Jump to content

Рынок эксплойтов нулевого дня

Рынок эксплойтов нулевого дня — это коммерческая деятельность, связанная с торговлей эксплойтами программными .

Уязвимости программного обеспечения и « эксплойты » используются для получения удаленного доступа как к хранимой информации, так и к информации, генерируемой в реальном времени. Когда большинство людей используют одно и то же программное обеспечение , как это происходит сегодня в большинстве стран, учитывая монополистический характер поставщиков интернет-контента и услуг, одна конкретная уязвимость может быть использована против тысяч, если не миллионов людей. В связи с этим такими уязвимостями заинтересовались преступники. По оценкам отчета Центра стратегических и международных исследований McAfee за 2014 год, ущерб от киберпреступности и кибершпионажа составляет около 160 миллиардов долларов в год. [1] Во всем мире страны назначили государственные учреждения для решения этой проблемы, но они, скорее всего, будут противоречить интересам их собственного правительства в доступе к информации людей в целях предотвращения преступности. [2] В результате как органы национальной безопасности, так и преступники скрывают определенные уязвимости программного обеспечения как от пользователей, так и от первоначального разработчика. Этот тип уязвимости известен как эксплойт нулевого дня .

В академических кругах и обычных СМИ много говорилось о регулировании эксплойтов нулевого дня на рынке. Однако достичь консенсуса очень сложно, поскольку большинство определений эксплойтов нулевого дня довольно расплывчаты или неприменимы, поскольку определить использование определенного программного обеспечения как вредоносное можно только после его использования. [2] Кроме того, существует конфликт интересов в деятельности государства, который может помешать принятию регулирования, которое может сделать обязательным раскрытие информации о нулевых днях. Правительства сталкиваются с компромиссом между защитой конфиденциальности своих граждан посредством сообщения об уязвимостях частным компаниям, с одной стороны, и подрывом коммуникационных технологий, используемых их объектами, которые также угрожают безопасности общества, с другой. [3] Защита национальной безопасности путем использования уязвимостей программного обеспечения, неизвестных как компаниям, так и общественности, является основным ресурсом для органов безопасности, но также ставит под угрозу безопасность каждого отдельного пользователя, поскольку любая третья сторона, включая преступные организации, может использовать тот же ресурс. . [4] Следовательно, только пользователи и частные фирмы имеют стимулы минимизировать риски, связанные с эксплойтами нулевого дня; первый — чтобы избежать вторжения в частную жизнь, а второй — чтобы снизить издержки, связанные с утечкой данных. К ним относятся юридические процессы, затраты, связанные с разработкой решений по исправлению или «исправлению» исходной уязвимости в программном обеспечении и затраты, связанные с потерей доверия клиентов к продукту. [5]

Описание [ править ]

Аблон, Либицкий и Голай [6] в значительной степени объяснили внутреннюю работу рынка нулевого дня. Основные выводы можно разделить на пять компонентов: товар, валюта, рынок, предложение и спрос. Эти компоненты и их взаимосвязь с ценообразованием будут описаны. Определение компонента спроса также будет оспорено, поскольку крайне важно понять природу рынков (т.е. белых, серых и черных) и их регулирование или его отсутствие.

Товар [ править ]

Эксплойты — это цифровые продукты, то есть информационные товары с почти нулевыми предельными производственными издержками. [7] Однако это нетипичные информационные товары. В отличие от электронных книг или цифровых видео, они теряют свою ценность не потому, что их легко воспроизвести, а из-за того, что как только они будут обнаружены, первоначальный разработчик «исправит» уязвимость, уменьшив ценность продукта.

Значение не будет равно нулю по двум причинам: (1) распространение патча асимметрично и (2) разработчики могут использовать исходную ошибку для создания варианта по сниженной цене. Они также нетипичны, поскольку являются товарами, чувствительными ко времени. Компании регулярно обновляют свое программное обеспечение, и исправления полезны только в период между версиями; иногда уязвимость можно исправить без какого-либо внешнего отчета. В-третьих, даже в конфиденциальных транзакциях использование эксплойта само по себе может создать сбой на стороне пользователя, обнажая уязвимость и приводя к потере ее ценности. В этом смысле эксплойты не исключаются, но они могут быть или не могут быть неконкурентными, поскольку чем больше пользователей используют эксплойт нулевого дня после определенного момента, тем более заметным будет его влияние на рассматриваемую компанию. Это может привести к тому, что компания с большей вероятностью исправит эксплойт, в результате чего эксплойт будет доступен для всех пользователей в течение ограниченного периода времени.

Валюта [ править ]

В большинстве случаев транзакции обычно предназначены для защиты личности хотя бы одной из сторон, участвующих в обмене. Хотя это зависит от типа рынка (белые рынки могут использовать отслеживаемые деньги), большинство покупок совершается с использованием украденных цифровых средств (кредитных карт) и криптовалют . Хотя последнее было доминирующей тенденцией в последние несколько лет, цены на сером рынке устанавливаются в долларах, о чем свидетельствуют утечки архива электронной почты Hacking Team . [8]

Торговая площадка [ править ]

Основная статья: Индустрия кибероружия

Традиционно, черные рынки, такие как нелегальное оружие или наркотики, требуют, среди прочего, огромной сети доверенных лиц для заключения сделок, подделки документов, финансовых переводов и незаконных перевозок. Поскольку обеспечить соблюдение каких-либо юридических соглашений внутри этих сетей очень сложно, многие преступные организации вербуют членов недалеко от дома. [9] Этот элемент близости увеличивает стоимость транзакции, поскольку для транснациональных транзакций требуется больше посредников, что снижает общую прибыль первоначального продавца.

С другой стороны, нулевой день — это виртуальные продукты, и их можно легко продать без посредников через Интернет, поскольку доступные технологии достаточно сильны, чтобы обеспечить анонимность по очень низкой цене. Даже если есть необходимость в посредниках, можно использовать «невольных мулов данных», чтобы избежать каких-либо доказательств правонарушений. [10] Вот почему черный рынок настолько прибыльен по сравнению с серыми рынками . Серые рынки, которые включают в себя транзакции с государственными учреждениями, отвечающими за национальную безопасность, обычно требуют использования третьих сторон для сокрытия следов своих транзакций. Например, в архиве Hacking Team содержатся предполагаемые контракты с Национальным секретариатом разведки Эквадора, в которых они использовали двух посредников: Robotec и Theola. В том же архиве говорится, что сторонние компании Cicom и Robotec вели переговоры по контрактам от имени ФБР и DEA соответственно. [11] Менее вероятно, что белые рынки столкнутся с той же проблемой, поскольку скрывать транзакцию не в их интересах, а как раз наоборот, потому что компании активно продвигают использование своих новых патчей.

Поставка [ править ]

Цепочка поставок сложна и включает в себя множество участников, организованных по иерархии, где наверху находятся администраторы, за которыми следуют технические эксперты. Далее идут посредники, брокеры и продавцы, которые могут быть или не быть изощренными, и, наконец, за ними следуют сообразительные мулы. В этой цепочке подчинения можно найти несколько продуктов. В то время как эксплойты нулевого дня могут быть «найдены» или разработаны только экспертами в данной области, другие эксплойты могут быть легко коммерциализированы практически любым человеком, желающим выйти на черный рынок. Для этого есть две причины. Во-первых, некоторые устройства используют устаревшее или нерекомендуемое программное обеспечение и могут быть легко атакованы эксплойтами, которые в противном случае были бы совершенно бесполезны. Во-вторых, эти "подвиги на полдня" [12] можно использовать через графические интерфейсы и изучать с помощью свободно доступных учебных пособий, а это означает, что для выхода на рынок в качестве продавца требуется очень мало опыта.

Сосуществование рынков нулевого дня и полдня влияет на устойчивость черного рынка, поскольку разработчики продолжают двигаться в сторону более сложного конца. В то время как масштабы борьбы с организованной преступностью возросли, поставщиков легко заменить людьми на более низких уровнях пирамиды. Поиск нового поставщика может занять меньше дня после операции по отключению, которая может длиться несколько месяцев.

Однако для достижения вершины необходимы личные связи и хорошая репутация, в этом цифровой черный рынок ничем не отличается от физического. Эксплойты на полдня обычно продаются в более доступных местах, но эксплойты нулевого дня часто требуют «двойных слепых» аукционов и использования нескольких уровней шифрования для уклонения от правоохранительных органов. Это невозможно сделать на форумах или досках, поэтому эти транзакции происходят в тщательно проверенных местах.

Спрос [ править ]

Кто покупает эксплойты нулевого дня, определяет тип рынка, с которым мы имеем дело. Афидлер [4] проводит различие между белым, серым и черным рынками, руководствуясь методологией определения размера рынка Гарвардской школы бизнеса . Здесь различают белые рынки, серые рынки и черные рынки.

Белые рынки — это рынки, на которых первоначальные разработчики вознаграждают исследователей безопасности за сообщение об уязвимостях. В среднем цены, заявленные до 2014 года, составляли менее десяти тысяч долларов, но для определенных уязвимостей были сделаны специальные предложения до 100 000 долларов в зависимости от типа, критичности и характера уязвимого программного обеспечения. [13] Четырнадцать процентов всех уязвимостей Microsoft, Apple и Adobe за последние десять лет возникли через программы белого рынка. [14]

Преступники покупают на черном рынке; однако правительства могут быть случайными покупателями, если их предложение не может быть удовлетворено на сером рынке или если они обнаруживают препятствия для приобретения нулевого дня из-за международных правил. Hacking Team заявляет на своем веб-сайте, что они «не продают продукцию правительствам или странам, занесенным в черный список США, ЕС, ООН, НАТО или АСЕАН», хотя было обнаружено, что они нарушают их собственную политику. Цены на этом рынке обычно в 10–100 раз выше, чем на белом рынке. [6] и это меняется в зависимости от местонахождения покупателя; Соединенные Штаты являются местом, где предлагаются лучшие цены. Потенциальные продавцы, которым не разрешено продавать на определенных территориях, таких как Куба и Северная Корея в случае США, вероятно, также будут работать на черном рынке.

В число покупателей серого рынка входят клиенты из частного сектора, правительств и брокеров, которые перепродают уязвимости. Информация об этих рынках доступна только через запросы конфиденциальной информации от правительств, где цена обычно редактируется в целях безопасности, а информация просачивается как из агентств национальной безопасности, так и из частных компаний (например, FinFisher и Hacking Team).

Цырклевич сообщил о сделках, совершенных Hacking Team. [8] На сегодняшний день это лучшее из имеющихся данных о внутренней работе серого рынка. Однако вполне вероятно, что некоторые из этих процедур применяются как на белом, так и на черном рынках:

Покупатели следуют стандартным процедурам закупок технологий в отношении тестирования, доставки и приемки. Переговоры о гарантиях и требованиях становятся необходимыми при покупке продукта, который по сути обусловлен существованием информационной асимметрии между покупателем и продавцом. Требования, такие как целевые конфигурации программного обеспечения, важно согласовывать заранее, поскольку добавление поддержки новых целей может быть невозможным или не стоит затраченных усилий. Аналогичным образом, распространены гарантийные положения для покупателей, поэтому они могут минимизировать риск, распределяя платежи в течение установленного периода времени и досрочно прекращая платежи, если уязвимость будет исправлена ​​до истечения этого периода. Платежи обычно производятся после того, как эксплойт нулевого дня был доставлен и протестирован на соответствие требованиям, что заставляет продавцов доверять покупателям и действовать добросовестно. Аналогичным образом, покупатели эксплойтов должны быть уверены, что продавцы не раскроют уязвимость и не поделятся ею с другими, если она продается на эксклюзивной основе.

Влад Цирклевич, Hacking Team: исследование рынка нулевого дня, https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/

Споры [ править ]

Обычно сторонами, выступающими против серых рынков, являются розничные продавцы товара на рынке, поскольку это наносит ущерб его прибыли и репутации. В результате они обычно оказывают давление на оригинального производителя, чтобы тот наладил официальные каналы распространения. Государство также играет важную роль в обеспечении наказания в случае нарушения закона. Однако рынок эксплойтов нулевого дня нетипичен, и способ его работы ближе к работе черного рынка. Брокеры и баунти-программы, которых можно рассматривать как розничных продавцов нулевого дня, не имеют никакого контроля над первоначальными производителями «плохого» продукта, поскольку они независимо обнаруживаются разными, часто анонимными, субъектами. Изменение канала сбыта не в их интересах, поскольку они могут получить прибыль как на белом, так и на сером рынках, имея при этом гораздо меньший риск на первом.

Государства, которые обычно дополняют работу первоначальных производителей для ограничения серых рынков, играют на рынке нулевого дня другую роль, поскольку они являются постоянными покупателями эксплойтов. Учитывая секретный характер информационной безопасности, раскрытие информации об уязвимостях программного обеспечения не в их интересах, поскольку в этом случае их интересы совпадают с интересами преступников, которые стремятся проникнуть в устройства и получить информацию о конкретных целях. Можно утверждать, что присутствие спецслужб в качестве потребителей этого «плоха» может еще больше повысить цену нулевого дня, поскольку законные рынки предоставляют переговорную силу продавцам на черном рынке. [5]

Наконец, частные компании не желают повышать цены на свои вознаграждения до уровня, достигнутого на сером и черном рынках, аргументируя это тем, что они не подходят для защитных рынков. [15] Предыдущие исследования показали, что программы вознаграждения более рентабельны для частных фирм по сравнению с наймом собственных исследователей в области безопасности. [16] но если приз в виде вознаграждений будет продолжать расти, возможно, ситуация уже не будет иметь место.

В 2015 году Zerodium , новый стартап, специализирующийся на приобретении «уязвимостей высокого риска», объявил о своей новой программе вознаграждений. Они опубликовали форматы, необходимые для отправки сообщений об уязвимостях, критерии определения цен — популярность и сложность затронутого программного обеспечения, а также качество представленного эксплойта — и сами цены. Это представляет собой сочетание прозрачности, предлагаемой традиционной программой вознаграждения за уязвимости, и высоких вознаграждений, предлагаемых на сером и черном рынках. [17] Компании-разработчики программного обеспечения восприняли этот новый подход как угрозу, в первую очередь из-за того, что очень высокие вознаграждения могли заставить сотрудников разработчиков и тестировщиков оставить свою повседневную работу. [15] Однако его влияние на рынок еще предстоит определить.

АНБ наступательных критиковали за скупку и накопление уязвимостей нулевого дня, сохранение их в секрете и разработку в основном возможностей вместо помощи в исправлении уязвимостей. [18] [19] [20] [21]

См. также [ править ]

Ссылки [ править ]

  1. ^ Потери, Н. (2014). Оценка глобальной стоимости киберпреступности. Макафи, Центр стратегических и международных исследований.
  2. ^ Jump up to: Перейти обратно: а б Белловин С.М., Блейз М., Кларк С. и Ландау С. (2014). Законный взлом : Использование существующих уязвимостей для прослушивания телефонных разговоров в Интернете. Нв. Дж. Тех. И Интел. Положение, 12, и.
  3. ^ Чой, Дж. П., Ферштман, К., и Гэндал, Н. (2010). Сетевая безопасность: Уязвимости и политика раскрытия*. Журнал промышленной экономики, 58 (4), 868-894.
  4. ^ Jump up to: Перейти обратно: а б Афидлер М., Граник Дж. и Креншоу М. (2014). Анархия или регулирование: контроль глобальной торговли уязвимостями нулевого дня (докторская диссертация, магистерская диссертация. Стэнфордский университет, URL: https://stacks.stanford.edu/file/druid:zs241cm7504/Zero-Day%20Vulnerability%20Thesis%20by %20Fidler.pdf ).
  5. ^ Jump up to: Перейти обратно: а б Радианти Дж., Рич Э. и Гонсалес Дж. Дж. (январь 2009 г.). Уязвимость черных рынков: эмпирические данные и моделирование сценариев. В системных науках, 2009. HICSS'09. 42-я Гавайская международная конференция (стр. 1–10). IEEE.
  6. ^ Jump up to: Перейти обратно: а б Аблон, Л.; Либицкий, MC; Голай, А.А. (2014). Рынки инструментов киберпреступности и украденных данных: Хакерский базар . Корпорация Рэнд.
  7. ^ Чаппелл, Х.В., Гимарайнш, П., и Демет Озтюрк, О. (2011). Исповедь интернет-монополиста: Оценка спроса на версионный информационный товар. Экономика управления и принятия решений, 32 (1), 1-15.
  8. ^ Jump up to: Перейти обратно: а б Цирклевич В. (22 июля 2015 г.). «Команда хакеров: пример рынка нулевого дня» . Проверено 20 октября 2015 г.
  9. ^ Кинселла, Д. (2006). Черный рынок стрелкового оружия: изучаем соцсеть. Современная политика безопасности, 27(01), 100-117.
  10. ^ Аппелбаум, Дж .; Гибсон, А.; Гварниери, К.; Мюллер-Магун, А.; Пойтрас, Л.; Розенбах, М.; Шмундт; Зонтхаймер, Ее Величество (17 января 2015 г.). «Гонка цифровых вооружений: АНБ готовит Америку к будущей битве» . Дер Шпигель .
  11. ^ Гонсалес, Э. (30 июля 2015 г.). Объяснение: присутствие хакерской команды в Америке. Получено 4 декабря 2015 г. с http://www.as-coa.org/articles/explainer-hacking-teams-reach-americas-0 .
  12. ^ Эксплойты на полдня (также известные как однодневные или двухдневные эксплойты) — это те, в которых создатель программного обеспечения может знать об уязвимости и может быть доступен патч, но лишь немногие пользователи знают и внедряют эти патчи.
  13. ^ Дюбендорфер Т. и Фрей С. (2009). Почему автоматические обновления повышают безопасность. TIK, ETH Zurich, Tech. Реп, 302.
  14. ^ Фидлер, Мейлин. «Регулирование торговли уязвимостями нулевого дня: предварительный анализ». I/S: Журнал права и политики информационного общества .
  15. ^ Jump up to: Перейти обратно: а б Хакетт, Р. (21 сентября 2015 г.). Требуются джейлбрейки: взломы iPhone за 1 миллион долларов . Проверено 5 декабря 2015 г.
  16. ^ Финифтер М., Ахаве Д. и Вагнер Д. (август 2013 г.). Эмпирическое исследование программ вознаграждения за уязвимости. В USENIX Security (том 13).
  17. ^ В ноябре того же года фирма объявила, что заплатила один миллион долларов в качестве вознаграждения за эксплойт iOS9, однако существует широко распространенный скептицизм по поводу правдивости такого отчета. Zerodium не работает с первоначальными разработчиками и пока не раскрыл никаких подробностей о предполагаемом эксплойте iOS9.
  18. ^ Шнайер, Брюс (24 августа 2016 г.). «Новые утечки доказывают это: АНБ подвергает нас всех риску быть взломанными» . Вокс . Проверено 5 января 2017 г.
  19. ^ «Cisco подтверждает, что нулевой день, связанный с АНБ, на протяжении многих лет атаковал ее межсетевые экраны» . Арс Техника. 17 августа 2016 г. Проверено 5 января 2017 г.
  20. ^ Гринберг, Энди. «Беспорядок с теневыми брокерами — это то, что происходит, когда АНБ накапливает нулевые дни» . ПРОВОДНОЙ . Проверено 5 января 2017 г.
  21. ^ «Трамп, скорее всего, сохранит программу хакерских уязвимостей» . Блумберг БНА. Архивировано из оригинала 5 января 2017 года . Проверено 5 января 2017 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Market_for_zero-day_exploits&oldid=1168091355"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 841037dbc3939e1d77fee3911c8284c8__1690819260
URL1:https://arc.ask3.ru/arc/aa/84/c8/841037dbc3939e1d77fee3911c8284c8.html
Заголовок, (Title) документа по адресу, URL1:
Market for zero-day exploits - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)