Chaque jour, les États-nations et les hackers criminels ont accès à tout un arsenal de vulnérabilités zero-day — des failles logicielles non documentées et non corrigées qui peuvent être utilisées pour contourner silencieusement les défenses numériques de la plupart des organisations, selon de nouvelles recherches. Cette conclusion qui donne à réfléchir vient au milieu de preuves de plus en plus nombreuses que les voleurs et les cyberespions augmentent leurs dépenses pour acquérir et stocker ces armements numériques.
Les experts en sécurité soupçonnent depuis longtemps que les gouvernements et les cybercriminels stockent des bogues du jour zéro : après tout, l’idée est que si l’objectif est d’exploiter ces faiblesses lors de futures attaques en ligne offensives, vous feriez mieux d’avoir plus que quelques astuces dans votre car il n’est jamais clair si ou quand ces bogues seront découverts indépendamment par des chercheurs ou corrigés par le fournisseur. Ces soupçons ont été confirmés très publiquement en 2010 avec la découverte de Stuxnetune arme apparemment conçue pour retarder les ambitions nucléaires de l’Iran et qui s’appuyait sur au moins quatre vulnérabilités zero-day.
Des documents récemment divulgués par Agence de Sécurité Nationale le dénonciateur Edward Snowden indique que la NSA dépensé plus de 25 millions de dollars cette année seulement pour acquérir des vulnérabilités logicielles auprès de fournisseurs. Mais combien d’exploits logiciels cela achète-t-il, et qu’est-ce que cela dit sur le nombre de failles zero-day dans la circulation privée un jour donné ?
Telles sont quelques-unes des questions posées par Stéphane Frei, directeur de recherche pour Austin, Texas Laboratoires NSS. Frei s’est penché sur les rapports de et sur certains de ces fournisseurs privés – y compris les fournisseurs d’exploits de boutique comme Systèmes de fin de partie, Exode Intelligence, Netragard, ReVuln et VUPEN — et a conclu que, conjointement ces entreprises ont à elles seules la capacité de vendre plus de 100 exploits zero-day par an.
Selon Frei, si nous acceptons que l’exploit zero-day moyen persiste environ 312 jours avant d’être détecté (une estimation réalisés par des chercheurs de Laboratoires de recherche Symantec), cela signifie que ces entreprises ont probablement donner accès à au moins 85 exploits zero-day n’importe quel jour de l’année. Ces entreprises disent toutes se réserver le droit de restreindre les organisations, les individus et les États-nations qui peuvent acheter leurs produits, mais elles ont toutes expressément ne pas partager des informations sur les exploits et les failles avec les éditeurs de logiciels concernés.
Estimation minimale de Frei des exploits offerts par les fournisseurs d’exploits de boutique chaque année.
CONNU INCONNU
Cette approche se distingue des goûts de Point de basculement HPc’est Initiative Zero Day (ZDI) et Verisignc’est Programme de contribution aux vulnérabilités iDefense (VCP), qui rémunèrent les chercheurs en échange des droits sur leurs recherches sur la vulnérabilité. ZDI et iDefense gèrent également la communication avec les fournisseurs concernés, fournissent une protection provisoire pour les vulnérabilités à leurs clients et gardent le silence sur les défauts jusqu’à ce que le fournisseur fournisse une mise à jour pour corriger les bogues.
Frei a également fait le point sur les vulnérabilités logicielles collectées par ces deux sociétés et a constaté qu’entre 2010 et 2012, les programmes ZDI et VCP ont publié ensemble 1 026 failles, dont 425 (44 %) ciblaient des failles dans Microsoft, Pomme, Oracle, soleil et Adobe des produits. Le délai moyen entre l’achat et la publication était de 187 jours.
« Un jour donné au cours de ces trois années, les programmes VCP et ZDI possédaient 58 vulnérabilités non publiées affectant cinq fournisseurs, soit 152 vulnérabilités au total », a écrit Frei dans un document de recherche publié aujourd’hui.
Frei note que les programmes VCP et ZDI utilisent les informations qu’ils achètent uniquement dans le but de renforcer la protection de leurs clients, et comme ils partagent les informations avec les éditeurs de logiciels afin de développer et de publier des correctifs, le risque global est relativement faible. De plus, les vulnérabilités collectées et signalées par VCP et ZDI ne sont techniquement pas des zero-days, car l’une des qualités importantes d’un zero-day est qu’il est utilisé dans la nature pour attaquer des cibles avant que le fournisseur responsable ne puisse envoyer un correctif pour corriger le problème.
Dans tous les cas, Frei affirme que son analyse démontre clairement que les informations critiques sur la vulnérabilité sont disponibles en quantités importantes pour les groupes privés, pendant de longues périodes et à un coût relativement faible.
« Donc, tout le monde sait qu’il y a zéro jour, mais lorsque nous parlons à des cadres de niveau C, très souvent, nous constatons que ces gars-là n’ont aucune idée, car ils nous disent: » Ouais, mais nous n’avons jamais été compromis « , », a déclaré Frei dans une interview. « Et nous leur demandons toujours, ‘Comment le savez-vous?' »
Frei a déclaré qu’à la lumière de la réalité actuelle du jour zéro, il a trois conseils pour les cadres de niveau C :
- Supposez que vous êtes compromis et que vous serez à nouveau compromis.
- La prévention est limitée; investissez dans la détection des violations afin que vous puissiez rapidement trouver et agir sur tout compromis.
- Assurez-vous d’avoir un processus pour répondre correctement aux compromis lorsqu’ils se produisent.
Bien que l’étude de Frei soit une approximation très grossière de la scène du jour zéro aujourd’hui, il s’agit presque certainement d’une estimation prudente : elle ne tente pas de deviner le nombre de vulnérabilités du jour zéro développées par les sociétés de conseil en sécurité commerciale, qui emploient des équipes hautement qualifiées. des rétro-ingénieurs qui peuvent être embauchés pour découvrir les failles des produits logiciels.
Il n’examine pas non plus les zero-days qui sont achetés et échangés dans le milieu cybercriminel, où les courtiers en vulnérabilité et les développeurs de kits d’exploitation sont connus pour payer des dizaines de milliers de dollars pour des exploits zero-day dans des logiciels largement utilisés. J’aurai quelques-unes de mes propres recherches à présenter sur cette dernière catégorie dans la semaine à venir. Restez à l’écoute. Mise à jour, 6 décembre, 13 h 30 HE : Découvrez cette histoire sur l’arrestation de l’homme soupçonné d’être derrière le Blackhole Exploit Kit. Il aurait travaillé avec un partenaire qui disposait d’un budget de 450 000 $ pour acheter des exploits de navigateur.
Histoire originale :
Mais les recherches de Frei m’ont amené à repenser à une idée d’approche plus ouverte et collaborative pour découvrir les vulnérabilités logicielles qui sont restées obstinément coincées dans ma gorge pendant des lustres. Certes, de nombreuses entreprises ont choisi d’offrir des programmes de « bug bounty » – des récompenses pour les chercheurs qui signalent des découvertes zero-day. À mon avis, c’est bien et comme il se doit, mais la plupart des entreprises offrant ces primes – Google, MozillaCommentet Facebook sont parmi les plus notables – opèrent dans le cloud et ne sont pas responsables des produits logiciels de bureau les plus souvent ciblés par les zero-days de haut niveau.
Après avoir longtemps résisté à l’idée des primes de bogue, Microsoft a également récemment lancé un programme pour rémunérer les chercheurs qui découvrent de nouvelles façons de vaincre ses défenses de sécurité. Mais au lieu d’attendre que le reste de l’industrie réponde en nature et de réinventer l’idée des primes de bogue un fournisseur à la fois, y a-t-il un rôle pour un service ou un processus plus global et indépendant du fournisseur pour inciter la découverte, le signalement et la correction de failles zero-day ?
La plupart des idées que j’ai entendues jusqu’à présent impliquent de financer un tel système en imposant des amendes aux éditeurs de logiciels, une idée qui semble cathartique et peut-être justifiée, mais probablement contre-productive. Je suis sincèrement convaincu qu’un système de primes de bogues véritablement mondial et rémunérateur est possible et peut-être même inévitable, car nos vies, notre santé et notre richesse sont de plus en plus liées à la technologie. Mais il y a un point d’achoppement que je ne peux tout simplement pas dépasser : comment éviter que la chose soit détournée ou autrement subvertie par un ou plusieurs acteurs de l’État-nation ?
Je souhaite une discussion sur ce sujet. Veuillez résonner dans les commentaires ci-dessous.
.
[ad_1]
Chaque jour, les États-nations et les hackers criminels ont accès à tout un arsenal de vulnérabilités zero-day — des failles logicielles non documentées et non corrigées qui peuvent être utilisées pour contourner silencieusement les défenses numériques de la plupart des organisations, selon de nouvelles recherches. Cette conclusion qui donne à réfléchir vient au milieu de preuves de plus en plus nombreuses que les voleurs et les cyberespions augmentent leurs dépenses pour acquérir et stocker ces armements numériques.
Les experts en sécurité soupçonnent depuis longtemps que les gouvernements et les cybercriminels stockent des bogues du jour zéro : après tout, l’idée est que si l’objectif est d’exploiter ces faiblesses lors de futures attaques en ligne offensives, vous feriez mieux d’avoir plus que quelques astuces dans votre car il n’est jamais clair si ou quand ces bogues seront découverts indépendamment par des chercheurs ou corrigés par le fournisseur. Ces soupçons ont été confirmés très publiquement en 2010 avec la découverte de Stuxnetune arme apparemment conçue pour retarder les ambitions nucléaires de l’Iran et qui s’appuyait sur au moins quatre vulnérabilités zero-day.
Des documents récemment divulgués par Agence de Sécurité Nationale le dénonciateur Edward Snowden indique que la NSA dépensé plus de 25 millions de dollars cette année seulement pour acquérir des vulnérabilités logicielles auprès de fournisseurs. Mais combien d’exploits logiciels cela achète-t-il, et qu’est-ce que cela dit sur le nombre de failles zero-day dans la circulation privée un jour donné ?
Telles sont quelques-unes des questions posées par Stéphane Frei, directeur de recherche pour Austin, Texas Laboratoires NSS. Frei s’est penché sur les rapports de et sur certains de ces fournisseurs privés – y compris les fournisseurs d’exploits de boutique comme Systèmes de fin de partie, Exode Intelligence, Netragard, ReVuln et VUPEN — et a conclu que, conjointement ces entreprises ont à elles seules la capacité de vendre plus de 100 exploits zero-day par an.
Selon Frei, si nous acceptons que l’exploit zero-day moyen persiste environ 312 jours avant d’être détecté (une estimation réalisés par des chercheurs de Laboratoires de recherche Symantec), cela signifie que ces entreprises ont probablement donner accès à au moins 85 exploits zero-day n’importe quel jour de l’année. Ces entreprises disent toutes se réserver le droit de restreindre les organisations, les individus et les États-nations qui peuvent acheter leurs produits, mais elles ont toutes expressément ne pas partager des informations sur les exploits et les failles avec les éditeurs de logiciels concernés.
Estimation minimale de Frei des exploits offerts par les fournisseurs d’exploits de boutique chaque année.
CONNU INCONNU
Cette approche se distingue des goûts de Point de basculement HPc’est Initiative Zero Day (ZDI) et Verisignc’est Programme de contribution aux vulnérabilités iDefense (VCP), qui rémunèrent les chercheurs en échange des droits sur leurs recherches sur la vulnérabilité. ZDI et iDefense gèrent également la communication avec les fournisseurs concernés, fournissent une protection provisoire pour les vulnérabilités à leurs clients et gardent le silence sur les défauts jusqu’à ce que le fournisseur fournisse une mise à jour pour corriger les bogues.
Frei a également fait le point sur les vulnérabilités logicielles collectées par ces deux sociétés et a constaté qu’entre 2010 et 2012, les programmes ZDI et VCP ont publié ensemble 1 026 failles, dont 425 (44 %) ciblaient des failles dans Microsoft, Pomme, Oracle, soleil et Adobe des produits. Le délai moyen entre l’achat et la publication était de 187 jours.
« Un jour donné au cours de ces trois années, les programmes VCP et ZDI possédaient 58 vulnérabilités non publiées affectant cinq fournisseurs, soit 152 vulnérabilités au total », a écrit Frei dans un document de recherche publié aujourd’hui.
Frei note que les programmes VCP et ZDI utilisent les informations qu’ils achètent uniquement dans le but de renforcer la protection de leurs clients, et comme ils partagent les informations avec les éditeurs de logiciels afin de développer et de publier des correctifs, le risque global est relativement faible. De plus, les vulnérabilités collectées et signalées par VCP et ZDI ne sont techniquement pas des zero-days, car l’une des qualités importantes d’un zero-day est qu’il est utilisé dans la nature pour attaquer des cibles avant que le fournisseur responsable ne puisse envoyer un correctif pour corriger le problème.
Dans tous les cas, Frei affirme que son analyse démontre clairement que les informations critiques sur la vulnérabilité sont disponibles en quantités importantes pour les groupes privés, pendant de longues périodes et à un coût relativement faible.
« Donc, tout le monde sait qu’il y a zéro jour, mais lorsque nous parlons à des cadres de niveau C, très souvent, nous constatons que ces gars-là n’ont aucune idée, car ils nous disent: » Ouais, mais nous n’avons jamais été compromis « , », a déclaré Frei dans une interview. « Et nous leur demandons toujours, ‘Comment le savez-vous?' »
Frei a déclaré qu’à la lumière de la réalité actuelle du jour zéro, il a trois conseils pour les cadres de niveau C :
ANALYSE
Bien que l’étude de Frei soit une approximation très grossière de la scène du jour zéro aujourd’hui, il s’agit presque certainement d’une estimation prudente : elle ne tente pas de deviner le nombre de vulnérabilités du jour zéro développées par les sociétés de conseil en sécurité commerciale, qui emploient des équipes hautement qualifiées. des rétro-ingénieurs qui peuvent être embauchés pour découvrir les failles des produits logiciels.
Il n’examine pas non plus les zero-days qui sont achetés et échangés dans le milieu cybercriminel, où les courtiers en vulnérabilité et les développeurs de kits d’exploitation sont connus pour payer des dizaines de milliers de dollars pour des exploits zero-day dans des logiciels largement utilisés. J’aurai quelques-unes de mes propres recherches à présenter sur cette dernière catégorie dans la semaine à venir. Restez à l’écoute. Mise à jour, 6 décembre, 13 h 30 HE : Découvrez cette histoire sur l’arrestation de l’homme soupçonné d’être derrière le Blackhole Exploit Kit. Il aurait travaillé avec un partenaire qui disposait d’un budget de 450 000 $ pour acheter des exploits de navigateur.
Histoire originale :
Mais les recherches de Frei m’ont amené à repenser à une idée d’approche plus ouverte et collaborative pour découvrir les vulnérabilités logicielles qui sont restées obstinément coincées dans ma gorge pendant des lustres. Certes, de nombreuses entreprises ont choisi d’offrir des programmes de « bug bounty » – des récompenses pour les chercheurs qui signalent des découvertes zero-day. À mon avis, c’est bien et comme il se doit, mais la plupart des entreprises offrant ces primes – Google, MozillaCommentet Facebook sont parmi les plus notables – opèrent dans le cloud et ne sont pas responsables des produits logiciels de bureau les plus souvent ciblés par les zero-days de haut niveau.
Après avoir longtemps résisté à l’idée des primes de bogue, Microsoft a également récemment lancé un programme pour rémunérer les chercheurs qui découvrent de nouvelles façons de vaincre ses défenses de sécurité. Mais au lieu d’attendre que le reste de l’industrie réponde en nature et de réinventer l’idée des primes de bogue un fournisseur à la fois, y a-t-il un rôle pour un service ou un processus plus global et indépendant du fournisseur pour inciter la découverte, le signalement et la correction de failles zero-day ?
La plupart des idées que j’ai entendues jusqu’à présent impliquent de financer un tel système en imposant des amendes aux éditeurs de logiciels, une idée qui semble cathartique et peut-être justifiée, mais probablement contre-productive. Je suis sincèrement convaincu qu’un système de primes de bogues véritablement mondial et rémunérateur est possible et peut-être même inévitable, car nos vies, notre santé et notre richesse sont de plus en plus liées à la technologie. Mais il y a un point d’achoppement que je ne peux tout simplement pas dépasser : comment éviter que la chose soit détournée ou autrement subvertie par un ou plusieurs acteurs de l’État-nation ?
Je souhaite une discussion sur ce sujet. Veuillez résonner dans les commentaires ci-dessous.
.