כמה אמיתות מכוערות על יום אפס מנצל
אם אי פעם קראת על אבטחה cybersecurity, המונח "אפס יום" צפוי לבוא פעם אחת לזמן מה כדי לתאר את הפגיעויות שנוצלו על ידי האקרים. תוכלו גם למצוא במהירות כי אלה נוטים להיות הקטלני ביותר. מה הם וכיצד הם עובדים כבר דנו בקצרה על ידי עמיתי סיימון באט.
אבל ככל שתתעמק עמוק יותר בנושא, תגלה כמה דברים שאולי אתה מעדיף לא לדעת עליהם כאשר אתה מתחיל לחשוב פעמיים על כל מה שאתה מפעיל על המכשירים שלך (וזה לא בהכרח דבר רע). מחקרים Cybersecurity כגון מחקר זה של אנשים ב RAND Corporation (צבא ארה"ב חשיבה טנק) להוכיח כי יום אפס מנצל יש דרכים רבות להראות לנו עד כמה שברירי העולם הדיגיטלי שלנו.
יום אפס מנצל האם זה לא כל כך קשה לעשות
מחקר ה- RAND מאשש משהו שמתכנתים רבים שהשתעשעו בהוכחה של הוכחה לקונספט חשדו: זה לא לוקח הרבה זמן לפתח כלי שמפשט את התהליך של ניצול פגיעות ברגע שהוא נמצא. מתוך המחקר,
ברגע שנמצאה פגיעות מנצלת, הזמן לפתח ניצול מתפקד באופן מלא הוא מהיר יחסית, עם חציון זמן של 22 ימים.
זכור כי זה הממוצע . רבים מנצל הם למעשה סיים בתוך ימים, בהתאם המורכבות הכרוכה בעיצוב התוכנה וכמה רחוק אתה רוצה את האפקט של תוכנות זדוניות להיות.
בניגוד לפיתוח תוכנה עבור מיליוני משתמשי קצה, ביצוע של תוכנה זדונית יש רק אדם אחד בראש ככל הנוגע לנוחות: היוצר שלה. מכיוון שאתה "יודע" את הקוד והתוכנה שלך, אין תמריץ להתרכז ידידותיות למשתמש. פיתוח תוכנה לצרכן חוויות משוכות רבות בגלל עיצוב ממשק טיפש הגהה את הקוד, אז זה לוקח יותר. אתה כותב בשבילך ולכן לא צריך את כל מחזיק ביד, מה שהופך את תהליך התכנות נוזל מאוד.
הם חיים עבור סכום מזעזע של זמן
זו נקודה של גאווה על האקר לדעת כי ניצול הם עשו עבודות במשך זמן רב מאוד. אז זה עלול להיות קצת מאכזב להם לדעת שזה אירוע שכיח. לדברי RAND, הפגיעות הממוצעת תחיה במשך 6.9 שנים, עם הקצר ביותר שהם מדדו חיים במשך שנה וחצי. עבור האקרים זה מאכזב מאז דרך זה הם מגלים כי הם לא בהכרח מיוחדים בכל פעם שהם עושים לנצל את השתוללות דרך האינטרנט במשך שנים. עבור הקורבנות שלהם, עם זאת, זה מפחיד.
הממוצע של "חיים ארוכים" הפגיעות ייקח 9.53 שנים כדי להתגלות. זה כמעט עשור שכל האקר בעולם צריך למצוא אותו ולהשתמש בו לטובתם. זה נתון מטריד לא מפתיע, שכן נוחות לעתים קרובות קורא רובה על הנסיעה תוך שמירה על הביטחון עם המושב האחורי בתהליך הפיתוח. סיבה נוספת לתופעה זו היא בגלל הפתגם הישן, "אתה לא יודע מה אתה לא יודע." אם הצוות שלך של עשרה מתכנתים לא יכול להבין שיש פגיעות בתוכנה שלך, בוודאי אחד האלפים של האקרים כי הם מחפשים באופן פעיל את זה ייתן לך יד להראות לך את זה בדרך הקשה. ואז תצטרך לתקן את זה, שהוא עוד יכול של תולעים בפני עצמו, שכן אתה יכול בסופו של דבר להציג פגיעות אחרת, או האקרים יכול למצוא במהירות דרך לעקוף את מה שאתה מיושם.
אלטרואיזם לא באספקה גבוהה
Finifter, Akhawe, and Wagner מצאו כי מתוך כל הפגיעויות שהתגלו, רק 2 - 2.5 אחוזים מהם דווחו בפועל על ידי שומרונים טובים אשר נתקלו בהם בטיול בוקר כחלק מתוכנית התגמולים של הפגיעות (כלומר "אנחנו נותנים לך טוב אם אתה אומר לנו את הדרכים שבהן התוכנה שלנו ניתן לפרוץ "). כל השאר נתגלו גם על ידי היזם עצמו או על ידי האקר ש"נאור "בכאב על כולם לקיומה. אף על פי שהמחקר אינו מבחין בין קוד פתוח לקוד פתוח, הרי שחשדתי שתוכנות קוד פתוח מקבלות דיווח אלטרואיסטי יותר (מאחר שקוד המקור בחוץ פתוח מאפשר לאנשים לדווח בדיוק היכן מתרחשת פגיעות) .
הטיקאוואי
התקווה שלי כאן היא שזה מספק פרספקטיבה על כמה קל ליפול קורבן לניצול ואיך מנצלים יום אפס הם לא נדיר כפי שהם נראים. עדיין יש שאלות רבות עליהן לא נענו, ואולי מחקר קרוב יותר יעזור לנו לצייד את עצמנו עם הכלים שאנחנו צריכים להילחם בהם. הרעיון כאן הוא שאנחנו צריכים להישאר על בהונותינו.
הופתעתם מממצאים אלה? ספר לנו הכל על זה הערה!