Oftere end ikke, offentliggørelse af proof-of-concept (PoC) – kode for en sikkerheds fejl, især en nul-dag, har ført til den hurtige vedtagelse af en svaghed ved trussel aktører, der normalt starte angreb i løbet af timer eller dage, og ikke give slutbrugerne nok tid til at lappe påvirket systemer.
Der har været en debat om dette emne, især når PoC-kode ikke kommer fra onde eller andre uafhængige kilder, men fra de hvide hat sikkerhed forskere, der i teorien skulle være fokuseret på at beskytte brugerne.
Debatten omkring dette kontroversielle praksis har stået i årevis, med folk i informationssikkerhed (infosec) felt, idet begge sider af midtergangen.
Den ene side argumenterer for, at sikkerhed forskere aldrig bør offentliggøre PoC kode, fordi angribere kan tage koden og automatisere angreb, mens den anden side argumenterer for, at PoC-kode, er der også behov for at teste store netværk og identificere sårbare systemer, og derfor bør medtages, hvor det er muligt, da det giver IT-afdelinger til at simulere fremtidige angreb.
I “Cybersecurity threatscape Q4 2018” rapport, der blev offentliggjort i sidste måned, sikkerhed eksperter fra Positiv Teknologier rørt på denne langvarige debat igen.
Mens Positive Teknologier eksperter ikke har et problem med offentliggørelse af proof-of-concept kode i almindelighed, at de havde et problem med udgivelsen af PoC kode for hurtigt efter nyheden om en sårbarhed, brød, eller frigivelse af PoC kode for nul-dage-både sager, der ikke forlade brugere nok tid til at lappe, hvis ingen tid overhovedet.
Det selskab, der er nævnt på dette emne i sin kvartalsvise trussel betænkning, fordi sådanne hændelser har været at ske mere og mere ofte.
For eksempel nedenstående liste omfatter en række hændelser, hvor angrebene har fundet sted umiddelbart efter offentliggørelsen af PoC-kode, eller hvor forskere offentliggjort nul-dag oplysninger, ledsaget af PoC-kode, i stedet for at vente til sælger patches.
En Windows nul-dag offentliggøres på Twitter med en PoC i prisen, blev misbrugt i malware kampagner observeret af ESET forskere.PoC kode offentliggjort for en ikke-opdateret fejl i en Kinesisk PHP framework førte til øjeblikkelig angreb mod millioner af websteder.PoC kode offentliggjort for et Cisco fejl afslørede sidste år, og som påvirker RV110, RV130, og RV215 routere har ført til angreb mod sådanne enheder, og en Cisco patch fulgte snart efter.En Internet Explorer nul-dag, blev vedtaget af et exploit kit inden for få dage sidste år efter offentliggørelsen af PoC-kode.Den Kobolt hacking gruppen også begyndt at misbruge en Flash-zero-day dage efter offentliggørelsen af et plaster og PoC-kode.
ZDNet talte med Leigh-Anne Galloway, cybersecurity modstandsdygtighed føre til Positive Teknologier, til at udvide emnet yderligere.
“Som en industri, vi har, der er ansvarlig disclosure retningslinjer. Dette er ikke følges af alle,” Galloway fortalte ZDNet i et interview. “Ligeledes, at det ikke er kendt eller forstået af alle leverandører.
“Ofte driver for at afsløre offentligt er fordi sælger ikke har anerkendt sværhedsgraden af problemet, og er ikke at lukke sårbarheden. Eller sikkerheds-forsker har måske prøvet alle andre muligheder for at formidle deres resultater. Selvfølgelig, er der risiko for at kriminelle kan bruge disse oplysninger til at målrette ofre.
“Leverandører bede om at fremlægge dokumentation for, at sårbarheden er faktisk til stede i deres produkt, og kan blive udnyttet, når forskere rapport sårbarhed over for dem. Forskere er nødt til at vise, hvordan det kan udnyttes, og for dette, Poc er oprettet.
“Tilstedeværelsen af en exploit også bestemmer den grad af fare, der tildeles af CVSS-system. Hvis en sælger betaler de forskere, for det viste sårbarheder inden for rammerne af en bug bounty, forskere tjene penge på dette arbejde, men ofte er leverandører ikke arrangere deres bug bounty program, og alle, at en forsker kan få fra denne er offentlig anerkendelse af den sagkyndige samfund.
“Ved at demonstrere beskrivelse af sårbarhed på Internettet, der viser et eksempel på drift og PoC-kode, forskere får anerkendelse og respekt,” Galloway sagde.
“Normalt, forskere udnytte koden kun efter en tilstrækkelig lang tid efter, at de underrette sælgeren om den sårbarhed, der giver produktudviklere mulighed for at lukke sårbarhed og give brugerne besked om det er nødvendigt at installere opgraderinger.
“Men meget ofte, leverandører forsinke frigivelsen af patches og opdateringer, nogle gange i en periode på mere end seks måneder, så sker det, at en offentliggørelse af [PoC] udnytte opstår bogstaveligt talt efter offentliggørelsen af plasteret.
“Hertil kommer, at vi ikke kan udelukke de tilfælde, hvor den udnyttelse, der er offentliggjort, ikke af den forsker, der fortalte sælgeren om sårbarhed, men en anden, der lige har fundet ud af, om sårbarhed fra Internettet, og skrev straks en udnyttelse af det,” Galloway sagde.
“På den ene side, at offentliggørelsen af en udnyttelse, øger det risikoen for succesfulde angreb og forenkler angribe sig selv, men på den anden side, det er et incitament for virksomheder og almindelige brugere til at følge de grundlæggende principper for informationssikkerhed til at opdatere deres systemer løbende, og i tide,” den Positive Teknologier ekspert, der er indgået.
Så, alt i alt, offentliggørelse af PoC-kode er nyttigt i nogle tilfælde, men sikkerhedseksperter, der finder disse fejl, eller endda dem, der studerer disse fejl, bør de vise nogle tilbageholdenhed i at udgive en sådan kode for hurtigt efter en patch er udgivet, eller i det mindste udsætte det for et par uger, for at give brugerne tid til at lappe.
Relaterede cyber-sikkerhed dækning:
Microsoft frigiver Ansøgning Vagt udvidelse til Chrome og FirefoxAlmost 150 millioner brugere, der påvirkes af nye SimBad Android adwareTwo-tredjedele af alle Android antivirus apps er fraudsAndroid Q for at få et væld af nye privatlivets fred featuresChinese hacking gruppe bagdøre produkter fra tre Asiatiske gaming companiesBanking Trojanske heste oversvømmelse virksomheden, Android angreb bølge
Android ‘API bryde’ sårbarhed utætheder enhed data, giver brugeren mulighed for tracking TechRepublicAndroid sikkerhed program har hjulpet med at løse over 1M apps i Google Play CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre