20 дек. 2013 г.

Кто как считает свои zero day?

Многие безопасные компании меряются таким параметром - качество работы их исследовательской лаборатории. Качество работы вещь измеримая и это два параметра (напоминаю, что весь этот блог это мое личное мнение):
  1. Скорость написания фильтров для имеющихся в мире уже известных уязвимостей.
  2. Производительность новых исследований и вовремя найденная уязвимость до атаки хакеров (каждая новая атака это zero day).
Первый параметр я не знаю как измерять. На практике, как правило, ты берешь конкретный CVE и смотришь - есть он в базе IPS данного вендора или нет. Есть заказчики которые так делают, но их единицы. Остальные обычно смотрят в отчет NSS Labs. NSS Labs как раз берет и присылает в IPS уже известные миру дырки и несколько неизвестных. Для этого NSS Labs сама покупает с рынка несколько новых zero day плюс где-то еще закупает уже известные эксплойты. Самая засада, что в отчете NSS Labs непонятно какие же конкретно дырки они проверяли и какие конкретно дырки конкретный IPS пропустил. Загадочный тест, но единственный в индустрии. Так что, дорогие заказчики, делайте тесты сами: берите любимую в NSS программу Tomahawk и берите pcap атак и пропускайте в тестовый IPS. Либо какой-то сканер безопасности. У меня есть PCAP если что.

Второй параметр измеряют по числу найденных zero-day. И тут все пишут у кого сколько за год. В принципе, мне приятно что я работаю в компании которая находит 200-300 уязвимостей в год благодаря проекту Zero Day Initiative (ZDI), что больше чем другие коммерческие компании, все вместе взятые. И я "с высоты полета" просматриваю кто еще чем занимается. 

Сегодня меня заинтересовало PR сообщение FireEye о том, что они нашли за 2013 год 11 уязвимостей zero-day. Улыбнуло конечно :) HP ZDI где-то 270 с лишним уже нашли в 2013 году.

Из исследовательских побуждений, я решил проанализировать первую из описанных _победных_ уязвимостей, найденных FireEye: CVE-2013-3893

Если заглянуть в Technet Microsoft, то там в MS13-080 есть благодарности нам (HP ZDI) за то что мы нашли эту уязвимость и рассказали Микрософту, но ни одной благодарности в сторону FireEye.

Если заглянуть в блог FireEye, то там есть лишь анализ этой уязвимости. И да, они обнаружили что этой уязвимостью кого-то атаковали в Японии. Ну молодцы, че.

Возник вопрос: а Вы ли в FireEye нашли эту уязвимость? Доказательств того, что это именно их zero day я не нашел. И как они считают свои и не свои?

В HP TippingPoint сделали просто: написали приложение на php, которое проходит по всему Microsoft Technet и считает сколько раз Microsoft упоминало в комментариях компанию и говорило ей спасибо за помощь в поиске. Вот, например, статистика по найденным zero day для продуктов Microsoft от различных компаний.