|
C'è un lungo dibattito riguardo i benefici e non della divulgazione dei dettagli (full disclosure) delle falle di sicurezza prima del rilascio della relativa patch, o addirittura prima della notifica del problema al produttore. Quando questi exploit sono rilasciati pubblicamente, il così detto giorno zero ha inizio, da qui il termine vulnerabilità ed exploit 0day.
Zone-H ha focalizzato l'attenzione su quello che c'è dietro gli exploit 0day e ciò che guida il loro rilascio da parte degli autori del codice, il quale viene diffuso sulla rete in attesa delle possibili soluzioni.
La prima domanda che invade la nostra mente è: "'I produttori di software vulnerabile non dovrebbero prendere vantaggio dalla grande quantità di documentazione disponibile ed usarla come spunto per fornire prodotti migliori?" Perchè non lo fanno?!?!... Zone-H ha cercato di osservare in profondità il fenomeno degli exploit 0day per capire cosa e chi c'è dietro.
Da dove provengo gli exploit 0day e chi li rilascia?
Trovare una vulnerabilità 0day può essere facile o difficile a seconda della natura della vulnerabilità e dell'abilità del ricercatore. In genere la scoperta di una vulnerabilità può avvenire tramite ricerca con software di testing, o anche attraverso il normale utilizzo del software stesso. L'exploit 0day può essere scritto dal ricercatore in base a ciò che lui ha scoperto, o in base a discussioni e informazioni pubbliche, o dal reverse engineering delle patch ( che altro non è che un exploit per versioni di un software non corrette, anche se in questo caso non si può parlare propriamente di 0day).
Gli autori di exploit e 0day sono in genere classificati da un estremo identificato come blackhat, all'altro identificato come whitehat. Il significato di cosa esattamente è l'uno e l'altro è abbastanza documentato, e con diversi punti di vista (come quella di Full Disclosure), per cui non spenderemo tempo a discutere su questo argomento senza fine (per ogni approfondimento fate riferimento a WikiPedia).
Alcune di queste vulnerabilità sono trovate dai ricercatori di sicurezza whitehat durante penetration test, audit sul software, o anche in maniera accidentalmente.
I ricercatori whitehat di solito non condividono l'exploit di una data vulnerabilità, essi si limitano a rilasciare delle informazioni ed un possibile PoC solo dopo lo sviluppo della patch. In alcuni casi ci sono aziende di sicurezza che potrebbero conservare exploit 0day prodotti in privato, che risultano utili nei penetration test futuri.
Il settore dal quale maggiormente vengono rilasciati exploits 0day è quello dei ricercatori di sicurezza indipendenti, a volte chiamati 'greyhats', i quali scoprono le vulnerabilità accidentalmente o per curiosità. E' questo il gruppo dal quale dipende il rilascio di una patch da parte del produttore in genere contrariato. Infatti molto spesso il rilascio dei dettagli di una vulnerabilità avviene in stile Full Disclosure nello stesso momento sia al produttore che al resto del mondo.
Il resto di questi exploit è scritto dai blackhats, che scelgono di non rilasciare l'exploit pubblicamente tranne che per altri blackhats. Alcune volte essi vendono exploit per altri scopi (come spiegato di seguito), di solito dopo che sono stati utilizzati per bucare i target ed i siti più popolari. Molto spesso qualcuno vicino ai blackhats rilascia uno 0day per vendetta contro il suo gruppo o per rancore verso una gruppo blackhat rivale.
Perchè vengono rilasciati exploit 0day ?
Secondo le stime, la frustrazione del produttore guida per l' 80% la classifica delle cause del rilascio di exploit 0day. In molti casi i ricercatori non si sentono minimamente responsabili, specialmente se consideriamo il caso del produttore che: o non risponde alle prime 5 mail, o ritiene che il problema riscontrato dal ricercatore sia insignificante. Altri fattori entrano in gioco quando si lavora con i programmatori ed i produttori di software, come il completo rifiuto nel credere in qualcuno che cerca di far presente che c'è qualcosa di errato nel proprio software, e spesso il tutto finisce con abusi verbali nelle email di risposta (un caso comune).
Altre motivazioni che portano al rilascio di exploit 0day riguardano la loro vendita in cambio di spywware, worms, bots, ed altro materiale illegale.
La maggior parte degli autori di exploit sono semplici programmatori che hanno una grande abilità nell'esaminare una falla e scrivere il relativo codice di exploit. Gli acquirenti invece vanno dalle aziende di adware alle organizzazione criminali.. e sia i greyhats che i blackhats sono felicemente disposti a vendere i loro exploit.
Come è possibile bloccare gli exploit 0day?
Gli exploit 0day non avranno mai fine, ma possono diventare numericamente inferiori e con una gravità minore dal punto di vista dell'impatto, se solo l'industria del software cominciasse a vincere la partita invece che giocarla soltanto. I produttori di software, coders, e programmatori dovrebbero ascoltare e apprendere dall'abbondanza di ricerca che viene fatta GRATUITAMENTE. E' importante essere amichevoli, e provare a capire ciò che le persone cercano di comunicare, osservando tutto da un altro punto di vista. Prendere in considerazione la gente che sta trovando delle vulnerabilità nei prodotti della propria azienda potrebbe essere un buon inizio. Alcune aziende come iDefense e 3COM /TippingPoint, stanno ora incentivando dei programmi per dare un riconoscimento economico ai ricercatori, che dovrebbero altrimenti affidarsi al mercato illegale per commercializzare i propri ''prodotti''. Da questo punto di vista adesso molti ex blackhats sono grati al fatto che hanno una fonte legale ed affidabile a cui offrire gli sforzi del loro lavoro. Fonte: Zone-H
Powered by Components Lab Tag Mambot
Trackback(0)
 |
Notizie varie 
Add to Blink
Add to Del.icio.us
Add to Digg
Add to Furl
Add to Google
Add to Simpy
Add to Y!MyWeb
Add to Spurl
TrackBack URI for this entry
RSS feed Comments
