Autor: Cybersecurity Help | 7.6.2017 |
Zabezpečení není proces. Jde o stav, dokud neprohrajete (c)
Jsme nesmírně šťastni, že můžeme oznámit oficiální zahájení bezplatného projektu sledování chyb zabezpečení nultého dne (Free zero-day vulnerability tracking project), jenž se zaměřuje na publikování a veřejné zpřístupnění informací o chybách zabezpečení, které se dosud zaznamenaly v praxi při útocích nultého dne. Aktuálně databáze obsahuje popis 353 zranitelností, jež od roku 2006 útoky nultého dne využily.
Náš výzkum pokrývá chyby zabezpečení toho nejnebezpečnějšího druhu – ty, které nezná nikdo jiný než útočníci. Pokud jsou využity ve správně zorganizovaném útoku, neexistuje šance, jak narušení bezpečnosti zabránit. V minulých desetiletích jsme byli svědky důmyslných zločinů, dokonale naplánovaných, zorganizovaných a provedených skutečnými mistry na ovládání klávesnice, myši a špionáže.
Během našeho výzkumu jsme shromáždili a analyzovali veřejně dostupné informace o téměř 100 APT kampaních a hlášení více než 500 chyb zabezpečení, u kterých je podezření, že byly v praxi využity během cílených i masových útoků. Jako zdroje dat jsme použili databáze chyb zabezpečení, hlášení ze společností a výzkumy z dané oblasti, novinové články, oficiální prohlášení atd. Pro porovnání jsme zvolili roční hlášení významných hráčů na trhu z IT zabezpečením, kteří publikují statistiky týkající se chyb zabezpečení nultého dne, jako jsou například společnosti Symantec, Trustwave, Flexera/Secunia a FireEye.
Níže je porovnání statistik týkajících se nultého dne od různých bezpečnostních společností doplněné o náš výzkum, který je uveden červeně a označen zkratkou OSINT.
Největší počet chyb zabezpečení nultého dne byl hlášen u produktů od společnosti Microsoft – 46% všech problémů týkajících se nultého dne. Na druhém místě je společnost Adobe, která dosáhla 18% podíl na „trhu“.
Současně platí, že si tvůrci malwaru za svůj cíl nejčastěji vybírají kancelářské aplikace (73 případů útoků nultého dne) a komponenty operačního systému (72 případů útoků nultého dne). Na třetím místě se umístila řada útoků na moduly plug-in prohlížečů (např. komponenty ActiveX, přehrávač Adobe Flash, Silverlight atd.) – celkem 57 případů. Spolu s webovými prohlížeči (41 případů útoků nultého dne) pokrývají 73% všech chyb zabezpečení využitých v praxi.
Všechny kampaně APT, které jsme během výzkumu analyzovali, byly dokonale organizované a kvalitně financované. A nevěříme, že šlo o crowdfundingové projekty z Kikstarteru =). Jediným logickým závěrem je, že všechny špionážní kampaně byly plánované, financované a realizované tajnými službami různých zemí. Poslední uniklé informace prezentované projektem WikiLeaks nás v tom jen utvrzují.
Celý výzkum spolu s bezplatným přístupem k databázi chyb zabezpečení: https://www.zero-day.cz/
S pozdravem
Valerii Marchuk
Microsoft MVP, zakladatel společnosti Cybersecurity Help s.r.o.