Video: ÅPNING HIDDEN TREASURE - Hva er inne? 😱 | MYSTERY HACKER EP. 6 | Vi er The Davises (Oktober 2024)
Den andre tirsdagen i hver måned, "Lapp tirsdag, " skyver Microsoft ut lapper for feil og sikkerhetshull i Windows og i Microsoft-applikasjoner. Det meste av tiden inkluderer problemene alvorlige sikkerhetshull, programmeringsfeil som kan la hackere penetrere nettverkssikkerhet, stjele informasjon eller kjøre vilkårlig kode. Adobe, Oracle og andre leverandører har egne oppdateringsplaner. En alarmerende ny studie fra NSS Labs antyder at hackere i gjennomsnitt har omtrent fem måneder med ubundet tilgang til disse sikkerhetshullene mellom første oppdagelse og sanering. Verre, spesialiserte markedsplasser finnes for å selge nyoppdagede sårbarheter.
Dr. Stefan Frei, forskningsdirektør ved NSS Labs, hadde tilsyn med en studie som fant over ti år med data fra to store "sårbarhetsinnkjøpsprogrammer." Freis rapport peker på at alle de resulterende tallene er minimum; det er tydelig mye mer som skjer de ikke bare vet om. Basert på hva de vet, har markedet for informasjon om utnyttelse vokst betydelig de siste årene. For ti år siden hadde de to selskapene som studerte bare en håndfull ikke avslørte sårbarheter på en gitt dag. I løpet av de siste årene har antallet vokst til over 150, hvorav over 50 har å gjøre med de fem beste leverandørene: Microsoft, Apple, Oracle, Sun og Adobe.
Utnyttelser til salgs, billig
Stuxnet og andre angrep på nasjonalstatsnivå er avhengige av flere ikke avslørte sikkerhetshull for å trenge gjennom sikkerheten. Det antas at skaperne deres betaler stort utbytte for å få eksklusiv tilgang til disse nulldagers sårbarhetene. NSA budsjetterte 25 millioner dollar for utnyttingskjøp i 2013. Freis studie avslørte at prisene nå er mye lavere; fortsatt høyt, men innen rekkevidde fra nettkriminelle organisasjoner.
Frei siterer en New York Times-artikkel som undersøkte fire tilbydere av driftsutnyttelser. Gjennomsnittlig pris for kunnskap om en foreløpig ikke avslørt sårbarhet varierte mellom $ 40.000 og $ 160.000. Basert på informasjon innhentet fra disse leverandørene, konkluderer han med at de kan levere minst 100 eksklusive utnyttelser per år.
Leverandører slå tilbake
Noen programvareleverandører tilbyr bug-belønninger, og skaper et slags forskningsprogram for publikum. En forsker som oppdager et tidligere ukjent sikkerhetshull, kan få en legitim belønning direkte fra leverandøren. Det er sikkert tryggere enn å gjøre med cyber-krumspring, eller med de som selger til cyber-krumspring.
Typiske bugbeløp varierer fra hundrevis til tusenvis av dollar. Microsofts "Mitigation Bypass Bounty" betaler ut 100 000 dollar, men det er ikke en enkel feilbeløp. For å tjene det, må en forsker oppdage en "virkelig ny utnyttingsteknikk" som kan undergrave den nyeste versjonen av Windows.
Du har blitt hacket
Bug-belønninger er fine, men det vil alltid være de som går for den større belønningen som tilbydes av boutique exploit providers og cyber-kriminelle. Rapporten konkluderer med at enhver bedrift eller stor organisasjon bør anta at nettverket allerede er hacket. Det er tøft å blokkere eller til og med oppdage et angrep på null dager, så sikkerhetsteamet bør planlegge for det verste med en veldefinert hendelsesplan.
Hva med småbedrifter og personlige nettverk? Rapporten snakker ikke om dem, men jeg vil anta at noen som betalte $ 40 000 eller mer for tilgang til en utnyttelse, ville sikte den mot det største målet som mulig.
Du kan lese hele rapporten på NSS Labs nettsted.
