Vulnerabilitate zero-day

vulnerabilitate software nerezolvată

Zero-day (cunoscută și sub numele de 0-day) este o vulnerabilitate a unui software sau hardware care, de obicei, este necunoscută furnizorului și pentru care nu este disponibil niciun patch sau altă soluție.

În ciuda obiectivului dezvoltatorilor de a livra un produs care să funcționeze în întregime așa cum a fost prevăzut, aproape toate programele și componentele hardware conțin erori. Multe dintre acestea afectează securitatea sistemului și, prin urmare, sunt vulnerabilități. Deși stau la baza doar a unei minorități de atacuri cibernetice, zilele zero sunt considerate mai periculoase decât vulnerabilitățile cunoscute, deoarece sunt posibile mai puține contramăsuri.

Statele sunt principalii utilizatori ai vulnerabilităților de tip "zero-day", nu numai din cauza costului ridicat al găsirii sau cumpărării acestora, ci și din cauza costului semnificativ al scrierii software-ului de atac. Multe vulnerabilități sunt descoperite de hackeri sau de cercetători în domeniul securității, care le pot dezvălui furnizorului (adesea în schimbul unei recompense pentru erori) sau le pot vinde statelor sau grupurilor criminale. Utilizarea zero-days a crescut după ce multe companii de software populare au început să cripteze mesajele și datele, ceea ce înseamnă că datele necriptate pot fi obținute doar prin piratarea software-ului înainte de a fi criptate.

Definiție

modificare

În ciuda obiectivului dezvoltatorilor de a livra un produs care să funcționeze în întregime așa cum a fost prevăzut, aproape toate programele software și hardware conțin erori.[1] În cazul în care un bug creează un risc de securitate, acesta se numește vulnerabilitate. Vulnerabilitățile variază în ceea ce privește capacitatea lor de a fi exploatate de actori rău intenționați. Unele nu pot fi utilizate deloc, în timp ce altele pot fi folosite pentru a perturba dispozitivul printr-un atac de tip denial of service. Cele mai valoroase permit atacatorului să injecteze și să ruleze propriul cod, fără ca utilizatorul să fie conștient de acest lucru.[2] Deși termenul "zero-day" se referea inițial la timpul scurs de când furnizorul a luat cunoștință de vulnerabilitate, vulnerabilitățile zero-day pot fi definite, de asemenea, ca fiind subansamblul de vulnerabilități pentru care nu este disponibil niciun patch sau alt remediu.[3][4][5] Un exploit de tip "zero-day" este orice exploit care profită de o astfel de vulnerabilitate.[2]

Exploatări

modificare

Exploatarea este mecanismul de livrare care profită de vulnerabilitate pentru a pătrunde în sistemele țintă, în scopuri precum întreruperea operațiunilor, instalarea de programe malware sau exfiltrarea de date. Cercetătorii Lillian Ablon și Andy Bogart scriu că „se știu puține lucruri despre adevărata amploare, utilizare, beneficii și prejudicii ale exploatărilor de tip zero-day”.[6] Exploatările bazate pe vulnerabilități de tip zero-day sunt considerate mai periculoase decât cele care profită de o vulnerabilitate cunoscută.[7][8] Cu toate acestea, este probabil ca majoritatea atacurilor cibernetice să utilizeze vulnerabilități cunoscute, nu cele de tip zero-day.[6]

Statele sunt principalii utilizatori ai exploatărilor de tip „zero-day”, nu numai din cauza costului ridicat al găsirii sau achiziționării vulnerabilităților, ci și din cauza costului semnificativ al scrierii software-ului de atac. Cu toate acestea, oricine poate utiliza o vulnerabilitate[4] și, conform cercetărilor efectuate de RAND Corporation, „orice atacator serios poate obține întotdeauna un exploit zero-day la prețuri accesibile pentru aproape orice țintă”.[9] Multe atacuri cu țintită precisă[10] și majoritatea amenințărilor persistente avansate se bazează pe vulnerabilități de tip zero-day.[11]

Timpul mediu de dezvoltare a unui exploit pornind de la o vulnerabilitate de tip zero-day a fost estimat la 22 de zile.[12] Dificultatea elaborării de exploatări a crescut în timp, datorită creșterii numărului de caracteristici anti-exploatare din programele software populare.[13]

Perioada de vulnerabilitate

modificare
 
Cronologia vulnerabilităților

Vulnerabilitățile de tip „zero-day” sunt adesea clasificate ca fiind în viață - ceea ce înseamnă că nu există cunoștințe publice despre vulnerabilitate - și moarte - vulnerabilitatea a fost dezvăluită, dar nu a fost remediată. În cazul în care responsabilii cu mentenanța software-ului caută în mod activ vulnerabilități, este vorba de o vulnerabilitate vie; astfel de vulnerabilități în software-ul care nu este întreținut sunt numite nemuritoare. Vulnerabilitățile zombi pot fi exploatate în versiunile mai vechi ale software-ului, dar au fost corectate în versiunile mai noi.[14]

Chiar și vulnerabilitățile zombi și cunoscute public sunt adesea exploatabile pentru o perioadă îndelungată.[15][16] Elaborarea patch-urilor de securitate poate dura luni de zile,[17] sau poate să nu fie elaborate niciodată.[16] Un patch poate avea efecte negative asupra funcționalității software-ului,[16] iar utilizatorii pot fi nevoiți să testeze patch-ul pentru a confirma funcționalitatea și compatibilitatea.[18] Este posibil ca organizațiile mari să nu reușească să identifice și să aplice patch-uri tuturor dependențelor, în timp ce întreprinderile mai mici și utilizatorii personali pot să nu instaleze patch-uri.[16] Cercetările sugerează că riscul de atac cibernetic crește dacă vulnerabilitatea este făcută publică sau dacă este lansat un patch.[19] Infractorii cibernetici pot face inginerie inversă a patch-ului pentru a găsi vulnerabilitatea care stă la baza acestuia și pentru a dezvolta exploatări,[20] adesea mai repede decât instalează utilizatorii patch-ul.[19]

Potrivit unei cercetări efectuate de RAND Corporation și publicată în 2017, exploit-urile de tip zero-day rămân utilizabile în medie 6,9 ani,[21] deși cele achiziționate de la o terță parte rămân utilizabile în medie doar 1,4 ani.[12] Cercetătorii nu au putut determina dacă o anumită platformă sau software (cum ar fi software-ul cu sursă deschisă) are vreo legătură cu speranța de viață a unei vulnerabilități de tip zero-day.[22] După un an, 5 la sută dintr-un stoc de vulnerabilități secrete de tip zero-day vor fi fost descoperite de altcineva.[21] Aceștia au emis ipoteza că suprapunerea relativ scăzută între diferitele stocuri de vulnerabilități zero-day se datorează probabil metodelor de detectare diferite (testare automată a software-ului vs. analiză manuală a codului) sau diferențelor dintre grupurile guvernamentale și cele neguvernamentale.[23]

Contramăsuri

modificare

Deoarece, prin definiție, nu există niciun patch care să poată bloca un exploit de tip „zero-day”, toate sistemele care utilizează software-ul sau hardware-ul cu vulnerabilitatea respectivă sunt expuse riscului. Aceasta include sistemele sigure, cum ar fi băncile și guvernele care au toate patch-urile la zi.[24] Programele antivirus sunt adesea ineficiente împotriva programelor malware introduse de exploatările de tip zero-day.[25] Sistemele de securitate sunt concepute în funcție de vulnerabilitățile cunoscute, iar programele malware introduse de o exploatare de tip zero-day ar putea continua să funcționeze nedetectate pentru o perioadă lungă de timp.[16] Deși au existat numeroase propuneri pentru un sistem care să fie eficient în detectarea exploatărilor de tip zero-day, acesta rămâne un domeniu activ de cercetare în 2023.[26]

Multe organizații au adoptat tactici de apărare în profunzime, astfel încât este probabil ca atacurile să necesite încălcarea mai multor niveluri de securitate, ceea ce îngreunează realizarea lor.[27] Măsurile convenționale de securitate cibernetică, cum ar fi formarea și controlul accesului, cum ar fi autentificarea cu mai mulți factori, accesul cu cel mai mic privilegiu și air-gapping, îngreunează compromiterea sistemelor cu ajutorul unei exploatări de tip zero-day.[28] Deoarece scrierea unui software perfect sigur este imposibilă, unii cercetători susțin că creșterea costului exploatărilor este o strategie bună pentru a reduce povara atacurilor cibernetice.[29]

 
Compararea prețurilor medii ale diferitelor tipuri de exploatări, 2015-2022

Exploitările de tip zero-day pot aduce milioane de dolari.[4] Există trei tipuri principale de cumpărători:[30]

  • Alb: furnizorului sau unor părți terțe, cum ar fi Zero Day Initiative, care divulgă furnizorului. Adesea, o astfel de dezvăluire se face în schimbul unei recompense pentru erori.[31][32][33] Nu toate companiile răspund pozitiv la dezvăluiri, deoarece acestea pot cauza răspundere juridică și cheltuieli operaționale. Nu este neobișnuit să se primească scrisori de încetare a activității din partea furnizorilor de software după ce s-a dezvăluit gratuit o vulnerabilitate.[34]
  • Gri: cel mai mare[4] și cel mai profitabil. Agențiile guvernamentale sau de informații cumpără zero-days și le pot folosi într-un atac, pot stoca vulnerabilitatea sau pot notifica furnizorul.[30] Guvernul federal al Statelor Unite este unul dintre cei mai mari cumpărători.[4] Începând cu 2013, Five Eyes (Statele Unite, Regatul Unit, Canada, Australia și Noua Zeelandă) au acaparat majoritatea pieței, iar alți cumpărători importanți au fost Rusia, India, Brazilia, Malaysia, Singapore, Coreea de Nord și Iran. Ulterior, țările din Orientul Mijlociu aveau să-și intensifice cheltuielile.[35]
  • Negru: crima organizată, care preferă de obicei să folosească programe de exploatare decât să cunoască doar o vulnerabilitate.[36] Acești utilizatori sunt mai predispuși să folosească „jumătăți de zi” în cazul în care un patch este deja disponibil.[37]

În 2015, piețele pentru guvern și criminalitate au fost estimate de cel puțin zece ori mai mari decât piața albă.[30] Vânzătorii sunt adesea grupuri de hackeri care caută vulnerabilități în programe informatice utilizate pe scară largă în schimbul unei recompense financiare.[38] Unii vor vinde doar anumitor cumpărători, în timp ce alții vor vinde oricui.[37] Este mai probabil ca vânzătorii de pe piața albă să fie motivați de recompense nefinanciare, cum ar fi recunoașterea și provocarea intelectuală.[39] Vânzarea de exploatări de tip zero day este legală.[33][40] În ciuda apelurilor pentru o mai mare reglementare, profesorul de drept Mailyn Fidler spune că există puține șanse de a se ajunge la un acord internațional, deoarece actori cheie precum Rusia și Israelul nu sunt interesați.[40]

Vânzătorii și cumpărătorii care fac comerț cu zero zile tind să fie secretoși, bazându-se pe acorduri de confidențialitate și pe legile privind informațiile clasificate pentru a păstra secretul exploatărilor. În cazul în care vulnerabilitatea devine cunoscută, aceasta poate fi corectată și, în consecință, valoarea sa se prăbușește.[41] Din cauza lipsei de transparență a pieței, părților le poate fi greu să găsească un preț corect. Este posibil ca vânzătorii să nu fie plătiți dacă vulnerabilitatea a fost dezvăluită înainte de a fi verificată sau dacă cumpărătorul a refuzat să o achiziționeze, dar a folosit-o oricum. Odată cu proliferarea intermediarilor, vânzătorii nu ar putea ști niciodată la ce ar putea fi folosite exploatările.[42] Cumpărătorii nu puteau garanta că exploit-ul nu a fost vândut unei alte părți.[43] Atât cumpărătorii, cât și vânzătorii își fac reclamă pe dark web.[44]

Cercetările publicate în 2022, bazate pe prețurile maxime plătite de un singur broker de exploit, au constatat o rată de inflație anualizată de 44% în ceea ce privește prețurile exploatărilor. Exploiturile de tip zero-click la distanță ar putea obține cel mai mare preț, în timp ce cele care necesită acces local la dispozitiv sunt mult mai ieftine.[45] Vulnerabilitățile din programele informatice utilizate pe scară largă sunt, de asemenea, mai scumpe.[46] Aceștia au estimat că între 400 și 1.200 de persoane au vândut exploit-uri către acest broker și au câștigat în medie între 5.000 și 20.000 de dolari pe an.[47]

Dezvăluirea și stocarea

modificare

Începând cu 2017, există o dezbatere în curs de desfășurare cu privire la faptul dacă Statele Unite ar trebui să dezvăluie vulnerabilitățile de care au cunoștință, astfel încât acestea să poată fi remediate, sau să le păstreze în secret pentru uz propriu.[48] Printre motivele pentru care statele păstrează secretă o vulnerabilitate se numără dorința de a o utiliza în mod ofensiv sau defensiv în cadrul testelor de penetrare.[9] Dezvăluirea vulnerabilității reduce riscul ca consumatorii și toți utilizatorii de software să fie victime ale programelor malware sau ale încălcărilor de date.[1]

Exploatările de tip zero-day au crescut în importanță după ce servicii precum Apple, Google, Facebook și Microsoft au criptat serverele și mesajele, ceea ce înseamnă că singura modalitate de a accesa datele unui utilizator era să le interceptezi la sursă înainte de a fi criptate.[24] Una dintre cele mai cunoscute utilizări ale exploit-urilor de tip zero-day a fost viermele Stuxnet⁠(d), care a folosit patru vulnerabilități de tip zero-day pentru a afecta programul nuclear iranian în 2010.[6] Viermele a arătat ce se poate realiza cu ajutorul exploatărilor de tip zero-day, declanșând o expansiune a pieței.[35]

Agenția de Securitate Națională a Statelor Unite (NSA) și-a intensificat căutările de vulnerabilități de tip zero-day după ce marile companii de tehnologie au refuzat să instaleze uși secrete în software, însărcinând Tailored Access Operations (TAO) cu descoperirea și achiziționarea de exploit-uri de tip zero-day.[49] În 2007, fostul angajat al NSA Charlie Miller a dezvăluit public pentru prima dată că guvernul Statelor Unite cumpăra exploit-uri de tip zero-day.[50] Anumite informații despre implicarea NSA în exploatarea de tip zero-day au fost dezvăluite în documentele scurse de Edward Snowden, contractor al NSA, în 2013, dar detaliile lipseau.[49] Reporterul Nicole Perlroth a concluzionat că „fie accesul lui Snowden în calitate de contractor nu l-a dus suficient de departe în sistemele guvernamentale pentru a obține informațiile necesare, fie unele dintre sursele și metodele guvernamentale de achiziție de zero-day erau atât de confidențiale, sau controversate, încât agenția nu a îndrăznit niciodată să le pună în scris”.[51]

  1. ^ a b Ablon & Bogart 2017, p. 1.
  2. ^ a b Ablon & Bogart 2017, p. 2.
  3. ^ Ablon & Bogart 2017, pp. iii, 2.
  4. ^ a b c d e Sood & Enbody 2014, p. 1.
  5. ^ Perlroth 2021, p. 7.
  6. ^ a b c Ablon & Bogart 2017, p. 3.
  7. ^ Sood & Enbody 2014, p. 24.
  8. ^ Bravo & Kitchen 2022, p. 11.
  9. ^ a b Ablon & Bogart 2017, p. xiv.
  10. ^ Sood & Enbody 2014, pp. 2-3, 24.
  11. ^ Sood & Enbody 2014, p. 4.
  12. ^ a b Ablon & Bogart 2017, p. xiii.
  13. ^ Perlroth 2021, p. 142.
  14. ^ Ablon & Bogart 2017, p. xi.
  15. ^ Ablon & Bogart 2017, p. 8.
  16. ^ a b c d e Sood & Enbody 2014, p. 42.
  17. ^ Strout 2023, p. 26.
  18. ^ Libicki, Ablon & Webb 2015, p. 50.
  19. ^ a b Libicki, Ablon & Webb 2015, pp. 49–50.
  20. ^ Strout 2023, p. 28.
  21. ^ a b Ablon & Bogart 2017, p. x.
  22. ^ Ablon & Bogart 2017, pp. xi-xii.
  23. ^ Ablon & Bogart 2017, p. xii.
  24. ^ a b Perlroth 2021, p. 8.
  25. ^ Sood & Enbody 2014, p. 125.
  26. ^ Ahmad et al. 2023, p. 10733.
  27. ^ Strout 2023, p. 24.
  28. ^ Libicki, Ablon & Webb 2015, p. 104.
  29. ^ Dellago, Simpson & Woods 2022, p. 41.
  30. ^ a b c Libicki, Ablon & Webb 2015, p. 44.
  31. ^ Dellago, Simpson & Woods 2022, p. 33.
  32. ^ O'Harrow 2013, p. 18.
  33. ^ a b Libicki, Ablon & Webb 2015, p. 45.
  34. ^ Strout 2023, p. 36.
  35. ^ a b Perlroth 2021, p. 145.
  36. ^ Libicki, Ablon & Webb 2015, pp. 44, 46.
  37. ^ a b Libicki, Ablon & Webb 2015, p. 46.
  38. ^ Sood & Enbody 2014, p. 116.
  39. ^ Libicki, Ablon & Webb 2015, pp. 46-47.
  40. ^ a b Gooding, Matthew (). „Zero day vulnerability trade is lucrative but risky”. Tech Monitor. Accesat în . 
  41. ^ Perlroth 2021, p. 42.
  42. ^ Perlroth 2021, p. 57.
  43. ^ Perlroth 2021, p. 58.
  44. ^ Sood & Enbody 2014, p. 117.
  45. ^ Dellago, Simpson & Woods 2022, pp. 31, 41.
  46. ^ Libicki, Ablon & Webb 2015, p. 48.
  47. ^ Dellago, Simpson & Woods 2022, p. 42.
  48. ^ Ablon & Bogart 2017, p. iii.
  49. ^ a b Perlroth 2021, p. 9.
  50. ^ Perlroth 2021, pp. 60, 62.
  51. ^ Perlroth 2021, p. 10.

Bibliografie

modificare