Più spesso che no, la pubblicazione di proof-of-concept (PoC) del codice per una falla di sicurezza, in particolare un “giorno zero”, ha portato alla rapida adozione di una vulnerabilità e minaccia di attori che di solito iniziano gli attacchi nell’arco di ore o giorni, e non dare agli utenti finali abbastanza tempo per risolvere sistemi interessati.
C’è stato un dibattito su questo problema, soprattutto quando il PoC codice non viene da malintenzionati o da altre fonti indipendenti, ma da white-hat i ricercatori di sicurezza, che, in teoria, dovrebbe essere incentrato sulla tutela degli utenti.
Il dibattito intorno a questa pratica controversa è in corso da anni, con le persone della sicurezza delle informazioni (infosec) campo prendendo entrambi i lati della navata.
Un lato sostiene che i ricercatori di sicurezza non dovrebbe mai pubblicare PoC codice, perché gli aggressori possono prendere il codice e automatizzare gli attacchi, mentre l’altro lato sostiene che il PoC anche il codice necessario per testare reti di grandi dimensioni e di identificare i sistemi vulnerabili, quindi, dovrebbe essere inclusa, ove disponibili, in quanto consente ai reparti IT di simulare attacchi futuri.
In “sicurezza informatica panorama delle minacce Q4 2018” rapporto pubblicato il mese scorso, gli esperti di sicurezza di Positivo Tecnologie toccato questo di lunga durata dibattito, ancora una volta.
Mentre Positivo Tecnologie esperti non hanno un problema con la pubblicazione di proof-of-concept ” codice in generale, hanno avuto un problema con il rilascio di PoC codice troppo rapidamente dopo la notizia di una vulnerabilità rotto, o il rilascio di PoC codice per zero-giorni –entrambi i casi, che non lasciano agli utenti abbastanza tempo per la patch, se non a tutti.
La società ha menzionato questo problema nella sua trimestrale threat report, perché tali episodi sono stati accadendo sempre più spesso.
Per esempio, la lista seguente comprende una serie di incidenti in cui gli attacchi hanno avuto luogo subito dopo la pubblicazione del PoC, codice, o dove i ricercatori hanno pubblicato zero-giornata informativa accompagnata da PoC codice, invece di aspettare che la patch.
Windows zero-day diffusi su Twitter con un PoC incluso, è stato abusato in campagne di malware osservato dai ricercatori ESET.PoC codice pubblicato per una patch di bug Cinese di framework PHP ha portato all’immediato attacchi contro i milioni di siti.PoC codice pubblicato da Cisco difetto comunicati lo scorso anno e che interessano RV110, RV130, e RV215 router led per attacchi contro tali dispositivi, e un Cisco patch al più presto seguita.Internet Explorer zero-day è stato adottato da un kit di exploit in pochi giorni lo scorso anno dopo la pubblicazione del PoC codice.Il Cobalto gruppo di hacker, inoltre, iniziò ad abusare di un Flash zero-day giorni dopo la pubblicazione di una patch e PoC codice.
ZDNet ha parlato con Leigh-Anne Galloway, la sicurezza informatica resilienza portare a Positiva Tecnologie, per espandere ulteriormente l’argomento.
“Come industria, abbiamo la responsabilità di divulgazione linee guida. Questo non è seguita da tutti,” Galloway detto a ZDNet in un’intervista. “Allo stesso modo non è conosciuto o compreso da tutti i fornitori.
“Spesso il driver per rivelare pubblicamente perché il venditore non ha riconosciuto la gravità del problema e non la chiusura della vulnerabilità. O il ricercatore di sicurezza può avere provato tutte le altre vie per comunicare i risultati. Naturalmente, il pericolo è che i criminali possono utilizzare queste informazioni per indirizzare le vittime.
“I fornitori di chiedere a fornire la prova che la vulnerabilità è effettivamente presente nel loro prodotto e può essere sfruttata quando i ricercatori riferiscono che la vulnerabilità. I ricercatori hanno bisogno di dimostrare che possono essere sfruttate, e per questo, i Poc sono creati.
“La presenza di un exploit determina anche il livello di rischio assegnato dal CVSS sistema. Se un venditore paga i ricercatori rivelate vulnerabilità nel quadro di un bug bounty, i ricercatori guadagnare soldi da questo lavoro, ma spesso i venditori non organizzare il bug bounty program, e tutto quello che un ricercatore può ottenere da questo pubblico riconoscimento da parte della comunità di esperti.
“Dimostrando la descrizione della vulnerabilità su Internet, mostrando un esempio di operazione e PoC codice, i ricercatori ad ottenere il riconoscimento e il rispetto”, Galloway ha detto.
“Di solito, i ricercatori a pubblicare il codice di exploit solo dopo un periodo sufficientemente lungo di tempo dopo la loro notifica al venditore circa la vulnerabilità, dando agli sviluppatori di prodotti, la possibilità di chiudere la vulnerabilità e comunicare agli utenti la necessità di installare gli aggiornamenti.
“Ma, molto spesso, i fornitori di ritardare il rilascio di patch e aggiornamenti, a volte per un periodo superiore a sei mesi, così succede che la pubblicazione del [PoC] exploit si verifica letteralmente dopo la pubblicazione della patch.
“Inoltre, non è da escludere casi in cui l’exploit è pubblicato, a cura del ricercatore che ha detto il venditore circa la vulnerabilità, ma per qualcuno che ha appena scoperto la vulnerabilità da Internet e scrisse subito un exploit”, Galloway ha detto.
“Da un lato, la pubblicazione di un exploit aumenta il rischio di attacchi di successo e semplifica l’attacco in se stesso, ma, d’altra parte, è un incentivo per le imprese e gli utenti comuni a seguire i principi di base della sicurezza delle informazioni di aggiornare i loro sistemi regolarmente e in modo tempestivo,” il Positivo Tecnologie esperto ha concluso.
Quindi, tutto sommato, la pubblicazione di PoC codice è utile in alcuni casi, ma i ricercatori di sicurezza che trovare questi difetti, o anche quelli che vengono a studiare questi bug, dovrebbe mostrare una certa moderazione nella pubblicazione di tale codice e ‘ troppo presto dopo una patch viene rilasciata, o almeno di ritardare per un paio di settimane, per dare agli utenti il tempo di patch.
Relative cyber-copertura di sicurezza:
Microsoft rilascia l’Applicazione Guardia di estensione per Chrome e FirefoxAlmost 150 milioni di utenti influenzato dalle nuove SimBad Android adwareTwo terzi di tutti gli antivirus Android apps sono fraudsAndroid Q per ottenere una tonnellata di nuovi privacy featuresChinese gruppo di hacker backdoor prodotti da tre gioco Asiatico companiesBanking Trojan alluvione impresa, Android attacchi di sovratensione
Android ‘API di rottura vulnerabilità di perdite di dati del dispositivo, permette all’utente di monitoraggio TechRepublicAndroid programma di sicurezza ha contribuito a fissare oltre 1 milione di app in Google Play CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati