Хакер #305. Многошаговые SQL-инъекции
В последнее время рынок 0day-эксплойтов стал объектом общественного интереса. Хотя крупнейшие ИТ-компании начали платить хакерам за обнаружение уязвимостей в своих продуктах, но на черном рынке эксплойты можно продать гораздо дороже. Об этом черном рынке известно немного, поэтому компания NSS Labs провела исследование, которое слегка приоткрывает завесу тайны.
Продажей 0day-эксплойтов занимаются специализированные фирмы, которые предоставляют своим клиентам услугу подписки на свежие эксплойты. Компания NSS Labs подсчитала, что в каждый момент времени на рынке есть информация как минимум о 100 0day-эксплойтах.
Как была получена эта цифра? Во-первых, на основании статистики, собранной с открытых программ покупки эксплойтов iDefense’s Vulnerability Contributor Program (VCP) и HP TippingPoint’s Zero Day Initiative (ZDI). За все время своей работы по сентябрь 2013 года они опубликовали информацию о 2392 уязвимостях, при этом среднее время от покупки эксплойта до публикации информации составило 133 дня для VCP и 174 дня для ZDI. К сожалению, в последнее время этот срок только увеличивается.
Другими словами, в любой день на протяжении последних трех лет эти фирмы имели информацию, в среднем, о 58 уязвимостях в программах Microsoft, Apple, Oracle или Adobe.
По мнению исследователей, эта информация подтверждает тот факт, что уязвимости нулевого дня долгое время остаются доступными для эксплуатации злоумышленниками. Если даже коммерческие компании скрывают от публики уязвимости по полгода, то злоумышленники могут делать это еще дольше. Если учесть также независимых продавцов эксплойтов (физических лиц), то можно смело предположить, что на черном рынке каждый день есть информация минимум о сотне эксплойтов. Этот товар доступен для АНБ и других спецслужб, правоохранительных органов и представителей преступного мира.
В исследовании NSS Labs приведена также статистика, насколько значимыми для крупных компаний являются программы VCP и ZDI. Например, за все время Microsoft получила от этих программ информацию о 390 уязвимостях, что составляет 14% общего количества закрытых уязвимостей Microsoft. Для компании Apple этот показатель составляет 10%, для Adobe — 17%, SAP — 13%, Symantec — 18%, HP — 19%, EMC — 38%. Другими словами, программы от двух маленьких фирм обеспечивают весьма значительный процент обнаружения новых дыр. Это тоже можно рассматривать как косвенное свидетельство того, что уязвимостей гораздо больше, чем сообщается.