Video: STEAM GEHACKT! Und was nun? 💣 Hier ein kleiner "Trick" 💣 ByteMe (Kann 2024)
An jedem zweiten Dienstag im Monat, dem "Patch Tuesday", veröffentlicht Microsoft Patches für Fehler und Sicherheitslücken in Windows und in Microsoft-Anwendungen. Die meisten Probleme betreffen schwerwiegende Sicherheitslücken, Programmierfehler, durch die Hacker in die Netzwerksicherheit eindringen, Informationen stehlen oder beliebigen Code ausführen können. Adobe, Oracle und andere Anbieter haben ihre eigenen Patch-Zeitpläne. Eine alarmierende neue Studie von NSS Labs legt nahe, dass Hacker zwischen der ersten Entdeckung und der Behebung durchschnittlich fünf Monate lang ungehinderten Zugriff auf diese Sicherheitslücken haben. Schlimmer noch, es gibt spezialisierte Marktplätze, um neu entdeckte Schwachstellen zu verkaufen.
Dr. Stefan Frei, Forschungsdirektor bei NSS Labs, leitete eine Studie, in der über zehn Jahre Daten aus zwei wichtigen "Vulnerability Purchase-Programmen" untersucht wurden. Freis Bericht weist darauf hin, dass alle resultierenden Zahlen ein Minimum darstellen; Es gibt natürlich noch viel mehr, von dem sie einfach nichts wissen. Nach ihrem Kenntnisstand ist der Markt für Informationen über Exploits in den letzten Jahren erheblich gewachsen. Vor zehn Jahren hatten die beiden untersuchten Unternehmen an einem bestimmten Tag nur eine Handvoll ungenannter Sicherheitslücken. In den letzten Jahren ist diese Zahl auf über 150 angewachsen, von denen über 50 die fünf größten Anbieter betreffen: Microsoft, Apple, Oracle, Sun und Adobe.
Exploits zum Verkauf, billig
Stuxnet und andere Angriffe auf nationaler Ebene stützen sich auf mehrere nicht bekannte Sicherheitslücken, um in die Sicherheit einzudringen. Es wird davon ausgegangen, dass ihre Entwickler enorme Dividenden zahlen, um exklusiven Zugriff auf diese Zero-Day-Schwachstellen zu erhalten. Die NSA hat für den Exploit-Kauf im Jahr 2013 25 Millionen US-Dollar veranschlagt. Freis Studie ergab, dass die Preise jetzt viel niedriger sind. immer noch hoch, aber in Reichweite von Cyber-kriminellen Organisationen.
Frei zitiert einen Artikel der New York Times, in dem vier Exploit-Anbieter von Boutiquen untersucht wurden. Ihr durchschnittlicher Preis für das Wissen über eine noch nicht bekannte Sicherheitslücke lag zwischen 40.000 und 160.000 US-Dollar. Auf der Grundlage der von diesen Anbietern erhaltenen Informationen gelangt er zu dem Schluss, dass sie mindestens 100 exklusive Exploits pro Jahr liefern können.
Anbieter schlagen zurück
Einige Softwareanbieter bieten Bug Bounties an, die eine Art Crowdsourcing-Forschungsprogramm erstellen. Ein Forscher, der eine zuvor unbekannte Sicherheitslücke entdeckt, kann eine legitime Belohnung direkt vom Anbieter erhalten. Das ist sicher sicherer als mit Cyber-Gaunern umzugehen oder mit denen, die an Cyber-Gauner verkaufen.
Typische Bug Bounties reichen von Hunderten bis Tausenden von Dollar. Microsofts "Mitigation Bypass Bounty" zahlt 100.000 US-Dollar aus, aber es handelt sich nicht um ein einfaches Bug Bounty. Um es zu verdienen, muss ein Forscher eine "wirklich neuartige Ausnutzungstechnik" entdecken, die die neueste Version von Windows unterwandern kann.
Du wurdest gehackt
Bug Bounties sind nett, aber es wird immer diejenigen geben, die sich für die größere Belohnung entscheiden, die von Exploit-Anbietern und Cyberkriminellen angeboten wird. Der Bericht kommt zu dem Schluss, dass jedes Unternehmen oder große Unternehmen davon ausgehen sollte, dass sein Netzwerk bereits gehackt wurde. Das Blockieren oder Erkennen eines Zero-Day-Angriffs ist schwierig. Daher sollte das Sicherheitsteam mit einem genau definierten Plan für die Reaktion auf Vorfälle das Schlimmste planen.
Was ist mit kleinen Unternehmen und privaten Netzwerken? Der Bericht geht nicht auf sie ein, aber ich gehe davon aus, dass jemand, der 40.000 USD oder mehr für den Zugriff auf einen Exploit bezahlt hat, das größtmögliche Ziel anstrebt.
Sie können den vollständigen Bericht auf der NSS Labs-Website lesen.
