Уязвимость нулевого дня

Неисправленная уязвимость программного обеспечения

Нулевой день (также известный как 0-day ) — это уязвимость в программном обеспечении или оборудовании , которая обычно неизвестна поставщику и для которой нет патча или другого исправления. У поставщика есть ноль дней, чтобы подготовить патч, поскольку уязвимость уже была описана или использована.

Несмотря на то, что разработчики стремятся предоставить продукт, который работает полностью так, как задумано, практически все программное обеспечение и оборудование содержат ошибки. Многие из них подрывают безопасность системы и, таким образом, являются уязвимостями. Хотя они являются основой лишь небольшого числа кибератак, уязвимости нулевого дня считаются более опасными, чем известные уязвимости, поскольку существует меньше возможных контрмер.

Государства являются основными пользователями уязвимостей нулевого дня не только из-за высокой стоимости их поиска или покупки, но и из-за значительной стоимости написания программного обеспечения для атаки. Многие уязвимости обнаруживаются хакерами или исследователями безопасности, которые могут раскрыть их производителю (часто в обмен на вознаграждение за баг ) или продать их государствам или преступным группировкам. Использование уязвимостей нулевого дня возросло после того, как многие популярные компании-разработчики программного обеспечения начали шифровать сообщения и данные, что означает, что незашифрованные данные можно было получить только путем взлома программного обеспечения до того, как оно было зашифровано.

Определение

Несмотря на то, что разработчики стремятся предоставить продукт, который работает полностью так, как задумано, практически все программное обеспечение и оборудование содержат ошибки. ^[1] Если ошибка создает риск безопасности, она называется уязвимостью . Уязвимости различаются по своей способности использоваться злоумышленниками . Некоторые из них вообще непригодны для использования, в то время как другие могут быть использованы для нарушения работы устройства с помощью атаки типа «отказ в обслуживании » . Наиболее ценные из них позволяют злоумышленнику внедрить и запустить свой собственный код, без ведома пользователя. ^[2] Хотя термин «нулевой день» изначально относился к времени с момента, когда поставщик узнал об уязвимости, уязвимости нулевого дня также можно определить как подмножество уязвимостей, для которых нет патча или другого исправления. ^{[3] [4] [5]} Эксплойт нулевого дня — это любой эксплойт, который использует такую ​​уязвимость. ^[2]

Подвиги

Эксплойт — это механизм доставки, который использует уязвимость для проникновения в системы цели с такими целями, как нарушение работы, установка вредоносного ПО или кража данных . ^[6] Исследователи Лиллиан Эблон и Энди Богарт пишут, что «мало что известно об истинном масштабе, использовании, пользе и вреде эксплойтов нулевого дня». ^[7] Эксплойты, основанные на уязвимостях нулевого дня, считаются более опасными, чем те, которые используют известную уязвимость. ^{[8] [9]} Однако вполне вероятно, что большинство кибератак используют известные уязвимости, а не нулевого дня. ^[7]

Государства являются основными пользователями эксплойтов нулевого дня не только из-за высокой стоимости поиска или покупки уязвимостей, но и из-за значительной стоимости написания программного обеспечения для атаки. Тем не менее, любой может использовать уязвимость, ^[4] и, согласно исследованию RAND Corporation , «любой серьезный злоумышленник всегда может получить доступный нулевой день для почти любой цели». ^[10] Многие целевые атаки ^[11] и самые продвинутые постоянные угрозы полагаются на уязвимости нулевого дня. ^[12]

Среднее время разработки эксплойта для уязвимости нулевого дня оценивается в 22 дня. ^[13] Сложность разработки эксплойтов со временем увеличивается из-за усиления функций противодействия эксплуатации в популярном программном обеспечении. ^[14]

Окно уязвимости

Хронология уязвимости

Уязвимости нулевого дня часто классифицируются как живые — то есть, об уязвимости нет общедоступных знаний — и мертвые — уязвимость была раскрыта, но не исправлена. Если разработчики программного обеспечения активно ищут уязвимости, это живая уязвимость; такие уязвимости в неподдерживаемом программном обеспечении называются бессмертными. Уязвимости зомби могут эксплуатироваться в старых версиях программного обеспечения, но были исправлены в новых версиях. ^[15]

Даже общеизвестные и зомби-уязвимости часто могут эксплуатироваться в течение длительного периода. ^{[16] [17]} Разработка исправлений безопасности может занять месяцы, ^[18] или они могут вообще не быть разработаны. ^[17] Исправление может иметь негативные последствия для функциональности программного обеспечения ^[17], и пользователям может потребоваться протестировать исправление, чтобы подтвердить функциональность и совместимость. ^[19] Более крупные организации могут не выявить и не исправить все зависимости, в то время как небольшие предприятия и индивидуальные пользователи могут не устанавливать исправления. ^[17]

Исследования показывают, что риск кибератаки увеличивается, если уязвимость становится публично известной или выпускается исправление. ^[20] Киберпреступники могут выполнить обратную разработку исправления, чтобы найти лежащую в основе уязвимость и разработать эксплойты, ^[21] часто быстрее, чем пользователи устанавливают исправление. ^[20]

Согласно исследованию корпорации RAND , опубликованному в 2017 году, эксплойты нулевого дня остаются пригодными для использования в среднем в течение 6,9 лет ^[22], хотя те, которые были приобретены у третьей стороны, остаются пригодными для использования в среднем только в течение 1,4 года. ^[13] Исследователи не смогли определить, имеет ли какая-либо конкретная платформа или программное обеспечение (например, программное обеспечение с открытым исходным кодом ) какое-либо отношение к ожидаемой продолжительности жизни уязвимости нулевого дня. ^[23] Хотя исследователи RAND обнаружили, что 5,7 процента запаса секретных уязвимостей нулевого дня будут обнаружены кем-то другим в течение года, ^[24] другое исследование обнаружило более высокий уровень перекрытия, достигающий 10,8–21,9 процента в год. ^[25]

Контрмеры

Поскольку по определению не существует исправления, которое может заблокировать эксплойт нулевого дня, все системы, использующие программное обеспечение или оборудование с уязвимостью, находятся под угрозой. Это включает в себя защищенные системы, такие как банки и правительства, которые имеют все обновленные исправления. ^[26] Антивирусное программное обеспечение часто неэффективно против вредоносного ПО, внедренного эксплойтами нулевого дня. ^[27] Системы безопасности разрабатываются вокруг известных уязвимостей, и вредоносное ПО, внедренное эксплойтом нулевого дня, может продолжать работать незамеченным в течение длительного периода времени. ^[17] Хотя было много предложений о системе, которая эффективно обнаруживает эксплойты нулевого дня, это остается активной областью исследований в 2023 году. ^[28]

Многие организации приняли тактику глубокой защиты , так что атаки, скорее всего, потребуют нарушения нескольких уровней безопасности, что затрудняет достижение этой цели. ^[29] Традиционные меры кибербезопасности, такие как обучение и контроль доступа , например, многофакторная аутентификация , доступ с минимальными привилегиями и изоляция , затрудняют компрометацию систем с помощью эксплойта нулевого дня. ^[30] Поскольку написать абсолютно безопасное программное обеспечение невозможно, некоторые исследователи утверждают, что увеличение стоимости эксплойтов является хорошей стратегией для снижения бремени кибератак. ^[31]

Рынок

Сравнение средних цен на различные виды эксплойтов, 2015–2022 гг.

Эксплойты нулевого дня могут принести миллионы долларов. ^[4] Существует три основных типа покупателей: ^[32]

• Белый: поставщик или третьи лица, такие как Zero Day Initiative , которые раскрывают информацию поставщику. Часто такое раскрытие информации происходит в обмен на вознаграждение за обнаружение уязвимости . ^{[33] [34] [35]} Не все компании положительно реагируют на раскрытие информации, поскольку оно может повлечь за собой юридическую ответственность и операционные издержки. Нередко можно получить письма о прекращении и воздержании от поставщиков программного обеспечения после бесплатного раскрытия информации об уязвимости. ^[36]
• Серый: крупнейший ^[4] и наиболее прибыльный. Правительство или разведывательные агентства покупают уязвимости нулевого дня и могут использовать их в атаке, накапливать уязвимости или уведомлять поставщика. ^[32] Федеральное правительство Соединенных Штатов является одним из крупнейших покупателей. ^[4] По состоянию на 2013 год « Пять глаз» (США, Великобритания, Канада, Австралия и Новая Зеландия) захватили большую часть рынка, а другими значительными покупателями были Россия, Индия, Бразилия, Малайзия, Сингапур, Северная Корея и Иран. Страны Ближнего Востока были готовы стать крупнейшими тратящими. ^[37]
• Черный: организованная преступность, которая обычно предпочитает эксплуатировать программное обеспечение, а не просто знать об уязвимости. ^[38] Эти пользователи с большей вероятностью будут использовать «полдня» там, где исправление уже доступно. ^[39]

В 2015 году рынки для правительства и преступности оценивались как минимум в десять раз больше, чем белый рынок. ^[32] Продавцами часто являются хакерские группы, которые ищут уязвимости в широко используемом программном обеспечении за финансовое вознаграждение. ^[40] Некоторые продают только определенным покупателям, в то время как другие продают всем. ^[39] Продавцы на белом рынке, скорее всего, мотивированы неденежными вознаграждениями, такими как признание и интеллектуальный вызов. ^[41] Продажа эксплойтов нулевого дня является законной. ^{[35] [42]} Несмотря на призывы к большему регулированию, профессор права Майлин Фидлер говорит, что маловероятно международное соглашение, поскольку ключевые игроки, такие как Россия и Израиль, не заинтересованы. ^[42]

Продавцы и покупатели, торгующие уязвимостями нулевого дня, как правило, скрытны, полагаясь на соглашения о неразглашении и законы о секретной информации , чтобы сохранить эксплойты в тайне. Если уязвимость становится известна, ее можно устранить, и ее ценность, следовательно, падает. ^[43] Поскольку рынок непрозрачен, сторонам может быть сложно найти справедливую цену. Продавцам могут не заплатить, если уязвимость была раскрыта до того, как она была проверена, или если покупатель отказался покупать ее, но все равно использовал ее. С распространением посредников продавцы никогда не могли узнать, для чего можно использовать эксплойты. ^[44] Покупатели не могли гарантировать, что эксплойт не был продан другой стороне. ^[45] И покупатели, и продавцы размещают рекламу в темной паутине . ^[46]

Исследование, опубликованное в 2022 году на основе максимальных цен, уплачиваемых одним брокером эксплойтов, выявило годовой уровень инфляции в ценах эксплойтов в размере 44 процентов. Удаленные эксплойты с нулевым щелчком могут принести самую высокую цену, в то время как те, которые требуют локального доступа к устройству, намного дешевле. ^[47] Уязвимости в широко используемом программном обеспечении также обходятся дороже. ^[48] Они подсчитали, что около 400–1500 человек продавали эксплойты этому брокеру, и они зарабатывали около 5500–20 800 долларов в год. ^[49]

Раскрытие и накопление

По состоянию на 2017 год ^{[обновлять]}продолжаются дебаты о том, следует ли Соединенным Штатам раскрывать известные им уязвимости, чтобы их можно было устранить, или держать их в секрете для собственного использования. ^[50] Причины, по которым государства держат уязвимости в секрете, включают желание использовать их в наступательных целях или в оборонительных целях при тестировании на проникновение . ^[10] Раскрытие уязвимости снижает риск того, что потребители и все пользователи программного обеспечения станут жертвами вредоносного ПО или утечки данных . ^[1]

История

Значимость эксплойтов нулевого дня возросла после того, как такие сервисы, как Apple, Google, Facebook и Microsoft, зашифровали серверы и сообщения, что означало, что единственным способом получить доступ к данным пользователя был перехват их у источника до того, как они были зашифрованы. ^[26] Одним из самых известных случаев использования эксплойтов нулевого дня был червь Stuxnet , который использовал четыре уязвимости нулевого дня, чтобы нанести ущерб ядерной программе Ирана в 2010 году. ^[7] Червь показал, чего можно достичь с помощью эксплойтов нулевого дня, вызвав расширение рынка. ^[37]

Агентство национальной безопасности США (АНБ) усилило поиск уязвимостей нулевого дня после того, как крупные технологические компании отказались устанавливать бэкдоры в программное обеспечение, поручив Tailored Access Operations (TAO) обнаружение и покупку эксплойтов нулевого дня. ^[51] В 2007 году бывший сотрудник АНБ Чарли Миллер впервые публично заявил, что правительство США покупает эксплойты нулевого дня. ^[52] Некоторая информация о причастности АНБ к уязвимостям нулевого дня была раскрыта в документах, слитых подрядчиком АНБ Эдвардом Сноуденом в 2013 году, но подробности отсутствовали. ^[51] Репортер Николь Перлрот пришла к выводу, что «либо доступ Сноудена как подрядчика не позволил ему достаточно глубоко проникнуть в правительственные системы для получения необходимой разведывательной информации, либо некоторые правительственные источники и методы получения уязвимостей нулевого дня были настолько конфиденциальными или спорными, что агентство так и не решилось опубликовать их в письменном виде». ^[53]

Ссылки

1. Ablon & Bogart 2017, стр. 1.
2. Ablon & Bogart 2017, стр. 2.
3. Ablon & Bogart 2017, стр. iii, 2.
4. Sood & Enbody 2014, стр. 1.
5. Перлрот 2021, стр. 7.
6. Страут 2023, стр. 23.
7. Ablon & Bogart 2017, стр. 3.
8. Суд и Энбоди 2014, стр. 24.
9. Bravo & Kitchen 2022, стр. 11.
10. Ablon & Bogart 2017, стр. xiv.
11. Суд и Энбоди 2014, стр. 2–3, 24.
12. Суд и Энбоди 2014, стр. 4.
13. Ablon & Bogart 2017, с. xiii.
14. Перлрот 2021, стр. 142.
15. Эблон и Богарт 2017, стр. xi.
16. Эблон и Богарт 2017, стр. 8.
17. Sood & Enbody 2014, стр. 42.
18. Страут 2023, стр. 26.
19. Либики, Эблон и Уэбб 2015, стр. 50.
20. Libicki, Ablon & Webb 2015, стр. 49–50.
21. Страут 2023, стр. 28.
22. Ablon & Bogart 2017, стр. x.
23. Аблон и Богарт 2017, стр. xi–xii.
24. Ablon & Bogart 2017, стр. x: «Из заданного запаса уязвимостей нулевого дня примерно 5,7 процента через год были обнаружены внешней организацией».
25. Лил, Марсело М.; Масгрейв, Пол (2023). «Назад с нуля: как общественность США оценивает использование уязвимостей нулевого дня в кибербезопасности». Contemporary Security Policy . 44 (3): 437–461. doi :10.1080/13523260.2023.2216112. ISSN  1352-3260.
26. Perlroth 2021, стр. 8.
27. Суд и Энбоди 2014, стр. 125.
28. Ахмад и др. 2023, с. 10733.
29. Страут 2023, стр. 24.
30. Либики, Эблон и Уэбб 2015, стр. 104.
31. Деллаго, Симпсон и Вудс 2022, стр. 41.
32. Libicki, Ablon & Webb 2015, стр. 44.
33. Деллаго, Симпсон и Вудс 2022, стр. 33.
34. О'Харроу 2013, стр. 18.
35. Libicki, Ablon & Webb 2015, стр. 45.
36. Страут 2023, стр. 36.
37. Perlroth 2021, стр. 145.
38. Либики, Эблон и Уэбб 2015, стр. 44, 46.
39. Libicki, Ablon & Webb 2015, стр. 46.
40. Суд и Энбоди 2014, стр. 116.
41. Либики, Эблон и Уэбб 2015, стр. 46–47.
42. Gooding, Matthew (19 июля 2022 г.). «Торговля уязвимостями нулевого дня прибыльна, но рискованна». Tech Monitor . Получено 4 апреля 2024 г.
43. Перлрот 2021, стр. 42.
44. Перлрот 2021, стр. 57.
45. Перлрот 2021, стр. 58.
46. Суд и Энбоди 2014, стр. 117.
47. Деллаго, Симпсон и Вудс 2022, стр. 31, 41.
48. Либики, Эблон и Уэбб 2015, стр. 48.
49. Деллаго, Симпсон и Вудс 2022, стр. 42: «Число независимых активных продавцов (от 400[31] до 1500[35] человек) ... 2015,[35] предполагает годовую оплату в размере 5,5–20,8 тыс. долларов на исследователя».
50. Ablon & Bogart 2017, стр. iii.
51. Perlroth 2021, стр. 9.
52. Перлрот 2021, стр. 60, 62.
53. Перлрот 2021, стр. 10.

Источники

• Эблон, Лиллиан; Богарт, Энди (2017). Нулевые дни, тысячи ночей: жизнь и времена уязвимостей нулевого дня и их эксплойтов (PDF) . Rand Corporation. ISBN 978-0-8330-9761-3.
• Ахмад, Рашид; Альсмади, Иззат; Альхамдани, Васим; Тавалбех, Лоаи (2023). «Обнаружение атак нулевого дня: систематический обзор литературы». Обзор искусственного интеллекта . 56 (10): 10733–10811. doi :10.1007/s10462-023-10437-z. ISSN  1573-7462.
• Браво, Сезар; Китчен, Даррен (2022). Освоение защитной безопасности: эффективные методы защиты инфраструктуры Windows, Linux, IoT и облака . Packt Publishing. ISBN 978-1-80020-609-0.
• Деллаго, Маттиас; Симпсон, Эндрю К.; Вудс, Дэниел В. (2022). «Эксплойт-брокеры и наступательные кибероперации». Обзор киберобороны . 7 (3): 31–48. ISSN  2474-2120. JSTOR  48682321 .
• Либики, Мартин С.; Эблон, Лиллиан; Уэбб, Тим (2015). Дилемма защитника: прокладывание курса к кибербезопасности (PDF) . Rand Corporation. ISBN 978-0-8330-8911-3.
• О'Харроу, Роберт (2013). Zero Day: The Threat In Cyberspace . Diversion Books. ISBN 978-1-938120-76-3.
• Перлрот, Николь (2021). Вот как они говорят мне, что мир заканчивается: гонка вооружений в кибероружии . Bloomsbury Publishing. ISBN 978-1-5266-2983-8.
• Суд, Адитья; Энбоди, Ричард (2014). Целевые кибератаки: многоэтапные атаки, управляемые эксплойтами и вредоносным ПО . Syngress. ISBN 978-0-12-800619-1.
• Страут, Бенджамин (2023). Справочник исследователя уязвимостей: полное руководство по обнаружению, сообщению и публикации уязвимостей безопасности . Packt Publishing. ISBN 978-1-80324-356-6.