Zone-H - Unrestricted Information - Falhas 0Day: Pesquisa gratuita, discussão aberta e segurança

Falhas 0Day: Pesquisa gratuita, discussão aberta e segurança

Por Donie Werner (morning_wood)

06 de July de 2006

cam7oha3 Há um debate longo sobre os benefícios ou não da full disclousure sobre lançamentos de falhas de segurança antes de um remendo (patch) ser produzido ou até mesmo o vendedor notificado. Quando estas falhas são lançadas ao público, uma 0day começa, conseqüentemente o termo 0day falhas e explorações.

Zone-h é enfocado em o que está atrás de falhas 0day e o que dirige o lançamento pelos autores de código que é liberado na Internet e olha algumas possíveis soluções. A primeira pergunta que veio a nossas mentes era, que se as pessoas que produzem software vulnerável não deveriam tirar proveito da quantia grande de pesquisa literalmente grátis disponível e deveriam usar em seu proveito para produzir produtos superiores?

Então porquê eles não o fazem!?

De onde falhas 0day vêm, e quem as lança?
Achar uma falha 0day pode ser, dependendo da natureza da vulnerabilidade e da habilidade do analista, fácil ou difícil. Geralmente eles descobrem a vulnerabilidade através de pesquisa e testando software[s] como também usando o software no modo geral como usuários comuns de computador. As falhas são consideradas 0day por serem descobertas, ou de não ser de informação pública ou por engenharia reversas de correções (versões de um software sem a correção apresentam uma falha que foi corrigida por um remendo e assim não são uma 0dayreal).

Exploradores de 0day percorrem largos gêneros, de um extremo, o blackhat, para outro o whitehat. A classificação de exatamente o que cada "hat" faz e como ele será classificado é definitivamente imensa, tanto que poderia ser abrir um Wiki só com isto.

Algumas falhas são achadas por analistas de segurança whitehat's, durante um teste de penetração, de um software examinado ou por acidente. Investigadores whitehat normalmente não compartilham a descoberta da falha, ou se eles lançarem alguma informação e uma possível demonstração (POC do termo em inglês Proof of Concepts) o farão apenas depois que uma correção (patch) fosse desenvolvido. Em alguns casos as companhias de segurança com whitehat's podem manter falhas 0day, pois isto os ajudaria a fazer um serviço melhor e com menos concorrentes em um teste de penetração.

Sem dúvida o setor que mais lançam falhas 0day é dos investigadores de segurança independentes (também conhecidos com greyhats) ou descobrem por acidente ou curiosidade. Este grupo que amedronta os distribuidores de software pois lançam suas falhas geralmente ao mesmo tempo para o público e mandam uma cópia do aviso de segurança para a empresa do software afetado, deixando-os com pouco tempo para fazer uma correção.

A fração restante é achada ou é escrita pelos blackhats que não lançam suas falhas até que outro o faça, possivelmente outro blackhats. Às vezes eles vendem para outros propósitos, normalmente depois que eles fossem usados para invadir a maioria dos sites e outros objetivos ilegais. Freqüentemente uma pessoa próxima ao blackhat lançará suas 0day para se vingar de seu grupo ou ofender um grupo rival de blackhat’s.

Por que 0days são lançados? Frustração de vendedor de software, através de estimativa, calcula-se que 80% ou mais é a resposta principal para o lançamento de falhas 0day. Por todas as razões está é a resposta número um, e não surpreendentemente, e assim é que as pessoas acreditam facilmente que o software será consertado. Em muitos casos os analistas de falhas fazem isto também por terem se sentido ofendido porque tentaram trabalhar em conjunto com o distribuidor do software e por alguma razão qualquer não responderam aos seus 5 email enviados os tratando como se fosse algo insignificante.

Outros fatores entram em jogo quando se trabalha com programadores de software e vendedores. Eles se recusam completamente a acreditar que alguém está lhes falando que algo está errado com os seus softwares, e freqüentemente castigam verbalmente dos analistas em seus e-mails de resposta (uma ocorrência comum).

A porcentagem restante é vendida por “licitação”, para quem pagar mais, para criadores de worms, spywares, e bots onde o objetivo principal é seu uso para o mal. A maioria neste grupo simplesmente são programadores que têm grandes habilidades eles olham o erro e escrevem o código rapidamente para esta falha, um talento valioso. Compradores de companhias de adware, da linha do crime organizado, até compram... e o greyhat e blackhat irão rir e venderão indiferentes do propósito para que serão usadas.

Como 0day's podem ser paradas?
Falhas 0day nunca pararão, mas eles podem se tornar menores em número e de menos impacto se a indústria de vendedores de software, e demais programadores, começarem a escutar e aprender com a rica pesquisa que é liberada livremente na internet.
Seja amigável e tente entender o que a pessoa que está lhe contatando está tentando demonstrar, olhe as falhas de segurança com outro ponto de vista. Contate as pessoas que estão achando falhas em produtos de sua companhia, pois poderia proporcionar uma maior segurança para seu software.

Algumas empresas como iDefense e 3Com / TippingPoint estão incluindo programas de incentivo para recompensar analistas que poderiam confiar em um mercado ilegal e pouco ético para venderem suas descobertas. Muitos ex-blackhats agora são gratos por terem uma fonte legal e digna para oferecer os esforços de seus trabalhos.

Adicionar como favorito (30) |

Publique este artigo no seu site | Visualizado: 1165

Seja o primeiro a comentar este artigo.

Escrever comentário

Por favor, o assunto do seu comentário precisa ser relevante ao assunto do artigo. Ataques pessoais e/ou racistas serão deletados. Por favor, não use os comentários para fazer propaganda de seu site ou será deletado. Somente usuários registrados podem postar comentários.
Nome:
Homepage
Título:
Comentário:
Código:*