Rynek exploitów dnia zerowego

Rynek exploitów dnia zerowego to działalność komercyjna związana z handlem exploitami oprogramowania .

Luki w oprogramowaniu i „ exploity ” są wykorzystywane do uzyskiwania zdalnego dostępu zarówno do przechowywanych informacji, jak i do informacji generowanych w czasie rzeczywistym. Kiedy większość ludzi korzysta z tego samego oprogramowania , jak ma to obecnie miejsce w większości krajów, biorąc pod uwagę monopolistyczny charakter dostawców treści i usług internetowych, jedna konkretna luka może zostać wykorzystana przeciwko tysiącom, jeśli nie milionom ludzi. W tym kontekście przestępcy zainteresowali się takimi lukami. Raport Centrum Studiów Strategicznych i Międzynarodowych firmy McAfee z 2014 r. szacuje, że koszty cyberprzestępczości i cyberszpiegostwa wynosi około 160 miliardów dolarów rocznie. Na całym świecie kraje wyznaczyły instytucje publiczne do zajmowania się tym problemem, ale prawdopodobnie będą one kolidować z interesem własnego rządu w zakresie dostępu do informacji o ludziach w celu zapobiegania przestępczości. W rezultacie zarówno agencje bezpieczeństwa narodowego, jak i przestępcy ukrywają pewne luki w oprogramowaniu zarówno przed użytkownikami, jak i pierwotnym programistą. Ten rodzaj luki jest znany jako exploit dnia zerowego .

W środowisku akademickim i zwykłych mediach wiele powiedziano na temat regulacji na rynku exploitów dnia zerowego. Jednak osiągnięcie konsensusu jest bardzo trudne, ponieważ większość definicji exploitów dnia zerowego jest raczej niejasna lub nie ma zastosowania, ponieważ użycie określonego oprogramowania można określić jako złośliwe oprogramowanie dopiero po jego użyciu. Ponadto istnieje konflikt interesów w ramach działań państwa, który mógłby uniemożliwić regulację, która może zobowiązywać do ujawniania dni zerowych. Rządy stoją w obliczu kompromisu między ochroną prywatności swoich obywateli z jednej strony poprzez zgłaszanie luk w zabezpieczeniach firmom prywatnym, az drugiej strony podważanie technologii komunikacyjnych wykorzystywanych przez ich cele – które również zagrażają bezpieczeństwu publicznemu. Ochrona bezpieczeństwa narodowego poprzez wykorzystywanie luk w oprogramowaniu nieznanych zarówno firmom, jak i opinii publicznej jest ostatecznym zasobem dla agencji bezpieczeństwa, ale także zagraża bezpieczeństwu każdego użytkownika, ponieważ każda osoba trzecia, w tym organizacje przestępcze, może wykorzystywać te same zasoby . W związku z tym tylko użytkownicy i firmy prywatne mają motywację do minimalizowania ryzyka związanego z exploitami dnia zerowego; pierwszy w celu uniknięcia naruszenia prywatności, a drugi w celu zmniejszenia kosztów naruszeń danych. Należą do nich procesy prawne, koszty związane z opracowaniem rozwiązań naprawiających lub „łatających” pierwotną lukę w oprogramowaniu oraz koszty związane z utratą zaufania klientów do produktu.

Opis

Ablon, Libicki i Golay w dużym stopniu wyjaśnili wewnętrzne funkcjonowanie rynku dnia zerowego. Główne ustalenia można podzielić na pięć elementów: towar, waluta, rynek, podaż i popyt. Opisane zostaną te komponenty i ich związek z cenami. Zakwestionowana zostanie również definicja podana składnikowi popytu, ponieważ zrozumienie charakteru rynków (tj. białego, szarego i czarnego) oraz ich regulacji lub ich braku ma nadrzędne znaczenie.

Towar

Exploity są produktami cyfrowymi, co oznacza, że ​​są dobrami informacyjnymi o niemal zerowych krańcowych kosztach produkcji. Są to jednak nietypowe dobra informacyjne. W przeciwieństwie do e-booków czy cyfrowych filmów wideo, nie tracą na wartości, ponieważ są łatwe do powielenia, ale ze względu na fakt, że po ich ujawnieniu oryginalny programista „załata” lukę w zabezpieczeniach, zmniejszając wartość towaru.

Wartość nie spadnie do zera z dwóch powodów: (1) dystrybucja łatki jest asymetryczna i (2) programiści mogą wykorzystać oryginalny błąd do stworzenia wariantu po niższych kosztach. Są również nietypowe, ponieważ są towarami wrażliwymi na czas. Firmy na bieżąco aktualizują swoje oprogramowanie, a łatka jest przydatna tylko w przerwie między wersjami; czasami lukę można naprawić bez zewnętrznego raportu. Po trzecie, nawet w poufnych transakcjach samo wykorzystanie exploita może spowodować dysfunkcję po stronie użytkownika, ujawniając lukę w zabezpieczeniach i prowadząc do utraty jej wartości. W tym sensie exploitów nie można wykluczyć, ale mogą, ale nie mogą, być niekonkurencyjne, ponieważ im więcej użytkowników wykorzysta exploita dnia zerowego po pewnym momencie, tym bardziej widoczny będzie jego wpływ na daną firmę. Może to spowodować, że firma będzie bardziej skłonna do załatania exploita, co spowoduje ograniczony okres czasu, w którym exploit będzie dostępny dla wszystkich użytkowników.

Waluta

W większości przypadków transakcje mają zazwyczaj na celu ochronę tożsamości przynajmniej jednej ze stron uczestniczących w wymianie. Chociaż zależy to od rodzaju rynku – białe rynki mogą wykorzystywać identyfikowalne pieniądze – większość zakupów jest dokonywana za pomocą skradzionych środków cyfrowych (karty kredytowe) i kryptowalut . Podczas gdy ten ostatni trend był dominującym trendem w ciągu ostatnich kilku lat, ceny w szarej strefie są ustalane w dolarach, o czym świadczą przecieki Hacking Team .

Rynek

Klasycznie czarne rynki — takie jak nielegalna broń lub narkotyki — wymagają ogromnej sieci zaufanych stron do zawierania transakcji, fałszowania dokumentów, transferów finansowych i nielegalnego transportu, między innymi. Ponieważ bardzo trudno jest wyegzekwować jakąkolwiek umowę prawną w ramach tych sieci, wiele organizacji przestępczych rekrutuje członków blisko domu. Ten element bliskości zwiększa koszt transakcji, ponieważ do transakcji transnarodowych potrzeba więcej pośredników, zmniejszając ogólny zysk pierwotnego sprzedawcy.

Z drugiej strony zero-days to produkty wirtualne i można je łatwo sprzedawać bez pośredników przez Internet, ponieważ dostępne technologie są wystarczająco silne, aby zapewnić anonimowość przy bardzo niskich kosztach. Nawet jeśli pośrednicy są potrzebni, można wykorzystać „nieświadome muły danych”, aby uniknąć wszelkich dowodów nadużyć. To dlatego czarny rynek jest tak lukratywny w porównaniu z szarymi rynkami . Szare rynki, które obejmują transakcje z instytucjami publicznymi odpowiedzialnymi za bezpieczeństwo narodowe, zwykle wymagają wykorzystania osób trzecich w celu zatarcia śladów ich transakcji. Na przykład archiwum Hacking Team zawiera rzekome kontrakty z ekwadorskim Narodowym Sekretariatem Wywiadu, w ramach których korzystali z usług dwóch pośredników: Robotec i Theola. W tym samym archiwum jest napisane, że firmy zewnętrzne Cicom i Robotec negocjowały kontrakty odpowiednio w imieniu FBI i DEA. Mniej prawdopodobne jest, aby białe rynki miały ten sam problem, ponieważ ukrywanie transakcji nie leży w ich interesie, wręcz przeciwnie, ponieważ firmy aktywnie promują stosowanie swoich nowych łat.

Dostarczać

Łańcuch dostaw jest złożony i obejmuje wiele podmiotów zorganizowanych według hierarchii, w której na szczycie znajdują się administratorzy, a za nimi eksperci techniczni. Następni są pośrednicy, brokerzy i sprzedawcy, którzy mogą lub nie mogą być wyrafinowani, a na końcu są sprytne muły. W ramach tego łańcucha dowodzenia można znaleźć wiele produktów. Podczas gdy exploity dnia zerowego mogą zostać „wykryte” lub opracowane wyłącznie przez ekspertów w danej dziedzinie, inne exploity mogą być łatwo skomercjalizowane przez prawie każdą osobę, która chce wejść na czarny rynek. Są tego dwa powody. Po pierwsze, niektóre urządzenia używają przestarzałego lub przestarzałego oprogramowania i mogą być łatwo celem exploitów, które w przeciwnym razie byłyby całkowicie bezużyteczne. Po drugie, te „wykorzystywane przez pół dnia exploity” można wykorzystywać za pośrednictwem interfejsów graficznych i uczyć się za pomocą bezpłatnych samouczków, co oznacza, że ​​wejście na rynek jako sprzedawca wymaga bardzo niewielkiej wiedzy specjalistycznej.

Współistnienie rynków dnia zerowego i półdniowego wpływa na odporność czarnego rynku, ponieważ deweloperzy zmierzają w kierunku bardziej wyrafinowanego końca. Podczas gdy liczba ataków na wysoko zorganizowaną przestępczość wzrosła, dostawców można łatwo zastąpić ludźmi z niższych poziomów piramidy. Znalezienie nowego dostawcy może zająć mniej niż jeden dzień po operacji usunięcia, która z łatwością może trwać miesiące.

Dotarcie na szczyt wymaga jednak osobistych koneksji i dobrej reputacji, pod tym względem cyfrowy czarny rynek nie różni się od fizycznego. Exploity półdniowe są zwykle sprzedawane w łatwiej dostępnych miejscach, ale dni zerowe często wymagają aukcji „podwójnie ślepej” i użycia wielu warstw szyfrowania w celu uniknięcia organów ścigania. Nie da się tego zrobić na forach ani forach, dlatego transakcje te odbywają się w wyjątkowo weryfikowanych przestrzeniach.

Popyt

To, kto kupuje exploity dnia zerowego, określa rodzaj rynku, z którym mamy do czynienia. Afidler rozróżnia rynki białe, szare i czarne, kierując się metodologią ustalania wielkości rynku z Harvard Business School jako przewodnikiem. Tutaj rozróżniają rynki białe, szare i czarne.

Białe rynki to te, na których pierwotni programiści nagradzają badaczy bezpieczeństwa za zgłaszanie luk w zabezpieczeniach. Średnio ceny zgłaszane do 2014 r. wynosiły mniej niż dziesięć tysięcy dolarów, ale w przypadku niektórych luk w zabezpieczeniach złożono specjalne oferty do 100 000 USD w oparciu o typ, krytyczność i charakter oprogramowania, którego dotyczy problem. Czternaście procent wszystkich luk Microsoft, Apple i Adobe w ciągu ostatnich dziesięciu lat pochodziło z programów białego rynku.

Przestępcy kupują na czarnym rynku; jednak rządy mogą być okazjonalnymi nabywcami, jeśli ich oferta nie może zostać zaspokojona w szarej strefie lub jeśli napotykają przeszkody w uzyskaniu dni zerowych ze względu na przepisy międzynarodowe. Hacking Team stwierdza na swojej stronie internetowej, że „nie sprzedaje produktów rządom ani krajom znajdującym się na czarnej liście USA, UE, ONZ, NATO lub ASEAN”, chociaż stwierdzono, że naruszają własną politykę. Ceny na tym rynku są zwykle 10–100 razy wyższe w porównaniu z białym rynkiem i zmienia się to w zależności od lokalizacji kupującego; Stany Zjednoczone to miejsce, w którym oferowane są najlepsze ceny. Potencjalni sprzedawcy, którym nie wolno sprzedawać na określonych terytoriach, takich jak Kuba i Korea Północna w przypadku USA, prawdopodobnie również będą działać na czarnym rynku.

Nabywcami z szarej strefy są klienci z sektora prywatnego, rządy i brokerzy, którzy odsprzedają luki w zabezpieczeniach. Informacje dotyczące tych rynków są dostępne tylko na podstawie próśb o przekazanie informacji poufnych ze strony rządów, gdzie cena jest zwykle redagowana ze względów bezpieczeństwa, oraz informacji, które wyciekły zarówno z agencji bezpieczeństwa narodowego, jak i firm prywatnych (tj. FinFisher i Hacking Team).

Tsyrklevich poinformował o transakcjach dokonanych przez zespół hakerski. Jak dotąd jest to najlepszy dostępny dowód na wewnętrzne funkcjonowanie szarej strefy. Jednak jest prawdopodobne, że niektóre z tych procedur są stosowane zarówno na białym, jak i czarnym rynku:

Kupujący przestrzegają standardowych praktyk zakupowych technologii dotyczących testowania, dostawy i akceptacji. Negocjacje gwarancyjne i wymagania stają się niezbędne przy zakupie produktu, który z natury rzeczy opiera się na istnieniu asymetrii informacji między kupującym a sprzedającym. Wymagania — takie jak ukierunkowane konfiguracje oprogramowania — należy negocjować z wyprzedzeniem, ponieważ dodanie obsługi nowych celów może być niemożliwe lub nieopłacalne. Podobnie postanowienia gwarancyjne dla kupujących są wspólne, więc mogą oni zminimalizować ryzyko poprzez rozłożenie płatności w określonych ramach czasowych i wcześniejsze zakończenie płatności, jeśli luka w zabezpieczeniach zostanie załatana przed upływem tego okresu. Płatności są zazwyczaj dokonywane po dostarczeniu exploita 0day i przetestowaniu go pod kątem wymagań, co wymaga od sprzedawców zaufania, że ​​kupujący będą działać w dobrej wierze. Podobnie kupujący kupujący exploity muszą ufać sprzedawcom, że nie ujawnią luki w zabezpieczeniach ani nie udostępnią jej innym osobom, jeśli są sprzedawane na zasadzie wyłączności.

— Vlad Tsyrklevich, Hacking Team: studium przypadku rynku dnia zerowego, https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/

Kontrowersje

Zazwyczaj stronami sprzeciwiającymi się szarej strefie są sprzedawcy detaliczni produktu na rynku, ponieważ szkodzi to jego zyskom i reputacji. W rezultacie zwykle wywierają presję na oryginalnego producenta, aby dostosował oficjalne kanały dystrybucji. Ważną rolę odgrywa również państwo egzekwujące kary w przypadku naruszenia prawa. Jednak rynek exploitów dnia zerowego jest nietypowy, a sposób jego działania jest bliższy funkcjonowaniu czarnego rynku. Brokerzy i programy premiowe, których można by postrzegać jako sprzedawców detalicznych dni zerowych, nie mają żadnej kontroli nad pierwotnymi producentami „złych”, ponieważ są oni niezależnie odkrywani przez różne, często anonimowe podmioty. Zmiana kanału dystrybucji nie leży w ich interesie, ponieważ mogą czerpać zyski zarówno z białego, jak i szarego rynku, ponosząc znacznie mniejsze ryzyko na tym pierwszym.

Państwa, które zwykle uzupełniają pracę pierwotnych producentów w celu ograniczenia szarej strefy, odgrywają inną rolę na rynku dnia zerowego, ponieważ są regularnymi nabywcami exploitów. Biorąc pod uwagę tajny charakter bezpieczeństwa informacji, ujawnianie informacji o lukach w oprogramowaniu nie leży w ich interesie, ponieważ w tym przypadku ich interes jest zbieżny z interesem przestępców, którzy dążą do infiltracji urządzeń i zdobycia informacji o określonych celach. Można argumentować, że obecność agencji wywiadowczych jako konsumentów tego „złego” może jeszcze bardziej zwiększyć cenę dni zerowych, ponieważ legalne rynki zapewniają siłę przetargową sprzedawcom z czarnego rynku.

Wreszcie prywatne firmy nie chcą podnosić cen swoich nagród do poziomów osiąganych na szarym i czarnym rynku, argumentując, że nie są one zrównoważone na rynkach defensywnych. Poprzednie badania wykazały, że programy nagród są bardziej opłacalne dla firm prywatnych w porównaniu z zatrudnianiem wewnętrznych badaczy ds.

W 2015 roku Zerodium , nowy start-up skupiony na pozyskiwaniu „luk wysokiego ryzyka”, ogłosił swój nowy program bounty. Opublikowali formaty wymagane do zgłaszania luk w zabezpieczeniach, kryteria ustalania cen — popularność i złożoność oprogramowania, którego dotyczy problem, oraz jakość zgłoszonego exploita — oraz same ceny. Stanowi to połączenie przejrzystości oferowanej przez tradycyjny program nagród za luki w zabezpieczeniach oraz wysokich nagród oferowanych na szarym i czarnym rynku. Firmy tworzące oprogramowanie postrzegały to nowe podejście jako zagrożenie, przede wszystkim ze względu na fakt, że bardzo wysokie nagrody mogą spowodować odejście pracowników programistów i testerów. Jednak jego wpływ na rynek nie został jeszcze określony.

NSA była krytykowana za kupowanie i gromadzenie luk dnia zerowego, utrzymywanie ich w tajemnicy i rozwijanie głównie zdolności ofensywnych zamiast pomagać w łataniu luk .

Zobacz też

• Program nagród za błędy
• Cyberprzestępczość
• Środki przeciwdziałania cyberprzestępczości
• Przemysł broni cybernetycznej
• Duqu
• Przemysł masowej inwigilacji
• stuxnet
• Kapitalizm nadzoru
• Proaktywna cyberobrona