Hacking for all!

https://chacker.pl/

Uzbrojenie polega na tworzeniu lub selekcji istniejących exploitów w celu wykorzystania luk w zabezpieczeniach wykrytych podczas fazy rozpoznania. Zwykle APT nie musi robić nic nadzwyczajnego ani używać wartości 0-day na tym etapie ataku. Zwykle istnieją niezałatane, publicznie znane luki, które można wykorzystać. Jednak w rzadkich przypadkach przeciwnik może stworzyć specjalny exploit dla niestandardowego ładunku zawierającego trojana lub inne tylne drzwi, który zapewnia polecenie i kontrolę oraz dalsze funkcjonalności, zgodnie z potrzebami.

https://chacker.pl/

Rekonesans to kroki podejmowane przez przeciwnika przed atakiem. Często obejmują techniki zarówno pasywne, jak i aktywne. Techniki pasywne są stosowane bez wysyłania pakietu do celu ataku, zamiast tego metadane są gromadzone pośrednio, za pośrednictwem dokumentów publicznych, źródeł publicznych, wyszukiwarek i buforowanych archiwów internetowych. Z drugiej strony aktywny rekonesans obejmuje interakcję ze stroną internetową celu, otwartymi interfejsami i może nawet obejmować skanowanie (wyliczanie) portów i usług oraz interfejsów API oraz skanowanie podatności na zagrożenia.

https://chacker.pl/

Omawiając trwały charakter APT, Lockheed Martin opracował w 2011 roku model zwany łańcuchem cyberzabijania, jak pokazano tutaj:

dostosowane, aby pokazać koszty środków zaradczych. Model został opracowany poprzez rozszerzenie doktryny celowniczej Departamentu Obrony (DoD) o wykorzystanie wywiadu, którego głównym elementem są wskaźniki, które jak sama nazwa wskazuje, dają wskaźnik zachowania wroga. Następnie w swoim przełomowym artykule Hutchins i in. wyjaśnił typowy schemat atakujących, jak pokazano na ilustracji. Kluczową ideą jest to, że przeciwnicy często mają powtarzalne procesy, którym, jeśli zostaną wcześnie wykryte, można przeciwdziałać na wiele sposobów. Im szybciej odkryjesz oznaki ataku i „przerwiesz” łańcuch zabijania, tym tańsze będzie odzyskanie sił. Odwrotność jest również prawdą. Poszczególne etapy łańcucha cyberzabójstw omówiono w poniższych sekcjach.

https://chacker.pl/

Zanim w ogóle omówimy ten temat, możemy zgodzić się, że nie wszyscy hakerzy Black Hat stanowią zaawansowane trwałe zagrożenia (APT) ani nie wszystkich APT można przypisać hakerom Black Hat. Co więcej, z biegiem czasu termin ten został rozciągnięty i obejmuje jeszcze bardziej podstawowe formy ataku, co jest niefortunne. To powiedziawszy, stał się użytecznym opisem zaawansowanego przeciwnika, który można wykorzystać do rzucenia światła na jego działania i skupienia uwagi (co prawda, czasami w nadmierny sposób) na przeciwniku. Jak sama nazwa wskazuje, ataki APT wykorzystują zaawansowane formy ataków, mają charakter trwały i stanowią poważne zagrożenie dla przedsiębiorstwa. Mimo to musimy przyznać, że przeciwnik zwykle nie musi tracić dnia 0 na początku swojego ataku APT. Są ku temu dwa powody: po pierwsze, okres 0 dni jest trudny do osiągnięcia i szybko się psuje, jeśli jest używany często, ponieważ jest tylko kwestią czasu, zanim haker w białym lub szarym kapeluszu odkryje atak, dokona inżynierii wstecznej i zgłosi go przekazać go „etycznie” twórcy oprogramowania, kończąc w ten sposób okres zerowy. Po drugie, często 0 dni nie jest potrzebne, aby dostać się do przedsiębiorstwa. Biorąc pod uwagę pierwsze zagrożenie dla atakującego, zwykle zmniejszają się o 0 dni tylko wtedy, gdy jest to absolutnie konieczne, a często jako atak wtórny, po zdobyciu już przyczółka w sieci korporacyjnej.

https://chacker.pl/

Słynny starożytny chiński generał Sun Tzu powiedział to najlepiej ponad 2500 lat temu: „Jeśli znasz wroga i znasz siebie, nie musisz się obawiać wyniku stu bitew. Jeśli znasz siebie, ale nie wroga, za każde odniesione zwycięstwo poniesiesz także porażkę. Bazując na tej ponadczasowej radzie, wypada poznać naszego wroga, hakera z czarnym kapeluszem.

https://chacker.pl/

Nie wszyscy zgadzają się ze stosowaniem programów nagród za błędy, ponieważ istnieją pewne kwestie, które są kontrowersyjne. Na przykład dostawcy mogą używać tych platform do oceniania badaczy, ale badacze zwykle nie mogą oceniać dostawców. Niektóre programy nagród za błędy są skonfigurowane tak, aby zbierać raporty, ale dostawca może nie komunikować się prawidłowo z badaczem. Ponadto może nie być możliwości sprawdzenia, czy odpowiedź „duplikat” jest rzeczywiście dokładna. Co więcej, system punktacji może być arbitralny i nie odzwierciedlać dokładnie wartości ujawnienia podatności, biorąc pod uwagę wartość raportu na czarnym rynku. Dlatego każdy badacz będzie musiał zdecydować, czy program nagród za błędy jest dla niego i czy korzyści przeważają nad wadami.

https://chacker.pl/

Programy nagród za błędy oferują wiele nieoficjalnych i oficjalnych zachęt. Na początku nagrodami były listy, koszulki, karty podarunkowe i po prostu możliwość przechwalania się. Następnie w 2013 roku Yahoo! wstydził się dawać badaczom coś więcej niż tylko gadżety. Społeczność zaczęła podpalać Yahoo! za tanie nagrody, dawanie koszulek lub nominalnych kart podarunkowych w zamian za raporty o lukach w zabezpieczeniach. W liście otwartym do społeczności Ramses Martinez, dyrektor ds. wyszukiwania błędów w Yahoo!, wyjaśnił, że finansował cały wysiłek z własnej kieszeni. Od tego momentu Yahoo! zwiększyła swoje nagrody do 150–15 000 dolarów za zatwierdzony raport. W latach 2011–2014 Facebook oferował ekskluzywną kartę debetową Visa „White Hat Bug Bounty Program”. Czarna karta z możliwością ponownego ładowania była pożądana, a jej błysk na konferencji poświęconej bezpieczeństwu umożliwiał rozpoznanie badacza i być może zaproszenie na imprezę. Obecnie programy nagród za błędy nadal oferują szereg nagród, w tym Kudos (punkty umożliwiające ranking i uznanie badaczy), łupy i rekompensatę finansową.

https://chacker.pl/

Termin „bugs bounty” został po raz pierwszy użyty w 1995 roku przez Jarretta Ridlinghafera z Netscape Communication Corporation. Po drodze firmy iDefense (później zakupione przez VeriSign) i TippingPoint pomogły w procesie przyznawania nagród, działając jako pośrednicy między badaczami a oprogramowaniem, ułatwiając przepływ informacji i wynagrodzenie. W 2004 roku Fundacja Mozilla zorganizowała nagrodę za błędy w Firefoksie. W 2007 r. w CanSecWest ogłoszono konkurs Pwn2Own, który stał się punktem zwrotnym w dziedzinie bezpieczeństwa, ponieważ badacze zbierali się, aby wykazać luki w zabezpieczeniach i ich exploity w zamian za nagrody i pieniądze. Później, w 2010 r., Google uruchomił swój program, a następnie Facebook w 2011 r., a następnie w 2014 r. w ramach programu Microsoft Online Services. Obecnie istnieją setki firm oferujących nagrody za luki w zabezpieczeniach. Koncepcja nagród za błędy to podejmowana przez dostawców oprogramowania próba odpowiedzialnego reagowania na problem luk w zabezpieczeniach. W najlepszym przypadku badacze bezpieczeństwa oszczędzają firmom mnóstwo czasu i pieniędzy na znajdowaniu luk w zabezpieczeniach. Z drugiej strony, w najgorszym przypadku raporty badaczy bezpieczeństwa, jeśli nie zostaną właściwie obsługiwane, mogą zostać przedwcześnie ujawnione, co może kosztować firmy mnóstwo czasu i pieniędzy w związku z kontrolą szkód. W związku z tym wyłoniła się interesująca i krucha gospodarka, ponieważ zarówno dostawcy, jak i badacze mają zainteresowanie i motywację do dobrej współpracy.

https://chacker.pl/

Do tej pory omówiliśmy pełne ujawnienie dostawcy, pełne ujawnienie publiczne i odpowiedzialne ujawnienie. Wszystkie te metody ujawniania podatności są bezpłatne, dzięki czemu badacz bezpieczeństwa spędza niezliczone godziny na poszukiwaniu luk w zabezpieczeniach i z różnych powodów niezwiązanych bezpośrednio z rekompensatą finansową ujawnia lukę dla dobra publicznego. W rzeczywistości często trudno jest naukowcowi otrzymać wynagrodzenie w takich okolicznościach, nie interpretując tego jako manipulacji sprzedawcą. W 2009 roku zasady gry uległy zmianie. Na corocznej konferencji CanSecWest stanowisko zabrało trzech znanych hakerów: Charlie Miller, Dino Dai Zovi i Alex Sotirov. Podczas prezentacji prowadzonej przez Millera Dai Zovi i Sotirov trzymali kartonową tabliczkę z napisem „KONIEC WIĘCEJ DARMOWYCH BŁĘDÓW”. Było tylko kwestią czasu, zanim badacze zaczną głośno mówić o nieproporcjonalnej liczbie godzin potrzebnych na badanie i odkrywanie luk w porównaniu z kwotą wynagrodzenia otrzymywanego przez badaczy. Nie wszyscy zajmujący się bezpieczeństwem zgodzili się z tym, a niektórzy publicznie skrytykowali ten pomysł. Inni, przyjmując bardziej pragmatyczne podejście, zauważyli, że chociaż ci trzej badacze zgromadzili już wystarczający „kapitał społeczny”, aby żądać wysokich stawek konsultantów, inni nadal będą bezpłatnie ujawniać słabe punkty, aby budować swój status. Niezależnie od tego, to nowe nastroje wywołały falę uderzeniową w branży papierów wartościowych. Dla niektórych było to wzmacniające, dla innych przerażające. Bez wątpienia dziedzina bezpieczeństwa przesuwała się w stronę badaczy, a nie dostawców.

https://chacker.pl/

Do tej pory omówiliśmy dwie skrajności: pełne ujawnienie dostawcy i pełne ujawnienie publiczne. Przyjrzyjmy się teraz metodzie ujawniania informacji, która mieści się pomiędzy obiema metodami: ujawnianie skoordynowane. W 2007 roku Mark Miller z Microsoftu formalnie zaapelował o „odpowiedzialność ujawnienia.” Przedstawił powody, w tym potrzebę zapewnienia dostawcy, takiego jak Microsoft, czasu na pełne naprawienie problemu, łącznie z otaczającym go kodem, w celu zminimalizowania ryzyka wprowadzenia zbyt wielu poprawek. Miller przedstawił kilka trafnych uwag, ale inni argumentowali, że odpowiedzialne ujawnianie informacji jest skierowane w stronę dostawców i gdyby Microsoft i inni nie zaniedbywali tak długo poprawek, w ogóle nie byłoby potrzeby pełnego ujawniania informacji. Wkrótce ludzie zaczęli argumentować, że nazwa „odpowiedzialne ujawnianie informacji” sugeruje, że próby zapewnienia odpowiedzialności dostawcy są zatem „nieodpowiedzialne”. Przyznając tę uwagę, sam Microsoft zmienił później swoje stanowisko i w 2010 roku ponownie zaproponował użycie zamiast tego terminu „skoordynowane ujawnianie luk w zabezpieczeniach” (CVD). Mniej więcej w tym czasie Google podgrzało atmosferę, wyznaczając sztywny termin 60 dni na naprawienie wszelkich problemów związanych z bezpieczeństwem przed ujawnieniem informacji. Wydawało się, że posunięcie to było skierowane do firmy Microsoft, której naprawienie problemu czasami zajmowało ponad 60 dni. Później, w 2014 roku, Google utworzył zespół o nazwie Project Zero, którego celem było wyszukiwanie i ujawnianie luk w zabezpieczeniach z wykorzystaniem 90-dniowego okresu karencji. Cechą charakterystyczną skoordynowanego ujawniania informacji jest groźba ujawnienia po rozsądnym terminie w celu pociągnięcia dostawców do odpowiedzialności. Centrum Koordynacyjne Zespołu Reagowania na Kryzysy Komputerowe (CERT) zostało utworzone w 1988 roku w odpowiedzi na robaka Morris i przez prawie 30 lat służyło jako pośrednik w dostarczaniu informacji o lukach w zabezpieczeniach i poprawkach. CERT/CC ustanowiło 45-dniowy okres karencji na rozpatrywanie raportów o podatnościach, w tym sensie, że CERT/CC opublikuje dane o podatnościach po 45 dniach, chyba że zaistnieją wyjątkowe okoliczności.18 Badacze bezpieczeństwa mogą zgłaszać luki do CERT/CC lub jednej delegowanych przez niego podmiotów oraz ,że CERT/CC zajmie się koordynacją z dostawcą i opublikuje luki w zabezpieczeniach, gdy łatka będzie dostępna lub po 45-dniowym okresie karencji.