Percentuale di vulnerabilità di 0 giorni utilizzate come vettori di infezioni?

Naviga le tue risposte
3

Ho scelto quel titolo, ma ci sono probabilmente diversi modi per fare questa domanda. Si tratta di capire come un computer (soprattutto desktop, ma si potrebbe generalizzare questo ai server che immagino) può essere infettato se è sempre aggiornato (aggiornamenti giornalieri) e se non è abbastanza stupido da consentire esplicitamente l'esecuzione di software non attendibile. Ad esempio, tutti dicono che non si dovrebbero aprire allegati sospetti nelle e-mail, ma perché no? Se ci sono codice o macro negli allegati, l'applicazione dovrebbe avvisarti e chiedere se vuoi eseguirla (almeno quello dovrebbe essere quello che fa LibreOffice). Se colleghi una chiave USB al tuo computer, nessun software in quella chiave dovrebbe essere eseguito automaticamente (questo è ciò che fa Linux, e spero che Windows ti chieda comunque conferma). Stessa cosa per "download drive-by", se non si accetta il download di un file, l'installazione di un plug-in, ecc. Allora come può accadere qualcosa semplicemente sfogliando un sito Web?

A meno che ...

A meno che gli allegati, le chiavi USB, i siti Web e così via non sfruttino una vulnerabilità di 0 giorni. Allora sì, tutto può accadere senza il tuo consenso, e tutto è possibile in teoria. Ma quanto è comune questo? Quindi, tornando alla domanda nel titolo: quale percentuale di infezioni è dovuta a vulnerabilità di 0 giorni? La mia impressione, che potrebbe essere errata, è che è una percentuale molto piccola, quasi zero e che tutte le infezioni sono dovute a persone che non aggiornano regolarmente il loro software, le persone che cliccano "ok" per dare il permesso di eseguire qualcosa che non dovrebbe avere alcun motivo per essere eseguito (come document.doc.exe, vuoi eseguire il seguente programma? Naturalmente Fai clic su ), le persone accettano di scaricare gli aggiornamenti per qualsiasi software o plug-in da siti Web non ufficiali e così via.

Quindi ti chiedo di 0 giorni perché mi sembra l'unica classe di vulnerabilità che ha senso considerare. Se non aggiorni il tuo software non puoi dire "Sono infetto solo navigando su un sito web", ma dovresti piuttosto dire "Sono stato contagiato dimenticandomi di aggiornare il mio browser / OS / etc". Il mio ragionamento mi ha fatto venire in mente 3 classi di vulnerabilità (software obsoleto, consenso esplicito per l'esecuzione di software non attendibile e vulnerabilità di 0 giorni) e dato che le prime due classi possono essere facilmente neutralizzate, mi sto concentrando probabilità del terzo. A meno che, naturalmente, tutto il mio ragionamento non sia corretto.

    
posta reed 20.04.2018 - 23:36
fonte

2 risposte

4

È una domanda valida e non riesco a trovare i dati per rispondere con precisione. Il DBIR di Verizon non sembra individuare le vulnerabilità zero-day utilizzate e non sono a conoscenza di alcuno studio. Credo tuttavia che le possibilità di essere piccoli siano ridotte.

Penso che tu stia esaminando una porzione molto ristretta di cose, tuttavia, dal momento che sembra che tu sia principalmente concentrato su workstation isolate a casa. Sì, quelli saranno fondamentalmente compromessi da:

  1. Utenti che eseguono cose (inclusi macro di documenti, file su unità flash, download, qualsiasi cosa)
  2. Vulnerabilità note (e patch upstream, ma non distribuite)
  3. Vulnerabilità note (e non aggiornate a monte)
  4. Vulnerabilità sconosciute (0 giorni)

Sono completamente d'accordo che per gli utenti domestici, l'ultima categoria è una piccola percentuale di infezioni. Tuttavia, esiste un tempo di latenza non banale tra uno 0 giorni "bruciato" (ad esempio, il venditore ne viene a conoscenza e diventa un giorno) e la disponibilità generale di una patch. Durante questo periodo, un utente compromesso non viene compromesso da uno 0 giorni, ma non è in grado di fermarlo tramite patching.

Tuttavia, in azienda, le cose cambiano molto velocemente. In primo luogo, dobbiamo aggiungere "movimento laterale" e "credenziali rubate" alla nostra lista di vettori. In secondo luogo, aggiungiamo applicazioni aziendali, molte scritte in casa senza attenzione alla sicurezza, al nostro panorama delle minacce. Questi possono avere "0 giorni" a dozzine e sono comunemente usati per violare le imprese. Infine, la maggior parte delle aziende distribuisce le patch abbastanza lentamente rispetto alla percentuale di malware che sfrutta una vulnerabilità. Gli autori di malware non si preoccupano se il loro malware si blocca il 50% delle volte, ma è meglio che a un'azienda venga importato se il 50% delle loro workstation inizia a bloccarsi a causa di una patch non valida.

    
risposta data 21.04.2018 - 01:20
fonte
1

"Non "ha "senso "calcolare "la "percentuale "di "infezioni "causate "da "zero-giorni "e "può "variare "da "0 "a "un "numero "significativo "in "caso "di "epidemia "di "tipo "pandemico. "Li "abbiamo "avuti "in "passato. "Nel "2017 "abbiamo "segnalato "40 "vulnerabilità "zero-day "che "sono "state "sfruttate "prima "della "conoscenza "pubblica "o "della "patch "del "fornitore. "

" "www.zero-day.cz "(statistiche "per "il "2017) " "

"Alcuni "di "questi "sono "stati "utilizzati "in "attacchi "mirati, "alcuni "sono "stati "rilevati "come "backdoor, "iniettati "da "attori "malintenzionati "(ad "esempio "CCleaner, "NotPetya "ransomware "outbreak). Consigliare "a "un "utente "di "non "aprire "file "inviati "da "fonti "non "attendibili "/ "sconosciute "è "un "buon "consiglio "contro "attacchi "casuali, "bcs "la "maggior "parte "degli "utenti "non "ha "workstation "rinforzate, "macro "disabilitata "nel "software "di "Office "ecc. "Non "aiuta "però "contro "un "attacco "mirato, "bcs "potresti "ricevere "quel "file "da "una "persona "fidata "=) "

"La "linea "di "fondo "è: "porterai "un "falso "senso "di "sicurezza "dicendo "che "la "percentuale "di "zero-giorni "negli "attacchi "nel "mondo "reale "è "ZERO "e "non "dovresti "preoccuparti "di "loro. "

    
risposta data 21.04.2018 - 14:38
fonte

Leggi altre domande sui tag

Dove posso trovare informazioni su come implementare la crittografia integrata Intel AES256? Certificazioni per sviluppatori AppSec