Уязвимости нулевого дня: новое мощное кибероружие

(Ди Карло Мазели)
13/10/21

Всем известно, что компьютерные вирусы в настоящее время представляют собой постоянную и постоянную угрозу для компаний.

Атаки, подобные атакам Команда Эгрегора против южноамериканской сети супермаркетов Cencosud и против Метро Ванкувера, или как те, кто против SolarWinds, что вызвало гигантскую утечку данных из центров американской мощи, подчеркнув важность цепочками поставок или, опять же, приступы, подобные тем, которые учащаются на больницы и другие объекты санаторий они представляют собой сценарий реальной войны, который представляет огромные риски для нашего общества.

Сейчас, когда все больше и больше нашей экономики переходит в онлайн, никто не может быть на 100% безопаснее, ни малые, ни большие. Также потому, что, хотя значительная часть политического мира не обсуждает правила, руководящие принципы по безопасности и нормативные акты, киберпреступность уже давно организована и действует в соответствии с четкими бизнес-моделями, всегда умудряясь быть на шаг впереди всех.

Общим знаменателем всех этих преступных групп и субъектов является операционная схема, продиктованная экспоненциально растущим бизнесом, мантра которого может быть такой: Вирусы не продаются, а сдаются в аренду.

Кто их разрабатывает, нанимает другие группы для их распространения, например, проводя кампании для фишинг целевые, в то время как другие заботятся о сборе и обращении денег от вымогательства.

«Клиентам» этих групп не нужно иметь компьютерные навыки. Им просто нужно арендовать полную платформу услуг, которые им необходимы, чтобы нанести удар по конкурирующей компании или национальному государству и получить трофеи, чтобы поделиться со своими сообщниками. как следователям становится все сложнее отследить виновника атаки, а это означает, что по большей части злоумышленники остаются неизвестными, безнаказанными и свободными.

В аналогичном сценарии, без тени сомнения, поиск уязвимостей стал любимым видом спорта для злоумышленников, потому что это ключ к «легкой победе».

И именно эту тему я хотел бы затронуть в этой статье, не претендуя на то, чтобы исчерпать ее, потому что работа со всеми аспектами компьютерных уязвимостей - по крайней мере для меня задача не сложная, а просто невыполнимая. Давайте не будем забывать, что мир уязвимостей в информационных технологиях - это постоянно расширяющийся сектор, который касается каждого отдельного компонента компьютерной системы и не только.

Le компьютерные уязвимости их можно рассматривать как неисправности или неправильные конфигурации или просто как ошибки в системе, которые подвергают ее риску.

Каталоги уязвимостей ИТ можно разделить на 3 макрокатегории.:

  • Software - это, по сути, сбои и ошибки при написании кода, для которых любое действие, выполняемое программным обеспечением снаружи и внутри, может привести к уязвимости.

  • Протоколы - чтобы упростить концепцию, это пробелы в безопасности в системе связи между технологиями, присутствующими в компьютерной системе.

  • Аппаратные средства - мы говорим об уязвимости аппаратных устройств, когда какой-либо элемент создает объективную опасность для правильного функционирования машины.

Диапазон уязвимостей чрезвычайно широк, а также потенциал, связанный с рисками, которые сами уязвимости несут с собой. В Национальная база данных уязвимостей (NVD) правительства Соединенных Штатов на основе списка CVE (Общие уязвимости и воздействия), в настоящее время насчитывает более 150.000 XNUMX записей.

Известные случаи "купленных" и эксплуатируемых уязвимостей, без тени сомнения, CVE-2017-0144 для Windows который открыл дверь для атак программ-вымогателей WannaCry через эксплойт EternalBlue и тот, который связан с ботнетом Mirai который распространился в результате эксплуатации значительного числа уязвимостей.

Если верно, что необходимо улучшить качество написания кода, чтобы избежать наличия уязвимостей, то в равной степени верно и то, что осведомленность о рисках, которые они несут с собой, не кажется столь широко распространенной, по крайней мере, согласно что сообщается в Отчет о безопасности контрольно-пропускных пунктов за 2021 год в котором показано, как в 2020 году было использовано 75% атак. уязвимости возрастом не менее двух лет, В частности:

  • в трех из четырех атак использовались ошибки, обнаруженные в 2017 году или ранее;

  • 18% атак использовали уязвимости, обнаруженные в 2013 году или ранее.

Положительные технологии вместо этого он обнаружил, что 26% компаний остаются уязвимыми для программ-вымогателей WannaCry поскольку он еще не распространил исправление.

До сих пор мы говорили об уязвимостях, которые, передав мне термин, мы можем определить как «нормальные», и которые могут быть использованы кем угодно без особых вложений, а просто с использованием слабых сторон или бессознательного состояния потенциальных жертв.

Поэтому можно было бы сказать, что если бы мы стандартизировали системы, осуществляли профилактику и мониторинг и распространяли выпущенные исправления, сценарий был бы лучше, чем текущий, и риски были бы значительно уменьшены. Мы не были бы в Стране чудес, но мы не стали бы свидетелями резни, свидетелями которой мы являемся каждый день.

К сожалению, это не так, потому что мир уязвимостей также включает в себя наиболее ценные и желанные, потому что они все еще неизвестны: уязвимость Zero Day который представляет собой объект желания многих киберпреступников, которые могут использовать его, чтобы беспрепятственно выполнять свои действия.

Многие считают, что это называется нулевого дня потому что он используется впервые в день, когда с его помощью запускается первая атака. На самом деле причина гораздо проще: программист кода жертвы имеет ноль дней, чтобы исправить это.

Прежде чем мы перейдем к повествованию, следует указать на разницу на уровне нулевого дня что может показаться мелочью, но на самом деле это не так:

  • нулевой день, связанный с уязвимостями, возникшими в результате отсутствия исправления;

  • нулевые дни, связанные с эксплойтами, которые представляют собой методы подрыва неизвестной уязвимости и, следовательно, смертельны, если попадут в чужие руки.

Что касается известных уязвимостей, я хотел бы заявить, что способность использовать уязвимости этого типа, однако, является привилегией немногих. В частности, мы говорим о более опытных субъектах, которые могут пользоваться значительными ресурсами, чтобы иметь возможность запускать кампании массовых атак. Неслучайно процент атак с использованием уязвимостей этого типа намного ниже, чем процент атак с использованием известных уязвимостей.

Безусловно, это нападения, производящие шум, которые могут быть разрушительными и цель которых также может заключаться в создании социальных волнений. Но об этом поговорим позже.

Так что же делает человека нулевого дня так драгоценно? Почему говорят о торговле уязвимостями?

Мы стараемся отвечать, основываясь на опыте. Всякий раз, когда уязвимость типа нулевого дня был использован, мы были свидетелями атак государственного типа, то есть нападений, направленных на то, чтобы поразить самое сердце страны, нанеся удар, прежде всего, по важнейшим объектам инфраструктуры.

Неизвестный эксплойт, по сути, позволяет вам нарушить систему, не будучи практически замеченным, что приводит к утечке очень деликатной и конфиденциальной информации даже в тех областях, где поиск такой информации может быть опасным.

Кроме того, он может позволить атакующему поражать цели или достигать систем, вмешательство которых может причинить ущерб, равный ущербу от военной атаки, без тех же затрат энергии и денег.

Таким образом, мы можем утверждать, что эксплуатация нулевого дня может превратиться в один кибероружие, то есть в компьютерном оружии, мягко говоря, смертоносном, и первый пример в этом смысле можно рассматривать как случай Stuxnet. Этот вирус в 2009 году имел целью повредить турбины иранской электростанции в Натанзе, используя некоторые уязвимости. 0 день Windows. Эдвард Сноудена подтвердил, что вирус был создан в результате сотрудничества АНБ с израильской разведкой для замедления или даже предотвращения ядерных разработок Ирана. Использование уязвимостей 0 день это предотвратило его блокировку на ранних стадиях, и открытие стало возможным из-за ошибки программирования, которая вызвала репликацию вируса даже за пределами предприятия.

Это был один из первых, если не первый, примеров гибридной войны на компьютерном поле битвы, в котором нулевого дня они похожи на оружие хитрость не обнаруживаются обычными радарами и могут поразить врага в самое сердце.

Все это привело к рождению настоящего рынка уязвимостей. нулевого дня потому что ясно, что если вам не удастся их обнаружить, вы их купите, и для этого вы должны соблюдать правила любого финансового рынка, где цена указана для покупателя. Это классический закон спроса и предложения, и в этом сценарии также правильно помнить, насколько крупные компании, такие как Microsoft, Google и т. Д. в дополнение к инвестициям в разработку своего программного обеспечения наиболее безопасным способом, они тратят миллионы долларов на найм так называемых "Охотник за головами", то есть новые «охотники за головами» для выявления слабых мест программного обеспечения.

Фактически, это профессионалы, которые вместо того, чтобы «охотиться» за плохим парнем, отправляются на поиски нового сокровища: уязвимости, которая еще не была обнаружена.

Hackerone опубликовали исследование, которое показало, что средняя стоимость критической уязвимости программного обеспечения составляет 5754 доллара, в то время как в случае аппаратного обеспечения стоимость падает до 4633 долларов.

Обзор за август 2020 г. сообщает, что Microsoft заплатила 12 миллиона долларов исследователям, которые обнаружили и сообщили об ошибках в ее программном обеспечении за последние 13,7 месяцев, и что 327 исследователей были награждены 200.000 XNUMX долларов.

Однако очевидно, что помимо всего прочего продукт с такими характеристиками может иметь множество покупателей, и, следовательно, его цене суждено резко вырасти. И покупатели, так сказать, не просто хорошие парни.

Компания Zerodium, например, занимается торговлей нулевого дня так же, как это можно было сделать на бирже при купле-продаже акций. Zerodium - одна из самых известных компаний по покупке и распространению эксплойтов. нулевого дня. На практике американская компания ищет на рынке недавно обнаруженные ошибки и эксплойты, обычно разработанные разработчиками и хакерами, и покупает «права».

Бекрар Чауки, основатель, несколько лет назад сказал, что занимается только демократические правительства, включая информацию о том, как защититься от уязвимостей.

Бекрар, по сути, имеет свою собственную теорию, согласно которой, ограничивая распространение нулевого дня злоупотребления сводятся лишь к нескольким компаниям и правительствам в отношении полное раскрытие информации.

Попробуйте прочитать между строк этого Tweet и вы поймете, о чем мы говорим.

Что может случиться, так это то, что правительство, получив уязвимость от Zerodium, может решить передать его силам общественной безопасности или секретным службам и использовать его для операций, которые оно сочтет наиболее подходящими.

Возникает вопрос «Что это за действия?». Наконец, по всей вероятности, вы можете понять, что мы не на Небесах, а в мире, где все управляется бизнесом и где, к сожалению, все превращается в товар.

Бекар до основания Zerodium работал в Vupen, известная французская компания по торговле эксплойтами. Вместе с группой Вупена Бекрару удалось обойти безопасность Google Chrome на хакатоне, организованном Hewlett Packard.

Вместо того, чтобы отозвать приз в размере 60.000 XNUMX долларов, присужденный тем, кто добился успеха, Бекрар утверждал, что ни за какую сумму в мире его компания когда-либо раскроет, как ей удалось осуществить атаку браузера, и что он предпочел бы. информацию для своих клиентов, а не собирать приз.

А кто были его покупателями? Но, прежде всего, что они купили?

Просто просмотрите несколько писем, содержащихся в утечка от Hacking Team получить ответ и, прежде всего, понять его размер.

Я считаю, что есть истина, о которой многие не говорят и которая мешает полностью осознавать, что происходит в мире кибербезопасности: правительства и транснациональные корпорации заинтересованы в получении информации раньше других..

Вы когда-нибудь слышали о Джеймсе Бонде? Вы когда-нибудь слышали о шпионаже? Конечно да. Шпионаж существовал всегда, и сегодня в его современной версии уязвимости нулевого дня они его самое мощное оружие.

Системы Команда взлома Галилео, написанная на основе некоторых неизвестных уязвимостей и приобретенная посредниками, такими как Vupen, сообщает об этой формулировке в своей брошюре "Система дистанционного управления:"Хакерский пакет для правительственного перехвата. Прямо у вас под рукой.

На этом этапе вы спросите себя: «И если кто-то хочет найти способ купить одну из этих очень полезных уязвимостей, где им искать? Кого он должен попросить купить? "

Учитывая все, что мы сказали до сих пор, возможно ли, что просто путем поиска в сети кто-нибудь сможет найти уязвимость, за которую другие платят миллионы долларов?

Что ж, я бы сказал с почти абсолютной уверенностью, что ответ отрицательный. Если предположить, что уязвимость еще не использовалась широко и не продано столько раз, это, безусловно, сделало бы ее более доступной.

Чтобы еще лучше прояснить концепцию: очень недавний эксплойт, который дает возможность получить доступ к системе, достойной того, чтобы ее называть нулевого дня его нет в сети, и причина очевидна: он стоит слишком дорого !!!

Может быть, он в сети, но его нет на рынке или поддерживается неизвестно где ждут транзакции миллионеров. Или, опять же, может быть, также легко представить, что те, кто там работает, имеют известные зарплаты ...

Мы могли бы продолжать делать предположения в течение долгого времени, но один факт очевиден и интуитивно понятен, учитывая, что это подпольный рынок: и транзакции, и покупатели, и продавцы остаются для большинства в секрете.

Что можно сделать, чтобы защитить себя, и что компании могут сделать лучше для разработки более безопасного кода?

Прежде всего, ответить на второй вопрос объективно сложно.

Это факт, что великие гиганты информатики используют все более сложные системы для анализа и управления кодом. Они пользуются преимуществами автоматизации и точного контроля циклов, но, к сожалению, ошибка всегда присутствует. Если это правда, что до сих пор мы не могли устранить ошибку, и кто знает, добьемся ли мы когда-нибудь успеха, это, по крайней мере, резко сократило время выпуска исправлений, и это, без сомнения, положительный аспект.

В любом случае сложно ограничить опасность этого типа уязвимости, особенно в отношении мира смартфонов и планшетов в сетях 3G, 4G или 5G.

Вместо этого можно проверить прохождение данных в телекоммуникационной сети, анализируя пакеты более продвинутым способом благодаря использованию межсетевых экранов нового поколения, способных анализировать и понимать, отделяя «хороший» трафик от «плохого». », С возможностью, таким образом, снижения опасности атаки, направленной на уязвимость. нулевого дня.

Необходимо пересмотреть логические архитектуры в соответствии с передовыми практиками, которые предоставляют поставщики операционных систем и приложений, и не пытаться адаптировать их к политикам компании, которые часто препятствуют их правильному использованию.

Использование решений и инструментов, позволяющих осуществлять мониторинг в реальном времени с использованием алгоритмов анализа на основе Машинное обучение ed Artificial Intelligence, представляют собой еще одно средство предотвращения рисков.

Изменение культурной модели для более активного переноса превентивных мер безопасности и контроля уязвимостей ближе к их истокам, помещая их в цепочку создания программного обеспечения, виртуальных машин, контейнеров, облачных ресурсов и т. Д.

Также полезно подчеркнуть, что хорошая профилактическая цифровая гигиена в сочетании с использованием систем анализа угроз значительно уменьшит открытую поверхность, не допуская ее превращения в поверхность, которую можно атаковать.

Нет сомнений в том, что в течение некоторого времени киберпространство было настоящим полем битвы, в котором играли очень важные игры. Это заставляет меня думать о нападении в Северной Корее во время Олимпийских игр, о чем я писал на этих страницах, или тот, что на Sony или еще все Киберкалифат или, чтобы вернуться на днях, в Solarwinds e Kaseya или к другим атакам, которые положили начало кибервойнам с одной-единственной целью: завоевать информацию.

Дальнейшие ссылки

25+ статистических данных об уязвимостях и фактах об уязвимостях кибербезопасности за 2021 год (Comparitech.com)

Состояние разработки эксплойтов: 80% эксплойтов публикуются быстрее, чем CVE (paloaltonetworks.com)

Отчет о статистике уязвимостей за 2021 год (Edgecan.com)

NVD - Дом (nist.gov)

Главная - Бульвар Безопасности

Cybercrime Spa: как работает индустрия вредоносных программ | Бесплатные технологии

Эксплойты нулевого дня и атаки нулевого дня | Касперский

Самая агрессивная российская группа программ-вымогателей исчезла. А причина - загадка - Tech (mashable.com)

Эксплойт на iPhone стоит до 2 миллионов долларов - Cybersecurity

Чауки Бекрар в Твиттере: «Что исследователь должен делать со своим 0-м днем? 1. Полное раскрытие информации, чтобы любой / правительство могло (не) использовать его без ограничений / правил 2. Продавайте правительствам / брокерам и получайте приличный доход, ограничивая ( ab) используйте 3. Сообщите поставщикам и получите иск, или получите дерьмовые награды и / или свое имя в сообщениях »/ Twitter

Apple слишком «дырявая»? Zerodium: «Мы больше не платим тем, кто находит ошибки в iOS» (cybersecurityup.it)

Продавцы нулевого дня (forbes.com)

Stuxnet - обзор | Темы ScienceDirect

Фото: ВВС США / автор / веб-сайт