200 آسیب‌پذیری نرم‌افزاری «روز صفر» جهان | فراتاب
کد خبر: 5892
تاریخ انتشار: 23 اسفند 1395 - 15:03
لیلیان آبلون
آسیب‌پذیری روز صفر (حفرهای امنیتی که توسعه‌دهندگان برنامه یا هنوز برطرفشان نکرده‌اند و یا از وجد آن‌ها آگاه نیستند) می‌توانند برای سال‌ها نامعلوم باقی بمانند و کاربران را در معرض خطر هکرها قرار دهند...


فراتاب - گروه علمی: 
آسیب‌پذیری روز صفر (حفرهای امنیتی که توسعه‌دهندگان برنامه یا هنوز برطرفشان نکرده‌اند و یا از وجد آن‌ها آگاه نیستند) می‌توانند برای سال‌ها نامعلوم باقی بمانند و کاربران را در معرض خطر هکرها قرار دهند. یک تحقیق جدید از موسسه رند که براساس دسترسی نادری به مجموعه داده‌های بیش از 200 مورد ازاین‌دست آسیب‌پذیری‌ها استوار است، نشان می‌دهد که افراد در مواجهه با آن‌ها باید چه‌کار کنند. تاکنون پاسخ دادن به این سؤال که (آیا دولت‌ها یا هرکس دیگری باید این آسیب‌پذیری‌ها را فاش کند یا چیزی درباره آن نگوید؟) بسیار دشوار بوده است، زیرا اطلاعات اندکی وجود دارد که مثلاً آسیب‌پذیری‌های روز صفر چه مدت نامکشوف باقی می‌ماند و چه درصدی از آن‌ها نهایتاً توسط افراد پیدا می‌شود. تحقیق موسسه رند نخستین تحقیقی است که آسیب‌پذیری‌های ناشناخته برای عموم را موردبررسی قرار می‌دهد. این تحقیق معیارهایی پایه‌ای را به کار می‌گیرد که می‌تواند دیگر تحقیقات متکی به تولید داده را (که یافته‌های آن تنها به آسیب‌پذیری‌های عموماً شناخته‌شده یا دیدگاه‌های متخصصان می‌پردازد) تقویت کند.

براساس مجموعه داده‌های موردبررسی محققان رند نشان می‌دهد که طول عمر متوسط آسیب‌پذیری‌های روز صفر- مدت‌زمان میان شناسایی اولیه تا افشای عمومی آن – 6.9 سال است. این زمان‌بندی طولانی به‌اضافه میزان پایین برخوردهای مشابه (اینکه دو نفر یک آسیب‌پذیری را پیدا کنند) تقریباً 5.7 درصد است (یعنی سطح حفاظتی که از رهگذر فاش ساختن یک آسیب ایجاد می‌شود پایین است و ساکت ماندن یا انباشت کردن آن آسیب‌پذیری هم امری منطقی است زیرا برخی افراد همواره درصدد دفاع از سیستم‌های خود و بدتر کردن وضعیت بالقوه آسیب‌پذیری دیگران هستند).

«لیلیان آبلون»، محقق اصلی این تحقیق می‌گوید: «محققان کلاه‌سفید معمول انگیزه بیشتری برای این دارند که به‌محض کشف یک آسیب‌پذیری روز صفر آن را به فروشندگان نرم‌افزار اطلاع دهند. اما دیگران، مانند شرکت‌های سنجش امنیت نفوذ و کلاه قهوه‌ای‌ها انگیزه بیشتری برای انباشت کردن (مسکوت گذاشتن) آسیب‌پذیری‌ها دارند.» اما از سوی دیگر انباشت کردن یا فاش ساختن عمومی یک آسیب‌پذیری روز صفر (و تشدید وضعیت پس از عمومی‌سازی) به‌ویژه برای دولت‌ها یک بازی متأثر از سود و زیان است.

افرادی که از این ضعف‌ها مطلع می‌شوند یا در «تشدید» وضعیت مؤثر هستند و یا درصدد نوشتن کدهایی برای بهره‌برداری از آن به‌منظور دسترسی یافتن به دیگر بخش‌های سیستم برمی‌آیند و یا سعی می‌کنند همچون یک مدیر از کد خودشان استفاده کنند و یا کارهای دیگری انجام دهند. نمونه مشهور این وضعیت کرم ساکس نت است که بر چهار آسیب‌پذیری روز صفر مایکروسافت استوار بود و برنامه هسته‌ای ایران را نشانه گرفته بود.

آبلون همچنین معتقد است: «چنانچه از منظر دولت‌های ملی به این موضوع نگاه کنیم وضعیت متفاوت خواهد بود؛ اگر دشمنان یک دولت از آسیب‌پذیری آن مطلع شوند، اقدام به فاش کردن آن زمینه‌ها می‌تواند با وادار ساختن فروشندگان به ارائه یک پچ اصلاح‌کننده، به ارتقای قدرت دفاعی‌اش کمک کند. اما از سوی دیگر فاش کردن آسیب‌پذیری‌ای که دشمنان یک دولت از آن بی‌خبرند، موضع آن‌ها را تقویت می‌کند. زیرا آن‌ها می‌توانند نقاط ضعف خود را در برابر آسیب فاش شده پوشش دهند، درحالی‌که آسیب‌پذیری‌هایی نیز برای حملات خود کنار گذاشته‌اند. در این صورت مسکوت گذاشتن بهترین گزینه است.»

از میان بیش از 200 آسیب‌پذیری روز صفر جهان واقعی و پیامدهای مخرب بعدی آن‌که توسط موسسه رند مورد تحلیل قرارگرفته‌اند، تقریباً 40 درصد ناشناخته مانده‌اند. آبلون و همکارش «اندی بوگارت» موفق شدند مشخص کنند که 25 درصد از آسیب‌پذیری‌ها بیش از 1.5 سال دوام نمی‌آورند و تنها 25 درصد حدود 9.5 سال عمر می‌کنند. هیچ‌یک از ویژگی‌های آسیب‌پذیری‌ها نشان نمی‌دهند که عمر آن‌ها طولانی یا کوتاه خواهد بود. اگرچه تحلیل‌های آینده ممکن است به‌طور خاص‌تری موضوعاتی همچون «لینوکس در برابر دیگر قالب‌های رقیب»، «شباهت کدنویسی متن‌باز و متن بسته» و «انواع پیامدهای مخرب پس از فاش شدن آسیب‌پذیری» را بررسی کنند.

این تحقیق همچنین نشان داد چه کسری از آسیب‌پذیری‌های روز صفر زنده هستند (ناشناخته باقی‌مانده‌اند)، مرده‌اند (شناسایی‌شده‌اند) و یا به‌نوعی در بین این دونقطه قرار دارند. اما آبلون معتقد است که تقسیم‌بندی «زنده» و «مرده» بسیار ساده‌انگارانه است و می‌تواند بر سر تلاش‌های معطوف به شناسایی آسیب‌پذیری‌ها مانع ایجاد کند. یک آسیب‌پذیری ممکن است «همیشگی» در نظر گرفته شود؛ آسیب‌پذیری‌هایی که همیشه در یک محصول باقی می‌مانند ازاین‌دست هستند، زیرا فروشندگانشان دیگر کد نویسی و روزآمدسازی آن‌ها را ادامه نمی‌دهند. آسیب‌پذیری‌هایی عمومی شده، اغلب به همراه یک پچ امنیتی مشاوره‌ای فاش شده‌اند، اما در برخی موارد نیز توسعه‌دهندگان و یا محققان آسیب‌پذیری، مطالبی را به‌صورت آنلاین درباره آن آسیب برای کاربران ارسال می‌کنند بدون اینکه مشاوره امنیتی خاصی ارائه کنند. برخی از دیگر آسیب‌پذیری‌ها نیز نیمه زنده (زامبی‌ها) هستند؛ زیرا با تغییر کدها در نسخه‌های بعدی، آسیب‌ها نیز خود را به‌روز می‌کنند.

وقتی‌که یک آسیب‌پذیری قابل سوءاستفاده، یافته می‌شود ارائه نسخه‌ای برای جلوگیری از آن به‌طور متوسط 22 روز زمان می‌برد. این واقعیت نشان می‌دهد از یکسو به دلیل طول عمر این آسیب‌پذیری‌ها و از سوی دیگر زمان کوتاه توسعه، هر هکر جدی می‌تواند از یک آسیب روز صفر برای هدف قرار دادن هر هدفی استفاده کند. بااین‌حال بیشتر هزینه‌ای که توسعه‌دهندگان بابت سوءاستفاده از یک آسیب‌پذیری روز صفر متحمل می‌شوند، براساس میزان کار لازم برای رفع آن مشخص نمی‌شود، بلکه ارزش اصلی آن به فقدان عرضه و ... وابسته است.

منابع مالی این تحقیق «آسیب‌های روز صفر، صدها شب: زندگی و زمان‌های آسیب‌پذیری روز صفر و پیامدهای تخریبی بعدی آن» توسط گروهی از حامیان موسسه رند که در امور انسان دوستانه مشارکت می‌کنند، تأمین شد. درآمد آن از عملیات‌ها و نیز موسسه رند برای توسعه عدالت مدنی تأمین شد تا نظام عدالت مدنی را با تحقیقاتی بی‌طرف و دقیق ارتقا دهد. این موسسه تحقیقات خود را در راستای شناسایی روندهای جاری دادخواهی و اطلاع‌رسانی درباره انتخاب مربوط به مسئولیت، غرامت، مقررات، مدیریت ریسک و بیمه تعریف کرده است.

 

برگردان به فارسی: منصور براتی

منبع: موسسه رند

بازنشر این مطلب با ذکر منبع «فراتاب» بلامانع است

 

نظرات
آخرین اخبار