Con quale frequenza gli aggressori di fascia alta utilizzano effettivamente exploit zero-day?

Naviga le tue risposte
5

All'inizio di questa settimana il capo della operazioni di Access Tailored della NSA presentava piuttosto distintamente una presentazione alla USENIX Enigma security conference . (Notizie coverege qui e qui ; video del talk here ). L'argomento del discorso: come difendersi da attaccanti sofisticati e persistenti a livello di nazione, come, beh, il TAO. Come ci si potrebbe aspettare, non ci sono state rivelazioni sbalorditive di tecniche classificate e nuove per l'hacking o la difesa. Ma il capo dell'ATO ha comunque fatto almeno alcuni punti stimolanti. Uno di questi riguardava l'uso da parte della NSA di exploit zero-day. O, in realtà, la loro insolita:

“A lot of people think that nation states are running their operations on zero days, but it’s not that common,” he said. “For big corporate networks persistence and focus will get you in without a zero day; there are so many more vectors that are easier, less risky, and more productive.”

Si potrebbe essere sospettosi, su una serie di motivi, che il capo degli hacker della NSA potrebbe semplicemente sottovalutare il ruolo di usare zero-giorni in queste operazioni ovviamente classificate. E ovviamente, negli ultimi anni c'è stato un numero qualsiasi di operazioni di stato nazione documentate che hanno usato zero-giorni. (Nessuno più estensivamente di Attacchi di Stuxnet orchestrato in gran parte da, sì, la NSA.) Comunque, anche se il grado della sua dismisura era un po '"protesti troppo", ho sicuramente letto e ascoltato cose simili da altre fonti recentemente suonando temi simili . (Ti piace questo articolo e questa presentazione a Defcon il mese scorso.) E, per inciso, il resto del discorso è stato abbastanza persuasivo che gli hacker della NSA sono abili nel trovare e penetrare attraverso le crepe nelle difese di un bersaglio senza bisogno di ricorrere a zero-giorni.

(Modifica: per chiarire, per questa domanda prendo "zero-day" per indicare una vulnerabilità e un exploit di accompagnamento la cui esistenza è sconosciuta al difensore e alla comunità infosec generale quando vengono utilizzati in un attacco.)

Quindi, la domanda : qualcuno sa di qualsiasi informazione - da statistiche di qualche tipo, aneddoti di esperienza personale, qualsiasi cosa tu pensi significativo - che parla di quanto spesso gli attaccanti sofisticati che hanno accesso a zero-giorni - in altre parole, in pratica gli stati-nazione ricorrono effettivamente a usarli negli attacchi?

    
posta mostlyinformed 29.01.2016 - 22:45
fonte

3 risposte

5

Ho guidato un progetto che guardava a questo mentre ero in Microsoft. La risposta è che la stragrande maggioranza dei breakin non usa 0 giorni. Abbiamo usato il malware come proxy per i breakin, perché i dati erano più accessibili e mettevano l'uso di 0days in prospettiva.

I dati qui non scoppiano aggressori sofisticati, ma gli argomenti che hai avanzato sul motivo per cui nessuno vuole usare 0days sono solidi. Probabilmente sono stati utilizzati in Stuxnet a causa delle lacune d'aria.

link

Poiché si tratta di un rapporto lungo, devo aggiungere che si tratta della sezione di apertura, "Azzeramento dei metodi di propagazione del malware" che risolve la domanda.

    
risposta data 30.01.2016 - 00:07
fonte
1

Breaking in è interamente dedicato alla ricerca. È necessario dedicare tempo al rilevamento di una rete e ai vari punti di accesso o accesso. Parte di questo sarà la revisione del firmware hardware e del software in esecuzione.

Il primo punto di attacco che potrei scegliere sarebbe il wifi. Vorrei scoprire il modello di access point che usano e quindi scaricare il firmware. Una volta che ho il file del firmware, di solito riesco a vedere tutti i file, le pagine PHP e le impostazioni che il sistema ha di default.

Se scopro una debolezza, allora è un giorno zero. Ma se scopro un punto debole nel modo in cui l'amministrazione ha configurato quel dispositivo, non è necessariamente un giorno zero. Quindi sono alla ricerca di punti deboli e talvolta trovo un giorno zero che sembra essere una debolezza.

I giorni zero sono importanti perché sono punti deboli. Ma l'informazione è molto più preziosa. Più spesso riesco a trovare debolezza nella configurazione da parte degli utenti finali e degli amministratori, quindi posso aziende che hanno almeno passato un po 'di tempo a pensare a questo tipo di cose.

TL; DR; Se vuoi attaccare la tua ricerca. Ogni modello Ogni firmware Ogni patch Scopri tutto quello che puoi e diventa chiaro come le reti sono deboli.

    
risposta data 30.01.2016 - 03:57
fonte
0

Da quello che ho visto personalmente, ascoltato dai relatori alle conferenze e letto articoli di notizie, la maggior parte delle aziende è estremamente porosa quando si parla di sicurezza. Quindi non dovrebbe sorprendere che gli aggressori in genere non debbano usare vulnerabilità di 0 giorni.

Se desideri dati complessi, Trustwave ha pubblicato alcune statistiche raccolte dalle indagini disponibili all'indirizzo link

    
risposta data 30.01.2016 - 01:16
fonte

Leggi altre domande sui tag

È possibile inviare più richieste POST utilizzando CSRF? La firma del file apk di Android con il digest SHA1 è abbastanza sicura?