Рынок эксплойтов нулевого дня

Торговля необнаруженными программными эксплойтами

Рынок эксплойтов нулевого дня — это коммерческая деятельность, связанная с торговлей эксплойтами программного обеспечения .

Уязвимости программного обеспечения и « эксплойты » используются для получения удаленного доступа как к хранимой информации, так и к информации, генерируемой в режиме реального времени. Когда большинство людей используют одно и то же программное обеспечение, как это происходит в большинстве стран сегодня, учитывая монополистическую природу поставщиков интернет-контента и услуг, одна конкретная уязвимость может быть использована против тысяч, если не миллионов людей. В этом контексте преступники заинтересовались такими уязвимостями. В отчете Центра стратегических и международных исследований McAfee за 2014 год оценивается, что стоимость киберпреступности и кибершпионажа составляет около 160 миллиардов долларов в год. ^[1] Во всем мире страны назначили государственные учреждения для решения этой проблемы, но они, скорее всего, будут противоречить интересам своего правительства в доступе к информации людей для предотвращения преступлений. ^[2] В результате и национальные службы безопасности, и преступники скрывают определенные уязвимости программного обеспечения как от пользователей, так и от первоначального разработчика. Этот тип уязвимости известен как эксплойт нулевого дня .

Многое было сказано в академических кругах и обычных СМИ о регулировании эксплойтов нулевого дня на рынке. Однако очень сложно достичь консенсуса, поскольку большинство определений эксплойтов нулевого дня довольно расплывчаты или неприменимы, поскольку определить использование определенного программного обеспечения как вредоносное ПО можно только после его использования. ^[2] Кроме того, существует конфликт интересов в деятельности государства, который может помешать регулированию, которое может сделать обязательным раскрытие уязвимостей нулевого дня. Правительства сталкиваются с компромиссом между защитой конфиденциальности своих граждан путем сообщения об уязвимостях частным компаниям, с одной стороны, и подрывом коммуникационных технологий, используемых их целями, которые также угрожают безопасности общественности, с другой стороны. ^[3] Защита национальной безопасности путем эксплуатации уязвимостей программного обеспечения, неизвестных как компаниям, так и общественности, является основным ресурсом для служб безопасности, но также ставит под угрозу безопасность каждого отдельного пользователя, поскольку любая третья сторона, включая преступные организации, может использовать тот же ресурс. ^[4] Следовательно, только пользователи и частные фирмы имеют стимулы минимизировать риски, связанные с эксплойтами нулевого дня; первые — чтобы избежать вторжения в личную жизнь, а вторые — чтобы сократить расходы на утечку данных. К ним относятся юридические процессы, расходы, связанные с разработкой решений для исправления или «заплатки» исходной уязвимости в программном обеспечении, и расходы, связанные с потерей доверия клиентов к продукту. ^[5]

Описание

Эблон, Либики и Голей ^[6] в значительной степени объяснили внутреннюю работу рынка нулевого дня. Основные выводы можно разделить на пять компонентов: товар, валюта, рынок, предложение и спрос. Эти компоненты и их связь с ценообразованием будут описаны. Определение, данное компоненту спроса, также будет оспорено, поскольку крайне важно понять природу рынков (т. е. белый, серый и черный) и его регулирование или его отсутствие.

Товар

Эксплойты — это цифровые продукты, то есть информационные товары с почти нулевыми предельными издержками производства. ^[7] Однако они являются нетипичными информационными товарами. В отличие от электронных книг или цифровых видео, они не теряют своей ценности, поскольку их легко скопировать, а из-за того, что после их обнаружения первоначальный разработчик «залатает» уязвимость, что снизит ценность товара.

Значение не будет равно нулю по двум причинам: (1) распределение патча асимметрично и (2) разработчики могли бы использовать исходную ошибку для создания варианта по сниженной стоимости. Они также нетипичны, поскольку являются товарами, чувствительными ко времени. Компании регулярно обновляют свое программное обеспечение, и патч полезен только в промежутке между версиями; иногда уязвимость можно исправить без внешнего отчета. В-третьих, даже в конфиденциальных транзакциях само использование эксплойта может создать дисфункцию на стороне пользователя, раскрывая уязвимость и приводя к потере ее ценности. В этом смысле эксплойты неисключаемы, но они могут быть или не быть неконкурентными, поскольку чем больше пользователей используют эксплойт нулевого дня после определенной точки, тем более заметным будет его влияние для рассматриваемой компании. Это может привести к тому, что компания с большей вероятностью исправит эксплойт, что приведет к ограниченному периоду времени, когда эксплойт будет доступен всем пользователям.

Валюта

В большинстве случаев транзакции обычно предназначены для защиты личности по крайней мере одной из сторон, участвующих в обмене. Хотя это зависит от типа рынка — белые рынки могут использовать отслеживаемые деньги — большинство покупок совершается с использованием украденных цифровых средств (кредитных карт) и криптовалют . Хотя последнее было доминирующей тенденцией в последние несколько лет, цены на сером рынке устанавливаются в долларах, как показывают утечки архива электронной почты Hacking Team . ^[8]

Торговая площадка

Классически, черные рынки, такие как нелегальное оружие или наркотики, требуют огромной сети доверенных сторон для выполнения транзакций по заключению сделок, подделке документов, финансовым переводам и незаконной перевозке, среди прочего. Поскольку очень сложно обеспечить соблюдение любого юридического соглашения в этих сетях, многие преступные организации вербуют членов, находящихся недалеко от дома. ^[9] Этот элемент близости увеличивает стоимость транзакции, поскольку для транснациональных транзакций требуется больше посредников, что снижает общую прибыль первоначального продавца.

С другой стороны, уязвимости нулевого дня являются виртуальными продуктами и могут быть легко проданы без посредников через Интернет, поскольку имеющиеся технологии достаточно сильны, чтобы обеспечить анонимность по очень низкой цене. Даже если есть необходимость в посредниках, «непреднамеренные мулы данных» могут быть использованы, чтобы избежать любых доказательств правонарушения. ^[10] Вот почему черный рынок настолько прибыльен по сравнению с серыми рынками . Серые рынки, которые включают транзакции с государственными учреждениями, отвечающими за национальную безопасность, обычно требуют использования третьих лиц для сокрытия следов своих транзакций. Архив Hacking Team, например, содержит предполагаемые контракты с Эквадорским национальным секретариатом разведки, где они использовали двух посредников: Robotec и Theola. В том же архиве говорится, что сторонние компании Cicom и Robotec вели переговоры по контрактам от имени ФБР и DEA соответственно. ^[11] Менее вероятно, что белые рынки столкнутся с той же проблемой, поскольку скрывать транзакцию не в их интересах, скорее наоборот, потому что компании активно продвигают использование своих новых патчей.

Поставлять

Цепочка поставок сложна и включает в себя множество участников, организованных иерархиями, где администраторы сидят наверху, за ними следуют технические эксперты. Далее идут посредники, брокеры и поставщики, которые могут быть или не быть сложными, и, наконец, за ними следуют сообразительные мулы. В этой цепочке команд можно найти множество продуктов. В то время как эксплойты нулевого дня могут быть «найдены» или разработаны только экспертами в данной области, другие эксплойты могут быть легко коммерциализированы практически любым человеком, желающим выйти на черный рынок. Для этого есть две причины. Во-первых, некоторые устройства используют устаревшее или нерекомендуемое программное обеспечение и могут быть легко атакованы эксплойтами, которые в противном случае были бы совершенно бесполезны. Во-вторых, эти «эксплойты полудня» ^[12] можно использовать через графические интерфейсы и изучать с помощью свободно доступных учебных пособий, что означает, что для выхода на рынок в качестве продавца требуется совсем немного знаний.

Сосуществование рынков нулевого дня и полудневного рынка влияет на устойчивость черного рынка, поскольку разработчики продолжают двигаться в сторону более сложной цели. В то время как количество случаев ликвидации организованной преступности увеличилось, поставщиков легко заменяют людьми с более низких уровней пирамиды. Поиск нового поставщика может занять меньше дня после операции по ликвидации, которая может легко длиться месяцами.

Однако, чтобы попасть наверх, нужны личные связи и хорошая репутация, в этом цифровой черный рынок ничем не отличается от физического. Эксплойты на полдня обычно продаются в более доступных местах, но для нулевого дня часто требуются «двойные слепые» аукционы и использование нескольких слоев шифрования, чтобы обойти правоохранительные органы. Этого нельзя сделать на форумах или досках, поэтому эти транзакции происходят в крайне проверенных местах.

Требовать

Тот, кто покупает эксплойты нулевого дня, определяет тип рынка, с которым мы имеем дело. Afidler ^[4] различает белый, серый и черный рынки, следуя методологии определения размера рынка из Гарвардской школы бизнеса в качестве руководства. Здесь они различают белый рынок, серый рынок и черный рынок.

Белые рынки — это те, где оригинальные разработчики вознаграждают исследователей безопасности за сообщение об уязвимостях. В среднем цены, о которых сообщалось до 2014 года, составляли менее десяти тысяч долларов, но для определенных уязвимостей делались специальные предложения до 100 000 долларов в зависимости от типа, критичности и характера затронутого программного обеспечения. ^[13] Четырнадцать процентов всех уязвимостей Microsoft, Apple и Adobe за последние десять лет появились через программы белого рынка. ^[14]

Преступники покупают на черном рынке; однако правительства могут быть случайными покупателями, если их предложение не может быть удовлетворено на сером рынке или если они находят препятствия для приобретения уязвимостей нулевого дня из-за международных правил. Hacking Team заявляет на своем веб-сайте, что они «не продают продукцию правительствам или странам, занесенным в черный список США, ЕС, ООН, НАТО или АСЕАН», хотя они были уличены в нарушении своей собственной политики. Цены на этом рынке обычно в 10–100 раз выше по сравнению с белым рынком ^[6] , и это меняется в зависимости от местоположения покупателя; Соединенные Штаты являются местом, где предлагаются лучшие цены. Потенциальные продавцы, которым не разрешено продавать на определенных территориях, таких как Куба и Северная Корея в случае США, вероятно, также будут работать на черном рынке.

Покупатели серых рынков включают клиентов из частного сектора, правительств и брокеров, которые перепродают уязвимости. Информация об этих рынках доступна только через запросы конфиденциальной информации от правительств, где цена обычно редактируется в целях безопасности, и информацию, утекающую как из национальных служб безопасности, так и из частных компаний (например, FinFisher и Hacking Team).

Цырклевич сообщил о транзакциях, совершенных Hacking Team. ^[8] На сегодняшний день это представляет собой наилучшее доступное свидетельство о внутренней работе серого рынка. Однако, вполне вероятно, что некоторые из этих процедур применяются как на белом, так и на черном рынке:

Покупатели следуют стандартным практикам закупки технологий в отношении тестирования, доставки и приемки. Переговоры о гарантиях и требованиях становятся необходимыми при покупке продукта, изначально основанного на существовании информационной асимметрии между покупателем и продавцом. Требования, такие как целевые конфигурации программного обеспечения, важно согласовывать заранее, поскольку добавление поддержки для новых целей может оказаться невозможным или не стоить усилий. Аналогично, гарантийные положения для покупателей являются обычным явлением, чтобы они могли минимизировать риск, разделяя платежи на установленные сроки и прекращая платежи досрочно, если уязвимость будет исправлена до истечения этого срока. Платежи обычно производятся после того, как эксплойт 0day был доставлен и протестирован на соответствие требованиям, что требует от продавцов доверять покупателям в их добросовестных действиях. Аналогично, покупатели, покупающие эксплойты, должны доверять продавцам в том, что они не раскроют уязвимость и не поделятся ею с другими, если она продается на эксклюзивной основе.
— Влад Цырклевич, Hacking Team: исследование рынка нулевого дня, https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/

Споры

Обычно сторонами, выступающими против серых рынков, являются розничные продавцы товара на рынке, поскольку это наносит ущерб его прибыли и репутации. В результате они обычно оказывают давление на оригинального производителя, чтобы тот скорректировал официальные каналы распространения. Государство также играет важную роль в обеспечении штрафов в случае нарушения закона. Однако рынок эксплойтов нулевого дня нетипичен, и его работа ближе к работе черного рынка. Брокеры и программы вознаграждений, которые можно рассматривать как розничных продавцов нулевого дня, не имеют никакого контроля над оригинальными производителями «плохого», поскольку они независимо обнаруживаются разными и часто анонимными субъектами. Не в их интересах менять канал распространения, поскольку они могут получать прибыль как от белого, так и от серого рынка, имея гораздо меньший риск на первом.

Государства, которые обычно дополняют работу оригинальных производителей по ограничению серых рынков, играют другую роль на рынке нулевого дня, поскольку они являются постоянными покупателями эксплойтов. Учитывая секретный характер информационной безопасности, не в их интересах раскрывать информацию об уязвимостях программного обеспечения, поскольку их интересы в данном случае совпадают с интересами преступников, которые стремятся проникнуть в устройства и получить информацию о конкретных целях. Можно утверждать, что присутствие разведывательных служб в качестве потребителей этого «плохого» может еще больше повысить цену нулевого дня, поскольку законные рынки предоставляют торговую силу продавцам черного рынка. ^[5]

Наконец, частные компании не желают повышать цены на свои вознаграждения до уровней, достигнутых на сером и черном рынках, утверждая, что они не являются устойчивыми для защитных рынков. ^[15] Предыдущие исследования показали, что программы вознаграждений более рентабельны для частных фирм по сравнению с наймом внутренних исследователей безопасности, ^[16] но если цена вознаграждений продолжит расти, это может уже не иметь места.

В 2015 году Zerodium , новый стартап, сосредоточенный на приобретении «уязвимостей высокого риска», объявил о своей новой программе вознаграждений. Они опубликовали форматы, необходимые для представления уязвимостей, свои критерии для определения цен — популярность и сложность затронутого программного обеспечения, а также качество представленного эксплойта — и сами цены. Это представляет собой смесь прозрачности, предлагаемой традиционной программой вознаграждения за уязвимости, и высоких вознаграждений, предлагаемых на сером и черном рынках. ^[17] Компании-разработчики программного обеспечения восприняли этот новый подход как угрозу, в первую очередь из-за того, что очень высокие вознаграждения могли заставить разработчиков и тестировщиков оставить свою основную работу. ^[15] Однако его влияние на рынок еще предстоит определить.

АНБ критиковали за скупку и накопление уязвимостей нулевого дня, сохранение их в тайне и разработку в основном наступательных возможностей вместо помощи в устранении уязвимостей. ^[18]^[19]^[20]^[21]

Смотрите также

Ссылки

^ Лоссес, Н. (2014). Оценка глобальной стоимости киберпреступности. McAfee, Центр стратегических и международных исследований.
^ ab Белловин, SM, Блейз, M., Кларк, S., и Ландау, S. (2014). Законный взлом : использование существующих уязвимостей для прослушивания телефонных разговоров в Интернете. Nw. J. Tech. & Intell. Prop., 12, i.
^ Чой, Дж. П., Ферштман, К. и Гэндал, Н. (2010). Сетевая безопасность: уязвимости и политика раскрытия информации*. Журнал промышленной экономики, 58(4), 868-894.
^ ab Afidler, M., Granick, J., & Crenshaw, M. (2014). Анархия или регулирование: контроль глобальной торговли уязвимостями нулевого дня (докторская диссертация, магистерская работа. Стэнфордский университет, URL: https://stacks.stanford.edu/file/druid:zs241cm7504/Zero-Day%20Vulnerability%20Thesis%20by%20Fidler.pdf).
^ ab Radianti, J., Rich, E., & Gonzalez, JJ (2009, январь). Черные рынки уязвимости: эмпирические данные и моделирование сценариев. В System Sciences, 2009. HICSS'09. 42-я Гавайская международная конференция (стр. 1-10). IEEE.
^ ab Ablon, L.; Libicki, MC; Golay, AA (2014). Рынки инструментов киберпреступности и украденных данных: Hackers' Bazaar . Rand Corporation.
^ Chappell, HW, Guimaraes, P., & Demet Öztürk, O. (2011). Признания интернет-монополиста: оценка спроса на версионный информационный товар. Управленческая и решившая экономика, 32(1), 1-15.
^ ab Tsyrklevich, V. (22 июля 2015 г.). "Hacking Team: A zero-day market case study" . Получено 20 октября 2015 г. .
^ Кинселла, Д. (2006). Черный рынок стрелкового оружия: изучение социальной сети. Contemporary Security Policy, 27(01), 100-117.
^ Аппельбаум, Дж .; Гибсон, А.; Гварниери, К.; Мюллер-Магун, А.; Пойтрас, Л.; Розенбах, М.; Шмундт; Зонтхаймер, Ее Величество (17 января 2015 г.). «Гонка цифровых вооружений: АНБ готовит Америку к будущей битве». Дер Шпигель .
^ Гонсалес, Э. (2015, 30 июля). Объяснение: Достижение хакерской команды в Америке. Получено 4 декабря 2015 г. с сайта http://www.as-coa.org/articles/explainer-hacking-teams-reach-americas-0
^ Эксплойты на полдня (также известные как однодневные или двухдневные эксплойты) — это такие уязвимости, о которых создатель программного обеспечения может знать, а исправление может быть доступно, но лишь немногие пользователи знают об этом и применяют эти исправления.
^ Дюбендорфер, Т. и Фрей, С. (2009). Почему скрытые обновления повышают безопасность. TIK, ETH Zurich, Tech. Rep, 302.
^ Фидлер, Майлин. «Регулирование торговли уязвимостями нулевого дня: предварительный анализ». I/S: Журнал права и политики для информационного общества .
^ ab Hackett, R. (21 сентября 2015 г.). Требуются джейлбрейки: взломы iPhone на 1 миллион долларов. Получено 5 декабря 2015 г.
^ Финифтер, М., Ахаве, Д. и Вагнер, Д. (2013, август). Эмпирическое исследование программ вознаграждения за уязвимости. В USENIX Security (т. 13).
^ В ноябре того же года фирма объявила, что выплатила миллион долларов в качестве вознаграждения за эксплойт iOS9, однако существует широко распространенный скептицизм относительно правдивости такого отчета. Zerodium не работает с оригинальными разработчиками и пока не раскрыла никаких подробностей о предполагаемом эксплойте iOS9.
^ Шнайер, Брюс (24 августа 2016 г.). «Новые утечки доказывают это: АНБ подвергает нас всех риску взлома». Vox . Получено 5 января 2017 г.
^ «Cisco подтверждает, что связанная с АНБ уязвимость zeroday годами атаковала ее межсетевые экраны». Ars Technica. 17 августа 2016 г. Получено 5 января 2017 г.
^ Гринберг, Энди. «The Shadow Brokers Mess — вот что происходит, когда АНБ накапливает уязвимости нулевого дня». WIRED . Получено 5 января 2017 г.
^ "Trump likely to Retain Hacking Vulnerability Program". Bloomberg BNA. Архивировано из оригинала 5 января 2017 года . Получено 5 января 2017 года .

[1] Лоссес, Н. (2014). Оценка глобальной стоимости киберпреступности. McAfee, Центр стратегических и международных исследований.

[Bellovin-2] Белловин, SM, Блейз, M., Кларк, S., и Ландау, S. (2014). Законный взлом : использование существующих уязвимостей для прослушивания телефонных разговоров в Интернете. Nw. J. Tech. & Intell. Prop., 12, i.

[3] Чой, Дж. П., Ферштман, К. и Гэндал, Н. (2010). Сетевая безопасность: уязвимости и политика раскрытия информации*. Журнал промышленной экономики, 58(4), 868-894.

[afidler-4] Afidler, M., Granick, J., & Crenshaw, M. (2014). Анархия или регулирование: контроль глобальной торговли уязвимостями нулевого дня (докторская диссертация, магистерская работа. Стэнфордский университет, URL: https://stacks.stanford.edu/file/druid:zs241cm7504/Zero-Day%20Vulnerability%20Thesis%20by%20Fidler.pdf).

[radianti-5] Radianti, J., Rich, E., & Gonzalez, JJ (2009, январь). Черные рынки уязвимости: эмпирические данные и моделирование сценариев. В System Sciences, 2009. HICSS'09. 42-я Гавайская международная конференция (стр. 1-10). IEEE.

[ablon-6] Ablon, L.; Libicki, MC; Golay, AA (2014). Рынки инструментов киберпреступности и украденных данных: Hackers' Bazaar . Rand Corporation.

[7] Chappell, HW, Guimaraes, P., & Demet Öztürk, O. (2011). Признания интернет-монополиста: оценка спроса на версионный информационный товар. Управленческая и решившая экономика, 32(1), 1-15.

[Tsy-8] Tsyrklevich, V. (22 июля 2015 г.). "Hacking Team: A zero-day market case study" . Получено 20 октября 2015 г. .

[9] Кинселла, Д. (2006). Черный рынок стрелкового оружия: изучение социальной сети. Contemporary Security Policy, 27(01), 100-117.

[10] Аппельбаум, Дж .; Гибсон, А.; Гварниери, К.; Мюллер-Магун, А.; Пойтрас, Л.; Розенбах, М.; Шмундт; Зонтхаймер, Ее Величество (17 января 2015 г.). «Гонка цифровых вооружений: АНБ готовит Америку к будущей битве». Дер Шпигель .

[11] Гонсалес, Э. (2015, 30 июля). Объяснение: Достижение хакерской команды в Америке. Получено 4 декабря 2015 г. с сайта http://www.as-coa.org/articles/explainer-hacking-teams-reach-americas-0

[ftn3-12] Эксплойты на полдня (также известные как однодневные или двухдневные эксплойты) — это такие уязвимости, о которых создатель программного обеспечения может знать, а исправление может быть доступно, но лишь немногие пользователи знают об этом и применяют эти исправления.

[13] Дюбендорфер, Т. и Фрей, С. (2009). Почему скрытые обновления повышают безопасность. TIK, ETH Zurich, Tech. Rep, 302.

[14] Фидлер, Майлин. «Регулирование торговли уязвимостями нулевого дня: предварительный анализ». I/S: Журнал права и политики для информационного общества .

[Hackett-15] Hackett, R. (21 сентября 2015 г.). Требуются джейлбрейки: взломы iPhone на 1 миллион долларов. Получено 5 декабря 2015 г.

[16] Финифтер, М., Ахаве, Д. и Вагнер, Д. (2013, август). Эмпирическое исследование программ вознаграждения за уязвимости. В USENIX Security (т. 13).

[ftn5-17] В ноябре того же года фирма объявила, что выплатила миллион долларов в качестве вознаграждения за эксплойт iOS9, однако существует широко распространенный скептицизм относительно правдивости такого отчета. Zerodium не работает с оригинальными разработчиками и пока не раскрыла никаких подробностей о предполагаемом эксплойте iOS9.

[18] Шнайер, Брюс (24 августа 2016 г.). «Новые утечки доказывают это: АНБ подвергает нас всех риску взлома». Vox . Получено 5 января 2017 г.

[19] «Cisco подтверждает, что связанная с АНБ уязвимость zeroday годами атаковала ее межсетевые экраны». Ars Technica. 17 августа 2016 г. Получено 5 января 2017 г.

[20] Гринберг, Энди. «The Shadow Brokers Mess — вот что происходит, когда АНБ накапливает уязвимости нулевого дня». WIRED . Получено 5 января 2017 г.

[21] "Trump likely to Retain Hacking Vulnerability Program". Bloomberg BNA. Архивировано из оригинала 5 января 2017 года . Получено 5 января 2017 года .