اهمیت افشای آسیب پذیری

افشای آسیب پذیری فرایند آوردن اطلاعات در مورد نقص سیستم های عامل ، برنامه ها ، سیستم عامل و فرایندهای تجاری به حوزه عمومی است. هدف این است که اطمینان حاصل شود که فروشندگان محصولات رفع عیب ها در حالی که کاربران می توانند قبل از پیدا کردن و سوء استفاده از آن ، نقصان را برطرف سازند.

این آسیب پذیری ها معمولاً توسط محققان امنیتی که به طور خاص به دنبال آنها هستند ، کشف می شوند. از آنجا که مجرمان سایبری و کشورهای متخاصم نیز به دنبال آنها می گردند – و هیچ راهی برای دانستن اینکه آیا آنها را هم پیدا کرده اید وجود ندارد – ضروری است که آنها به محض کشف و قبل از بهره برداری برطرف شوند. افشای آسیب پذیری توسط افراد خوب بخش مهمی از این فرایند است.

ما باید سه اصطلاح را درک کنیم: آسیب پذیری (نقص یا اشکال در کد). سوءاستفاده ها (روشی که برای دستکاری آسیب پذیری استفاده می شود). و وصله (رفع آسیب پذیری توسط فروشنده و اجرای آن توسط کاربر).

درک مفهوم روزهای صفر (0 روز) مفید است. آسیب پذیری های 0 روزه توسط یک فروشنده بالقوه شناخته شده است اما هنوز شناخته نشده است و بنابراین هنوز برطرف نشده است. در نتیجه ، در تئوری هیچ دفاعی در برابر بهره برداری 0 روزه برای یک آسیب پذیری 0 روزه وجود ندارد.

از نظر فنی ، این اصطلاح مربوط به دوره بین کشف و رفع است. این یک زمان متغیر است بسته به اینکه چه مدت طول می کشد فروشنده برای رفع مشکل. با این حال ، از نظر عملی ، این آسیب پذیری یک آسیب پذیری 0 روزه برای افراد تا زمان رفع مشکل فروشنده در رایانه کاربر است.

یک عارضه برای این توضیحات – و مفهومی که برای این پست وبلاگ مهم است – آسیب پذیری است که افراد بد را فقط به آنها می شناسند و مخفی نگه می دارند. کشف شده است ، بنابراین از نظر فنی یک آسیب پذیری 0 روزه است. اما برای عموم مردم مشخص نیست. به طور مؤثر وجود ندارد – اما چنین است. اینها ناشناخته ترین امنیت ناشناخته هستند و در هر زمان می توانند توسط مجرمان مورد سوء استفاده قرار بگیرند.

افشای آسیب پذیری یک فرایند مهم در ایمن نگه داشتن محصولات ما است. محققان امنیتی نقص ها را می یابند ، آنها را به فروشندگان گزارش می دهند ، و سپس آنها را برطرف می کنند. این تئوری است وقتی کار کرد ، خوب کار می کند؛ اما همیشه کار نمی کند

دو روش اساسی برای افشای آسیب پذیری از محققان وجود دارد ، که با اصطلاحات "افشای کامل" و "افشای مسئولانه" مشخص می شوند.

افشای کامل

مفهوم افشای کامل دلالت بر انتشار فوری و کامل دارد. از تمام جزئیات آسیب پذیری کشف شده – احتمالاً شامل سوء استفاده برای نشان دادن آسیب پذیری. پیروان این دکترین اعتقاد دارند که این تنها راه اطمینان از این است که فروشنده با همه عجله های موجود مشکل را برطرف کند.

رفع نقص کد می تواند یک تمرین زمان بر و پرهزینه برای فروشنده باشد و اذعان به اینکه آنها نرم افزارهایی را با اشکالات فروخته اند می تواند به اعتبار آنها آسیب برساند. از نظر تاریخی ، بسیاری از شرکت ها این نظر را پذیرفتند که هرچه افراد کمتری از ضعف آگاهی داشته باشند ، محصول خود را ایمن تر می کنند (و البته این باعث صرفه جویی در وقت ، پول و شهرت آنها می شود). بنابراین ، آنها هیچ کاری انجام نمی دهند ، یا این کار را خیلی آهسته انجام می دهند.

با این حال ، محققان آگاه هستند که اگر بتوانند نقص را پیدا کنند ، دیگران نیز می توانند. همیشه این احتمال وجود دارد که نقص یکی از ناشناخته های ناشناخته باشد که می تواند مورد سوء استفاده قرار بگیرد – احتمالاً در مقیاس گسترده – در هر زمان. تنها راه حل این است که فروشنده بتواند هرچه سریع تر مشکل را برطرف کند و افشای کامل توسط برخی از محققان به عنوان بهترین راه برای اطمینان از این امر در نظر گرفته می شود.

ضعف در این استدلال این است که افشای کامل به افراد بد نیز می گوید. عیب افشای کامل در مورد آسیب پذیری اغلب در یک مسابقه بین فروشنده و بدجنس انحطاط می یابد – یکی برای حل آن و دیگری برای سوء استفاده از آن.

افشای مسئولیت پذیر

افشای مسئولیت پذیر مسیری است که تقریباً همه فروشندگان و شرکت های امنیتی ترجیح می دهند. در شکل خام خود ، این فقط افشای خصوصی در مورد آسیب پذیری به دست فروشنده است ، بدون افشای عمومی تا زمان رفع آسیب پذیری – اگر تا کنون.

در اکثر موارد محقق محدودیت زمانی را اعمال می کند. اگر آسیب پذیری در مدت زمان مشخصی رفع نشود ، به صورت عمومی آشکار می شود. از نظر عملی ، افشای مسئولیت سازش بین آنچه را که فروشندگان دوست دارند (عدم افشای عمومی) و افشای کامل است. برنامه های فضل اشکال در جایی بوجود آمده است که فروشندگان برنامه هایی را ارائه می دهند که محققان را به جبران مسئولیت در قبال جبران خسارت و تشخیص ، محاصره می کند. این برنامه ها تا حدودی بحث برانگیز بوده و بحث در مورد آینده را تضمین می کند.

تیم تحقیقاتی پروژه Zero Google در حال حاضر در حال آزمایش با یک تغییر جزئی است. آسیب پذیری ها به صورت خصوصی در اختیار فروشنده قرار می گیرد و به آن فروشنده 90 روز فرصت می دهد تا قبل از افشای عمومی مشکل را برطرف کند. با این حال ، افشای عمومی تا زمان 90 روز بدون در نظر گرفتن سرعت فروشنده آسیب پذیری ، رخ نخواهد داد. این تلاشی برای کمک به رفع مشکل "پچ" است. یک موضوع جداگانه که با این وجود تأثیر شدیدی بر آسیب پذیری های 0 روزه داشته باشد.

نظریه افشای این است که محققان آسیب پذیری ها را کشف و آشکار می کنند (در این مرحله ، به احتمال زیاد آسیب پذیری های 0 روزه). فروشندگان آسیب پذیری ها را برطرف کرده و محصولات خود را به روز می کنند. و کاربر محصول نصب شده را به روز می کند. مشکل این است که کاربران از به روزرسانی محصولات نصب شده خود ضعیف هستند. تا قبل از این ، این آسیب پذیری فقط یک آسیب پذیری 0 روزه نیست ، اکنون یک روز 0 روز است که توسط مجرمان شناخته می شود. این یک مشکل بزرگ امنیت سایبری است.

هک Equifax 2017 از طریق یک نقص امنیتی انجام شد که دو ماه قبل از بروز نقض آن فاش شده بود و patch شده بود – اما Equifax نتوانست وصله را روی همه سرورهای خود اجرا کند.

حتی شیوع بدنامی باج افزار جهانی WannaCry و NotPetya از طریق آسیب پذیری که قبلاً توسط مایکروسافت برطرف شده بود ، فعال می شوند. در این حالت ، باج افزار با استفاده از آسیب پذیری موسوم به EternalBlue به سرعت در سراسر جهان پخش می شود. EternalBlue یکی از چندین آسیب پذیری "پنهانی" بود که NSA برای استفاده خاص خود از آن استفاده می کرد. این گروه توسط هکری معروف به ShadowBrokers به ​​سرقت رفته و در دسترس عموم قرار گرفت – و از آن زمان تاکنون مرتباً توسط مجرمان مختلف و بد افزارهای مختلف مورد استفاده قرار گرفته است. اگرچه از نظر فنی یک آسیب پذیری 0 روزه در لحظه رفع مایکروسافت متوقف شده است ، اما برای همه کاربرانی که اصلاح EternalBlue را اجرا نکرده اند ، 0 روزه باقی مانده است.

آسیب پذیری های 0 روزه که مخفیانه توسط سرویس های اطلاعاتی جهان ذخیره شده اند. اهداف تهاجمی و دفاعی خودشان یک عارضه دیگر برای نظریه افشای اطلاعات است.

سازمان های اطلاعاتی دولت – و در بعضی موارد منتشر کرده اند – آنچه را که آنها به صورت "فرایند حقوق" به آنها می خوانند عمل می کنند (NSA در اینجا ؛ GCHQ در اینجا). به عبارت ساده ، این یک اذعان است که آنها انبارهای آسیب پذیری 0 روزه را در اختیار دارند و تأییدیه این است که در بعضی موارد آنها را به فروشندگان اعلام نمی کند. آژانس ها استدلال می کنند که اگر آسیب پذیری ها بیشتر از آنکه فرصتی برای عملیات اطلاعاتی توهین آمیز ایجاد کند ، تهدیدی برای اقتصاد ملی ایجاد می کند ، آنها را افشا می کنند – اما در غیر این صورت.

به عبارت دیگر ، آنها 0 روزه هستند و آنها اگر آژانس ها احساس کنند که ممکن است برای اهداف خودشان مفید باشند ، 0 روز باقی می مانند. حمله بدنام استاکس نت علیه پروژه هسته ای ایران (که فکر می شود ، اما اثبات نشده است که یک تمرین مشترک توسط NSA و اسرائیل است) از چندین بهره برداری 0 روزه برای دستیابی به هدف خود استفاده کرد.

این بدان معنی است که یک محقق یک آسیب پذیری جدید را پیدا می کند. هیچ راهی برای دانستن اینکه آیا این آسیب پذیری از قبل برای یک ملت مخالف شناخته شده است یا خیر ، می تواند در هر زمان از اثر نمایشی سوء استفاده شود. این به نوبه خود بر این فشار افزوده است که چگونه محقق باید آسیب پذیری را فاش کند و چه مدت باید فروشنده را برای صدور فیصله فاش کند.

هر دو طرف روند سهام در طی چند سال گذشته شاهد بوده اند. انبارهای ناشناخته NSA توسط ShadowBrokers به ​​سرقت رفت و به اثر ویرانگر (WannaCry و NotPetya) نشت یافت ، در حالی که 0 روز CIA در آنچه به عنوان نشت 'Vault 7' مشهور شده بود ، فاش شد. به مایکروسافت که در ژانویه سال 2020 توسط مایکروسافت وصله شده بود. این نشان می دهد روند سهام که به نفع مردم و مشاغل کار می کند ، اگرچه در واقعیت ما نمی دانیم که تصمیم به اشتراک گذاری نوعی تقلید بود یا دلیل این امر نیز مانند EternalBlue بود. دزدیده شده است ، یا حتی اگر آژانس امنیت ملی آگاه شده بود كه آژانس های خارجی نیز آن را در اختیار داشتند.

خلاصه

مسئله افشای راه حلی ندارد. تنها کاری که می توانیم انجام دهیم این است که ، هر جا ممکن باشد ، کمترین گزینه را انتخاب کنیم. اجماع فعلی این است که این نوعی افشای مسئولیت پذیری است که به فروشندگان این امکان را می دهد تا آسیب پذیری را قبل از اعلام عمومی اعلام کنند. اما این مسئله از آسیب پذیری هایی که قبلاً شناخته شده اند ، و حتی ممکن است مورد سوء استفاده از آن قرار بگیرند ، استفاده نمی کند. هیچ راه حلی برای این احتمال وجود ندارد که آسیب پذیری برای استفاده توسط یک کشور متخاصم وجود داشته باشد ، یا از سازمان های اطلاعاتی خودمان دزدیده شده یا به سرقت برود ، ارائه نمی دهد.

با این حال ، مسئله تا حدی آکادمیک است. حتی در مواردی که آسیب پذیری ها توسط فروشنده ها پیدا شده و به سرعت برطرف می شوند ، ما کاربران در اجرای نکات فروشندگان بسیار بد هستیم. این آسیب پذیری ها به طور موثر آسیب پذیری های 0 روزه برای هر سیستم غیرقابل مشاهده باقی می مانند. اکنون خطر این است که مجرمان می توانند پچ را مهندسی کرده و معکوس کنند ، آسیب پذیری را کشف کرده و در بعضی مواقع طی روزهایی از آن بهره برداری کنند.

طنز در اینجا این است که افشاگری هایی منجر به رفع مشکلاتی می شود که ما انجام نمی دهیم. t پیاده سازی ، ما را در معرض خطر بیشتری از همیشه قرار می دهد.