Nolldagsprisjägarna

Färre än 1 % av de missbruk som upptäcktes av Microsoft under första halvan av förra året var mot så kallade nolldagssårbarheter – de som tidigare var okända. Den siffran väcker en fråga: om den stora majoriteten av verkliga bedrifter är ”kända hot”, vad gör noll dagar så värdefulla att de har skapat en dold industri av prisjaktande forskare?

De flesta människor är bekväma med tanken på att anlita penetrationstestare för att sticka hål i företagsnätverket, lyfta fram bristerna och i slutändan göra dessa försvar starkare. Tillämpa dock samma princip på mjukvarusäkerhet och kasta ut den på den fria marknaden, och den komfortzonen är väl och verkligen bruten.

Detta är säkerhetsteknologins grå marknadsplats, där mjukvarujättar betalar enorma summor till individer för att hitta hål i sina produkter innan skurkarna kan utnyttja dem. Alla inom IT-säkerhetsbranschen är inte nöjda med denna ”prisjägare”-metoden för buggpressning, och ämnet noll dagar blir allt mer kontroversiellt tack vare deras användning i statligt sponsrade cybervapen som Stuxnet. I den här funktionen utforskar vi denna blomstrande marknad och hör båda sidor av argumentet.

1% ekvationen

Om, som Microsofts forskning antyder, 99 % av utnyttjandena är mot kända sårbarheter som förblir oparpade av antingen leverantören eller användaren, varför är det då allt tjafs om de andra 1 %?

Sannolikheten att möta en nolldag som enskild företagsanvändare är ganska låg, inte minst eftersom hållbarheten för en sådan attack är begränsad till den korta perioden mellan lansering, upptäckt och patchning. Nyttan av en nolldag existerar bara tills den patchen är tillgänglig, vilket innebär att de tenderar att vara reserverade för attacker mot högprofilerade och högvärdiga mål. Stuxnet, till exempel, använde fyra zero-day bedrifter och användes som en statligt sponsrad attack mot en annan nationalstat.

Som Sean Sutton, direktör för Deloitte Cyber ​​Threat & Vulnerability Management Services, säger: ”Detta skulle tyda på att du är mer sannolikt att drabbas av en nolldag om du arbetar på en organisation som skulle kunna bli föremål för den här typen av högnivå angripare – till exempel om du arbetar inom försvarsindustrin eller har att göra med industriella hemligheter.”

Det ger också svaret på värdefrågan: noll dagar är värdefulla eftersom de finns i ett så begränsat utbud och generellt sett kan de bara användas en gång innan de äventyras. Om du vill trycka på avtryckaren vid den första lanseringen måste du betala den pågående kursen på den mörka marknaden.

Noll-dagars mörka marknaden

Den här mörka marknaden för noll dagar existerar inte bara, den blomstrar. En undersökning av tidningen Forbes tidigare i år satte ihop en prislista för nolldagars utnyttjande baserat på leverantören/produkten som man riktar sig till; det varierade från cirka 1 000 pund till över 100 000 pund. Priserna krävde en exklusiv försäljning (värdet av en nolldag späds ut omedelbart och dödligt när exploateringen distribueras) och ett löfte om att säljaren inte hade blivit meddelad. Vissa såldes med förskjutna betalningar, saldot betalades bara medan säljaren ännu inte hade släppt en patch.

Säkerhetsutmaningen Google Pwnium tidigare i år erbjöd 1 miljon dollar i belöningar för personer som hackade webbläsaren Chrome

Samma utredning talade också med en exploateringsmäklare med noll dagar, som fungerade som en mellanhand för säkerhetsforskare som avslöjar dessa bedrifter och ”statliga hackare” som köper dem, inga frågor ställda, för stora pengar – så mycket som $250 000 i ett fall. Det verkar som att statligt sponsrad hacking har djupa fickor.

Men hur är det med baksidan av myntet, där säkerhetsforskare säljer sina upptäckter till de leverantörer vars programvara är sårbar för attacker? Sam Stepanyan, en senior säkerhetskonsult på Integralis, säger att leverantörer som Google sätter en gräns för belöningen de är beredda att betala. När det gäller Googles ”Elite”-program är det den märkliga siffran 3 133,7 $ – konstigt, det vill säga tills du inser att det stavar ”elit” i hackertal.

Google Pwnium-säkerhetsutmaningen tidigare i år erbjöd dock 1 miljon dollar i belöningar för personer som hackade Chrome-webbläsaren, och de enda två deltagarna fick vardera 60 000 dollar för sina zero-day bedrifter.

Poängen är att de flesta leverantörer kommer att betala för den information som krävs för att de ska kunna säkra sina produkter innan sårbarheten i fråga kan utnyttjas. Den enda variabeln är hur mycket de är villiga att spendera.