Video: Brug af Heltec ESP32 OLED Wifi Kit - Robojax (Oktober 2024)
Den anden tirsdag i hver måned "Patch Tuesday" skubber Microsoft patches ud for fejl og sikkerhedshuller i Windows og i Microsoft-applikationer. Det meste af tiden inkluderer de behandlede problemer alvorlige sikkerhedshuller, programmeringsfejl, der kan lade hackere trænge igennem netværkssikkerhed, stjæle information eller køre vilkårlig kode. Adobe, Oracle og andre leverandører har deres egne programplaner. En alarmerende ny undersøgelse fra NSS Labs antyder, at hackere i gennemsnit har cirka fem måneders ubundet adgang til disse sikkerhedshuller mellem den første opdagelse og sanering. Værre er, at der findes specialiserede markedspladser til at sælge nyopdagede sårbarheder.
Dr. Stefan Frei, forskningsdirektør ved NSS Labs, overvågede en undersøgelse, der undersøgte over ti års data fra to store "sårbarhedskøbsprogrammer." Freis rapport påpeger, at alle de resulterende tal er minimum; der sker helt klart meget mere, som de simpelthen ikke ved om. Baseret på hvad de ved, er markedet for information om udnyttelse vokset markant i de sidste par år. For ti år siden havde de to undersøgte virksomheder bare en håndfuld ikke-afsløret sårbarheder på en given dag. I de sidste par år er dette antal vokset til over 150, hvoraf over 50 vedrører de fem bedste leverandører: Microsoft, Apple, Oracle, Sun og Adobe.
Udnyttelser til salg, billige
Stuxnet og andre angreb på nationstatsniveau er afhængige af flere ikke-afslørede sikkerhedshuller for at trænge ind i sikkerheden. Det antages, at deres skabere betaler enormt udbytte for at få eksklusiv adgang til disse nul-dages sårbarheder. NSA budgetterede $ 25 millioner til udnyttelse af køb i 2013. Freis undersøgelse afslørede, at priserne nu er meget lavere; stadig højt, men inden for rækkevidde af cyberkriminelle organisationer.
Frei citerer en New York Times-artikel, der undersøgte fire udbydere af boutiqueudnyttelse. Deres gennemsnitspris for viden om en endnu ikke afsløret sårbarhed varierede mellem $ 40.000 og $ 160.000. Baseret på oplysninger indhentet fra disse udbydere konkluderer han, at de kan levere mindst 100 eksklusive udnyttelser om året.
Sælgere kæmper tilbage
Nogle softwareleverandører tilbyder bugbelønninger, hvilket skaber et slags forskningsprogram for skarer. En forsker, der opdager et tidligere ukendt sikkerhedshul, kan få en legitim belønning direkte fra sælgeren. Det er helt sikkert mere sikkert end at handle med cyber-skurke eller med dem, der sælger til cyber-skurke.
Typiske bugbelønninger spænder fra hundreder til tusinder af dollars. Microsofts "Mitigation Bypass Bounty" udbetaler $ 100.000, men det er ikke en simpel fejlfinding. For at tjene det, skal en forsker opdage en "virkelig ny udnyttelsesteknologi", der kan undergrave den nyeste version af Windows.
Du er blevet hacket
Bug-belønninger er rart, men der vil altid være dem, der går efter den større belønning, der tilbydes af boutiqueudnyttelsesudbydere og cyberkriminelle. Rapporten konkluderer, at enhver virksomhed eller stor organisation skal antage, at sit netværk allerede er hacket. Det er hårdt at blokere eller endda opdage et angreb på nul dage, så sikkerhedsteamet bør planlægge det værste med en veldefineret hændelsesplan.
Hvad med små virksomheder og personlige netværk? Rapporten taler ikke om dem, men jeg antager, at en person, der betalte $ 40.000 eller mere for adgang til en udnyttelse, ville sigte mod det største mulige mål.
Du kan læse den fulde rapport på NSS Labs websted.
