כמה אמיתות מכוערות על מעללי יום אפס

Câteva adevăruri urâte despre exploatările de Zero-Day
⏱️ 1 min read

אם קראת על אבטחת סייבר, המונח “יום אפס” כנראה צץ מדי פעם כדי לתאר נקודות תורפה שניצלו על ידי האקרים. אתה גם תגלה מהר שהם נוטים להיות הקטלניים ביותר. מה הם ואיך הם עובדים כבר נדון בקצרה על ידי עמיתי סיימון באט.

אבל ככל שתחפרו לעומק, תגלו כמה דברים שאולי לא ידעתם, כשאתם מתחילים לחשוב פעמיים על כל מה שאתם מריצים במכשירים שלכם (וזה לא בהכרח דבר רע). לימודי אבטחת סייבר, כגון המחקר הזה מאנשי RAND Corporation (צוות חשיבה של הכוחות המזוינים של ארה”ב) מוכיחים שלמעללי יום אפס יש דרכים רבות להראות לנו עד כמה העולם הדיגיטלי שלנו שביר.

יער אילנות (הארבורט...
יער אילנות (הארבורטום הלאומי)

חיפושי יום אפס אינם כל כך קשים לביצוע

מחקר ה-RAND מאשר משהו שמתכנתים רבים שעסקו בפריצה להוכחת מושג חשדו: לא לוקח הרבה זמן לפתח כלי שמפשט את תהליך ניצול פגיעות לאחר שהיא נמצאה. מצטט ישירות מהמחקר,

ברגע שנמצאה פגיעות ניתנת לניצול, הזמן לפיתוח ניצול פונקציונלי מלא הוא מהיר יחסית, עם זמן ממוצע של 22 ימים.

זכור שזהו מְמוּצָע. ניצולים רבים מסתיימים למעשה תוך מספר ימים, תלוי במורכבות הכרוכה ביצירת התוכנה ובהיקף שאתה רוצה שיהיה לאפקט התוכנה הזדונית.

בניגוד לפיתוח תוכנה עבור מיליוני משתמשי קצה, לייצור תוכנות זדוניות יש רק אדם אחד בראש בכל הנוגע לנוחות: היוצר שלה. מכיוון שאתה “מכיר” את הקוד והתוכנה שלך, אין תמריץ להתמקד בנוחות השימוש. פיתוח תוכנה לצרכן עומד בפני מכשולים רבים עקב עיצוב ממשק וקוד בטוח, ולכן זה לוקח יותר זמן. אתה כותב לעצמך, אז אתה לא צריך להחזיק ידיים, מה שהופך את תהליך התכנות לזורם ביותר.

הם חיים במשך זמן מזעזע

התפשטות של היום

זו גאווה עבור האקר לדעת שניצול שהוא עשה עובד כבר הרבה זמן. אז זה אולי קצת מאכזב עבורם לדעת שזה אירוע שכיח. לפי RAND, הפגיעות הממוצעת תחיה במשך 6.9 שנים, כאשר הקצר ביותר שהם מדדו חיים במשך שנה וחצי. עבור האקרים, זה מאכזב, מכיוון שהם מגלים שהם לא בהכרח מיוחדים בכל פעם שהם עושים ניצול שהתפשט ברחבי הרשת במשך שנים. עם זאת, עבור קורבנותיה זה מפחיד.

הפגיעות הממוצעת של “ארוך חיים” ייקח 9.53 שנים לגלות. כבר כמעט עשור שכל האקר בעולם צריך למצוא אותו ולהשתמש בו לטובתו. הנתון המטריד הזה אינו מפתיע, מכיוון שלעתים קרובות נוחות זוכה לתשומת לב בדרך, בעוד שהאבטחה תופסת מקום אחורי בתהליך הפיתוח. סיבה נוספת לתופעה זו היא האמרה הישנה, ​​”אתה לא יודע מה שאתה לא יודע”. אם צוות העשרה המתכנתים שלכם לא מצליח להבין שישנה פגיעות בתוכנה שלכם, בוודאי אחד מאלפי האקרים שמחפשים אותה באופן פעיל ייתן לכם יד ויראה לכם בדרך הקשה. ואז תצטרך לתקן את זה, שהוא עוד קופסת תולעים בעצמה, מכיוון שאתה עלול בסופו של דבר להציג פגיעות נוספת, או שהאקרים יוכלו למצוא במהירות דרך לעקוף את מה שיישמת.

האלטרואיזם אינו במגמת עלייה

Finifter, Akhawe ו-Wagner מצאו ב-2013 שמכל הפגיעות שהתגלו, רק 2-2.5 אחוז מהן דווחו בפועל על ידי השומרונים הטובים שמצאו אותם בטיול בוקר כחלק מתוכנית פרס פגיעות (כלומר, “אנחנו נותנים לך בחינם). אם תספר לנו כיצד ניתן לפרוץ את התוכנה שלנו”). השאר התגלו על ידי המפתח עצמו או על ידי האקר ש”האיר” בכאב את כולם על קיומם. למרות שהמחקר לא מבדיל בין קוד פתוח לסגור, אני חושד שתוכנת קוד פתוח מקבלת דיווח אלטרואיסטי יותר (שכן קוד פתוח מקל על אנשים לדווח בדיוק איפה מתרחשת פגיעות).

הטייק אווי

התקווה שלי כאן היא שזה מספק פרספקטיבה על כמה קל ליפול קורבן לניצול וכיצד מעללי יום אפס אינם נדירים כפי שהם נראים. יש עדיין שאלות רבות ללא מענה לגביהן ואולי מחקר מפורט יותר יעזור לנו להצטייד בכלים הדרושים לנו כדי להילחם בהם. הרעיון כאן הוא שאנחנו צריכים להיות ערניים.

הופתעת מהממצאים הללו? ספר לנו הכל בתגובה!

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

You may also like...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x