Video: 3 Tanda Smartphone Kamu Sedang Di Sadap Orang Lain (Oktober 2024)
Pada hari Selasa kedua setiap bulan, "Patch Tuesday, " Microsoft mendorong keluar patch untuk bug dan lubang keamanan di Windows dan dalam aplikasi Microsoft. Sebagian besar masalah yang ditangani termasuk lubang keamanan yang serius, kesalahan pemrograman yang dapat membuat peretas menembus keamanan jaringan, mencuri informasi, atau menjalankan kode arbitrer. Adobe, Oracle, dan vendor lain memiliki jadwal tambalan mereka sendiri. Sebuah studi baru yang mengkhawatirkan oleh NSS Labs menunjukkan bahwa rata-rata, peretas memiliki sekitar lima bulan akses tanpa batas ke celah keamanan ini antara penemuan awal dan perbaikan. Lebih buruk lagi, pasar khusus ada untuk menjual kerentanan yang baru ditemukan.
Stefan Frei, Direktur Riset di NSS Labs, mengawasi penelitian yang mengumpulkan data selama sepuluh tahun dari dua "program pembelian kerentanan" utama. Laporan Frei menunjukkan bahwa semua angka yang dihasilkan adalah minimum; jelas ada banyak hal yang tidak mereka ketahui. Berdasarkan apa yang mereka ketahui, pasar untuk informasi tentang eksploitasi telah tumbuh secara signifikan dalam beberapa tahun terakhir. Sepuluh tahun yang lalu, kedua perusahaan yang diteliti hanya memiliki beberapa kerentanan yang tidak diungkapkan pada hari tertentu. Dalam beberapa tahun terakhir, jumlah itu telah berkembang menjadi lebih dari 150, lebih dari 50 di antaranya berhubungan dengan lima vendor teratas: Microsoft, Apple, Oracle, Sun dan Adobe.
Eksploitasi Dijual, Murah
Stuxnet dan serangan lain di tingkat negara-bangsa bergantung pada beberapa lubang keamanan yang tidak diungkapkan untuk menembus keamanan. Diasumsikan bahwa pencipta mereka membayar dividen besar untuk mendapatkan akses eksklusif ke kerentanan zero-day ini. NSA menganggarkan $ 25 juta untuk pembelian eksploitasi pada 2013. Studi Frei mengungkapkan bahwa harga sekarang jauh lebih rendah; masih tinggi, tetapi dalam jangkauan organisasi kejahatan dunia maya.
Frei mengutip artikel New York Times yang memeriksa empat penyedia eksploitasi butik. Harga rata-rata mereka untuk pengetahuan tentang kerentanan yang belum diungkapkan berkisar antara $ 40.000 dan $ 160.000. Berdasarkan informasi yang diperoleh dari penyedia tersebut, ia menyimpulkan bahwa mereka dapat memberikan setidaknya 100 eksploitasi eksklusif per tahun.
Vendor Melawan Kembali
Beberapa vendor perangkat lunak menawarkan hadiah bug, menciptakan semacam program penelitian crowdsourced. Seorang peneliti yang menemukan celah keamanan yang sebelumnya tidak diketahui bisa mendapatkan hadiah yang sah langsung dari vendor. Itu pasti lebih aman daripada berurusan dengan penjahat cyber, atau dengan mereka yang menjual ke penjahat cyber.
Karunia bug khas berkisar dari ratusan hingga ribuan dolar. Microsoft "Mitigation Bypass Bounty" membayar $ 100.000, tetapi itu bukan hadiah bug yang sederhana. Untuk mendapatkannya, seorang peneliti harus menemukan "teknik eksploitasi yang benar-benar baru" yang dapat menumbangkan versi terbaru Windows.
Anda Telah Diretas
Hadiah bug itu bagus, tetapi akan selalu ada orang-orang yang pergi untuk hadiah yang lebih besar yang ditawarkan oleh penyedia eksploitasi butik dan penjahat cyber. Laporan tersebut menyimpulkan bahwa perusahaan atau organisasi besar mana pun harus menganggap jaringannya telah diretas. Memblokir atau bahkan mendeteksi serangan zero-day itu sulit, sehingga tim keamanan harus merencanakan yang terburuk dengan rencana respons insiden yang jelas.
Bagaimana dengan bisnis kecil dan jaringan pribadi? Laporan itu tidak berbicara tentang mereka, tetapi saya akan berasumsi bahwa seseorang yang membayar $ 40.000 atau lebih untuk akses ke eksploitasi akan membidiknya pada target terbesar yang mungkin.
Anda dapat membaca laporan lengkapnya di situs web NSS Labs.
