Видео: Сумасшедший лягушка - Аксель F (Официальное видео) (Септември 2024)
На втория вторник на всеки месец, "Patch Tuesday", Microsoft изтласква кръпки за грешки и дупки в сигурността в Windows и в приложенията на Microsoft. През повечето време разглежданите проблеми включват сериозни дупки в сигурността, програмни грешки, които биха могли да позволят на хакерите да проникнат в мрежовата сигурност, да откраднат информация или да пуснат произволен код. Adobe, Oracle и други доставчици имат свои собствени схеми за кръпка. Ново тревожно проучване на NSS Labs предполага, че средно хакерите имат около пет месеца неограничен достъп до тези дупки в сигурността между първоначалното откриване и отстраняването. По-лошото е, че има специализирани пазари за продажба на новооткрити уязвимости.
Д-р Стефан Фрей, изследователски директор в NSS Labs, ръководи проучване, което сравнява над десет години данни от две основни „програми за закупуване на уязвимост“. Докладът на Фрей подчертава, че всички получени цифри са минимални; очевидно има много повече неща, за които те просто не знаят. Въз основа на това, което те знаят, пазарът на информация за подвизите е нараснал значително през последните няколко години. Преди десет години двете проучвани компании имаха само няколко неразкрити уязвимости във всеки един ден. През последните няколко години този брой нарасна до над 150, над 50 от които се отнасят към първите пет доставчици: Microsoft, Apple, Oracle, Sun и Adobe.
Подвизи за продажба, евтини
Stuxnet и други атаки на национално ниво разчитат на множество неразкрити дупки в сигурността, за да проникнат в сигурността. Предполага се, че техните създатели плащат огромни дивиденти, за да получат изключителен достъп до тези уязвимости за нулев ден. НСА бюджетира 25 милиона долара за покупка на експлоатация през 2013 г. Изследването на Фрай разкри, че цените сега са много по-ниски; все още високо, но в обсега на киберпрестъпните организации.
Фрей цитира статия на New York Times, която разглежда четирима доставчици на бутикови експлоатации. Средната им цена за познаване на все още неразкритата уязвимост варира между 40 000 и 160 000 долара. Въз основа на информацията, получена от тези доставчици, той заключава, че те могат да предоставят поне 100 изключителни експлоатации годишно.
Продавачите се борят назад
Някои доставчици на софтуер предлагат многобройни грешки, създавайки един вид изследователска програма за многократно използване. Изследовател, който открие неизвестна досега дупка в сигурността, може да получи законно възнаграждение директно от доставчика. Това със сигурност е по-безопасно от работата с кибер-мошеници или с тези, които продават на кибер-мошеници.
Типичните щети на бъгове варират от стотици до хиляди долари. Microsoft "Mitigation Bypass Bounty" изплаща 100 000 долара, но това не е проста печалба за грешки. За да го спечелите, изследовател трябва да открие "наистина нова техника на експлоатация", която може да подкопае най-новата версия на Windows.
Вие сте хакнали
Приятелките на бъгове са хубави, но винаги ще има такива, които се стремят към по-голямата награда, предлагана от доставчиците на бутикови експлоатации и киберпрестъпниците. Докладът заключава, че всяко предприятие или голяма организация трябва да приеме, че мрежата му вече е била хакната. Блокирането или дори откриването на атака с нулев ден е трудно, така че екипът по сигурността трябва да планира най-лошото с добре дефиниран план за отговор на инцидентите.
Какво ще кажете за малкия бизнес и личните мрежи? Докладът не говори за тях, но бих приел, че някой, платил 40 000 долара или повече за достъп до експлоатация, ще го насочи към възможно най-голямата цел.
Можете да прочетете пълния доклад на уебсайта на NSS Labs.
