פגיעות של אפס יום: כלי הסייבר החדשים והעוצמתיים

(של קרלו מאקלי)
13/10/21

כולם יודעים שוירוסי מחשב מהווים כיום איום עקבי ומתמשך על חברות.

התקפות כמו אלה של צוות אגרגור נגד רשת המרכולים בדרום אמריקה Cencosud ונגד הרכבת התחתית של ונקובר, או כמו אלה שמתנגדים השמש, שגרמה לדליפת נתונים ענקית ממרכזי הכוח האמריקאי והדגישה את הביקורתיות של שרשרת אספקה או שוב, התקפות כאלה שהן מתרחשות יותר ויותר בתי חולים ומתקנים אחרים סניטרי הם מייצגים תרחיש מלחמה אמיתי המהווה סיכונים עצומים לחברה שלנו.

כשיותר ויותר מהכלכלה שלנו נעה באינטרנט, היום אף אחד לא בטוח ב -100%, לא הקטן ולא הגדול. כמו כן מכיוון שבעוד שחלק גדול מהעולם הפוליטי אינו דן בכללים, בהנחיות בנושא אבטחה ותקנות, פשעי הרשת מאורגנים זה מכבר ופועלים על פי מודלים עסקיים ברורים, ותמיד מצליחים להיות צעד אחד לפני כולם.

המכנה המשותף של כל הקבוצות והנושאים הפושעים הללו הוא התוכנית המבצעית המוכתבת על ידי עסק בצמיחה מעריכית ואשר המנטרה שלה יכולה להיות כזו: וירוסים אינם נמכרים אך מושכרים.

מי שמפתח אותם, שוכר קבוצות אחרות להפיץ אותן, למשל על ידי ביצוע קמפיינים עבור דיוג ממוקדים, בעוד שאחרים דואגים לאסוף ולהפיץ את כספי הסחיטה.

ל"לקוחות "של קבוצות אלה לא צריך להיות בעל כישורי מחשב. הם רק צריכים לשכור את כל השירותים הדרושים להם כדי לפגוע בחברה מתחרה או במדינת לאום ולגרום לשלל לחלוק עם שותפיהם. זה גם ברור כיצד קשה יותר ויותר לחוקרים לאתר את מקור המתקפה מה שאומר שלרוב התוקפים נותרים עלומים, ללא עונש וחופשי.

בתרחיש דומה, ללא צל של ספק, ציד הפגיעות הפך לספורט האהוב על התוקפים מכיוון שהוא המפתח כדי להיות מסוגל "לנצח בקלות".

ודווקא בנושא זה הייתי רוצה לדבר עליו במאמר זה מבלי להעמיד פנים שהוא ממצה אותו מכיוון שהתמודדות עם כל ההיבטים של פגיעות מחשב היא, לפחות בשבילי, משימה לא קשה אלא פשוט בלתי אפשרית. אל לנו לשכוח, למעשה, כי עולם הפגיעות בטכנולוגיית המידע הוא תחום שהולך ומתרחב, הנוגע לכל רכיב במערכת מחשבים ומעבר לה.

Le נקודות תורפה במחשב הם יכולים להיחשב כתקלות או תצורות שגויות או פשוט, כטעויות הקיימות במערכת החושפות אותו לסיכונים.

ניתן לסכם את הקטלוג של פגיעויות ה- IT ב -3 קטגוריות מאקרו:

  • תוכנה - למעשה מדובר בתקלות ובשגיאות בכתיבת הקוד שעבורן כל פעולה שתתבצע על ידי התוכנה כלפי חוץ ופנים עלולה לגרום לפגיעות.

  • פרוטוקולים - כדי לפשט את הרעיון, מדובר בפערי אבטחה במערכת התקשורת בין הטכנולוגיות הקיימות במערכת מחשבים

  • חומרה - אנו מדברים על הפגיעות של התקני חומרה כאשר אלמנט כלשהו גורם לסכנה אובייקטיבית לתפקודו התקין של המכונה.

טווח הפגיעות הוא רחב ביותר כמו גם הפוטנציאל הקשור לסיכונים שהפגיעות עצמן מביאות איתן. ה מאגר הפגיעות הלאומי (NVD) של ממשלת ארצות הברית, המופעל על ידי הרשימה של פגיעויות וחשיפות נפוצות, מכיל כיום למעלה מ -150.000 ערכים.

מקרים שהתפרסמו מאוד של נקודות תורפה "קנויות" ומנוצלות הם, ללא צל של ספק, Windows CVE-2017-0144 מה שפתח את הדלת להתקפות תוכנת כופר WannaCry באמצעות הניצול EternalBlue וזה הקשור לרשת הבוט Mirai שהתפשט באמצעות ניצול של מספר משמעותי של נקודות תורפה.

אם זה נכון שיש צורך לשפר את איכות כתיבת הקוד כדי להימנע מנוכחות של פגיעויות, נכון לא פחות שהמודעות לסיכונים שהפגיעות מביאות איתן אינה כה נפוצה, לפחות על פי מה שמדווח ב דוח אבטחה של מחסום 2021 מה שמדגיש כיצד בשנת 2020 נוצלו 75% מההתקפות פגיעות בנות שנתיים לפחות. באופן מיוחד:

  • שלוש מתוך ארבע פיגועים ניצלו באגים שדווחו בשנת 2017 או קודם לכן;

  • 18% מההתקפות השתמשו בפגיעויות שנחשפו בשנת 2013 ואילך.

טכנולוגיות חיוביות במקום זאת, הוא מצא זאת 26% מהחברות נשארות חשופות לתוכנת כופר WannaCry מכיוון שהוא עדיין לא הפיץ את התיקון.

עד כה דיברנו על נקודות תורפה, שעוברות לי את המונח, נוכל להגדיר "נורמלי" ושכל אחד יכול לנצל אותו ללא השקעות מיוחדות, אלא פשוט לנצל את החולשות או את חוסר ההכרה של קורבנות פוטנציאליים.

לכן ייאמר שאם היינו מתקינים מערכות, מבצעים מניעה וניטור ומפיצים את התיקונים ששוחררו, התרחיש יהיה טוב יותר מהמצב הנוכחי והסיכונים יופחתו מאוד. לא היינו בארץ הפלאות אך לא היינו עדים לטבח שאנו עדים לו מדי יום.

במקום זאת, זה לא המצב, למרבה הצער, מכיוון שעולם הפגיעות כולל גם את היקר והנחשק ביותר מכיוון שהוא עדיין לא ידוע: פגיעות יום אפס המייצג את מושא רצונם של פושעי סייבר רבים שיכולים לנצל אותו לביצוע פעולותיהם, ללא הפרעה.

רבים מאמינים שזה נקרא אפס יום כי הוא מנוצל לראשונה ביום בו מתבצעת ההתקפה הראשונה באמצעות השימוש בו. למעשה, הסיבה הרבה יותר פשוטה: יש למתכנת קוד הקורבן אפס ימים לתקן את זה.

ממש לפני שנכנסים לנרטיב להצביע על הבדל ברמה של אפס יום אשר עשוי להיראות כפרט אך אינו:

  • אפס יום הקשור לפגיעות הנובעות מחוסר ייצור תיקון;

  • אפס ימים הקשורים למעללים, שהם טכניקות לביטול פגיעה בלתי ידועה וכתוצאה מכך קטלנית אם היא מועברת לידיים הלא נכונות.

ביחס לפגיעות ידועות, ברצוני לציין שהיכולת לנצל פגיעות מסוג זה היא, עם זאת, פריבילגיה של מעטים. בפרט, אנו מדברים על נושאים מנוסים הרבה יותר ואשר יכולים ליהנות ממשאבים ניכרים בכדי שיוכלו לצאת לקמפיינים התקפיים מאסיביים. לא במקרה אחוז ההתקפות שבוצעו על ידי ניצול פגיעויות מהסוג הזה נמוך בהרבה מזה של ההתקפות שבוצעו על ידי ניצול נקודות תורפה ידועות.

אין ספק שהם התקפות שעושות רעש, שיכולות להיות הרסניות ומטרתן יכולה להיות גם ליצור תסיסה חברתית. אבל נדבר על זה מאוחר יותר.

אז מה הדבר שעושה אחד אפס יום כל כך יקר? מדוע מדברים על מסחר בפגיעות?

אנו מנסים לענות על סמך ניסיון. בכל פעם פגיעות מסוג אפס יום נוצל, היינו עדים להתקפות מסוג מדינת הלאום, כלומר התקפות שמטרתן לפגוע בלב מדינה על ידי פגיעה בתשתיות קריטיות.

ניצול לא ידוע, למעשה, מאפשר לך להפר מערכת מבלי להיראות מעשית כתוצאה מהסתרת מידע עדין ורגיש מאוד גם באזורים בהם החיפוש אחר מידע כזה עלול להיות מסוכן.

יתר על כן, היא יכולה לאפשר לתוקף לפגוע במטרות או להגיע למערכות שההתעסקות שלה עלולה לגרום לנזקים שווים לאלה של התקפה צבאית ללא, עם זאת, הוצאה של אנרגיה וכסף.

לכן אנו יכולים לאשר כי הניצול של א אפס יום יכול להפוך לאחד נשק סייבר, או בנשק מחשב בלשון המעטה קטלנית והדוגמה הראשונה, במובן זה, יכולה להיחשב למקרה של Stuxnet. וירוס זה, בשנת 2009, נועד לפגוע בטורבינות של תחנת הכוח האיראנית של נטנז על ידי ניצול כמה נקודות תורפה 0 יום חלונות. אדוארד סנאודן אישר כי הנגיף נוצר על ידי שיתוף הפעולה של ה- NSA עם המודיעין הישראלי כדי להאט או אפילו למנוע את התפתחות האטום של איראן. השימוש בפגיעות 0 יום הוא מנע ממנו להיחסם בשלבים הראשונים והתגלית התאפשרה עקב שגיאת תכנות שגרמה לנגיף להתרבות גם מחוץ למפעל.

זו הייתה אחת הדוגמאות הראשונות, אם לא הראשונות, ללוחמה היברידית, שנלחמה בשדה קרב מחשבים שבתוכו אפס-יום הם דומים לנשק התגנבות לא ניתן לזיהוי על ידי מכ"מים רגילים וזה יכול לפגוע באויבם בלב.

כל זה הוביל לידתו של שוק פגיעות של ממש אפס יום כי ברור שאם אתה לא מצליח לגלות אותם, אתה קונה אותם וכדי לעשות זאת עליך לדבוק בכללים של כל שוק פיננסי שבו המחיר הוא לקונה. זהו החוק הקלאסי של היצע וביקוש ובתרחיש זה נכון גם לזכור עד כמה חברות גדולות כמו מיקרוסופט, גוגל וכו '. בנוסף להשקעות שנעשו כדי לפתח את התוכנה שלהם בצורה הבטוחה ביותר האפשרית, הם מוציאים מיליוני דולרים כדי לשכור את מה שמכונה "צייד באונטי"כלומר "ציידי השפע" החדשים על מנת לגלות את חולשות התוכנה.

למעשה מדובר באנשי מקצוע שבמקום "לצוד" את האיש הרע, מחפשים אחר אוצר חדש: הפגיעות שטרם התגלתה.

האקרון פרסם מחקר שהראה כי העלות הממוצעת של פגיעות תוכנה קריטיות היא 5754 $ בעוד שבמקרה של חומרה, הערך יורד ל -4633 $.

סקירה מאוגוסט 2020 מדווחת כי מיקרוסופט שילמה 12 מיליון דולר לחוקרים שמצאו ודיווחו על באגים בתוכנה שלה במהלך 13,7 החודשים האחרונים וכי 327 חוקרים קיבלו 200.000 אלף דולר.

עם זאת ניכר כי מעבר לכל דבר, מוצר בעל מאפיינים אלה יכול לקבל הרבה קונים וכתוצאה מכך מחירו אמור לעלות באופן דרמטי. והקונים הם לא רק החבר'ה הטובים, כביכול.

החברה זרודיום, למשל, עושה עסקים עם מסחר של אפס יום בדיוק כפי שניתן היה לעשות זאת בבורסה עם רכישה ומכירה של מניות. זרודיום היא אחת החברות המוכרות ביותר לרכישת והפצת מעללים אפס יום. מה שהחברה האמריקאית עושה, בפועל, הוא לחפש בשוק באגים ומנצלים שהתגלו לאחרונה, בדרך כלל על ידי מפתחים והאקרים, ולקנות את "הזכויות".

בכר צ'אוקי, המייסד, אמר לפני כמה שנים שהוא עוסק רק ממשלות דמוקרטיות, כולל מידע כיצד להתגונן מפני נקודות תורפה.

לבקר, למעשה, יש תיאוריה משלו לפיה, על ידי הגבלת ההתפשטות של אפס יום ההתעללויות מצטמצמות לכמה חברות וממשלות בודדות ביחס גילוי מלא.

נסה לקרוא בין השורות של זה ציוץ ותבין על מה אנחנו מדברים.

מה שיכול לקרות הוא שממשלה, ברגע שהיא תרכוש ניצול מאירודיום, עשויה להחליט למסור אותו לכוחות הביטחון הציבורי או לשירותי החשאי ולהשתמש בו לפעולות שהיא רואה לנכון ביותר.

השאלה היא "מהן הפעולות הללו?". לבסוף, סביר להניח, אתה יכול להבין שאנחנו לא בגן עדן אלא בעולם שבו הכל נשלט על ידי עסקים ושבו הכל מסודר, למרבה הצער.

בקר, לפני שהקים את זרודיום, עבד עבורו וופן, חברת מסחר צרפתית ידועה. עם הקבוצה של וופן הצליחה בכרר לעקוף את האבטחה של Google Chrome בהאקתון שאורגן על ידי יולט פקארד.

במקום למשוך את הפרס של 60.000 אלף דולר, שהוענקו למי שהצליח, טען בכר כי תמורת סכום בעולם, החברה שלו לעולם תחשוף כיצד הצליחה לבצע את מתקפת הדפדפן וכי הוא היה מעדיף. המידע ללקוחותיהם במקום לאסוף את הפרס.

ומי היו הלקוחות שלו? אבל, מעל לכל, מה הם קנו?

פשוט עיין בכמה הודעות דוא"ל הכלולות ב דליפה על ידי צוות האקינג לקבל את התשובה ובעיקר להבין את ממדה.

אני מאמין שיש אמת שרבים לא אומרים ושמניעת מודעות מלאה למה שקורה בעולם אבטחת הסייבר: לממשלות ולרב לאומיות יש אינטרס רב להחזיק מידע בפני אחרים.

שמעת פעם על ג'יימס בונד? שמעת פעם על ריגול? כמובן שכן. ריגול תמיד היה קיים והיום, בגרסתו המודרנית, נקודות תורפה אפס יום הם הנשק החזק ביותר שלו.

המערכת של צוות פריצה גלילאו, שנכתב על בסיס כמה נקודות תורפה לא ידועות ונרכש על ידי מתווכים כגון Vupen, מדווח על נוסח זה בעלון שלו "מערכת שלט רחוק:"חבילת הפריצה ליירוט ממשלתי. ממש בהישג יד."

בשלב זה תשאלו את עצמכם: "ואם מישהו רוצה למצוא דרך לקנות את אחת הפגיעות השימושיות האלה, לאן הוא צריך לחפש? את מי הוא צריך לבקש לקנות? "

בהתחשב בכל מה שאמרנו עד כה, האם ייתכן שפשוט על ידי חיפוש ברשת, כל אחד יוכל למצוא פגיעות שאחרים משלמים מיליוני דולרים?

ובכן, הייתי אומר בוודאות כמעט מוחלטת כי התשובה היא לא. בהנחה שהפגיעות לא הייתה בשימוש נרחב ונמכרה פעמים רבות, זה בהחלט יהפוך אותה לזמינה יותר.

כדי להבהיר את הרעיון אפילו טוב יותר: ניצול עדכני ביותר שנותן אפשרות לגשת למערכת הראויה להיקרא אפס יום הוא לא נמצא ברשת והסיבה ברורה: זה עולה יותר מדי !!!

אולי זה מקוון אבל לא בשוק או נתמך מי יודע איפה מחכים לעסקאות מיליונר. או שוב, אולי קל גם לדמיין שמי שעובד שם נמצא בתלושי שכר מפורסמים ...

נוכל להמשיך עם ההנחות זמן רב אך עובדה אחת בטוחה ואינטואיטיבית, בהתחשב בכך שמדובר בשוק תת -קרקעי: הן העסקאות, הן הקונים והן המוכרים נותרים סודיים לרובם.

מה ניתן לעשות כדי להגן על עצמן ומה חברות יכולות לעשות טוב יותר כדי לפתח קוד מאובטח יותר?

אובייקטיבי קשה לענות על השאלה השנייה מעל לכל.

עובדה היא שהענקים הגדולים של מדעי המחשב משתמשים במערכות מתוחכמות יותר ויותר כדי לנתח את הקוד ולשלוט בו. הם מנצלים את מחזורי האוטומציה והבקרה בזמן, אך השגיאה תמיד קיימת, למרבה הצער. אם זה נכון שעד עכשיו לא הצלחנו לחסל את השגיאה, ומי יודע אם נצליח אי פעם, זה צמצם לפחות באופן דרסטי את זמן השחרור של הטלאים וזה ללא ספק היבט חיובי.

בכל מקרה, מורכב היכולת להגביל את הסכנה מפני פגיעות מסוג זה, במיוחד בכל הנוגע לעולם הסמארטפונים והטאבלטים ברשתות 3G, 4G או 5G.

במקום זאת, ניתן לאמת את מעבר הנתונים בתוך רשת תקשורת על ידי ניתוח החבילות בצורה מתקדמת יותר הודות לשימוש בחומות אש מדור חדש המסוגלות לנתח ולהבין, להפריד ביניהן, את התנועה "הטובה" מה"רע ". ”, עם האפשרות, אפוא, להקל על הסכנה של התקפה המובילה לקראת פגיעות אפס יום.

יש לבחון את הארכיטקטורות הלוגיות בהתאם לשיטות העבודה הטובות ביותר שמספקות ספקי מערכות ההפעלה והיישומים ולא לנסות להתאים אותן למדיניות החברה שלרוב מהוות בלם לשימוש נכון שלהן.

השימוש בפתרונות וכלים המאפשרים ניטור בזמן אמת באמצעות אלגוריתמי ניתוח המבוססים על למידת מכונה ed בינה מלאכותית, מייצגים אמצעי נוסף למניעת סיכונים.

שינוי המודל התרבותי כדי לקרב יותר ויותר פקדי אבטחה ופגיעות למקורותיהם, וממקם אותם בשרשרת שבה נבנות תוכנות, מכונות וירטואליות, מכולות, משאבי ענן ועוד.

כמו כן, כדאי להדגיש כי היגיינה דיגיטלית מונעת טובה, בשילוב עם שימוש במערכות מודיעין לאיומים, תפחית במידה ניכרת את המשטח החשוף ותמנע ממנו להפוך למשטח הניתן לתקיפה.

אין ספק שמרחב הסייבר היה מזה זמן מה שדה קרב אמיתי שבתוכו המשחקים שמשוחקים חשובים מאוד. זה גורם לי לחשוב על ההתקפה בצפון קוריאה במהלך האולימפיאדה, שעליו כתבתי בדפים אלה, או זה ב סוני או עדיין אל חולית סייבר או, לחזור לאחרונה, ל- Solarwinds e קאסייה או להתקפות אחרות שסימנו את הולדת מלחמות הסייבר במטרה אחת ויחידה: לכבוש מידע.

קישורים נוספים

25+ סטטיסטיקות ופגיעות בנושא אבטחת סייבר בשנת 2021 (comparitech.com)

מצב הפיתוח של ניצול: 80% מהמנצלים מפרסמים מהר יותר מאשר קורות חיים (Paloaltonetworks.com)

דוח נתוני פגיעות 2021 (edgecan.com)

NVD - דף הבית (nist.gov)

בית - שדרות האבטחה

ספא פשעי הרשת: כיצד פועלת תעשיית התוכנות הזדוניות | טכנולוגיה חופשית

אפס מעללי יום והתקפות של אפס יום | קספרסקי

קבוצת תוכנות הכופר האגרסיביות ביותר ברוסיה נעלמה. והסיבה היא תעלומה - טק (mashable.com)

שווי ניצול לאייפון שווה עד 2 מיליון דולר - אבטחת סייבר

צ'אוקי בקרר בטוויטר: "מה על חוקר לעשות עם היום שלו? 0. גילוי מלא כדי שכל אחד / ממשלות יוכלו (א) להשתמש בו ללא גבולות / תקנה .1 למכור לגוברים / ברוקרים ולקבל הכנסה ראויה תוך הגבלה ( ab) השתמשו ב- 2. דווח לספקים ותבע אתונך, או קבל זכויות מחורבנות ו / או שמך במודעות " / טוויטר

האם התפוח "חורני" מדי? זרודיום: "אנחנו כבר לא משלמים לאלה שמוצאים באגים ב- iOS" (cybersecurityup.it)

אנשי המכירות של אפס-יום (forbes.com)

Stuxnet - סקירה כללית | נושאי ScienceDirect

צילום: חיל האוויר האמריקאי / מחבר / אינטרנט