ความจริงที่น่าเกลียดบางประการเกี่ยวกับการหาประโยชน์จากซีโร่เดย์

หากคุณเคยอ่านเกี่ยวกับความปลอดภัยในโลกไซเบอร์ คำว่า "zero-day" มักจะปรากฏขึ้นเป็นครั้งคราวเพื่ออธิบายช่องโหว่ที่แฮ็กเกอร์ใช้ประโยชน์ คุณจะพบว่าสิ่งเหล่านี้มีแนวโน้มว่าจะเป็นอันตรายที่สุด พวกเขาคืออะไรและทำงานอย่างไรได้รับการพูดคุยอย่างรวบรัดโดยเพื่อนร่วมงานของฉัน Simon Batt

แต่เมื่อคุณลงลึกในหัวข้อนี้ คุณจะค้นพบบางสิ่งที่คุณอาจไม่เคยรู้มาก่อนเมื่อคุณเริ่มคิดให้รอบคอบเกี่ยวกับทุกสิ่งที่คุณใช้งานบนอุปกรณ์ของคุณ (ซึ่งไม่จำเป็นต้องเป็นเรื่องเลวร้ายเสมอไป) การศึกษาความปลอดภัยทางไซเบอร์ เช่น งานวิจัยนี้จากกลุ่มคนที่ RAND Corporation (หน่วยคิดของกองทัพสหรัฐฯ) แสดงให้เห็นว่าการหาประโยชน์แบบ Zero-day มีหลายวิธีในการแสดงให้เราเห็นว่าโลกดิจิทัลของเราเปราะบางเพียงใด

การใช้ประโยชน์ Zero-Day นั้นสร้างได้ไม่ยาก

การศึกษา RAND ยืนยันบางสิ่งที่โปรแกรมเมอร์หลายคนสงสัยในการแฮ็กเพื่อพิสูจน์แนวคิด:ใช้เวลาไม่นานในการพัฒนาเครื่องมือที่ช่วยให้กระบวนการใช้ประโยชน์จากช่องโหว่ง่ายขึ้นเมื่อพบ อ้างอิงจากการศึกษาโดยตรง

เมื่อพบช่องโหว่ที่ใช้ประโยชน์ได้แล้ว เวลาในการพัฒนาช่องโหว่ที่ทำงานได้อย่างสมบูรณ์จะค่อนข้างรวดเร็ว โดยใช้เวลาเฉลี่ย 22 วัน

โปรดทราบว่านี่คือค่าเฉลี่ย . การหาประโยชน์จำนวนมากจะเสร็จสิ้นภายในไม่กี่วัน ขึ้นอยู่กับความซับซ้อนที่เกี่ยวข้องกับการประดิษฐ์ซอฟต์แวร์ และคุณต้องการให้มัลแวร์มีผลในวงกว้างเพียงใด

ในทางตรงกันข้ามกับการพัฒนาซอฟต์แวร์สำหรับผู้ใช้ปลายทางหลายล้านคน การสร้างมัลแวร์นั้นมีเพียงคนเดียวในใจในแง่ของความสะดวก นั่นคือผู้สร้าง เนื่องจากคุณ “รู้” รหัสและซอฟต์แวร์ของคุณ จึงไม่มีสิ่งจูงใจที่จะเน้นไปที่ความเป็นมิตรกับผู้ใช้ การพัฒนาซอฟต์แวร์สำหรับผู้บริโภคประสบกับอุปสรรคมากมายเนื่องจากการออกแบบส่วนต่อประสานและการป้องกันการเข้าใจผิดของโค้ด ดังนั้นจึงใช้เวลานานขึ้น คุณกำลังเขียนถึงคุณ ดังนั้นจึงไม่จำเป็นต้องใช้มือจับทั้งหมด ซึ่งทำให้กระบวนการเขียนโปรแกรมลื่นไหลอย่างยิ่ง

พวกมันมีชีวิตอยู่ในช่วงเวลาที่น่าตกใจ

เป็นจุดที่น่าภาคภูมิใจสำหรับแฮ็กเกอร์ที่รู้ว่าการเอารัดเอาเปรียบที่พวกเขาทำมาเป็นเวลานานมาก ดังนั้น อาจเป็นเรื่องน่าผิดหวังเล็กน้อยสำหรับพวกเขาที่รู้ว่านี่เป็นเหตุการณ์ปกติ จากข้อมูลของ RAND ช่องโหว่โดยเฉลี่ยจะมีอายุ 6.9 ปี โดยช่องโหว่ที่สั้นที่สุดที่พวกเขาวัดได้คือชีวิตในระยะเวลาหนึ่งปีครึ่ง สำหรับแฮ็กเกอร์ สิ่งนี้น่าผิดหวังเนื่องจากพวกเขาพบว่าพวกเขาไม่จำเป็นต้องพิเศษเมื่อใดก็ตามที่พวกเขาหาประโยชน์ที่อาละวาดผ่านเว็บเป็นเวลาหลายปี อย่างไรก็ตาม สำหรับเหยื่อของพวกเขา สิ่งนี้น่ากลัว

ช่องโหว่ "อายุยืน" โดยเฉลี่ยจะใช้เวลา 9.53 ปีในการค้นพบ เป็นเวลาเกือบทศวรรษที่แฮ็กเกอร์ทุกคนในโลกต้องค้นหาและใช้ให้เกิดประโยชน์ สถิติที่ยุ่งยากนี้ไม่น่าแปลกใจเลย เนื่องจากความสะดวกมักเรียกปืนลูกซองขณะนั่งในขณะที่ความปลอดภัยเหลือเบาะหลังในกระบวนการพัฒนา อีกเหตุผลหนึ่งที่ปรากฏการณ์นี้มีอยู่ก็เพราะสุภาษิตโบราณที่ว่า “คุณไม่รู้ว่าคุณไม่รู้อะไร” หากทีมโปรแกรมเมอร์ 10 คนของคุณไม่ทราบว่ามีช่องโหว่ในซอฟต์แวร์ของคุณ แน่นอนว่าหนึ่งในแฮ็กเกอร์หลายพันคนที่กำลังมองหามันอย่างแข็งขันจะยื่นมือให้คุณและแสดงให้คุณเห็นถึงหนทางที่ยากลำบาก จากนั้นคุณจะต้องทำการแพตช์ ซึ่งเป็นเวิร์มตัวอื่นในตัวเอง เนื่องจากคุณอาจลงเอยด้วยการแนะนำช่องโหว่อื่น มิฉะนั้นแฮ็กเกอร์อาจหาวิธีหลบเลี่ยงสิ่งที่คุณใช้ไปได้อย่างรวดเร็ว

ความเห็นแก่ประโยชน์ไม่ได้มีอยู่ในอุปทานสูง

Finifter, Akhawe และ Wagner พบว่าในปี 2013 จากช่องโหว่ทั้งหมดที่ค้นพบ มีเพียง 2 - 2.5 เปอร์เซ็นต์เท่านั้นที่รายงานโดยชาวสะมาริตันที่ดีที่พบเจอพวกเขาในการเดินเล่นตอนเช้าซึ่งเป็นส่วนหนึ่งของโปรแกรมรางวัลสำหรับช่องโหว่ (เช่น “เราให้คุณ สิ่งดีๆ หากคุณบอกเราถึงวิธีการแฮ็กซอฟต์แวร์ของเรา”) ส่วนที่เหลือของพวกเขาถูกค้นพบโดยผู้พัฒนาเองหรือโดยแฮ็กเกอร์ที่ "รู้แจ้ง" ทุกคนอย่างเจ็บปวดถึงการดำรงอยู่ของมัน แม้ว่าการศึกษาจะไม่แยกความแตกต่างระหว่างโอเพ่นซอร์สกับโอเพ่นซอร์ส แต่ฉันสงสัยว่าซอฟต์แวร์โอเพนซอร์ซได้รับการรายงานที่เห็นแก่ผู้อื่นมากขึ้น (เนื่องจากการมีซอร์สโค้ดใน open ทำให้ผู้คนรายงานได้ง่ายขึ้นว่าที่ไหน ช่องโหว่เกิดขึ้น)