در ۱۳ اردیبهشت ۱۳۹۷
  • zero-day
  • نقص های نرم افزاری

همه‌ی نرم‌افزارها نقص‌هایی دارند.

بعضی از آن‌ها نقص‌هایی امنیتی است که با سوءاستفاده از آن‌، نرم افزار به نوعی سلاح تبدیل می‌شود.

« zero-day» یک نقصی امنیتی است که هنوز توسط فروشنده پچ (تعمیر) نشده و می‌توان از آن سوءاستفاده کرد و آن را به سلاحی قدرتمند اما شکننده بدل کرد.

دولت‌ها صفر روزه‌ها را پیدا می‌کنند، خریداری می‌کنند و برای اهداف نظامی، اطلاعاتی و انتظامی استفاده می‌کنند.

این کار بحث‌برانگیز است چراکه این کار جامعه را در مقابل دیگر مهاجمانی بی‌دفاع می‌گذارد که همین آسیب‌پذیری‌ها را در نرم‌افزار پیدا می‌کنند.

zero-day ها قیمت بالایی در بازار سیاه دارند اما افرادی که می‌توانند این نقص‌های امنیتی را شناسایی کنند قصد دارند شناسایی و معرفی این نقص‌ها به فروشندگان و عرضه‌کنندگان نرم‌افزارها را حمایت و تشویق کنند.

بحران‌های پچ کردن برنامه‌ها به این معنی است که صفر روزه‌ها اهمیت کمتری پیدا می‌کنند و اوضاع مثل سابق می‌شود.

چرا zero-days خطرناک هستند؟

 

یک zero-day اسمش را از تعداد روزهایی می‌گیرد که پچی قانونی برایش منتشر شده است:

صفر روز.

 

وقتی فروشنده پچی امنیتی معرفی کند، نقص دیگر یک صفر روزه نیست (یا هیچ روزه که برخی دوست دارند بگویند).

بعدازآن نقص امنیتی به ردیف ناتمام نرم‌افزارهای قابل پچ اما پچ نشده می‌پیوندد.

در گذشته، مثلاً ده سال پیش، یک صفر روزه ممکن بود به‌تنهایی برای کنترل از راه دور کافی باشد.

این امر کشف و مالکیت هر صفر روزه‌ای را به‌شدت مهم می‌کرد.

امروزه اما کاهش دادن شدت امنیتی سیستم‌عامل‌های کاربران مثل ویندوز ۱۰ یا iOS مخصوص اپل به این معنی است که اغلب لازم است چندین و گاهی حتی تعداد زیادی صفر روزه‌ی کوچک را به هم مرتبط کرد تا بتوان با آن کنترل شیئی را به دست گرفت.

این باعث شده تا قیمت بازار سیاه برای یک صفر روزه‌ی فعال در iOS  تا حد زیادی بالا برود.

بازار سیاه صفر روزه‌ها

 

می‌خواهید ۱.۵ میلیون دلار پول دربیاورید؟

صفر روزه‌ی درست آیفون را پیدا کنید و آن را بفروشید.

Zerodium یکی از سایت‌هایی است که ادعا می‌کند بالاترین قیمت بازار را می‌پردازددلال‌هایی مانند Zerodium فقط به خرابکارهای مقرهای ارتشی برای فروختن این صفر روزه‌ها اعتماد می‌کنند اما پلیس‌های مخفی رژیم‌های سرکوبگر سراسر دنیا هم به خرید صفر روزه‌ها مشهور هستند تا از این طریق سایت‌های معترضان و خبرنگاران مخالف را هک و دنبال کنند.

برخلاف بازار خاکستری که فروش را به دولت‌هایی تأییدشده محدود می‌کند، بازار سیاه برای فروش به همه ازجمله جنایت‌کاران سازمان‌دهی شده، قاچاقچیان مواد مخدر و کشورهایی مثل کره‌ی شمالی آزاد هستند که از بازار خاکستری کنار گذاشته شده‌اند.

قانونمند کردن بازار سیاه و خاکستری برای بهره‌برداری از صفر روزه‌ها برای Wassenaar Arrangement کار سختی بوده که نتوانسته حداقل تا الآن آن را به‌درستی انجام دهدWassenaar Arrangement استفاده از فناوری‌های دوجانبه مانند سانتریفیوژ را برای کشورهای تحریم شده ممنوع کرده استپیشنهادی در سال ۲۰۱۳ که این کار را کنترل کنند به دلایلی شرورانه رد شد.

البته بسیاری باور دارند که این پیشنهاد می‌توانست اوضاع را از چیزی که هست بدتر کند.

امروزه هر دولت باانگیزه یا سازمان جنایت‌کارانه‌ای میتواند به ابزار هک مانند zero-day  بدون درنظرگرفتن قوانین دسترسی پیدا کند است.

یابندگان نقص در برابر افشای آسیب‌پذیری هماهنگ شده

 

هکرهای کلاه‌سیاهی که برایشان مهم نیست که صفر روزه‌هایشان ممکن است برای شکنجه‌ی مخالفان استفاده شوند بیشترین پول را از بازار سیاه و خاکستری درمی‌آورندمحققان امنیتی که وجدان دارند بهترین افراد برای معرفی صفر روزه‌ها به فروشندگان نرم‌افزارها هستندسازمان‌های بزرگ و کوچک باید بیانه‌ای در خصوص آسیب‌پذیری نرم‌افزارهای خود منتشر کنند که به‌صورت عمومی قول دهد از گزارش‌های خوش‌نیت آسیب‌پذیری امنیتی استقبال می‌کنند و فوراً آن را حل می‌کنند.

این کار در حال حاضر بهترین کار استاندارد در ISO 29147 و ISO 30111 است.

برای تشویق گزارش‌های مربوط به آسیب‌پذیری حاصل از صفر روزه‌ها، سازمان‌ها می‌توانند برنامه‌ای برای پیدا کردن این نقص‌ها ارائه دهند.

این تحقیق و گزارشها را با پرداخت پول زیادی به محققان بااخلاق شبیه‌سازی می‌کند.

این پول‌ها نباید و هیچ‌وقت به بازار سیاه وارد نمی‌شوند اما به‌جای آن برای محققانی که کار درست را کرده‌اند جایزه‌ای محسوب می‌شوند.

آیا دولت آمریکا باید صفر روزه‌ها را دسته‌بندی کنند؟

 

NSA، CIA و FBI همگی کشف، خرید و استفاده از صفر روزه‌ها را در دستور کار خود دارند که خودش عملی بحث‌برانگیز است و نقدهای زیادی را متحمل شده استبا استفاده از صفر روزه‌ها برای هک کردن مجرمان و گزارش نکردن آن صفر روزه‌ها به فروشندگان برای پچ کردن آن‌ها، دولت آمریکا ما را در معرض جنایت‌کاران و جاسوسان خارجی قرار می‌دهد که ممکن است این صفر روزه‌ها را پیدا کنند یا بدزدند و درنتیجه امنیت را کاهش دهند.

محافظت از مردم کار دولت است پس اینگونه به آنها نقد میشود که باید ابتدا دفاع کنند و بعد حمله.

پروسه‌ی برابری آسیب‌پذیری ایالات‌متحده یا VEP سازوکار معیوبی است که واشنگتن در حال حاضر برای ارزیابی میزان آسیب‌پذیری صفر روزه‌ها برای افشای آن‌ها استفاده می‌کندمنتقدهای بی‌تأثیر اما زیاد بر این کار بر این باور هستند که VEP می‌خواهد دفاع و حمله را متعادل کند و تصمیم بگیرد کدام نقص امنیتی باید گزارش شود و کدام باید مخفی نگه داشته شود تا برای حمله از آن استفاده شود.

انتشار Shadow Brokers شامل EternalBlue تاابد محبوب سؤالات بیشتری را درمورد دسته‌بندی دولتها از صفر روزه‌ها ایجاد کرد.

Shadow Brokers که عموم بر این باور هستند توسط اداره‌ی امنیت روسیه تولید شده است، ابزارهای هک NSA را به سرقت برد و آن‌ها را رایگان برای دانلود عرضه کردسازمان‌های جنایتکاری هم به این ابزارهای قدرتمند سایبری NSA دست پیدا کردند و آن‌ها را برای اهداف شرور خود استفاده کردند و اغتشاش حاصل از آن همچنان هم حس می‌شود.

پچ کردن مشکل بزرگ‌تری از صفر روزه‌هاست

 

zero-day اغلب جذاب و هیجان‌انگیز هستند اما دیگر آن اهمیتی را ندارند که قبلاً داشتند.فقط به خاطر این‌که فروشنده‌ای پچی را معرفی کرده است به این معنی نیست که دستگاه‌های آسیب‌پذیر پچ می‌شونددر بسیاری از موارد مانند دستگاه‌های IoT، thingumajiggers از کارخانه در وضعیتی آسیب‌پذیر خارج می‌شوند و دیگر پچ نمی‌شوند.

گاهی ازنظر فیزیکی غیرممکن است که دستگاه‌هایی پچ شوند.پچی امنیتی که توسط فروشنده منتشر می‌شود اگر در تولید مورداستفاده قرار نگیرد، سود کمی دارد.

صفر روزه‌ها بیش ازآنچه لازم است به کار مهاجمان سایبری می‌آیند.

حاصل همه‌ی این حرف‌ها این است که صفر روزه‌ها حتی بیش ازآنچه لازم است به کار مهاجمان سایبری می‌آیند چه آن‌هایی که از نوع دولتی هستند چه نوع مجرمشان. در بسیاری از موارد هکرهایی که صفر روزه‌ها را در اختیار دارند ترجیح می‌دهند از آن‌ها استفاده نکنند چراکه استفاده‌ی یکی از آن‌ها در مقابل سازمان یا کسی می‌تواند آن صفر روزه را به سازمان یا آن فرد معرفی کندهمین باعث می‌شود بگوییم صفر روزه‌ها سلاح‌های شکننده‌ای هستند مخصوصاً وقتی در دامنه‌های اینترنتی امروزی بین دو کشور ضد هم استفاده شوند.