Inicjatywa dnia zerowego
Typ | Program wykrywania luk w oprogramowaniu |
---|---|
Przemysł | Bezpieczeństwo cybernetyczne |
Założony | 25 lipca 2005 |
Właściciel | Trend Micro |
Strona internetowa |
|
Zero Day Initiative (ZDI) to międzynarodowa inicjatywa dotycząca luk w zabezpieczeniach oprogramowania , która została zapoczątkowana w 2005 roku przez TippingPoint , oddział firmy 3Com . Program został przejęty przez Trend Micro w ramach przejęcia HP TippingPoint w 2015 roku.
ZDI kupuje różne luki w oprogramowaniu od niezależnych badaczy bezpieczeństwa, a następnie ujawnia te luki swoim pierwotnym dostawcom w celu załatania przed upublicznieniem takich informacji.
Historia
ZDI zostało założone 25 lipca 2005 przez TippingPoint i początkowo kierowane przez Davida Endlera i Pedrama Amini. „ Dzień zerowy ” w nazwie ZDI odnosi się do pierwszego dnia lub dnia zerowego, kiedy sprzedawca dowiaduje się o luce w określonym oprogramowaniu. Program został uruchomiony w celu przyznania nagród pieniężnych badaczom luk w oprogramowaniu i hakerom , jeśli udowodnią, że znaleźli exploity w dowolnym oprogramowaniu. Ze względu na brak motywacji oraz obawy dotyczące bezpieczeństwa i poufności badacze i hakerzy często zniechęcają się do zwracania się do dostawców, gdy znajdują luki w ich oprogramowaniu. ZDI został stworzony jako program strony trzeciej w celu gromadzenia i zachęcania do znajdowania takich luk, przy jednoczesnej ochronie zarówno badaczy, jak i poufnych informacji kryjących się za lukami.
Współtwórcy ZDI znaleźli luki w zabezpieczeniach w produktach takich jak Firefox 3 , Microsoft Windows , QuickTime dla Windows oraz w różnych produktach firmy Adobe .
ZDI prowadzi również wewnętrzne badania pod kątem luk w zabezpieczeniach i znalazło wiele luk w produktach Adobe, produktach Microsoft, produktach VMware i Oracle Java .
W 2016 roku ZDI był czołowym zewnętrznym dostawcą błędów zarówno dla Microsoft, jak i Adobe, „zakupując i ujawniając 22% publicznie odkrytych luk w zabezpieczeniach firmy Microsoft i 28% publicznie ujawnionych luk w oprogramowaniu Adobe”.
ZDI rozstrzyga również zawody hakerskie Pwn2Own , które odbywają się trzy razy w roku, w których zespoły hakerów mogą zabrać do domu nagrody pieniężne oraz oprogramowanie i sprzęt, które z powodzeniem wykorzystały.
Kupowanie exploitów
Krytykowana była sprzedaż exploitów w oprogramowaniu, a także podmioty, które kupują takie luki. Chociaż praktyka jest legalna, etyka praktyki jest zawsze kwestionowana. Większość krytyków jest zaniepokojona tym, co może się stać z exploitami oprogramowania po ich sprzedaży. Hakerzy i badacze, którzy znajdą luki w oprogramowaniu, mogą sprzedać te luki agencjom rządowym, firmom zewnętrznym, na czarnym rynku lub samym dostawcom oprogramowania.
Uczciwa wartość rynkowa i czarnorynkowa wartość exploitów w oprogramowaniu znacznie się różnią (często waha się o dziesiątki tysięcy dolarów), podobnie jak implikacje dla zakupu luk w oprogramowaniu. Ta kombinacja obaw doprowadziła do powstania programów stron trzecich, takich jak ZDI i inne, jako miejsca zgłaszania i sprzedawania luk dla badaczy bezpieczeństwa.
ZDI otrzymuje zgłoszenia dotyczące luk w zabezpieczeniach, takich jak zdalne wykonanie kodu , podniesienie uprawnień i ujawnienie informacji, ale „nie kupuje każdego rodzaju błędu, w tym skryptów cross-site scripting (XSS), które dominują w wielu programach bug bounty”.