Рынок эксплойтов нулевого дня - Market for zero-day exploits - Wikipedia

В рынок эксплойтов нулевого дня относится к коммерческой деятельности, которая происходит вокруг торговля людьми из программные эксплойты.

Вступление

Программные уязвимости и "подвиги "используются для получения удаленного доступа как к хранимой информации, так и к информации, генерируемой в режиме реального времени. Когда большинство людей используют одни и те же программного обеспечения, как это имеет место сегодня в большинстве стран, учитывая монополистический характер поставщиков интернет-контента и услуг, одна конкретная уязвимость может быть использована против тысяч, если не миллионов людей. В этом контексте преступники заинтересовались такими уязвимостями. Согласно отчету Центра стратегических и международных исследований McAfee за 2014 год, стоимость киберпреступность и кибершпионаж составляет около 160 миллиардов долларов в год.[1] Во всем мире страны назначили государственные учреждения для решения этой проблемы, но они, вероятно, будут противоречить интересам их собственного правительства в доступе к информации людей в целях предотвращения преступности.[2] В результате как органы национальной безопасности, так и преступники скрывают определенные уязвимости программного обеспечения как от пользователей, так и от первоначального разработчика. Этот тип уязвимости известен как эксплойт нулевого дня.

В академических кругах и обычных СМИ много говорится о регулировании эксплойтов нулевого дня на рынке. Однако достичь консенсуса очень сложно, потому что большинство определений эксплойтов нулевого дня довольно расплывчато или неприменимо, поскольку можно определить использование определенного программного обеспечения как вредоносного ПО только после того, как оно было использовано.[2] Кроме того, существует конфликт интересов в деятельности государства, который может помешать принятию постановления, которое может сделать обязательным раскрытие информации о нулевых днях. Правительства сталкиваются с проблемой компромисса между защитой своих граждан. Конфиденциальность посредством сообщения об уязвимостях частным компаниям, с одной стороны, и подрыва коммуникационных технологий, используемых их целями, которые также угрожают безопасности общества, с другой.[3] Защита национальной безопасности за счет использования уязвимостей программного обеспечения, неизвестных как компаниям, так и общественности, является основным ресурсом для служб безопасности, но также ставит под угрозу безопасность каждого отдельного пользователя, поскольку любая третья сторона, включая преступные организации, может использовать тот же ресурс. .[4] Следовательно, только пользователи и частные фирмы имеют стимулы для минимизации рисков, связанных с эксплойтами нулевого дня; первое, чтобы избежать вторжения в частную жизнь, а второе - для снижения затрат на утечку данных. Сюда входят судебные процессы, затраты, связанные с разработкой решений для исправления или «исправления» исходной уязвимости в программном обеспечении, и затраты, связанные с потерей доверия клиентов к продукту.[5]

Описание

Аблон, Либицки и Голай[6] в значительной степени объяснили внутреннюю работу рынка нулевого дня. Основные выводы можно разделить на пять компонентов, которые будут расширены ниже: товары, валюта, рынок, предложение и спрос. Будут описаны эти компоненты и их связь с ценами. Кроме того, мы будем оспаривать определение, данное компоненту спроса, потому что оно имеет первостепенное значение для понимания природы рынков (т.е. белых, серых и черных) и их регулирования или его отсутствия.

Товар

Эксплойты - это цифровые продукты, а это значит, что они информационные товары с почти нулевыми предельными издержками производства.[7] Однако это нетипичный информационный товар. В отличие от электронных книг или цифровых видео, они теряют свою ценность не потому, что их легко воспроизвести, а из-за того, что, как только они будут обнаружены, первоначальный разработчик «залатает» уязвимость, снижая ценность товара. Значение не станет равным нулю по двум причинам: (1) патч распространяется асимметрично и (2) разработчики могут использовать исходную ошибку для создания варианта с меньшими затратами. Они также нетипичны, потому что они чувствительны ко времени. Компании регулярно обновляют свое программное обеспечение, и исправление полезно только во время перерыва между версиями; иногда уязвимость можно исправить без какого-либо внешнего отчета. В-третьих, даже в конфиденциальных транзакциях использование эксплойта само по себе может нарушить работу пользователя, обнажая уязвимость и приводя к потере ее ценности. В этом смысле эксплойты не исключаются, но они могут или не могут быть неконкурентоспособными.

Валюта

В большинстве случаев транзакции обычно предназначены для защиты личности по крайней мере одной из сторон, участвующих в обмене. Хотя это зависит от типа рынка (белые рынки могут использовать отслеживаемые деньги), большинство покупок совершается за украденные цифровые средства (кредитные карты) и криптовалюты. Хотя последнее было доминирующей тенденцией в последние несколько лет, цены на сером рынке устанавливаются в долларах, как показывают утечки Команда взлома архив электронной почты пользователя.[8]

Торговая площадка

Основная статья: Кибероружие промышленность

Классически черные рынки, такие как незаконное оружие или наркотики, требуют огромной сети доверенных лиц для выполнения транзакций, включая заключение сделок, подделку документов, финансовые переводы и незаконную транспортировку. Поскольку в этих сетях очень сложно обеспечить соблюдение каких-либо юридических соглашений, многие преступные организации вербуют членов недалеко от дома.[9] Этот элемент близости увеличивает стоимость транзакции, поскольку для транснациональных транзакций требуется больше посредников, что снижает общую прибыль первоначального продавца.

С другой стороны, нулевые дни - это виртуальные продукты, которые можно легко продавать через Интернет без посредников, поскольку доступные технологии достаточно сильны, чтобы обеспечить анонимность по очень низкой цене. Даже если есть потребность в посредниках, можно использовать «невольных информационных мулов», чтобы избежать каких-либо доказательств правонарушений.[10] Вот почему черный рынок так прибылен по сравнению с серые рынки. Серые рынки, которые включают транзакции с государственными учреждениями, отвечающими за национальную безопасность, обычно требуют использования третьих сторон для сокрытия следов своих транзакций. В архиве Hacking Team, например, есть предполагаемые контракты с Национальным секретариатом разведки Эквадора, в которых они использовали двух посредников: Robotec и Theola. В том же архиве говорится, что сторонние компании Cicom и Robotec вели переговоры по контрактам от имени ФБР и DEA соответственно.[11] Маловероятно, что белые рынки столкнутся с той же проблемой, поскольку скрывать транзакцию не в их интересах, скорее наоборот, потому что компании активно продвигают использование своих новых патчей.

Поставлять

Цепочка поставок сложна и включает в себя множество участников, организованных по иерархии, где администраторы занимают верхние позиции, а за ними следуют технические эксперты. Затем идут посредники, брокеры и продавцы, которые могут быть или не могут быть изощренными, и, наконец, следуют остроумные мулы. В этой цепочке команд можно найти несколько продуктов. В то время как эксплойты нулевого дня могут быть «найдены» или разработаны только экспертами в предметной области, другие эксплойты могут быть легко коммерциализированы практически любым человеком, желающим выйти на черный рынок. На это есть две причины. Во-первых, на некоторых устройствах используется устаревшее или устаревшее программное обеспечение, и на них могут легко попасть эксплойты, которые в противном случае были бы совершенно бесполезны. Во-вторых, эти «полудневные подвиги»[12] могут использоваться через графический интерфейс и изучаться с помощью свободно доступных руководств, что означает, что для выхода на рынок в качестве продавца требуется очень мало знаний.

Сосуществование рынков «нулевого дня» и «полдня» влияет на устойчивость черного рынка, поскольку разработчики продолжают двигаться к более изощренной цели. В то время как количество случаев уничтожения высокоразвитой организованной преступности увеличилось, поставщиков легко заменить людьми с более низких уровней пирамиды. После операции по демонтажу, которая может длиться несколько месяцев, на поиск нового поставщика может уйти меньше дня.

Однако для достижения вершины требуются личные связи и хорошая репутация, в этом случае цифровой черный рынок ничем не отличается от физического. Эксплойты на полдня обычно продаются в более легкодоступных местах, но нулевые дни часто требуют «двойных слепых» аукционов и использования нескольких уровней шифрования для обхода правоохранительных органов. Это невозможно сделать на форумах или досках, поэтому эти транзакции происходят в чрезвычайно проверенных местах.

требовать

Кто покупает эксплойты нулевого дня, определяет рынок, на котором мы имеем дело. Афидлер[4] проводит различие между белым, серым и черным рынками в соответствии с методологией определения размера рынка от Гарвардская школа бизнеса в качестве ориентира. Здесь они различают белые рынки, серые рынки и черные рынки.

Белые рынки - это те рынки, на которых оригинальные разработчики вознаграждают исследователей безопасности за сообщения об уязвимостях. В среднем цены, указанные до 2014 года, составляли менее десяти тысяч долларов, но для определенных уязвимостей были сделаны специальные предложения до 100 тысяч долларов в зависимости от типа, критичности и характера уязвимого программного обеспечения.[13] Четырнадцать процентов всех уязвимостей Microsoft, Apple и Adobe за последние десять лет были связаны с программами белого рынка.[нужна цитата ].[14]

Преступники покупают на черном рынке; однако правительства могут быть случайными покупателями, если их предложение не может быть удовлетворено на сером рынке или если они обнаруживают препятствия для приобретения нулевого дня из-за международных норм. Hacking Team заявляет на своем веб-сайте, что они «не продают продукты правительствам или странам, внесенным в черный список США, ЕС, ООН, НАТО или АСЕАН», хотя было установлено, что они нарушают их собственную политику. Цены на этом рынке обычно в 10–100 раз выше, чем на белом рынке.[6] и это меняется в зависимости от местонахождения покупателя; США - это то место, где предлагаются лучшие цены. Потенциальные продавцы, которым не разрешено продавать на определенных территориях, таких как Куба и Северная Корея в случае США, скорее всего, также будут работать на черном рынке.

К покупателям серых рынков относятся клиенты из частного сектора, правительства и брокеры, которые перепродают уязвимости. Информация об этих рынках доступна только через запросы конфиденциальной информации от правительств, где цена обычно редактируется в целях безопасности, а также утечка информации как из агентств национальной безопасности, так и из частных компаний (т.е. FinFisher и Hacking Team).

Цырклевич сообщил о транзакциях, совершенных Hacking Team.[8] На сегодняшний день это лучшее свидетельство того, как работает серый рынок. Однако вполне вероятно, что некоторые из этих процедур применяются как на белом, так и на черном рынке:

Покупатели следуют стандартной практике закупок технологий в отношении тестирования, доставки и приемки. Переговоры о гарантии и требованиях становятся необходимыми [из-за] асимметрии информации между покупателем и продавцом. Требования - такие как целевые конфигурации программного обеспечения - важно согласовывать заранее, потому что добавление поддержки для новых целей может быть невозможно или не стоит затраченных усилий. Аналогичным образом распространены гарантийные положения для покупателей, поэтому они могут минимизировать риск, распределяя платежи по частям в течение установленного периода [sic] и прерывая платежи досрочно, если уязвимость исправлена ​​до того, как этот период [sic] будет завершен. Платежи обычно производятся после того, как эксплойт 0day был доставлен и протестирован на соответствие требованиям, в результате чего продавцы должны доверять покупателям и действовать добросовестно. Точно так же покупатели, покупающие эксплойты, должны доверять продавцам, чтобы они не раскрывали уязвимость и не делились ею с другими, если она продается на эксклюзивной основе.

Споры

Обычно противниками серого рынка выступают розничные продавцы товара на рынке, поскольку это наносит ущерб его прибыли и репутации. В результате они обычно оказывают давление на первоначального производителя, чтобы тот изменил официальные каналы распространения. Государство также играет важную роль в обеспечении исполнения наказаний в случае нарушения закона. Однако рынок эксплойтов нулевого дня нетипичен, и то, как он работает, ближе к черному рынку. Брокеры и программы вознаграждений, которые можно рассматривать как розничных торговцев нулевого дня, не имеют никакого контроля над исходными производителями «плохих», поскольку они независимо обнаруживаются различными и часто анонимными участниками. Менять канал сбыта не в их интересах, поскольку они могут получать прибыль как на белом, так и на сером рынках, имея гораздо меньший риск на первом.

Государства, которые обычно дополняют работу оригинальных производителей по ограничению серых рынков, играют иную роль на рынке «нулевого дня», поскольку они регулярно покупают эксплойты. Учитывая секретный характер информационной безопасности, раскрытие информации об уязвимостях программного обеспечения не в их интересах, поскольку в этом случае их интересы совпадают с интересами преступников, которые стремятся проникнуть в устройства и получить информацию о конкретных целях. Можно утверждать, что присутствие спецслужб как потребителей этого «плохого» может еще больше увеличить цену нулевого дня, поскольку легитимные рынки дают торговцам с черного рынка возможность торговать.[5]

Наконец, частные компании не желают повышать цены на свои вознаграждения до уровней, достигнутых на сером и черном рынках, аргументируя это тем, что они не подходят для защитных рынков.[15] Предыдущие исследования показали, что программы вознаграждения более рентабельны для частных фирм по сравнению с наймом внутренних исследователей безопасности.[16] но если приз в виде наград будет продолжать расти, этого может и не быть.

В 2015 г. Zerodium, новый стартап, специализирующийся на приобретении «уязвимостей высокого риска», объявил о своей новой программе вознаграждений. Они опубликовали форматы, необходимые для отправки сообщений об уязвимостях, свои критерии для определения цен - популярность и сложность уязвимого программного обеспечения, а также качество отправленного эксплойта - и сами цены. Это представляет собой сочетание прозрачности, обеспечиваемой традиционной программой вознаграждения за уязвимости, и высоких вознаграждений, предлагаемых на сером и черном рынках.[17] Компании-разработчики программного обеспечения восприняли этот новый подход как угрозу, в первую очередь из-за того, что очень высокие вознаграждения могут привести к тому, что сотрудники разработчиков и тестировщиков могут покинуть свою обычную работу.[15] Однако его влияние на рынок еще предстоит определить.

В АНБ подвергался критике за скупку и накопление уязвимостей нулевого дня, сохранение их в секрете и развитие в основном наступательные возможности вместо того, чтобы помогать исправлять уязвимости.[18][19][20][21]

Смотрите также

Рекомендации

  1. ^ Убытки, Н. (2014). Оценка глобальной стоимости киберпреступности. Макафи, Центр стратегических и международных исследований.
  2. ^ а б Белловин, С. М., Блейз, М., Кларк, С., и Ландау, С. (2014). Законный взлом: Использование существующих уязвимостей для прослушивания телефонных разговоров в Интернете. Nw. J. Tech. & Intell. Проп., 12, п.
  3. ^ Чой, Дж. П., Ферштман, К., и Гандал, Н. (2010). Сетевая безопасность: уязвимости и политика раскрытия информации *. Журнал промышленной экономики, 58 (4), 868-894.
  4. ^ а б Афидлер М., Граник Дж. И Креншоу М. (2014). Анархия или регулирование: управление глобальной торговлей уязвимостями нулевого дня (докторская, магистерская диссертация. Стэнфордский университет, URL: https://stacks.stanford.edu/file/druid:zs241cm7504/Zero-Day%20Vulnerability%20Thesis%20by%20Fidler.pdf ).
  5. ^ а б Радианти, Дж., Рич, Э. и Гонсалес, Дж. Дж. (2009, январь). Уязвимость черных рынков: эмпирические данные и моделирование сценария. In System Sciences, 2009. HICSS'09. 42-я Гавайская международная конференция (стр. 1-10). IEEE.
  6. ^ а б Аблон, Л., Либицки, М. К., и Голей, А. А. (2014). Рынки инструментов киберпреступности и украденных данных: Hackers 'Bazaar. Rand Corporation.
  7. ^ Чаппелл, Х. В., Гимарайнш, П., и Демет Озтюрк, О. (2011). Признания интернет-монополиста: оценка спроса на версионный информационный товар. Экономика управления и принятия решений, 32 (1), 1-15.
  8. ^ а б Цырклевич В. (22 июля 2015 г.). Hacking Team: пример рынка нулевого дня. Получено 20 октября 2015 г. из https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/
  9. ^ Кинселла, Д. (2006). Черный рынок стрелкового оружия: исследуем социальную сеть. Современная политика безопасности, 27 (01), 100-117.
  10. ^ Аппельбаум, Дж., Гибсон, А., Гарнери, К., Мюллер-Магун, А., Пойтрас, Л., Розенбах, М., и Шмундт, Х. М. Зонтхаймер, «Гонка цифровых вооружений: АНБ готовит Америку к будущей битве» ", Spiegel Online, январь 2015 г.
  11. ^ Гонсалес, Э. (30 июля 2015 г.). Объяснитель: Охват хакерской команды в Америке. Получено 4 декабря 2015 г. из http://www.as-coa.org/articles/explainer-hacking-teams-reach-americas-0
  12. ^ Полудневные эксплойты (также известные как однодневные или двухдневные эксплойты) - это эксплойты, в которых создатель программного обеспечения может знать об уязвимости и может быть доступен патч, но немногие пользователи знают и внедряют эти патчи.
  13. ^ Дуэбендорфер, Т., и Фрей, С. (2009). Почему тихие обновления повышают безопасность. TIK, ETH Zurich, Tech. Репу, 302.
  14. ^ Фидлер, Майлин. «Регулирование торговли уязвимостями нулевого дня: предварительный анализ». Журнал права и политики для информационного общества.
  15. ^ а б Hackett, R. (21 сентября 2015 г.). Требуются взломы: взлом iPhone на 1 миллион долларов. Проверено 5 декабря 2015 г.
  16. ^ Финифтер, М., Ахаве, Д., и Вагнер, Д. (2013, август). Эмпирическое исследование программ вознаграждения за уязвимость. В USENIX Security (том 13).
  17. ^ В ноябре того же года компания объявила, что заплатила один миллион долларов в качестве вознаграждения за эксплойт iOS9, однако существует широко распространенный скептицизм относительно достоверности такого отчета. Zerodium не работает с оригинальными разработчиками и пока не раскрывает никаких конкретных сведений о предполагаемом эксплойте iOS9.
  18. ^ Шнайер, Брюс (24 августа 2016 г.). «Новые утечки доказывают это: АНБ подвергает всех нас опасности быть взломанными». Vox. Получено 5 января 2017.
  19. ^ «Cisco подтверждает, что zeroday, связанный с АНБ, в течение многих лет нацеливался на ее межсетевые экраны». Ars Technica. Получено 5 января 2017.
  20. ^ Гринберг, Энди. «Беспорядок с теневыми брокерами - вот что происходит, когда АНБ копит нулевые дни». ПРОВОДНОЙ. Получено 5 января 2017.
  21. ^ «Трамп, вероятно, сохранит программу взлома». Bloomberg BNA. Архивировано из оригинал 5 января 2017 г.. Получено 5 января 2017.