» »

0-day exploits = 0-year exploits

0-day exploits = 0-year exploits

Ars Technica - Kot poroča Ars Technica, je imela na nedavni konferenci SyScan Conference, direktorica podjetja Immunity, Justine Aitel predstavitev z naslovom "The IPO of the 0day".

V predstavitvi je predstavila nekaj zanimivih statistik o tim. 0-day izrabah varnostnih ranljivosti, ki so objavljene na internetu. Izkazalo se je namreč, da od objave 0-day izrabe varnostne ranljivosti do izdaje popravka zanj v povprečju mine 348 dni. Najdaljši odzivni čas je bil po njegovih ugotovitvah 1080 dni (več kot tri leta), najhitrejši pa 99 dni.

Aitelova tudi ugotavlja, da se 0-day izrabe varnostne ranljivosti čedalje bolj usmerjajo v finančni sektor, podjetjem pa priporoča, da zaposlijo ali najamejo hekerje, ki se bodo ukvarjali z varnostjo njihovih sistemov.

Morda pa bi podjetja kakšno izrabo varnostne ranljivosti lahko tudi odkupila?

15 komentarjev

Jst ::

A to je statistika za vse obstoječe operacijske sisteme??
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

fiction ::

Kaj ima tukaj tocno veze OS?
Gre za ranljivosti katerekoli programske opreme.

Tako velike stevilke so najbrz zato, ker pac od takrat ko nekdo odkrije napako
(oz. napise postopek za njeno izkoriscanje) do
takrat ko jo proizvajalec odpravi nujno mine nekaj casa.

Tudi ce bi tisti, ki je zadevo odkril, takoj povedal za varnostno ranljivost,
bi nujno minilo nekaj ur ce ne dni do objave popravka.
Ampak pri 0-day exploitih to sploh ni v interesu hekerja.
Raje kot da bi obvestil avtorja, svoj exploit uporablja za zle namene ali
pa prodaja drugim. O naravi napake so avtorji obvesceni sele
po dolocenem casu (navsezadnje se mora tisti ki je nekaj
pomembnega odkril ponavadi pohvaliti) ali pa po tem
ko je exploit uporabljen na prevelikem stevilu zrtev
(kar povzroci da se nekdo drug odkrije kaj se dogaja).

V interesu vseh bi bilo, ce bi se drzali "full-disclosure" principa
in vse probleme takoj javno objavili, ampak zal exploiti prinasajo
kar nekaj dobicka (naj si bo to preko spletnih "drazb" v stilu tistega linka
ali pa tako da jih ljudje uporabijo za dejanski vdor) tako
da bo v prihodnosti najbrz zal se veliko vec 0-day exploitov.

Looooooka ::

Full-disclosure je bullshit.
Vse kar doseze je masovno zlorabo 0day exploitov za katero ocitno fixi ne pridejo takoj vn.
In tud ta argument "vec ljudi k ve za exploit vecje so moznosti da ga bo nekdo izmed njih popravu" se je ze preveckrat dokazu za sfaljenga.
Vse kar so dosegl s tem so nove verzije exploitov in abjusanje vseh moznih script kiddijev.
Bols je da za napako ve samo tist k ma kodo od programa in da on to cimprej poprav. Vecina ljudi je na zalost lenih in ne updejta svoje sisteme tko da ta full-disclosure in tud patch v 24ih urah teh klepcev ne doseze nikol.
Kar normalne userje v koncni fazi niti ne briga tok razn ko se teh klepcev nabere za par 100 tisoc in jih potem nekdo uporabla za zombie napade na sisteme, ki jih mogoce clo uporablja.
In z emi tud zdi da zadne cajte prej obvestijo avtorja in odgovorne osebe da obstaja napaka in sele pol ko obstaja patch koncajo primerki exploita na netu tko da ni vec tok kaoticno kot par let nazaj ko je blo pol kitajske vsak tedn rootane. Da za windows sisteme sploh ne govorim.

Zgodovina sprememb…

  • polepsalo: gzibret ()

fiction ::

Ja no sej, to se spodobi, da prej obvestijo avtorja in sele potem ko ta izda popravek
objavijo zadevo. Ampak to je se vedno "full-disclosure" - za 0-day buge
niti avtor niti noben drug razen neke zelo omejene mnozice ljudi ne bo vedel.

Ce ima znanje o doloceni kritcni napaki samo neka majhna skupina ljudi potem
res ne bo prislo do mnozicnega izkoriscanja te luknje, ampak to
tebi v koncni fazi nic ne pomaga. Se vedno si ranljiv in kdo
pravi da te ne bo ravno nekdo od tistih poskusal napasti.

Po tem ko je izdan popravek itak lahko ponavadi vsak vidi kaj je bil problem
in ne vem kaj je problem ce nekdo izda tudi PoC exploit oz. vse podrobnosti.
Ko je izdan popravek si namrec sam kriv ker nisi pravocasno upgradal
in ne nekdo drug ker je izdal podrobnosti o varnostni pomankljivosti, ki jih
je potem nekdo uporabil za vdor.

Matthai ::

Loooka, se ti ne zdi, da je precej verjetno, da proizvajalci programske opreme le-te ne popravijo, če nimajo nekih spodbud (ali "spodbud")?

Full disclosure je taka spodbuda. Jaz sicer zagovarjam, da se najprej obvesti proizvajalca in se mu da nek razumen čas, po tem pa se zadevo javno objavi. Ker sicer proizvajalcem enostavno ni v interesu zadevo popravit.
All those moments will be lost in time, like tears in rain...
Time to die.

krho ::

Ja tako kot M$ s .NET crittical bugom (juhej 23,5M bugfixa:( ), ki ga je zaflikal včeraj.. zadeva jim je bila pa znana od avgusta lani...
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

Zgodovina sprememb…

  • spremenil: krho ()

MrStein ::

Loooooka:
Full-disclosure je bullshit.
Vse kar doseze je masovno zlorabo 0day exploitov za katero ocitno fixi ne pridejo takoj vn.

Z full disclosure je velika možnost, da bo fix zunaj v nekaj tednih (približno).
Brez full disclosure pa je velika možnost, da fix pride ven po nekaj letih ali sploh nikoli.
Virus pa kroži v obeh primerih, brez brige.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

RejZoR ::

To vse skupaj je ratal en velik bullshit. Ne da se gre za popravljanje bugov ampak varnostne firme dobesedno tekmujejo kdo bo prej objavil neko obskurno luknjo v še bolj zahojenem programu. Tud ne vem kako firme tipe McAfee, Symantec, Microsoft in Kaspersky Lab sploh dopuščajo kej tazga ker v končni fazi hodi v njihov zelnik.
Vsakič ko objavijo da obstaja nek exploit bo v naslednjih parih urah zadeva dejansko pojavi zunaj, medtem ko popravki rabijo občutno več. Menda nočemo da se zarad slabega popravka za exploit sfuka sistem. Torej Q&A pobere največji delež. In vmes se že najde par sto tisoč folka ki jim uspe nafukat ta exploit (sicer mi še zdej ni jasno kako jim to po 10 letih opozarjanja na vse mogoče še kar uspeva).
Da ne omenjam da ma nato brihten folk izklopljen AutoUpdate mehanizem ker so tolk zagamano pametni. Dodaj še 6-12 ur minimalno da jih patch sploh doseže, kaj šele da ga namestijo. Pol pa v jok pa na drevo ko gre kej narobe. Noobs.
RejZoR's Flock of Sheep @ www.rejzor.tk

Matthai ::

Tole ni čisto res. Obstajajo organizacije, ki popravke izdajo hitro, celo v nekaj urah, popravki pa ne uničijo ničesar. Debian Linux recimo.
All those moments will be lost in time, like tears in rain...
Time to die.

Mercier ::

Kako to deluje? Organizacijsko?. Če moram jaz kaj naredit, navadno ne naredim v nekaj urah. :)

Matthai ::

Hja, Debian je pač Debian. Leet distro... saj drugače se znajo tudi pošteno skregat pa si nagajat (sem bil nekaj časa na njihovi mailing listi, ker vodim lokalizacijo za Slovenijo), samo ko je govora o varnosti so pa zelo hitri.

Sicer pa zadeve potekajo tako, da vsa komunikacija poteka preko mailov ali IRC-a. Pa o vsaki zadevi dobiš alert od bota.
All those moments will be lost in time, like tears in rain...
Time to die.

darkolord ::

popravki pa ne uničijo ničesar

a niso ble neke novice o popravkih, ki so nardili sistem neuporaben (vsaj za nekaj časa)?
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

  • spremenilo: darkolord ()

MrStein ::

Hmm, mogoče ono z X upgrade-om ?
(tisto najbrž ni bil varnostni popravek)


Matthai:

saj drugače se znajo tudi pošteno skregat pa si nagajat

Ali pa namerno ne popravit bug (oneliner). Z izgovorom, da zahteva čitanje misli.
(OK, to ne gre mazat na Debian, ker gre za posameznega package ownerja,
ampak za končnega uporabnika to res ne pomeni razlike)
Teštiram če delaž - umlaut dela: ä ?

Matthai ::

Po moje mešate Debian pa Ubuntu.
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::

Ne, gre za Debian. Stavim, da omenjeni bug (296858) še vedno ni popravljen. Prijavil sem pa pred nekaj leti. (dva in pol, če smo natančni)
Gre za obvious one line fix.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Omrežje Skype v razsulu

Oddelek: Novice / Varnost
377887 (3943) racunalnicar
»

Odkrita resna varnostna ranljivost v Firefox 3 (strani: 1 2 )

Oddelek: Novice / Varnost
507269 (4657) CaqKa
»

Odkrita nova Flash ranljivost

Oddelek: Novice / Varnost
53607 (2575) Jst
»

Reverzni razvoj zlonamerne kode iz varnostne posodobitve

Oddelek: Novice / Varnost
102980 (1964) fiction
»

Dobrodošli v preteklost...

Oddelek: Novice / Ostala programska oprema
183866 (2615) MrStein

Več podobnih tem