Názory k článku
Google varuje, že 70 % zneužitých chyb odhalených v roce 2023 byly zero-days

aneb až pířlišná důvěra ke skenovacím nástrojům. Vidím ve své bublině klientů trend, kdy v daleko menší míře se dělá audit kódu, review a penetrační testy, protože se daleko ve větší míře nasazují nástroje jako Azure Security Control, Qualys a další.

Čím dál častěji vidím full service vývojářeské týmy, kdy jejich produkty jdou přímo ven (díky kontejnerům, kubernetu) aniž by je někde ověřil, aniž by měli před sebou patřičnou bránu, která bude provoz čistit a zajišťovat SSO pro všechny entpointy.

Stejně tak se nám čím dál více otevírá interní infrastruktura, dnes všemu vládne REST, tj. jediný port 443 je hlavní komunikační dálnice i pro databáze a efektivně se obchází FW. Různé dynamické reverzní proxy, které by měly provoz povolovat pouze pro schválené kombinace zdroj-cíl se občas objevují, ale jejich konfigurace je tak extrémně složitá a komplexní a jejich výkon tak žalostný, že se interně používají málokde.

Přitom dobrá infrastruktura by měla počítat s tím, že samotná aplikace je zranitelná a nedovolit jí to zneužít. Snaha být agilnější, ale vede k tomu, že se infrastruktura splošťuje a chybí bezpečnostní bariéry.

To se nebavím o žádných garážovkách, ale v podstatě o celém našem bankovním sektoru, o novodobých e-commerce velikánech nebo dokonce i o Azure, kdy se opět nepoučili a čerstvě udělali botu s PowerBI a evalují klientská data službou, která běží pod rootem...

Aneb aktualizovat software pro bezpečnost nestačí.

V zasade se da rict, ze zadna jednotliva vec pro bezpecnost nestaci, ale porad si myslim, ze je to jedna z veci, ktere riziko bezpecnostniho incidentu obvykle snizuji. A i kdyz aktualizace prichazi v dobe, kdy uz je chyba zneuzivana, tak to nutne neznamena, ze uz je zneuzivana i u vas.

Přesně. Když pak člověk každou chvíli někde čte, že byla zneužita zranitelnost, pro kterou byla vydána oprava už někdy v polovině 16. století, je spíš potřeba pořád připomínat, že je potřeba aktualizovat. Aktualizace jsou podmínka nutná, nikoli dostačující.

Takhle osamoceně je ta věta dost zavádějící a nebezpečná.

Z celého článku plynu, že aktualizovat je potřeba co nejrychleji, protože průměrná doba od objevení problému ke zneužívání chyby klesla s nedávných desítek dnů na pět dnů. Takže aktualizovat má stále smysl, a je potřeba aktualizovat rychle.

To, že je zneužívána 0-day, ještě neznamená, že je zneužívána plošně. Užitečný by také byl přehled exploitů podle produktů – jestli se pravděpodobnost 0-day zranitelnosti nedá výrazně snížit nepoužívání některého konkrétního softwaru.

"Takže aktualizovat má stále smysl, a je potřeba aktualizovat rychle."
Smysl to má, zejména když aktualizace obsahuje opravu zranitelnosti. Pokud aktualizace nestíhají na nově zveřejněnou zranitelnost reagovat, o to větší smysl má bezpečnost návrhem. Například se zamyslet, jestli každý přístroj/apli­kace/proces skutečně potřebuje být připojen k Internetu a jaká data přenáší a smí přenášet. Jestli všechna data musí být přístupná. Nebo třeba jestli každý mikrofon musí slyšet a každá kamera musí vidět :-)

Zajímalo by mě kolik z těchto "chyb" jsou ve skutečnosti jen zadní vratka odhalená nezasvěcenou osobou.

když už je zneužívaná 0D zranitelnost ve statistikách, je chyba popsané, můžeš se sám nádohně podívat a přemýšlet, jestli to byl záměr nebo nikoliv.

Chyby, které vídám mi nepřipadají, že jsou záměrné. Z těch pár odhalených záměrných chyb bych řekl, že je levnější najít chybu od vývojářů než naopak se nažit SW kompromitovat.

Dnes už neplatí, že stačí jediná chyba k průniku, málokdy, ale zpravidla to je kombinace více zranitelností najednou. Pokud se útočníkovi povede získat nad vývojem něčeho kontrolu, budou se chyby opakovat pravidelně, budou v kódech jednoho vývojáře, budou mít něco společného, to nevidím.

Jeden útočník může hledat chybu najednou v desítkách různých SW, sice mu to trvá měsíce, ale asi vždy něco najde. Naopak pokud se chceš někam infiltrovat, toho času tomu věnuješ opravdu hodně a to je pouze jeden projekt.

>Chyby, které vídám mi nepřipadají, že jsou záměrné. Z těch pár odhalených záměrných chyb bych řekl, že je levnější najít chybu od vývojářů než naopak se nažit SW kompromitovat.

Na druhu stranu mi prislo, ze afera s xz ukazala, ako je lahke a lacne vlozit zadne vratka aj do otvoreneho kodu.

s tím xs, trvalo to jednotky let, ten vývojář musel dělat nemalou aktivitu, aby získal kredit a byla spíše náhoda, že se mu podařilo tam něco dostat. To mi nepřipadá levný proces a určitě nebude tak extrémně rozšířený, to by těch odhalení bylo daleko víc.

Otázka je, kolik takových "vývojářů" je - podle mě to jsou stovky infiltrátorů, o kterých ještě vůbec nevíme.