Minden hónap második kedden, a "Patch kedden" a Microsoft kihúzza a Windows és a Microsoft alkalmazások hibáinak és biztonsági hibáinak javítását. A legtöbb problémát a súlyos biztonsági lyukak, a programozási hibák jelentik, amelyek lehetővé teszik a hackerek számára a hálózati biztonság behatolását, információ ellopását vagy önkényes kód futtatását. Az Adobe, az Oracle és más gyártók saját javítási ütemezéseket hoznak létre. Az NSS Labs riasztó új tanulmánya arra utal, hogy a hackerek átlagosan körülbelül öt hónappal korlátlanul férhetnek hozzá ezekhez a biztonsági lyukakhoz az eredeti felfedezés és a helyreállítás között. Sőt, még rosszabb, hogy speciális piacok léteznek az újonnan felfedezett sebezhetőségek eladására.
Dr. Stefan Frei, az NSS Labs kutatási igazgatója felügyelte a tanulmányt, amely több mint tíz évre szólott a két fő "sebezhetőségi beszerzési program" adataiból. Frei jelentése rámutat arra, hogy az összes kapott eredmény minimális; nyilvánvalóan még sok más történik, amiről egyszerűen nem tudnak. Az általuk ismert információk alapján az utóbbi években jelentősen megnőtt a kizsákmányolással kapcsolatos információk piaca. Tíz évvel ezelőtt a vizsgált két társaságnak csak egy maroknyi nyilvánosságra nem hozott sebezhetősége volt az adott napon. Az elmúlt néhány évben ez a szám több mint 150-re nőtt, ebből több mint 50 az öt legnagyobb gyártóra vonatkozik: a Microsoft, az Apple, az Oracle, a Sun és az Adobe.
Eladó kizsákmányolás, olcsó
A Stuxnet és más nemzetállami támadások több nem nyilvánosságra hozott biztonsági lyukon alapszanak, hogy behatoljanak a biztonságba. Feltételezhető, hogy alkotóik hatalmas osztalékot fizetnek, hogy kizárólagos hozzáférést kapjanak a nulla napos sérülékenységekhez. Az NSA 2013-ban 25 millió dollárt költségvetési célokra tervezett felhasználásra. Frei tanulmánya kimutatta, hogy az árak most sokkal alacsonyabbak; továbbra is magas, de a kiberbűnöző szervezetek elérhetőségén belül van.
Frei idéz egy New York Times cikket, amely négy butik kihasználó szolgáltatót vizsgált meg. A még nem nyilvánosságra hozott sebezhetőség ismeretének átlagos ára 40 000 és 160 000 dollár között mozgott. Az e szolgáltatóktól beszerzett információk alapján arra a következtetésre jut, hogy évente legalább 100 exkluzív hasznosítást tudnak biztosítani.
A szállítók harcolnak vissza
Néhány szoftvergyártó hibajavítókat kínál, egyfajta tömegforrású kutatási programot hozva létre. Az a kutató, aki korábban ismeretlen biztonsági lyukat fedez fel, jogos jutalmat kaphat közvetlenül az eladótól. Ez biztosan biztonságosabb, mint a számítógépes csalókkal vagy azokkal, akik a számítógépes csalókkal foglalkoznak.
A tipikus hibadarabok százoktól több ezer dollárig terjednek. A Microsoft "Csökkentő Bypass Bounty" 100 000 dollárt fizet, de ez nem egy egyszerű hibajavító. Ennek megszerzéséhez a kutatónak fel kell fedeznie egy "valóban újszerű hasznosítási technikát", amely felboríthatja a Windows legújabb verzióját.
Hacked lettél
A hibakeresések kedvesek, de mindig lesznek azok, akik a butik kihasználó szolgáltatók és a számítógépes bűnözők által nyújtott nagyobb jutalomért részesülnek. A jelentés arra a következtetésre jut, hogy bármely vállalkozásnak vagy nagy szervezetnek feltételeznie kell hálózatát, már feltörték. A nulla napos támadás blokkolása vagy akár észlelése is nehéz, ezért a biztonsági csapatnak a legrosszabbról kell jól megfogalmazott eseménykezelési tervvel megterveznie.
Mi a helyzet a kisvállalkozásokkal és a személyes hálózatokkal? A jelentés nem beszél róluk, de azt feltételezem, hogy valaki, aki legalább 40 000 dollárt fizetett azért, hogy hozzáférjen egy kizsákmányoláshoz, a lehető legnagyobb célt célozza meg.
A teljes jelentést az NSS Labs webhelyen olvashatja el.
