Inicjatywa dnia zerowego

Inicjatywa dnia zerowego
Typ Program wykrywania luk w oprogramowaniu
Przemysł Bezpieczeństwo cybernetyczne
Założony 25 lipca 2005 ; 17 lat temu ( 2005-07-25 )
Właściciel Trend Micro
Strona internetowa www.zerodayinitiative.com _ _ Edit this at Wikidata

Zero Day Initiative (ZDI) to międzynarodowa inicjatywa dotycząca luk w zabezpieczeniach oprogramowania , która została zapoczątkowana w 2005 roku przez TippingPoint , oddział firmy 3Com . Program został przejęty przez Trend Micro w ramach przejęcia HP TippingPoint w 2015 roku.

ZDI kupuje różne luki w oprogramowaniu od niezależnych badaczy bezpieczeństwa, a następnie ujawnia te luki swoim pierwotnym dostawcom w celu załatania przed upublicznieniem takich informacji.

Historia

ZDI zostało założone 25 lipca 2005 przez TippingPoint i początkowo kierowane przez Davida Endlera i Pedrama Amini. „ Dzień zerowy ” w nazwie ZDI odnosi się do pierwszego dnia lub dnia zerowego, kiedy sprzedawca dowiaduje się o luce w określonym oprogramowaniu. Program został uruchomiony w celu przyznania nagród pieniężnych badaczom luk w oprogramowaniu i hakerom , jeśli udowodnią, że znaleźli exploity w dowolnym oprogramowaniu. Ze względu na brak motywacji oraz obawy dotyczące bezpieczeństwa i poufności badacze i hakerzy często zniechęcają się do zwracania się do dostawców, gdy znajdują luki w ich oprogramowaniu. ZDI został stworzony jako program strony trzeciej w celu gromadzenia i zachęcania do znajdowania takich luk, przy jednoczesnej ochronie zarówno badaczy, jak i poufnych informacji kryjących się za lukami.

Współtwórcy ZDI znaleźli luki w zabezpieczeniach w produktach takich jak Firefox 3 , Microsoft Windows , QuickTime dla Windows oraz w różnych produktach firmy Adobe .

ZDI prowadzi również wewnętrzne badania pod kątem luk w zabezpieczeniach i znalazło wiele luk w produktach Adobe, produktach Microsoft, produktach VMware i Oracle Java .

W 2016 roku ZDI był czołowym zewnętrznym dostawcą błędów zarówno dla Microsoft, jak i Adobe, „zakupując i ujawniając 22% publicznie odkrytych luk w zabezpieczeniach firmy Microsoft i 28% publicznie ujawnionych luk w oprogramowaniu Adobe”.

ZDI rozstrzyga również zawody hakerskie Pwn2Own , które odbywają się trzy razy w roku, w których zespoły hakerów mogą zabrać do domu nagrody pieniężne oraz oprogramowanie i sprzęt, które z powodzeniem wykorzystały.

Kupowanie exploitów

Krytykowana była sprzedaż exploitów w oprogramowaniu, a także podmioty, które kupują takie luki. Chociaż praktyka jest legalna, etyka praktyki jest zawsze kwestionowana. Większość krytyków jest zaniepokojona tym, co może się stać z exploitami oprogramowania po ich sprzedaży. Hakerzy i badacze, którzy znajdą luki w oprogramowaniu, mogą sprzedać te luki agencjom rządowym, firmom zewnętrznym, na czarnym rynku lub samym dostawcom oprogramowania.

Uczciwa wartość rynkowa i czarnorynkowa wartość exploitów w oprogramowaniu znacznie się różnią (często waha się o dziesiątki tysięcy dolarów), podobnie jak implikacje dla zakupu luk w oprogramowaniu. Ta kombinacja obaw doprowadziła do powstania programów stron trzecich, takich jak ZDI i inne, jako miejsca zgłaszania i sprzedawania luk dla badaczy bezpieczeństwa.

ZDI otrzymuje zgłoszenia dotyczące luk w zabezpieczeniach, takich jak zdalne wykonanie kodu , podniesienie uprawnień i ujawnienie informacji, ale „nie kupuje każdego rodzaju błędu, w tym skryptów cross-site scripting (XSS), które dominują w wielu programach bug bounty”.

Linki zewnętrzne