невідповідністю дійсності Янг назвав середній час, який, на думку RAND Corporation, потрібно для створення працюючого експлоїта: 22 дні. Янг відзначає, що час на розробку експлоїта може відрізнятися радикально, і тут все залежить від конкретної уразливості.

Вас також зацікавить інформація про те, що Trend Micro підвела підсумки 2016 року, назвавши його роком онлайн-вимагання.

Коментарі закрито.

Поділитися

Siri відтепер і у Ford

Голосова помічниця Siri стала доступна 5 мільйонам власників автомобілів Ford, заявляє портал AutoNews з посиланням на докази, надані виробником авто. До цього моменту система Siri Eyes Free йшла в комплекті з автомобілями марки Chevrolet, Opel, Honda та інших брендів. Ford, як нам стало відомо, уклав контракт з Apple. Тепер використовувати додаток можна на всіх машинах, […]

10 причин купити AirPods. І 5 приводів відмовитися

На позавчорашній презентації було заявлено про 10 інновацій iPhone 7. Зрозуміло, Кук і компанія схитрували, адже гучний запуск Apple Pay в Японії і тихий старт сервісу в деяких країнах явно не тягнуть на фішку iPhone. Не можна назвати інновацією смартфону і AirPods. Перша бездротова стерео-гарнітура Apple не поставляється в комплекті з iPhone 7, а продається окремо. […]

Еван Бласс розкрив дату релізу Android O

П’ять місяців тому компанія Google випустила альфа-версію Android O, а ще через два місяці – першу бета-версію. Нововведення, анонсовані на Google I/O, включають обмеження споживання ресурсів фонових процесів, невеликі зміни в оформленні системи, повідомлення про пропущені події безпосередньо на іконах додатків і режим «картинка в картинці». 25 липня компанія випустила четверту версію Android O для розробників, […]