فراتاب - گروه علمی: آسیبپذیری روز صفر (حفرهای امنیتی که توسعهدهندگان برنامه یا هنوز برطرفشان نکردهاند و یا از وجد آنها آگاه نیستند) میتوانند برای سالها نامعلوم باقی بمانند و کاربران را در معرض خطر هکرها قرار دهند. یک تحقیق جدید از موسسه رند که براساس دسترسی نادری به مجموعه دادههای بیش از 200 مورد ازایندست آسیبپذیریها استوار است، نشان میدهد که افراد در مواجهه با آنها باید چهکار کنند. تاکنون پاسخ دادن به این سؤال که (آیا دولتها یا هرکس دیگری باید این آسیبپذیریها را فاش کند یا چیزی درباره آن نگوید؟) بسیار دشوار بوده است، زیرا اطلاعات اندکی وجود دارد که مثلاً آسیبپذیریهای روز صفر چه مدت نامکشوف باقی میماند و چه درصدی از آنها نهایتاً توسط افراد پیدا میشود. تحقیق موسسه رند نخستین تحقیقی است که آسیبپذیریهای ناشناخته برای عموم را موردبررسی قرار میدهد. این تحقیق معیارهایی پایهای را به کار میگیرد که میتواند دیگر تحقیقات متکی به تولید داده را (که یافتههای آن تنها به آسیبپذیریهای عموماً شناختهشده یا دیدگاههای متخصصان میپردازد) تقویت کند.
براساس مجموعه دادههای موردبررسی محققان رند نشان میدهد که طول عمر متوسط آسیبپذیریهای روز صفر- مدتزمان میان شناسایی اولیه تا افشای عمومی آن – 6.9 سال است. این زمانبندی طولانی بهاضافه میزان پایین برخوردهای مشابه (اینکه دو نفر یک آسیبپذیری را پیدا کنند) تقریباً 5.7 درصد است (یعنی سطح حفاظتی که از رهگذر فاش ساختن یک آسیب ایجاد میشود پایین است و ساکت ماندن یا انباشت کردن آن آسیبپذیری هم امری منطقی است زیرا برخی افراد همواره درصدد دفاع از سیستمهای خود و بدتر کردن وضعیت بالقوه آسیبپذیری دیگران هستند).
«لیلیان آبلون»، محقق اصلی این تحقیق میگوید: «محققان کلاهسفید معمول انگیزه بیشتری برای این دارند که بهمحض کشف یک آسیبپذیری روز صفر آن را به فروشندگان نرمافزار اطلاع دهند. اما دیگران، مانند شرکتهای سنجش امنیت نفوذ و کلاه قهوهایها انگیزه بیشتری برای انباشت کردن (مسکوت گذاشتن) آسیبپذیریها دارند.» اما از سوی دیگر انباشت کردن یا فاش ساختن عمومی یک آسیبپذیری روز صفر (و تشدید وضعیت پس از عمومیسازی) بهویژه برای دولتها یک بازی متأثر از سود و زیان است.
افرادی که از این ضعفها مطلع میشوند یا در «تشدید» وضعیت مؤثر هستند و یا درصدد نوشتن کدهایی برای بهرهبرداری از آن بهمنظور دسترسی یافتن به دیگر بخشهای سیستم برمیآیند و یا سعی میکنند همچون یک مدیر از کد خودشان استفاده کنند و یا کارهای دیگری انجام دهند. نمونه مشهور این وضعیت کرم ساکس نت است که بر چهار آسیبپذیری روز صفر مایکروسافت استوار بود و برنامه هستهای ایران را نشانه گرفته بود.
آبلون همچنین معتقد است: «چنانچه از منظر دولتهای ملی به این موضوع نگاه کنیم وضعیت متفاوت خواهد بود؛ اگر دشمنان یک دولت از آسیبپذیری آن مطلع شوند، اقدام به فاش کردن آن زمینهها میتواند با وادار ساختن فروشندگان به ارائه یک پچ اصلاحکننده، به ارتقای قدرت دفاعیاش کمک کند. اما از سوی دیگر فاش کردن آسیبپذیریای که دشمنان یک دولت از آن بیخبرند، موضع آنها را تقویت میکند. زیرا آنها میتوانند نقاط ضعف خود را در برابر آسیب فاش شده پوشش دهند، درحالیکه آسیبپذیریهایی نیز برای حملات خود کنار گذاشتهاند. در این صورت مسکوت گذاشتن بهترین گزینه است.»
از میان بیش از 200 آسیبپذیری روز صفر جهان واقعی و پیامدهای مخرب بعدی آنکه توسط موسسه رند مورد تحلیل قرارگرفتهاند، تقریباً 40 درصد ناشناخته ماندهاند. آبلون و همکارش «اندی بوگارت» موفق شدند مشخص کنند که 25 درصد از آسیبپذیریها بیش از 1.5 سال دوام نمیآورند و تنها 25 درصد حدود 9.5 سال عمر میکنند. هیچیک از ویژگیهای آسیبپذیریها نشان نمیدهند که عمر آنها طولانی یا کوتاه خواهد بود. اگرچه تحلیلهای آینده ممکن است بهطور خاصتری موضوعاتی همچون «لینوکس در برابر دیگر قالبهای رقیب»، «شباهت کدنویسی متنباز و متن بسته» و «انواع پیامدهای مخرب پس از فاش شدن آسیبپذیری» را بررسی کنند.
این تحقیق همچنین نشان داد چه کسری از آسیبپذیریهای روز صفر زنده هستند (ناشناخته باقیماندهاند)، مردهاند (شناساییشدهاند) و یا بهنوعی در بین این دونقطه قرار دارند. اما آبلون معتقد است که تقسیمبندی «زنده» و «مرده» بسیار سادهانگارانه است و میتواند بر سر تلاشهای معطوف به شناسایی آسیبپذیریها مانع ایجاد کند. یک آسیبپذیری ممکن است «همیشگی» در نظر گرفته شود؛ آسیبپذیریهایی که همیشه در یک محصول باقی میمانند ازایندست هستند، زیرا فروشندگانشان دیگر کد نویسی و روزآمدسازی آنها را ادامه نمیدهند. آسیبپذیریهایی عمومی شده، اغلب به همراه یک پچ امنیتی مشاورهای فاش شدهاند، اما در برخی موارد نیز توسعهدهندگان و یا محققان آسیبپذیری، مطالبی را بهصورت آنلاین درباره آن آسیب برای کاربران ارسال میکنند بدون اینکه مشاوره امنیتی خاصی ارائه کنند. برخی از دیگر آسیبپذیریها نیز نیمه زنده (زامبیها) هستند؛ زیرا با تغییر کدها در نسخههای بعدی، آسیبها نیز خود را بهروز میکنند.
وقتیکه یک آسیبپذیری قابل سوءاستفاده، یافته میشود ارائه نسخهای برای جلوگیری از آن بهطور متوسط 22 روز زمان میبرد. این واقعیت نشان میدهد از یکسو به دلیل طول عمر این آسیبپذیریها و از سوی دیگر زمان کوتاه توسعه، هر هکر جدی میتواند از یک آسیب روز صفر برای هدف قرار دادن هر هدفی استفاده کند. بااینحال بیشتر هزینهای که توسعهدهندگان بابت سوءاستفاده از یک آسیبپذیری روز صفر متحمل میشوند، براساس میزان کار لازم برای رفع آن مشخص نمیشود، بلکه ارزش اصلی آن به فقدان عرضه و ... وابسته است.
منابع مالی این تحقیق «آسیبهای روز صفر، صدها شب: زندگی و زمانهای آسیبپذیری روز صفر و پیامدهای تخریبی بعدی آن» توسط گروهی از حامیان موسسه رند که در امور انسان دوستانه مشارکت میکنند، تأمین شد. درآمد آن از عملیاتها و نیز موسسه رند برای توسعه عدالت مدنی تأمین شد تا نظام عدالت مدنی را با تحقیقاتی بیطرف و دقیق ارتقا دهد. این موسسه تحقیقات خود را در راستای شناسایی روندهای جاری دادخواهی و اطلاعرسانی درباره انتخاب مربوط به مسئولیت، غرامت، مقررات، مدیریت ریسک و بیمه تعریف کرده است.
برگردان به فارسی: منصور براتی
بازنشر این مطلب با ذکر منبع «فراتاب» بلامانع است