Video: Баста и Бумбокс - "Солнца не видно" (Oktober 2024)
Drugi torek v mesecu, "Patch Tuesday, " Microsoft potisne popravke za napake in varnostne luknje v operacijskem sistemu Windows in v Microsoftovih aplikacijah. Večina časa obravnavani problemi vključujejo resne varnostne luknje, programske napake, ki bi hekerjem lahko omogočile prodiranje v omrežno varnost, krajo informacij ali zagnale poljubno kodo. Adobe, Oracle in drugi prodajalci imajo svoje razporede popravkov. Nova zaskrbljujoča nova študija podjetja NSS Labs kaže, da imajo hekerji v povprečju približno pet mesecev neprekinjenega dostopa do teh varnostnih lukenj med začetnim odkritjem in sanacijo. Še huje je, da za prodajo novo odkritih ranljivosti obstajajo specializirane tržnice.
Dr. Stefan Frei, direktor raziskav v NSS Labs, je nadzoroval študijo, ki je primerjala več kot deset let podatke iz dveh glavnih "programov za nakup ranljivosti". Freijevo poročilo poudarja, da so vsi dobljeni zneski minimalni; očitno se dogaja veliko več, česar preprosto ne vedo. Glede na to, kar vedo, je trg informacij o podvigih v zadnjih nekaj letih močno narastel. Pred desetimi leti sta imeli obe študijski družbi vsak dan le nekaj nerazkritih ranljivosti. V zadnjih nekaj letih se je ta številka povečala na preko 150, od tega se jih je več kot 50 najboljših prodajalcev: Microsoft, Apple, Oracle, Sun in Adobe.
Izkorišča za prodajo, poceni
Stuxnet in drugi napadi na ravni države so odvisni od več varnostnih luknjic, ki niso razkrite, da bi prodrli v varnost. Domnevajo, da njihovi ustvarjalci izplačujejo ogromne dividende, da bi pridobili ekskluziven dostop do teh ranljivosti brez ničel. NSA je v letu 2013 namenila 25 milijonov dolarjev za nakup eksploatacije. Freijeva študija je pokazala, da so cene zdaj precej nižje; še vedno visoko, vendar v dosegu kibernetskih kriminalnih organizacij.
Frei citira članek New York Timesa, ki je preučil štiri ponudnike izkoriščanja butičnega izkoriščanja. Njihova povprečna cena za poznavanje še nerazkrite ranljivosti se je gibala med 40.000 in 160.000 dolarjev. Na podlagi informacij, ki jih dobijo ti ponudniki, sklepa, da lahko na leto proizvedejo vsaj 100 ekskluzivnih podvigov.
Prodajalci se borijo nazaj
Nekateri proizvajalci programske opreme ponujajo velike napake in ustvarijo nekakšen raziskovalni program z množico. Raziskovalec, ki odkrije prej neznano varnostno luknjo, lahko dobi upravičeno nagrado neposredno od prodajalca. To je vsekakor varneje kot s spletnimi prevaranti ali s tistimi, ki prodajajo kiber-prevaranti.
Tipične buntove obline se gibljejo od sto do tisoč dolarjev. Microsoftov "Mitigation Bypass Bounty" izplača 100.000 ameriških dolarjev, vendar ne gre za preprosto škodo napak. Če ga želite zaslužiti, mora raziskovalec odkriti "resnično novo tehniko izkoriščanja", ki lahko uniči najnovejšo različico sistema Windows.
Postali ste prekaljeni
Otroški bugovi so prijetni, a vedno bodo takšni, ki se bodo zavzeli za večjo nagrado, ki jo ponujajo ponudniki butičnega izkoriščanja in kibernetski kriminalci. Poročilo zaključuje, da bi moralo vsako podjetje ali velika organizacija domnevati, da je njegova mreža že bila vložena. Blokiranje ali celo odkrivanje napada z ničemer je težko, zato bi morala varnostna skupina načrtovati najslabše z natančno opredeljenim načrtom odzivanja na incident.
Kaj pa mala podjetja in osebna omrežja? Poročilo ne govori o njih, vendar bi domneval, da bi ga nekdo, ki je za dostop do izkoriščanja plačal 40.000 ali več, ciljal na največji možni cilj.
Celotno poročilo si lahko preberete na spletni strani Laboratorijev NSS.
