A Google nulladik napi sérülékenységek feltárásával és javításával foglalkozó csapata, a Project Zero (GPZ) tavaly összesen 58 ilyen fenyegetettséget követett nyomon a legnépszerűbb szoftverekben – derül ki a szervezet hivatalos blogján közzétett jelentésből. A teljes mennyiség ezúttal is új rekordnak számít, több mint kétszerese volt az ilyen exploitok átlagos éves számának, amióta a GPZ 2014 közepén elkezdte nyomon követni a nulla napi sérülékenységeket. Közülük azonban csak kettő számított különösen frissnek, miközben a többi újra és újra ugyanazokra a technikákra támaszkodott.
A Google biztonsági kutatói szerint az észlelés ebben a tekintetben egyre hatékonyabb, de az, hogy egy hibát nem észleltek, még nem jelenti, hogy azt nem is használták fel. Ebben a tekintetben pedig jelentős információhiánnyal küzdenek, a fenti sebezhetőség alkalmazásáról is csak esetenként néhány minta állt a rendelkezésükre. Bár a "vadon" felfedezett nulladik napi sérülékenységek alapvetően kudarcot jelentenek a támadóknak, főleg a hibák javításukra koncentrálnak, és elsikkad a kihasználásukra irányuló módszerek semlegesítése.
Minél többet tudnak, annál kevesebbet tudnak
Ez pedig azt jelenti, hogy a támadók továbbra is élhetnek a szóban forgó módszerekkel, ahelyett, hogyújabbakat kellene kidolgozniuk. A GPZ szerint így lehetséges, hogy rendre ugyanazokat a mintákat, technikákat és támadási felületeket alkalmazzák, vagyis a védekezés nem igazán növeli a támadók költségeit. Az előrelépéshez azt is szükségesnek tartanák, hogy a gyártók a hibaüzenetekben felfedjék, ha egy hibát valós környezetekben is kihasználnak, szélesebb körben megosztva az erre jellemző mintákat és az exploitok részletes műszaki leírását.
A GPZ ezen felül több munkát szorgalmaz a memóriasérülések (memory corruption) csökkentésére, amelyek egyébként a Microsoft és a Google szerint is a leggyakoribb hibatípusok, és a nulladik napi hibáknak is nagyjából a kétharmad részét adják. Tavaly ebben már némi előrelépést tapasztaltak a hatékonyabb észlelés és közzététel révén, de az iparág egészét tekintve az lenne a cél, hogy a támadóknak szinte a nulláról kelljen kezdeniük minden alkalommal, kényszerűen időt fordítva az új támadási felületek elemzésére és vadonatúj módszerek kidolgozására.
A jövőálló digitális megoldások sikere az üzleti értékteremtésben mérhető
Az informatikai fejlesztések gyakran technológiai kérdésként jelennek meg, pedig egy kódsor vagy digitális megoldás önmagában soha nem lehet végcél. A 4D Soft több mint 35 éve ennek szellemében fókuszál a projektek negyedik dimenziójára: az üzleti értékteremtésre.
a melléklet támogatója a Clico
A hibakeresés nem egyenlő az alkalmazásbiztonsággal
Építsünk olyan AppSec környezetet, amely csökkenti az alkalmazásfejlesztés kockázatait, de nem válik a gyors leszállítás akadályává!
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?