Vídeo: Insideeus - Ecstasy (Official Video) (Setembre 2024)
El segon dimarts de cada mes, "Dimarts de pegats", Microsoft llença els pegats per a bugs i forats de seguretat a Windows i a les aplicacions Microsoft. La majoria de vegades els problemes tractats inclouen forats de seguretat greus, errors de programació que podrien permetre als pirates informàtics penetrar en la seguretat de la xarxa, robar informació o executar codi arbitrari. Adobe, Oracle i altres venedors tenen els seus propis programes de pegats. Un nou i alarmant estudi de NSS Labs suggereix que, en mitjana, els pirates informàtics tenen uns cinc mesos d’accés sense restriccions a aquests forats de seguretat entre el descobriment inicial i la reparació. Pitjor, existeixen mercats especialitzats per vendre vulnerabilitats recentment descobertes.
Stefan Frei, director d’investigació de NSS Labs, va supervisar un estudi que recollia més de deu anys de dades de dos principals “programes de compra de vulnerabilitat”. L’informe de Frei assenyala que totes les xifres resultants són mínimes; clarament hi ha moltes coses més que simplement no en saben. Segons el que saben, el mercat de la informació sobre explotacions ha crescut significativament en els darrers anys. Fa deu anys, les dues empreses estudiades tenien només un grapat de vulnerabilitats no revelades en un dia determinat. En els darrers anys, aquest nombre ha passat a més de 150, més de 50 dels quals es relacionen amb els cinc principals proveïdors: Microsoft, Apple, Oracle, Sun i Adobe.
Explotacions en venda, barates
Stuxnet i altres atacs a l'estat nació es basen en diversos forats de seguretat no revelats per penetrar en seguretat. Se suposa que els seus creadors paguen enormes dividends per obtenir accés exclusiu a aquestes vulnerabilitats del dia zero. L’NSA va pressupostar 25 milions de dòlars per a la compra d’explotacions el 2013. L’estudi de Frei va revelar que els preus ara són molt més baixos; encara alt, però a l’abast de les organitzacions ciber-criminals.
Frei cita un article del New York Times que examinava quatre proveïdors d'explotació boutique. El seu preu mitjà pel coneixement d'una vulnerabilitat encara no divulgada oscil·là entre els 40.000 i els 160.000 dòlars. A partir de la informació obtinguda d’aquests proveïdors, conclou que poden lliurar almenys 100 explotacions exclusives a l’any.
Els venedors lluiten contra
Alguns venedors de programari ofereixen recompenses d'errors, creant una mena de programa de recerca multitudinari. Un investigador que descobreix un forat de seguretat anteriorment desconegut pot obtenir una recompensa legítima directament del venedor. És segur que és més segur que el fet de tractar-se amb ciberdelincuents o amb aquells que venen a ciberassos.
Els recomptes típics d'errors oscil·len entre centenars i milers de dòlars. El "Mitigation Bypass Bounty" de Microsoft paga 100.000 dòlars, però no és una simple recompensa d'errors. Per guanyar-lo, un investigador ha de descobrir una "tècnica d'explotació veritablement nova" que pugui subvertir l'última versió de Windows.
T'han enganxat
Els rebots d’errors són agradables, però sempre hi haurà qui opta per la recompensa més gran que ofereixen els proveïdors d’explotacions de boutique i els ciberdelinqüents. L’informe conclou que qualsevol empresa o gran organització hauria d’assumir que la seva xarxa ja ha estat piratada. És difícil bloquejar o fins i tot detectar un atac de zero dies, per la qual cosa l’equip de seguretat ha de planificar el pitjor amb un pla de resposta d’incidents ben definit.
Què passa amb les petites empreses i les xarxes personals? L’informe no parla d’ells, però suposo que algú que hagi pagat 40.000 dòlars o més per accedir a una explotació l’apuntaria a l’objectiu més gran possible.
Podeu llegir l’informe complet al lloc web de NSS Labs.
