Le plus souvent, la publication de la preuve de concept (PoC) code pour une faille de sécurité, en particulier un “jour zéro”, a conduit à l’adoption rapide d’une vulnérabilité par la menace acteurs qui ont l’habitude de commencer les attaques dans les heures ou les jours, et ne donnent pas de fin à l’utilisateur suffisamment de temps à corriger les systèmes concernés.
Il y a eu un débat sur cette question, en particulier lorsque le PoC code ne vient pas de méchants ou d’autres sources indépendantes, mais à partir de “white-hat” les chercheurs en sécurité, qui, en théorie, devrait être axée sur la protection des utilisateurs.
Le débat autour de cette pratique controversée a été en cours depuis des années, avec les gens de la sécurité de l’information (infosec) en prenant deux côtés de l’allée.
D’un côté soutient que les chercheurs en sécurité ne doit jamais publier PoC code, parce que les attaquants peuvent prendre ce code et d’automatiser les attaques, tandis que de l’autre côté fait valoir que le Cop de code est également nécessaire pour tester les réseaux de grande taille et d’identifier les systèmes vulnérables, par conséquent, il devrait être inclus lorsqu’ils sont disponibles, car il permet aux départements informatiques de simuler des attaques futures.
Dans la “Cybersécurité threatscape T4 2018” rapport publié le mois dernier, des experts de la sécurité de Technologies Positives abordé ce débat de longue durée à nouveau.
Alors que les Technologies Positifs experts n’ont pas un problème avec la publication de la preuve-de-concept de code en général, ils ont eu un problème avec la sortie de PoC code trop rapidement après l’annonce d’une vulnérabilité a cassé, ou la libération de la Cop de code pour le zéro-jours –les deux cas, ce ne laissez pas les utilisateurs de suffisamment de temps pour le patch, si peu de temps.
La société a mentionné ce problème dans son bulletin trimestriel rapport sur la menace, parce que de tels incidents se font de plus en plus souvent.
Par exemple, la liste ci-dessous comprend une série d’incidents où des attaques ont eu lieu immédiatement après la publication de PoC code, ou lorsque les chercheurs ont publié zero-day divulgations accompagné par PoC code, au lieu d’attendre que fournisseur de patchs.
Un Windows zero-day divulguées sur Twitter avec un PoC inclus, été abusé dans les logiciels malveillants de campagnes observé par les chercheurs d’ESET.PoC publication d’un code pour un non corrigé un bug dans un Chinois framework PHP immédiatement les attaques contre des millions de sites.PoC code publié par Cisco faille communiqués de l’année dernière et affectant RV110, RV130, et RV215 routeurs entraîné des attaques contre de tels dispositifs, et un Cisco patch bientôt suivi.Internet Explorer zero-day a été adopté par un kit d’exploit dans les jours de l’année dernière après la publication de PoC code.Le Cobalt piratage groupe a également commencé à abuser d’un Flash zero-day jours après la publication d’un patch et validation du code.
ZDNet a parlé avec Leigh-Anne Galloway, de la cybersécurité de la résilience de plomb Positive Technologies, afin d’élargir le sujet.
“En tant qu’industrie, nous avons responsable de la divulgation des lignes directrices. Ce n’est pas suivie par tous,” Galloway dit ZDNet dans une interview. “De même, il n’est pas connu ou compris par l’ensemble des fournisseurs.
“Souvent, le pilote de la divulgation au public est parce que le vendeur n’a pas reconnu la gravité de la question et n’est pas la fermeture de la vulnérabilité. Ou le chercheur en sécurité peuvent avoir essayé tous les autres moyens de communiquer leurs résultats. Bien sûr, le danger est que les criminels peuvent utiliser cette information pour cibler les victimes.
“Les vendeurs de demander de fournir la preuve que la vulnérabilité est effectivement présent dans leur produit et peuvent être exploitées lors de chercheurs de la vulnérabilité. Les chercheurs doivent démontrer comment il peut être exploité, et pour cela, les Cop sont créés.
“La présence d’un exploit détermine également le niveau de danger attribué par le CVSS système. Si un vendeur paie les chercheurs de l’a révélé des failles dans le cadre d’un bug bounty, les chercheurs gagner de l’argent à partir de ce travail, mais souvent les vendeurs ne pas organiser leurs de bug bounty program, et tout ce qu’un chercheur peut obtenir à partir de ce public est la reconnaissance par la communauté des spécialistes.
“En démontrant la description de la vulnérabilité sur Internet, montrant un exemple de fonctionnement et validation du code, les chercheurs d’obtenir la reconnaissance et le respect,” Galloway dit.
“Habituellement, les chercheurs à publier le code de l’exploit qu’après un temps suffisamment longue après que la notification au vendeur de la vulnérabilité, donnant aux développeurs la possibilité de fermer la vulnérabilité et d’informer les utilisateurs de la nécessité d’installer des mises à niveau.
“Mais, très souvent, les vendeurs de retarder la publication de correctifs et de mises à jour, parfois pour une période de plus de six mois, il arrive que la publication de l’ [PoC] exploit se produit littéralement après la publication du patch.
“En outre, nous ne pouvons pas exclure les cas où l’exploit est pas publiée par le chercheur qui a dit le vendeur sur la vulnérabilité, mais quelqu’un d’autre qui viens de découvrir sur la vulnérabilité de l’Internet et a immédiatement écrit un exploit pour elle,” Galloway dit.
“D’une part, la publication d’un exploit augmente le risque d’attaques réussies et simplifie l’attaque elle-même, mais d’un autre côté, c’est une incitation pour les entreprises et les utilisateurs ordinaires à suivre les principes de base de la sécurité de l’information pour mettre à jour leurs systèmes de manière régulière et en temps opportun,” le Positif Technologies de l’expert a conclu.
Donc, dans l’ensemble, la publication de PoC code est utile dans certains cas, mais la sécurité des chercheurs qui trouvent ces défauts, ou même ceux qui étudient ces bugs, devraient montrer une certaine retenue dans la diffusion de ce type de code trop tôt après un patch est sorti, ou au moins la retarder de quelques semaines, pour donner le temps aux utilisateurs de patch.
Liés à la cyber-sécurité de couverture:
Microsoft publie des Applications de la Garde extension pour Chrome et FirefoxAlmost de 150 millions d’utilisateurs touchés par les nouvelles SimBad Android adwareTwo tiers de l’ensemble des antivirus pour Android apps sont fraudsAndroid Q pour obtenir une tonne de nouvelles de confidentialité featuresChinese piratage groupe les portes dérobées, produits à partir de trois Asiatique de jeu companiesBanking les chevaux de Troie d’inondation de l’entreprise, Android attaques de surtension
Android ‘API de la rupture de la vulnérabilité des fuites de données de l’appareil, permet à l’utilisateur de suivi TechRepublicAndroid programme de sécurité a permis de fixer plus de 1M des applications dans Google Play CNET
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données