Статья Исследования уязвимостей. Обратная сторона медали.

[varwar]

UPD: Перевод статьи читайте тут /threads/115070/#post-812221.

Попался на глаза один любопытный ретроспективный обзор индустрии.
Текста много, но рекомендую ознакомиться каждому интересующемуся, т.к. есть ответы на всплывающие периодически в разделе вопросы и даже больше.

The boom, the bust and the adjust

About me

medium.com

Для любителей презентаций: https://www.slideshare.net/slideshow/zer0con-2024-final-share-short-versionpdf/267171223

 

[weaver]

Странно, что нет не одного комментария в этой теме, varwar вам годноту такую подогнал, это было частью выступления на Zer0Con 2024. Как и сказал varwar обязательно к прочтению каждому, хоть будите знать как делают зероклики, и про прочие подобные штуки вроде спайвари pegasus.

 

[handersen]

А чего тут особо комментировать? Весьма познавательная статья, одна из ключевых мыслей которой, как мне кажется это то, как крупные корпорации открыли для себя ресерчеров и поняли, что это поле непаханое. Соответственно решили разобраться в теме и заюзать их в своих интересах. Начали разбираться, и о#ели приятно удивились, насколько это может быть полезно. И объявили золотую лихорадку - тащите дыры, наколки, мысли: бабла дуром! Пару лет поюзали тему, взяли в оборот особо шарящих (посадили писать пегасусы, придумывать anom-ы) и подумали, ну блин теперь все ясно. Но! Чуть позже поняли, что не все и ажиотаж, ажиотажем а нудную системную работу, по ходу придется теперь продолжать вечно, но уже не соря деньгами.

 

[Dread Pirate Roberts]

Попался на глаза один любопытный ретроспективный обзор индустрии.
Текста много, но рекомендую ознакомиться каждому интересующемуся, т.к. есть ответы на всплывающие периодически в разделе вопросы и даже больше.

The boom, the bust and the adjust

About me

medium.com

Для любителей презентаций: https://www.slideshare.net/slideshow/zer0con-2024-final-share-short-versionpdf/267171223

слейте кто-нибудь pdf, пожалуйста.

 

[varwar]

слейте кто-нибудь pdf, пожалуйста.

DropMeFiles – free one-click file sharing service

Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.

dropmefiles.com

 

[varwar]

И объявили золотую лихорадку

Точное описание всего движа.

придется теперь продолжать вечно, но уже не соря деньгами.

Есть охуительные истории про то, как улетают бюджеты с таких R&D групп с околонулевым выхлопом. Но это скорее проблема нехватки кадров в целом для такого рода задач (фуллчейны).

 

[Whisper]

эээ..а какой профит в этом? Признаюсь не читал а просто пролистал.
Глаза зацепились за

Individual researchers are no longer able to achieve the same level of output as they did in the past. This circumstance has led them to either form collaborative teams with other researchers or opted to exit the industry altogether.

Но это и так понятно что в одного можно ковырятся, ничего не найти, умереть с голода.
Чего там есть не очевидного и практично полезного?

 

[weaver]

эээ..а какой профит в этом? Признаюсь не читал а просто пролистал.

Профит наверно в том, что кто не знаком с кухней, откроет для себя глаза. Это как минимум. А максимум может открыть подобный бизнес, оглядываясь на печальный опыт... Мне вот иногда пишут и спрашивают определенные эксплойты под определенные таргеты, которых у меня нет, по причине, так как занят другими делами или проектами. Иной раз задумываюсь быть брокером на форуме (так как есть возможность тестировать), вдруг кто-то "стесняется", что-то продавать или не хочет палиться...

Другой аспект который можно наблюдать тут, это то, что комплексные компании переняли у киберкриминала связки, я про связки эксплойтов, exploit-kits. Т.е. до сих пор отдают предпочтение заражению, через вектор "drive by download", но с упором на мобильные ос, потому что не у каждого есть компьютер, но у каждого есть телефон. С другой стороны гайки закручивают и выходят новые механизмы безопасности, что в какой-то момент это нахер никому не будет нужно, потому что есть ИИ. Например новая функция в Windows 11 recall. Такой сбор телеметрии не хуже спайвари. А ведь скоро будет ИИ везде в браузере, ОС, мобильнике. Это всё приведет к тому что люди будут сидеть на кастомных линуксах. У меня много есть мыслей на эту тему... К слову до прочтения статьи, я знал примерно 80% что там написано... Так как где то еще в 2012 я уже тогда плотно интересовался подобными вещами, не говоря уже об истории с зеродиумом...

Но это и так понятно что в одного можно ковырятся, ничего не найти, умереть с голода.

Там в статье написано, что есть люди которые могут соло. Так что можно и одному. Правда цепочку в соло наверно врядли сделаешь... Но часть точно можно.

Чего там есть не очевидного и практично полезного?

Я как бы знал о существовании брокеров и комплексных компаний. Но вот не знал, что так сложно соблюдать SLA, при таком штате сотрудников. Знал, что есть приватные техники эксплуатации, которые являются тайнством только для сотрудников компании. Но вот появление для меня "Clearing houses" aka "информационные центры" это для меня новизна... Но для меня, что комплексные компании, что информационные центры одно и тоже. Особо не вижу разницы.

They share infrastructure, vulnerabilities, exploitation techniques and more with the researchers within the company and researchers that work exclusively with the company (i.e. independent researchers or research groups).

Т.е. если хочешь идти в ногу со временем имеет смысл работать с таким "информационным центром".

 

[Whisper]

Профит наверно в том, что кто не знаком с кухней, откроет для себя глаза. Это как минимум. А максимум может открыть подобный бизнес, оглядываясь на печальный опыт... Мне вот иногда пишут и спрашивают определенные эксплойты под определенные таргеты, которых у меня нет, по причине, так как занят другими делами или проектами. Иной раз задумываюсь быть брокером на форуме (так как есть возможность тестировать), вдруг кто-то "стесняется", что-то продавать или не хочет палиться...

Другой аспект который можно наблюдать тут, это то, что комплесные компании переняли у киберкриминала связки, я про связки эксплойтов, exploit-kits. Т.е. до сих пор отдают предпочтение заражению, через вектор "drive by download", но с упором на мобильные ос, потому что не у каждого есть компьютер, но у каждого есть телефон. С другой стороны гайки закручивают и выходят новые механизмы безопасности, что в какой-то момент это нахер никому не будет нужно, потому что есть ИИ. Например новая функция в Windows 11 recall. Такой сбор телеметрии не хуже спайвари. А ведь скоро будет ИИ везде в браузере, ОС, мобильнике. Это всё приведет к тому что люди будут сидеть на кастомных линуксах. У меня много есть мыслей на эту тему... К слову до прочтения статьи, я знал примерно 80% что там написано... Так как где то еще в 2012 я уже тогда плотно интересовался подобными вещами.

Ну я вообще не знаком с кухней но как бы банально и очевидно что там группы и агрегаторы, что одиночке в это дело лезть такая себе инвестиция усилий.
А зачем кастомные линуксы? - Чем плох деб? они вряд ли станут собирать телеметрию принудительно.
Про виндовсы, их можно держать в оффлайн режиме, при необходимости давая канал в сеть только отдельным программам, там где нужно больше - отдельная тематическая вм куда ходишь через рдп. Вообще уже давно надо не смешивать разные активности в одной вм, особенно если у нее есть доступ в сеть. Это же все тоже очевидно.

 

[weaver]

А зачем кастомные линуксы? - Чем плох деб? они вряд ли станут собирать телеметрию принудительно.

Есть мысли, что в какой-то момент подобное recall будет везде, во всех дистрибутивах. От сюда и предположения о кастомных линиксах. А так телеметрия везде собирается, но не такая жуткая как делает recall.

Ну я вообще не знаком с кухней но как бы банально и очевидно что там группы и агрегаторы, что одиночке в это дело лезть такая себе инвестиция усилий.

Туда нет смысла идти, если ты идешь ради денег, однако если тебе это интересно, тогда имеет смысл идти, я так рассуждаю... Просто в конечном итоге человек который гонится за деньгами либо не дойдет до цели, либо быстро потеряет интерес. К этому должно быть влечение, и только таким макаром, развиваясь ты сможешь дойти туда куда хотел.

 

[Whisper]

Есть мысли, что в какой-то момент подобное recall будет везде, во всех дистрибутивах. От сюда и предположения о кастомных линиксах. А так телеметрия везде собирается, но не такая жуткая как делает recall.

Погоди, деб не собирает телеметрию, что бы он собирал ее надо явным образом включить, там по умолчанию стоит не собирать. У этих ребят вроде как философия не лезть в чужие дела и не использовать закрытый код(нужно явно включить что ты разрешаеш пакеты с закрытым кодом). Ты ведешь к тому что их заставят что ли?

 

[weaver]

Ты ведешь к тому что их заставят что ли?

Дело не в дебиане, знаю, что собирается телеметрия, и в первую очередь не пользовательская, т.е. ведется статистика по пакетам, какое ПО установлено. А что касается за дебиан, за него не знаю. Знаю лишь, то что во всех дистрах в основном стата собирает именно по пакетам. Но если это действительно так, как ты говоришь, это здорово. Если там в обще не какой телеметрии нет, т.е. не собирает пользовательскую телеметрию, что пользователь делал на компьютере, какие программы запускал, какой аптайт итд. Но при этом у них нет еще и статистики по пакетам, какое ПО у тебя установлено на машине, слепок, твоей машины, то тогда да отдают им должное.

 

[Whisper]

Дело не в дебиане, знаю, что собирается телеметрия, и в первую очередь не пользовательская, т.е. ведется статистика по пакетам, какое ПО установлено. А что касается за дебиан, за него не знаю. Знаю лишь, то что во всех дистрах в основном стата собирает именно по пакетам. Но если это действительно так, как ты говоришь, это здорово.

Деб при установке явно про это спросит, и по умолчанию выбор стоит не собирать статистику по пакетам. Деб на этом принципе и стоит что - приватность + открытый код, он даже спросит а можно ли ему NTP. Минусы - на картах нвидия будешь наблюдать артефакты на экране, для многих девайсов нет дров, небогатый набор софта и софт скажем зачастую так себе.

 

[weaver]

А забыл добавить, для меня было не большим открытием касамое OEM-производителей.

Тобишь....

upstream LPE это эксплойт который использует уязвимость, которая уже исправлена в основной версии ядра Linux, но может все еще присутствовать в версиях ядра, используемых в устройствах Android от OEM-производителей.

 

[Whisper]

А забыл добавить, для меня было не большим открытием касамое OEM-производителей.

Тобишь....

Будущее за открытым софтом. Сообщества энтузиастов на длинной дистанции сильнее корпов. Думаю те же майки еще пожалеют о своей агрессивной политике сбора данных, многих не самых тупых людей это заставило перейти на лин принципиально, а люди это движуха.

 

[varwar]

Да хотя бы вот этот абзац уже может порушить ожидания некоторых людей.

It was believed that if you have experience in one domain, you could pivot to other targets easily. In reality, it was possible to pivot, but it took quite a lot of time (from 6 months to years) to ramp-up the research capabilities and in this time period the researcher was not productive in the sense of finding vulnerabilities to exploiting bugs.

Сейчас с учетом сложности можно эти цифры увеличивать и затем подыскивать команду/компанию. Годик инвестиционных денег поедите, выкатите залупу и бегом с тонущего корабля.

Based on my experience, researchers who previously discovered vulnerabilities once every three months now required a team and six months to achieve the same outcome.

Также интересный вывод.

Realization that you can train your people as much as you want but it won’t turn them into vulnerability researchers that are capable of finding vulnerabilities in the core vectors.

Вот и думайте, господа, надо оно вам или нет. Романтики тут все равно нет. Может все-таки лучше петухон, а не смерть в отладчике?

 

[Whisper]

Да хотя бы вот этот абзац уже может порушить ожидания некоторых людей.


Сейчас с учетом сложности можно эти цифры увеличивать и затем подыскивать команду/компанию. Годик инвестиционных денег поедите, выкатите залупу и бегом с тонущего корабля.


Также интересный вывод.



Вот и думайте, господа, надо оно вам или нет. Романтики тут все равно нет. Может все-таки лучше петухон, а не смерть в отладчике?

Питон мастхев в любом случае.
Кстати, вот у меня есть опыт и реверса, и кряка, и кодинга на асме шеллкодов и не только, и я довольно хорошо представляю себе что такое поиск эксплойтов на самом деле, ну или я заблуждаюсь не особо сильно на этот счет.
И очень интересно было бы узнать про твой опыт, как оно в плане денег и сроков, насколько продуктивно оно в плане скиллов. Например в процессе кодинга у меня постоянно идет переосмысление подходов и к архитектуре и к алгоритмам, рост при практике очень динамичный, это приходит при рефакторинге и архитектуры и кода, когда ты понимаешь что сделал плохо и ищешь как сдлеть хорошо, когда ты понимаешь что надо было вообще не так и ты пробуешь иначе и снова не так, но через несколько переделок ты находишь лучшее решение и в следующий раз у тебя переделок будет меньше, рост скилла виден, здесь важно учесть что кодинг это и создательный и исследовательский труд. Реверс же совсем иное, да там тоже набивается рука и осваиваются приемчики и уже что то быстро учишся опознавать на глаз и скриптами полезными обрастаешь, но имхо динамика проф-роста ниже в разы чем у кодера(реверсер я постольку - поскольку так что могу сильно ошибатся). Очень интересно было бы узнать от практика как оно на самом деле, хотябы в личку.

 

[varwar]

И очень интересно было бы узнать про твой опыт, как оно в плане денег и сроков, насколько продуктивно оно в плане скиллов.

Примерно так.

P.S. Кстати, я взял вашу рекомендацию по Obsidian на вооружение, но о каких-то значимых результатах смогу сказать не скоро. Пока лишь он помогал мне несколько раз вспомнить какие-то детали и освежить память.

 

[Whisper]

Примерно так.
Посмотреть вложение 85736

P.S. Кстати, я взял вашу рекомендацию по Obsidian на вооружение, но о каких-то значимых результатах смогу сказать не скоро. Пока лишь он помогал мне несколько раз вспомнить какие-то детали и освежить память.

Им надо научится пользоватся. Ключевое это - конрол+шифт+f и теги, вот научись делать нормальные теги и связывание инфы между собой и будет все ок. И следует понимать что разная информация требует разного подхода к ее представлению, а это значит что обсидиан у тебя это корень навигации(он ведь может скриты запускать ```run-batch c:\.....``` да и вообще много что может), так что это кроме заметок и ссылки хоть на чери доки, хоть на открытие проектов в студии, майнд мапы и тд. Заводи привычку в первую очередь искать все в обсидиане(даже если знаешь что нужной записи с тегом там нет), не нашел тут же создал док с тегом который искал и поместил туда то что хотел бы найти, обязательно связывай доки между собой.

 

[weaver]

Индустрия наступательной кибербезопасности — тенденции и обновления​

Введение​

В 2019 году у меня была возможность выступить на BlackHat USA¹, где я попытался ответить на вопрос "Как исследователи могут взаимодействовать с индустрией наступательной кибербезопасности?".

Четыре года спустя, индустрия наступательной кибербезопасности претерпела значительные изменения, которые изменили всю отрасль. Я думаю, что пришло время рассказать о тенденциях и событиях, которые привели нас туда, где мы находимся сегодня.

В этой статье я проанализирую изменение бизнес-модели индустрии наступательной кибербезопасности с течением времени.

Если вас меньше интересует история индустрии наступательной кибербезопасности и вы хотели бы узнать текущие тренды и события, смело переходите к разделу Корректировка (2022+) — появление "Информационных центров" и изменение отраслевой цепочки поставок.

* Стоит отметить, что эта статья отражает мой собственный опыт работы в отрасли. Основываясь на беседах с коллегами по отрасли и людьми, которые являются частью этой отрасли, у них был аналогичный опыт.

** Если вы являетесь государственным служащим, исследователем или сотрудником правительственной организации, пожалуйста, обратите особое внимание на раздел "Призыв к действию".

Обо мне​

Я работаю в наступательной кибериндустрии уже более 7 лет (примечание: наступательной кибериндустрии около 20 лет). В мои обязанности входило помогать исследователям, компаниям, исследовательским группам, брокерам и правительствам ориентироваться в наступательной кибериндустрии с точки зрения цепочки поставок (уязвимостей/исследований).

Twitter: malltos92

Содержание статьи​

• Структура
• Производители
• Переход от сообщества к индустрии
• Бум (2017–2019 года.) — "На бычьем рынке каждый гений"
• Спад (2020–2021 год.) — "Только во время отлива узнаешь, кто купался голым".
• Корректировка (2022+) — появление "Информационных центров" и изменение отраслевой цепочки поставок.
• Призыв к действию
• Заключение
• Ссылки

Структура​

Мы можем разделить хронологию развития индустрии наступательной кибербезопасности на три основных этапа, основываясь на событиях и тенденциях, с которыми столкнулась отрасль:

На каждом этапе я буду анализировать, как каждая из следующих сущностей повлияла на другие:

• Цепочка поставок: исследователи, исследовательские группы и уязвимости.
• Комплексные компании: компании, которые предоставляют возможность заражать (т.е. использовать уязвимости) цель и устанавливать агент (т.е. вредоносное ПО) для сбора данных с выбранных устройств.
• Брокеры: посредники между покупателями, комплексными компаниями, правительствами, информационными центрами и продавцами.
• Информационные центры: мы объясним это позже в этой статье.
• Правительства: любая правительственная организация которая использует, технологии двойного назначения (вредоносное ПО\уязвимости).

Но прежде чем мы перейдем к различным этапам, отметим одну важную силу, которая привела к изменениям, — это производители.

Производители​

На протяжении многих лет производители (например, Apple, Google, Microsoft и т.д.) тратили значительные ресурсы на повышение безопасности своих продуктов. Путем внедрения новых средств защиты, наборов микросхем, исправлений уязвимостей (патчей), а так же нанимая лучших в своем классе исследователей безопасности, создавая программы вознаграждения за обнаружение уязвимостей и многого другого.

Для людей, которые не знакомы с наступательной индустрией кибербезопасности, стоит упомянуть, что правительства и комплексные компании предпочитают использовать вектор заражения из браузера, используя удаленное выполнение кода (RCE) и сочетая его с локальным повышением привилегий (LPE), чтобы взять под контроль само устройство. Эта тенденция была особенно распространена до 2017 года.

Примечание переводчика:
Вспоминаем: связки эксплойтов, наборы экплойтов, exploit-kits...

Одна из главных причин, по которой основным источником заражения является браузер, заключается в том, что проще получить разрешение на доступ к данным на целевом устройстве, чем незаконно обращаться к серверу, принадлежащему третьей стороне, которая непосредственно не является целью.

Одним из хороших примеров того, как производители инвестируют в свою безопасность, является Apple. Apple внедрила "стратегию глубокой защиты", согласно которой они понимают, что уязвимости будут присутствовать в продукте/программном обеспечении до тех пор, пока существует код.

В результате Apple решила создать уровни (т.е. "глубокую защиту") мер по смягчению последствий и мер защиты, чтобы усложнить этап эксплуатации. Это вынуждает злоумышленника находить множество уязвимостей и объединять их воедино, в то время как Apple постоянно меняет код, делая уязвимости неактуальными.

Apple со временем внедряет новые средства защиты, сужая поверхность атаки, доступную из браузера. Они создали надежную изолированную среду "песочницу", распределили функциональные возможности по новым чипсетам и многое другое².

Поначалу эти новые средства защиты не считались существенным препятствием для исследователей уязвимостей. Но со временем, когда средства защиты стали более зрелыми, т.е. команды безопасности изучили и усовершенствовали эти средства защиты и технологии, ситуация с исследованием уязвимостей стала усложняться.

Здесь мы можем увидеть приблизительную хронологию новых средств защиты, которые внедрила Apple в iOS, и когда они стали проблемой (закрашенная фигура), исследователям пришлось искать новые уязвимости или техники для их преодоления.

Помимо реализации новых средств защиты, становится все труднее и труднее объединять (склеивать) различные уязвимости вместе, чтобы получить "полную цепочку" (т.е. полный вектор, который позволяет злоумышленнику заразить целевую машину с повышенными привилегиями.

Конечный результат этих усилий приводит нас от двух уязвимостей, необходимых для получения контроля над целевым устройством, к цепочке из множества уязвимостей и техник эксплуатаций, объединенных в единый вектор.

В Android реализованы аналогичные меры безопасности, аналогичные тем, которые существуют в iOS. Между ними есть некоторые различия, о которых стоит упомянуть. Основная из них заключается в том, что Android - это фрагментированный рынок (OEM-производители), и следовательно, им сложнее управлять на стороне ядра устройством (upstream LPE & LPE для конкретного чипа).

Примечание переводчика:
upstream LPE эксплойт использует уязвимость, которая уже исправлена в основной версии ядра Linux, но может все еще присутствовать в версиях ядра, используемых в устройствах Android от OEM-производителей.

В результате Google понимает, что им в основном нужно сосредоточиться на работе с OEM—производителями, заставляя таких производителей, как Samsung, как можно скорее внедрять и выпускать обновления безопасности, а также обеспечивать безопасность Chrome.

Ссылки³

Переход от сообщества к индустрии​

В этом разделе я хотел бы рассказать немного о том, как произошел переход от сообщества к индустрии и с какими проблемами пришлось столкнуться сообществу.

Регулирование и освещение в СМИ (новостях)​

Регулирование: правил экспорта уязвимостей практически не существовало. Некоторые страны, такие как Израиль, включили уязвимости в законы об экспортном контроле в рамках "экспорта знаний". Но в большинстве стран только началось обсуждение "программного обеспечения для вторжения⁵" (т.е. вредоносное ПО), а не уязвимости.

Освещение в СМИ (новостях): практически нет новостных статей о наступательной кибербезопасности, что это такое, на что она способна и т. д.

Цепочка поставок​

В предыдущей статье, которую я опубликовал⁴, рассказывая о событиях и тенденциях в отрасли, я упомянул, что вообще говоря, в наступательной кибер-индустрии существует четыре типа исследователей:

• Уровень 1: Исследователи, способные находить и использовать 0-day уязвимости.
• Уровень 2: Исследователи, которые могут либо найти 0-day уязвимости, либо эксплуатировать уязвимости.
• Уровень 3: Исследователи, которые могут выполнять работы по техническому обслуживанию существующих эксплойтов (n-days).
• Уровень 4: Исследователи, которых нельзя классифицировать...

Все исследователи рождаются равными(?)​

Цепочка поставок сыграла важную роль, когда отрасль начала развиваться. Вначале исследователи уязвимостей считались дефицитным товаром, и любой исследователь, имевший опыт в этой области, считался исследователем 1-го уровня.

В отрасли просто не знали, как ранжировать этих исследователей. Причина этого заключалась в том, что в отрасли не знали лучшего. Это была новая отрасль, и лишь горстка людей знала, что значит быть исследователем уязвимостей.

Хотя на ранних этапах развития отрасли (т.е. в 2008-2009 годах) были исследователи, которые фокусировались на конкретных задачах и считались "специалистами по браузерам" или "специалистами по ядру" и т.д. Спрос на исследователей был высок, и не имело значения, был ли у этого человека опыт работы в Web, операционной системе или браузерах.

Считалось, что если у вас есть опыт работы в одной области, вы можете легко переключиться на другие цели. На самом деле, можно было сменить специализацию, но потребовалось довольно много времени (от 6 месяцев до нескольких лет), чтобы расширить исследовательские возможности, и в этот период исследователь не был продуктивен в смысле поиска уязвимостей для разработки эксплойтов.

Другой причиной был "street credit" (уличный авторитет). Что в переводе означает что-то вроде "Я служил в подразделении X", "Я находил уязвимости здесь и там", "Я играл в CTF здесь и там" и "Я знаю этого человека и того-то, мы когда-то взламывали XYZ".

Продажа уязвимостей​

Одна из многих проблем, с которыми пришлось столкнуться исследователям, заключается в том, чтобы найти, как и кому они могут продать найденные ими уязвимости. Как клиентская сторона (т.е. правительства и многопрофильные компании), так и сторона-поставщик (т.е. исследователи) не хотели, чтобы о них знали, то, что они занимаются таким бизнесом. Вопросы типа "Откуда я знаю, что могу вам доверять?" или "Откуда я могу знать, что вы тот, за кого себя выдаете?" были обычными.

Большинство уязвимостей и эксплойтов, которые были проданы (до сегодняшнего дня), представлены в форме Proof of Concept (PoC). Исследователи предоставляют код, который позволяет запустить ошибку, и обычно PoC-эксплойт имеет сомнительную надежность, а PoC предназначен для конкретной версии операционной системы/устройства.

Клиенту (покупателю) таких вещей необходимо потратить значительное количество времени и ресурсов на доработку PoC'а до готового к использованию эксплойта. В некоторых случаях продаваемая уязвимость предоставляет вам только определенные типы примитивов, и после этого клиенту необходимо продолжить исследование, чтобы достичь конечной цели (т.е. выполнения кода).

Примечание переводчика:
Обычно под примитивами подрузумевают некое состояние памяти (RWX), состояние чтение (R), состояние записи (W), состояние исполнения (X). В разработке эксплойтов, примитивы это строительные блоки, куски кода. Например примитив Write-What-Where (WWH).

Что значит иметь готовый к использованию эксплойт?

Я процитирую Марка Дауда из Vigilant Labs во время мероприятия BlueHat 2023:

• Он должен работать, и работать стабильно (100%).
• Должен работать в неблагоприятных условиях
• Отсутствие заметных побочных эффектов (блокирующее устройство, визуальные искажения и т.д.)¹⁹
• Выполнение должно продолжаться, как будто ничего не произошло

Кроме того, возможности (т.е. уязвимости, техники, примитивы и т.д.) часто исправляются во время разработки из-за того, что производитель становится осведомлен об этом (либо внутренне, либо публично).

Еще одна проблема, с которой пришлось столкнуться исследователям - это оценка справедливой рыночной цены их результатов (нужно было оценить сколько будет стоить изготовленный эксплойт) и структурирование соглашений об оплате (об этом я рассказывал в докладе BlackHat USA за 2019 год).

Брокеры​

Брокеры сыграли важную роль в развивающейся отрасли в качестве посредников при заключении сделок. Брокеры знали клиентов (или, по крайней мере, активно их искали), и у них была сеть исследователей, которые хотели продавать свои уязвимости.

Брокерам приходилось выстраивать тесные и личные отношения, основанные на доверии, как с клиентом, так и с исследователями. Эти отношения были (и остаются) критически важными из-за особенностей процесса совершения сделок.

Проще говоря, после согласия с условиями и подписания контракта исследователю необходимо отправить уязвимость брокеру, который, в свою очередь, отправляет ее клиенту на проверку. Только после завершения процесса проверки, исследователь получает оплату.

Итак, как вы понимаете, вам нужно доверять брокеру, когда вы отправляете ему уязвимость, стоимостью в сотни тысяч долларов.

Со стороны брокеров, им нравится быть посредниками, поскольку они могут участвовать в сделках без необходимости самостоятельно находить уязвимости. При этом держать в изоляции как клиента, так и исследователей. Клиент не знал кто нашёл уязвимость, а исследователь не знал личности клиента.

Комплексные компании​

Вначале было всего несколько известных компаний, и большинство из них взаимодействовали с рынком, нанимая исследователей, чтобы узнать, какие уязвимости существуют. Лишь небольшая часть компаний покупала уязвимости на рынке.

Одна из причин, по которой компании не покупали уязвимости на рынке, заключалась в том, что внутренней исследовательской команде не составляло особого труда найти определенные уязвимости для поддерживания роботоспособности полной цепочки эксплойтов. Когда внутренняя исследовательская команда не достигала определенной цели, компания взаимодействовала с рынком и пыталась восполнить пробел в цепочке поставок.

Некоторые компании начали покупать уязвимости и эксплойты на рынке лишь на более позднем этапе, и им пришлось догонять игроков рынка, приспосабливаться к процедурам и ценам.

Правительства​

В начале 2017 года лишь несколько государств были активны на рынке в качестве покупателей, обычно в качестве подставных компаний с целью мониторинга тенденций, уязвимостей и эксплойтов на рынке

Конференции​

Конференции были одним из ускорителей перехода от сообщества к индустрии. Конференции были местом, где исследователи, брокеры, комплексные компании и представители государств встречались и налаживали отношения.

Бум (2017–2019 года.) — "На бычьем рынке каждый гений"​

youtube.com/watch?v=YBdmU8G3xRw

Главной характеристикой этого этапа является рост. От чрезвычайно скрытного сообщества до индустрии стоимостью в миллиарды долларов.

Комплексные компании​

Основной силой роста стали комплексные компании. Комплексные компании проделали огромную работу по информированию государств о возможностях наступательной кибербезопасности и о том, почему так важно иметь в своем распоряжении такие инструменты. Кроме того, комплексные компании расширили общий рынок, охватив страны, которые ранее не имели доступа к такой технологии.

По мере того, как концепция наступательной кибербезопасности становилась общеизвестной, правительства разных стран проявляли интерес к таким продуктам и услугам, особенно те, которые не могли развивать такие возможности собственными силами. В результате повсеместно стали появляться компании, предоставляющие комплексные услуги.

"Десять лет назад было всего несколько компаний. Сейчас их уже 20 или более, которые активно продвигают свои услуги и торгуют по всему миру." Эрик Кинд, директор AWO, лондонской юридической фирмы и консалтингового агентства по защите прав на данные.

Появился широкий спектр новых компаний, предлагающих различные способы заражения целевого устройства — от серверов, ПК, Интернета вещей, мобильных устройств, или заражение только браузеров и т.д.

По мере того, как в эту отрасль вступало все больше компаний, в нее также поступали большие суммы денег (в виде инвестиций, кредитов и т.д.). С точки зрения компаний, основой любой комплексной компании являются уязвимости, которые позволяют вести бизнес, и, как следствие, исследователи.

Конкуренция за исследователей (дефицитный товар) обострилась, и компании пытались нанимать исследователей для внутренних исследовательских команды, покупать уязвимости и эксплойты на рынке и работать с цепочкой поставок (т.е. с исследователями и исследовательскими группами) в формате платных исследований и разработок или эксклюзивности.

Привлечение исследователей во внутреннюю исследовательскую команду: Компании предлагали высокие вознаграждения в виде базового оклада, бонусов, включая аренду офиса поближе к их дому, отпуск, концерты и т.д. Поэтому исследователи хотели просто на них работать.

Компании нанимали исследователей с широким диапазоном навыков (уровень 1–4) и предполагали, что чем больше исследователей они наймут, тем выше вероятность того, что они добьются успеха.

Цепочка поставок: Взаимодействие с отраслью, особенно покупка уязвимостей на рынке, стало проще, поскольку компании, исследователи и брокеры начали работать открыто (в отличие от этапа "перехода от сообщества к индустрии").

Комплексные компании выделили "неограниченный" бюджет на покупку уязвимостей на рынке и для найма исследователей. Еще одной особенностью этапа бума было то, что компаниям было относительно легко выполнять соглашения об уровне обслуживания (SLA).

Соглашение об уровне обслуживания (SLA)​

Соглашение об уровне обслуживания устанавливает условия предоставления услуг в течение периода обслуживания, включая, среди прочего, качество обслуживания, доступность сервиса, время ответа на запросы в службу поддержки и другие соответствующие факторы.

Ссылки¹³

В наступательной кибериндустрии соглашение об уровне обслуживания означает, что компания имеет возможность заразить и установить агент на целевое устройство.

В случае, если одна из возможностей (т.е. цепочка уязвимостей, позволяющая заразить цель и установить агент) отключена (т.е. уязвимость была исправлена, производитель изменил код, что привело к поломке эксплойта, производитель выпустил новую версию, тогда компании необходимо внести коррективы в эксплойт к новой версии) — в соглашении об уровне обслуживания указано (SLA), что у компании есть определенное допустимое количество времени для восстановления работоспособности эксплойта (обычно несколько месяцев).

Ссылки¹³

Насколько мне известно, комплексные компании имели высокую прибыль, поскольку практически не существовало каких-либо правил в отношении экспорта наступательной кибербезопасности, а в некоторых случаях комплексные компании использовались в качестве стратегического инструмента на геополитической арене.

Традиционные субподрядчики (т.е. производители оружия) предлагали наступательные средства кибербезопасности еще в середине 2000-х годов с разной степенью успеха и были сосредоточены только на 1-2 наиболее важных клиентах, которым они продавали эту технологию эксклюзивно.

В какой-то момент традиционные субподрядчики поняли, что им тоже необходимо войти в эту отрасль (т.е. конкурировать с комплексными компаниями) и предложить аналогичные возможности в коммерческом масштабе — по двум основным причинам:

• Кибер наступление, это следующая важная вещь которую нужно освоить, имеется спрос со стороны клиента.
• Субподрядчики не были частью растущей отрасли и позволили конкурентам (то есть комплексным компаниям) доминировать на рынке (который связан с правительством и разведкой - основным бизнесом для некоторых из этих субподрядчиков).

Ссылки⁶

По мере того как все больше компаний входило в индустрию наступательной кибербезопасности, стали ходить слухи о неиспользованном рынке с высокой циркулирующей прибылью, это привлекало еще больше людей, которые пытались принять участие, практически не имея в своем распоряжении ресурсов, - "компании-однодневки (одна цепочка)".

"Компании-однодневки" - это компании, у которых была цепочка, скажем, для Android, и которые создали компанию на основе этой цепочки. Есть несколько характеристик для этих компаний:

• Это была очень маленькая команда, внутренней исследовательской команды не было или она была очень маленькой.
• Основателями могли быть несколько исследователей, брокер или кто-то, кто хотел выйти на рынок, чтобы управлять подобными цепочками поставок.
• Предлагается минимальный агент для установки, ограниченные цели и отсутствие долгосрочной поддержки.

"Компании-однодневки" предлагали свой продукт дешевле, чем более солидные компаний.

Цикл продаж у комплексных компаний​

Цикл продаж у комплексных компаний является длительным и может занять несколько лет с момента первой встречи. Этот процесс включал, среди прочего, совещания, утверждение правил, демонстрации, POC, переговоры, подготовка к использованию ПО, вопросы и ответы, контракты и запрос на утверждение (RFA).

Первым по-настоящему важным этапом в процессе продажи для комплексных компаний является заключение контракта и получение RFA. Как только клиент (правительство) подписывает контракт, ему необходимо выполнить его, внеся первоначальный взнос в размере 20-40% от общей стоимости. Остальные платежи выплачиваются в определенные сроки в течение срока действия контракта (включая RFA).

RFA обычно предполагают, что клиент просматривает и проверяет продукт или услугу, поставляемые поставщиком, чтобы убедиться, что они соответствуют согласованным спецификациям и требованиям. Как только клиент удовлетворен и одобряет продукт, он дает добро на внедрение или подтверждает свое согласие, что позволяет осуществлять дополнительные платежи комплексной компании.

В большинстве случаев сделка осуществляется с помощью местного агента (обычно это бывший генеральный директор), а его вознаграждение рассчитывается на основе процентов от сделки.

Нередки случаи, когда контракт подписывается с одним кругом лиц (отдел закупок), а RFA обрабатывается другой группой (техническими специалистами) внутри организации, что приводит к задержкам и длительным периодам времени для "завершения" сделки.

На этапе бума, я ежедневно слышал о новых компаниях. Большинство из них были сосредоточены на мобильных устройствах.

Как упоминалось ранее, уязвимости — это ядро любой комплексной компании. У каждой компании разное состояние цепочек, и у некоторых компаний был разрыв в RCE, у некоторых - в LPE и т.д.

Примечание переводчика:
Другими словами у них были проблемы с RCE либо LPE. Одна часть цепочки работала лучше, чем другая. Либо у них были проблемы с изготовлением, какой-либо части цепочки.

Эта разница между состояниями цепочек у компаний заставила их покупать недостающие звенья на рынке. Тем самым они обеспечили ликвидность рынка. Спрос был высоким, и если вы нашли уязвимость, продать ее было относительно легко.

Брокеры​

Посредникам при заключении сделок нравилось быть посредниками, изолируя как клиента, так и исследователей. По мере роста спроса на уязвимости, распространялись истории о том, за сколько можно продать каждую уязвимость. Это привлекло многих людей, которые увидели возможность стать брокерами на этом новом развивающемся рынке.

Брокерам не нужно разбираться в технических аспектах уязвимостей, им не нужно брать на себя ответственность, и им не нужны средства для открытия бизнеса. В результате на рынке начала работать новая волна брокеров (аналогично количеству компаний, предоставляющих комплексные услуги).

Новые брокеры пришли из самых разных слоев общества:

• Бывшие исследователи\Действующие исследователи
• Люди, имеющие связи с потенциальными покупателями.
• Люди, не имевшие никакого опыта работы в индустрии наступательной кибербезопасности или вообще не имевшие опыта работы в киберпространстве.

По мере того как на рынке появлялось все больше брокеров, конкуренция за исследователей становилась все острее, и брокеры делали все возможное, чтобы исследователи работали с ними, а не с конкурентами. Начиная с приглашения их на обеды, вечеринки и всего остального.

Брокеры пытались "обезопасить себя" при работе с исследователями (то есть убедиться, что исследователи первыми обращаются к ним, когда обнаруживают новую уязвимость), поскольку спрос на них на этапе бума был высоким (ОС, виртуализация, электронная почта, хостинг, мобильные устройства, Интернет вещи, веб—сайты и т.д.).

Одним из преимуществ, которые имели брокеры, был доступ к уязвимостям и эксплойтам с рынка. Некоторые из них сами открывали комплексные компании, т.е. "одноразовые компании", как упоминалось ранее.

Предложение​

Исследователи были в центре внимания. Исследователи могли либо наниматься на работу в комплексные компании, либо оставаться независимыми и брать на себя риск (и вознаграждение) за поиск уязвимостей самостоятельно.

Исследователей привлекала работа с брокерами, других же исследователей привлекала работа с комплексными компаниями.

Отдельные исследователи работали в одиночку, они могли находить уязвимости и продавать свои эксплойты с относительной легкостью. И лишь небольшой процент исследователей объединялся в группы. Это означает, что было относительно легко находить уязвимости и продавать эксплойты за большие суммы денег.

Исследователи предлагали уязвимости в широком спектре продуктов и услуг, таких как операционные системы, виртуализация, электронная почта, хостинг, мобильные устройства, интернет вещи, веб—сайты и т.д. - и на такие уязвимости и эксплойты был спрос.

Исследователи низкого уровня (в ретроспективе), нанятые комплексными компаниями на основе "уличного авторитета", и исследователи, имеющие опыт в исследованиях уязвимостей, но не относящиеся к сфере деятельности компании, также были наняты из-за уверенности в том, что они могут быстро адаптироваться к потребностям компании.

Правительства​

Государства взаимодействовали с рынком, в основном через подставные компании, комплексные компании (поскольку они были регулирующими органами) и брокеров. Известные страны с большими деньгами также вышли на рынок.

Ссылки⁶

Основная деятельность государств в отрасли была сосредоточена на трех основных направлениях

• Приобретение комплексных решений: имея дело с комплексными компаниями, правительства начали понимать, что на первый взгляд у компаний очень похожие предложения. В результате цена стала основным стимулом для государств двигаться вперед с одной компанией, а не с другой.
• Инвестируйте значительные средства в обучение: пытайтесь снизить зависимость от комплексных компаний и развивайте собственные возможности.
• Приобретение широкого спектра уязвимостей и эксплойтов: веб, виртуализация, электронная почта, хостинг, мобильные устройства и т.д.

Спад (2020–2021 год.) — "Только во время отлива узнаешь, кто купался голым".​

Этот этап характеризуется давлением на отрасль, в целом со стороны производителей, регулирования, и освещения в СМИ.

Нормативно-правовые акты​

По мере того, как государства все больше осознавали весь потенциал наступательной кибербезопасности, а также возможность злоупотреблений, они начали ужесточать правила экспорта таких продуктов и знаний (т.е. уязвимостей и эксплойтов).

Новые правила ограничивают ряд компаний в маркетинге и продаже своей продукции в определенных регионах или странах без одобрения регулирующего органа. Кроме того, государства впервые сформулировали политику и приняли законы, касающиеся уязвимостей и экспорта эксплойтов.

Государства идентифицировали как брокеров, так и комплексные компании, как и риски, и впоследствии включили некоторых из них в свой санкционный список.

Кроме того, производители не остались в стороне и подали иски против комплексных компаний, которые нарушили их правила и условия, заявив, что некоторым комплексным компаниям пришлось использовать инфраструктуру компании (то есть производителя) для выполнения эксплойта на целевом устройстве.

Ссылки⁷

Ссылки⁷

Ссылки⁷

Ссылки⁷

Ссылки⁷

Ссылки¹¹

Ссылки¹¹

Освещение в СМИ (новостях)​

Журналисты не остались равнодушными к тому, что ряд стран по всему миру начали злоупотреблять возможностями кибербезопасности. В результате журналисты разоблачили ряд компаний, их клиентов, операции и многое другое.

Мы увидим последствия позже в этой статье.

Ссылки⁸

Ссылки⁹

Ссылки¹⁰

Комплексные компании​

Поскольку комплексные компании столкнулись с ужесточением регулирования, журналисты разоблачали компании и сообщали о злоупотреблениях/неправомерном использовании технологий, судебных процессах, санкциях. Комплексным компаниям пришлось столкнуться с еще несколькими проблемами, поскольку производители повышали безопасность своих продуктов, они так же столкнулись со следующими трудностями:

• Торговая война
• Соглашения об уровне обслуживания (SLA)
• Внутренняя исследовательская команда
• Уязвимости, которые могут быть обнаружены в дикой природе
• Источник дохода и нормативные акты
• Экономические последствия COVID 19
• Повышение цен на уязвимости

Эти проблемы привели к финансовым трудностям, которые в конечном итоге привели к банкротству компаний или отказу от наступательной кибербезопасности.

Торговая война​

Я рассказывал вам, что на этапе бума в отрасль пришло довольно много новых компаний, которые изо всех сил старались отличаться друг от друга, но в конечном итоге они предлагали одну и ту же конечную цель. Одним из основных инструментов, которые были в распоряжении этих компаний, чтобы убедить клиента сотрудничать с ними, была цена.

Вместо того чтобы повышать цены на свои услуги, чтобы обеспечить их практическую осуществимость т.е. разработку эксплойтов (позже я расскажу, почему их затраты возросли, а норма прибыли снизилась), комплексные компании сохраняли цены или даже снижали их с течением времени, просто чтобы привлечь клиента. Одной из причин, по которой компании могли позволить себе такую стратегию, были низкие процентные ставки и понимание того, что если они смогут привлечь клиентов, то со временем (в то время как конкуренты обанкротятся или сменят нишу) они смогут повысить цены.

Соглашение об уровне обслуживания (SLA)​

Чтобы выполнить соглашение об уровне обслуживания, комплексные компании должны иметь возможность заразить цель в последней версии предлагаемого вектора, например цепочка для Android (Chrome RCE, Chrome SBX и Android LPE), при чем цепочка должна работать на последней версии.


Эти цепочки уязвимостей должны:

• Работать и работать стабильно (100%).
• Должены работать в неблагоприятных условиях
• Никаких заметных побочных эффектов
• Выполнение должно продолжаться, как будто ничего не произошло

Помните это?

На этапе спада технологий "двойного назначения" и уровень средств защит, реализованных производителями, достигли зрелости, что привело к нарушению способности комплексных компаний соблюдать SLA.

Компании, изо всех сил пытающиеся соблюдать свои соглашения об уровне обслуживания, столкнулись с тремя основными проблемами:

• Сбор доходов: Комплексные компании столкнулись с трудностями при сборе платежей от клиентов, поскольку их сервисы не позволяли клиентам заражать самые актуальные цели.
• Потеря клиентов из-за конкурентов: правительства не хотели откладывать операции, потому что у их нынешнего поставщика не было рабочей цепочки, в то время как у их конкурентов были такие возможности.
• Давление на внутреннюю исследовательскую группу в поисках решений: будет рассмотрено позже.

Внутренняя исследовательская команда​

Большинство уязвимостей и эксплойтов, которые были проданы (до сегодняшнего дня), находятся в форме доказательства концепции (PoC). Следовательно, внутренним исследовательским командам пришлось потратить большую часть своего времени на доработку PoC до уровня "готовности к производству", что взвалило на них огромную нагрузку по техническому обслуживанию (т.е. адаптации к различным устройствам, версиям, сценариям и т.д.) - вместо того, чтобы сосредоточиться на исследовании уязвимостей.

Когда SLA не выполняется, руководство комплексных компаний оказывает большое давление на внутреннюю команду (человека/команду), ответственного за покупку уязвимостей на рынке. Короче говоря, если внутренняя команда не может предложить решение — компании не платят.

Из разговоров, которые я провел с друзьями и коллегами, работающими исследователями в таких компаниях, я понял, что довольно часто исследователи затаивают обиду на руководство, поскольку пытаются предупредить, что исследования требуют времени, и если они сосредоточены на работе по техническому обслуживанию, то всякий раз, когда компании понадобятся уязвимости, потребуется время, чтобы начать новый исследовательский проект или исследователям потребуется время, чтобы вникнуть в суть исследовательского проекта, которым команда уже занимается.

Такое давление приводит к двум интересным последствиям:

Результаты VS репутация технических навыков (также известный как "уличный авторитет"): Комплексные компании обычно нанимали широкий круг исследователей (т.е. исследователей уровня 3-4), полагая, что чем больше будет исследователей, тем лучше будет результат (т.е. поиск новых уязвимостей).

На самом деле компании обнаружили, что лишь небольшой процент их исследовательской группы способен находить новые уязвимости и эксплуатировать их. "Уличный авторитет" больше не был важным фактором, и исследователи, которые испытывали трудности с техническим обслуживанием или не могли найти новые уязвимости, были уволены.

Исследователи покидают комплексные компании: способные исследователи, которые чувствовали себя обремененными бременем компании на своих плечах, в сочетании с дополнительным давлением со стороны руководства, решили уйти из комплексных компаний.

В течение этого периода для них была открыта вся отрасль, а конкуренты, брокеры и другие заинтересованные лица соблазняли их, предлагая возможности для создания собственных компаний и использования их ценного опыта, сосредоточив внимание на поиске уязвимостей и их продаже.

Еще один интересный момент, о котором стоит упомянуть: комплексные компании перестали нанимать новое поколение исследователей — ресурсы были выделены на привлечение старших исследователей, способных находить уязвимости и выполнять условия SLA.

Уязвимости обнаруженные в дикой природе​

На этапе спада было довольно много уязвимостей, обнаруженных в дикой природе. Подобные события имели два основных последствия:

• Довольно часто компании, занимающиеся комплексными разработками, использовали (не зная об этом) одни и те же уязвимости (то ли потому, что они купили одну и ту же уязвимость, то ли это было ее дублирование — одну и ту же уязвимость нашли две разные команды). Поэтому, если одну компанию поймают, это повлияет и на другие компании.
• Поставщики проводили аудит поверхности атаки и исправляли варианты, которые использовали другие комплексные компании, или полностью аннулировали поверхность атаки.

Источник дохода и нормативные акты​

Новые правила ограничивают комплексные компаний в маркетинге и продаже своей продукции в определенных регионах или странах без одобрения регулирующего органа.

По моему опыту, существует несколько типов комплексных компаний:

• Компании, которые продают товары для "пяти глаз" (Австралия, Канада, Новая Зеландия, Великобритания и США).
• Компании, которые продают товары для "пяти глаз" и Шенгенской зоны (23 страны ЕС).
• Компании, которые продают товары “западным странам”.
• Компании, которые продают в страны, не входящие в санкционный список США.

Есть лишь несколько компаний, которые продают только "пятиглазым", большинство комплексных компаний относятся к двум последним категориям из списка выше.

Это означает, что основной источник доходов комплексных компаний приходится на страны, которые не входят в санкционный список США (то есть правительства незападных стран). Правительства, которые не имеют возможности развивать такие возможности собственными силами.

Западные правительства обладают внутренними исследовательскими возможностями, а также обеспечивают комплексные решения. Различие между незападными и западными правительствами заключается в восприятии того, что западные правительства считаются "хорошими парнями" и осознают, что многие компании будут охотно искать их в качестве клиентов. Следовательно, западные правительства используют это преимущество, чтобы свести к минимуму условия, включая цену. И наоборот, комплексные компании могут заявить о своем сотрудничестве с "хорошими парнями".

Дело в том, что из-за регулирования компании потеряли потоки доходов из незападных стран, которые были и остаются их основным источником дохода.

Экономические последствия COVID 19​

В начале 2020 года COVID-19 стал международной проблемой. Государства выделяли бюджеты и ресурсы на борьбу со вспышкой, которая быстро распространилась по всему миру.

Из-за предстоящих неопределенных времен, государства заморозили закупки средств наступательной кибербезопасности и в некоторых случаях приостановили платежи компаниям, предоставляющим комплексные услуги.

В свою очередь, комплексные компании также не были уверены в сложившейся ситуации, придерживали бюджеты и не покупали уязвимости на рынке, если только им не приходилось соблюдать соглашения об уровне обслуживания (SLA) для существующих клиентов.

Повышение цен на уязвимости​

Реальная стоимость цепочек резко возросла по двум основным причинам:

• Увеличилось количество уязвимостей, необходимых для создания рабочей цепочки (т.е. от RCE и LPE до комбинации нескольких уязвимостей и техник).
• Находить уязвимости и эксплуатировать их становилось все сложнее и сложнее.

Еще один момент, который следует учитывать, заключался в том, что из-за правил и законов об экспортном контроле уязвимостей, комплексным компаниям приходилось открывать предприятия во многих странах для проведения сделок с исследователями, что приводило к дополнительным расходам для комплексных компаний.

Банкротство и поворотный момент​

Комплексные компании столкнулись с многочисленными проблемами, включая рост затрат, снижение доходов, ужесточение регулирования и многое другое. К сожалению, некоторые из них изо всех сил пытались справиться с этими трудностями и не смогли эффективно справиться с финансовыми трудностями.

Что привело к банкротству и уходу компаний из индустрии наступательной кибербезопасности:

Ссылки¹⁴

Ссылки¹⁵

Ссылки¹⁶

Ссылки¹⁷
На комплексном рынке впервые произошел спад. Это окажет серьезное влияние на рынок, и мы рассмотрим это дальше.

Цепочка поставок​

Цепочке поставок пришлось столкнуться с общим давлением (например, регулированием и освещением в СМИ), а также с уникальными проблемами.

Регулирование​

Ужесточение правил экспорта уязвимостей/эксплойтов заставило некоторых исследователей уйти из отрасли, поскольку они не хотят или не могут справиться с процессом получения лицензии на экспортный контроль. В некоторых случаях экспорт вообще становился незаконным. Естественно, исследователей, способных найти уязвимости в востребованных целях, не так много, потеря даже некоторых их них, повлияло на ситуацию и предложения.

Более высокий порог входа в область исследования уязвимостей​

Поскольку производители усиливают свои меры безопасности, внедряя дополнительные методы защиты и сужая зону потенциальной для атаки, перед начинающими исследователями теперь стоит более высокая планка для входа на рынок исследований уязвимостей. Например:

• Стоимость устройств
• IDA (Интерактивный дизассемблер (IDA), популярный дизассемблер и отладчик, используемый для реверс инжиниринга бинарных исполняемых файлов.)
• Эмуляция (например, Corellium)
• Ограниченный объем исследований: без определенных возможностей (т. е. уязвимостей) исследователи не могут осуществлять поиск следующего звена для цепочки.

Спрос​

Основной движущей силой, для приобретения уязвимостей на рынке, были комплексные компании. Теперь, когда количество конкурирующих компаний сократилось, спрос на уязвимости в целом снизился.

Кроме того, в некоторых случаях клиенты не будут покупать отдельные элементы цепочки, если у них нет остальных элементов или если они не уверены, что они смогут купить/найти их за короткий промежуток времени. Современные цепочки сложны, и в них много элементов, которые могут сломаться. В результате клиенты не будут рисковать капиталом, если они не уверены, что смогут быстро использовать эти фрагменты.

То же самое касается и времени выхода на рынок: если исследователь находит уязвимость, которую искали клиенты и которая удовлетворяет их потребности, то исследователю, обнаружившему аналогичную уязвимость, будет трудно продать свою новую находку, поскольку компании не накапливают уязвимости.

На этапе бума исследователи могли продавать широкий спектр уязвимостей и эксплойтов (IoT, Web и т.д.). В новых условиях, когда компании осторожно используют бюджет, продукты, которые пользуются спросом, были отнесены к основным векторам (Android, iOS), а остальная часть спроса — это индивидуальные запросы.

Освещение в СМИ​

В то время журналисты разоблачали комплексные компании, и их клиентов, а злоупотребление OpSec операциями бил по имидж индустрии наступательной кибербезопасности, стало очевидно, что это походило на терроризм. Этот плохой пиар заставил исследователей уйти из отрасли, и некоторые из них переключились на другие отрасли.

Еще одна интересная тенденция, которую я наблюдал, заключается в том, что исследователи пытались ограничить использование своих уязвимостей и эксплойтов компаниями. Это меняет соотношение сил между исследователями и компаниями, которые покупают их продукцию.

Результаты VS репутация технических навыков​

Поскольку спрос на уязвимости для мобильных устройств был высоким, а все остальное находилось в упадке, некоторые исследователи безуспешно пытались переключиться на мобильные технологии и в итоге ушли из отрасли.

Более того, по мере того, как производители совершенствовали свои технологии, некоторые исследователи, которые ранее были опытны в поиске уязвимостей, оказались не в состоянии идти в ногу с развивающейся ситуацией. В результате они покинули отрасль.

Помните это?

Отдельные исследователи больше не могут достичь того же уровня результатов, что и в прошлом. Это обстоятельство побудило их либо сформировать совместные группы с другими исследователями, либо вообще уйти из отрасли.

Брокеры​

Большинство брокеров утратили преимущество быть посредниками, поскольку комплексные компании и правительства начали открыто работать в отрасли. Например, комплексные компании и правительства участвовали в конференциях, начали напрямую работать с исследователями или стало относительно легко связаться с ними для обсуждения возможностей сотрудничества.

На этапе бума я упоминал, что эта отрасль привлекла многих людей, которые практически не имели отношения к наступательной кибербезопасности, которые пытались найти способ вписаться в новую развивающуюся отрасль — стать брокером было относительно легко.

Со временем некоторые брокеры поддались жадности и чрезмерно повысили цены на уязвимости и эксплойты, которые им удалось сохранить. Некоторые и другие брокеры вводили исследователей в заблуждение, заявив, что продали товар только один раз, хотя на самом деле они продавали его несколько раз, не сообщая об этом исследователям. В результате брокеры не смогли выплатить исследователям надлежащую компенсацию.

Более того, клиенты по разным причинам высказывали возражения против уязвимостей или эксплойтов, в результате чего брокеры не знали, как действовать, и в большинстве случаев брокер соглашался с отказом. В результате исследователи понесли потери в доходах. Кроме того, брокеры убедили исследователей отправить товар до того, как он попадет к клиенту, под предлогом проведения демонстраций (POC).

С увеличением числа исследователей, напрямую взаимодействующих с клиентами, брокеры столкнулись с ограниченным набором уязвимостей и эксплойтов, которые распространялись среди широкого круга брокеров. Этот повторяющийся цикл привел к тому, что клиенты получали идентичные спецификации (т.е. информацию об уязвимости, выставленной на продажу) из нескольких источников. В результате клиенты стали сомневаться в приобретении этих уязвимостей и эксплойтов, считая, что они имеют короткий срок службы, хотя на самом деле никто не приобрел эти уязвимости или эксплойты.

Пример "спецификации"

Правительства​

Как и в случае с комплексными компаниями, государства также пострадали, когда уязвимости были обнаружены в дикой природе, они разделяли ту же точку зрения на спецификации, которые они получали из различных источников, и многое другое.

Правительства столкнулись со следующими уникальными проблемами на этапе спада :

• Осознание того, что вы можете обучать своих сотрудников столько, сколько захотите, но это не превратит их в исследователей уязвимостей, способных находить уязвимости в основных векторах.
• COVID-19 (как упоминалось в разделе "комплексные компании").
• Узнали, как лучше использовать возможности комплексных компаний и требовать более выгодных условий (SLA).

Корректировка (2022+) — появление "Информационных центров" и изменение отраслевой цепочки поставок.​

Адаптация к новым условиям в первую очередь касалась сферы предложения, уделяя особое внимание взаимодействию с государствами и конечными клиентами.

Несмотря на сокращение количества комплексных компаний, они продолжают конкурировать друг с другом на рынке и с трудом соблюдают SLA.

Цепочка поставок​

Цепочке поставок пришлось столкнуться с множеством проблем, и, как я уже говорил на этапе спада, основными из них были:

• Сокращается число потенциальных клиентов (т.е. комплексных компаний, которые обанкротились).
• Некоторые брокеры воспользовались услугами исследователей.
• Более высокий порог входа в область исследования уязвимостей
• Исследователи переключили свое внимание с поиска уязвимостей на другие области из-за таких факторов, как регулирование, широкое освещение в СМИ и неизбежные трудности с поиском уязвимостей.

Значительные достижения в области технологий и безопасности, достигнутые производителями, оказали существенное влияние на предложение. Поиск уязвимостей становился все более сложной задачей, что побудило нескольких исследователей создать совместные группы для повышения своих шансов на успех. Исходя из моего опыта, исследователи, которые ранее обнаруживали уязвимости раз в три месяца, теперь требовалась команда и шесть месяцев для достижения того же результата.

Это привело к двум главным вещам:

• Контроль над сделками: В связи с возрастающей сложностью поиска уязвимостей в основных векторах, таких как браузеры и мобильные операционные системы, в сочетании с сокращением срока жизни уязвимостей (вызванных их обнаружением в дикой природе или изменениями кода производителем), исследователи стремились усилить контроль над своими сделками с конечными клиентами, что вынуждало брокеров перейти от традиционной роли посредников к роли агентов.
• Роль агента заключается в том, чтобы представлять сторону продавца (т.е. исследователей), вести переговоры о сделке, и в конечном итоге контракт будет подписан между исследователями и конечным клиентом. В качестве компенсации за свои услуги агенты получают комиссию, которая может составлять как фиксированную сумму, так и процент от стоимости сделки.
• Платные исследования и разработки: недавно созданная исследовательская группа обнаружила, что ей потребовалась самоспонсорская поддержка в течение длительного периода времени, прежде чем она обнаружила уязвимость, которую можно было продать. В отрасли, которая и без того уже характеризуется высокими рисками и выгодой, исследовательские группы стремились снизить свои риски, реализуя платные проекты по типу "исследование и разработка (R&D)". В соответствии с этим соглашением потенциальные клиенты будут предлагать базовую зарплату вместе с бонусом за успех.
• С точки зрения клиента, они принимают на себя относительно небольшой риск для капитала на протяжении всего срока реализации проекта. В свою очередь, если исследовательская группа успешно выявляет и использует уязвимость, клиент получает эксклюзивный доступ к ней. Это взаимовыгодное соглашение позволяет клиенту минимизировать финансовые риски и в то же время пожинать плоды результатов работы команды.

По моему опыту, лишь небольшой процент исследователей сегодня по-прежнему являются независимыми исследователями. Большинство исследователей работают в исследовательских группах или в составе "Информационных центров" (о которых я расскажу чуть позже).

Какова численность таких исследовательских групп?

Небольшие исследовательские группы обычно насчитывают до 8 исследователей с доходом в несколько миллионов долларов США в год.

Скриншот выписки по счету за 2022 год от одной из исследовательских групп (публичная информация)

Появление "Информационных центров"​

Информационные центры - это новый тип организаций, специализирующихся только на исследованиях уязвимостей. Их уникальные характеристики позволяют им быстро расширяться, в то время как комплексные компании находятся в упадке.

Итак, что же такое "Информационные центры"?

• Информационные центры - это компании с сильным брендом в отрасли.
• У них есть собственная внутренняя исследовательская команда, в которую они нанимают высококлассных или способных исследователей для работы исключительно на них и исключительно над исследованиями уязвимостей.
• Они обеспечивают эксклюзивную цепочку поставок исследовательской работы и уязвимостей или эксплойтов, инвестируя в платные проекты по типу "исследований и разработок (R&D)".
• Информационные центры покупают уязвимости исключительно на рынке и улучшают их, чтобы они были "готовы к производству".
• Они делятся инфраструктурой, уязвимостями, техниками эксплуатации и многим другим с исследователями внутри компании, которые работают исключительно с компанией (т.е. независимыми исследователями или исследовательскими группами).
• Информационные центры выплачивают вознаграждение исследователям за их цепочку поставок, в основном на основе бонусов за успех, при этом значительно выше рыночных цен и относительно низкой базовой зарплаты (по сравнению с комплексными компаниями).
• Как и в случае с комплексными компаниями, информационные центры не обучают или не могут подготовить новое поколение исследователей.
• Основными клиентами таких организаций являются государственные организации (в некоторых случаях информационные центры также продают услуги комплексным компаниям). Государственные клиенты обычно выплачивают информационным центрам компенсацию в виде платежей на основе сделок и оплаченных научно-исследовательских проектов (R&D). Ведение такого бизнеса требует больших капиталоемких затрат, поэтому информационным центрам приходится работать с несколькими государствами.
• В отличие от комплексных компаний, информационным центрам не нужно поддерживать SLA, и они лишь предоставляют своим клиентам уязвимости. В некоторых случаях информационные центры продают одни и те же уязвимости нескольким клиентам, чтобы покрыть расходы.
• Учитывая прочные отношения между информационными центрами и государственными клиентами, информационные центры отдают приоритет удовлетворению конкретных потребностей этих клиентов, которые часто связаны с мобильными цепочками.

Информационные центры вызвали сбои в цепочке поставок, работая в рамках сложной сети сотрудничества и заменяя часть ликвидности на рынке. Следовательно, компании, осуществляющие комплексные операции, сталкиваются с дополнительными проблемами, поскольку информационные центры в основном обслуживают правительства, становясь основными клиентами этих компаний. Такая динамика значительно усложняет работу комплексных компаний.

Отсюда:

Сюда:

Интересным аспектом информационных центров является то, что они отдают приоритет возможностям (таким как уязвимости или цепочки эксплойтов), а не максимизации прибыли. Они признают, что продажа неопытным клиентам, которые неправильно используют эти возможности, может иметь пагубные последствия не только для конкретного клиента, но и для других их клиентов. Более того, в определенных ситуациях становится все сложнее найти замену раскрытой цепочки.

Поэтому информационные центры уделяют особое внимание ответственному использованию (opsec) и сохранению своих возможностей для обеспечения долгосрочной жизнеспособности (эксплойтов) и удовлетворенности своих клиентов.

Каковы размеры информационных центров?

В информационных центрах работает довольно много (я бы сказал, более 15) исследователей. Их доход обычно находится в пределах десятков миллионов долларов США.

Скриншот отчета о доходах за 2022 год, одного из "информационных цетров"(публичная информация)

Призыв к действию​

После определения основополагающих элементов и изучения событий и тенденций в отрасли, становится очевидным, что мы движемся по непростому пути. Уязвимостей становится все меньше, а способность поддерживать цепочку с течением времени становится все более сложной задачей.

Для обеспечения того, чтобы государства могли поддерживать свою деятельность и получать доступ к уязвимостям на рынке, крайне важно, чтобы они принимали упреждающие меры. Это предполагает вмешательство правительства с целью увеличения финансирования, выделяемого на платные научно-исследовательские проекты (R&D). Кроме того, жизненно важно налаживать более тесные отношения с исследовательскими группами и информационными центрами.

Jakub Ulč & Miroslav Mandel¹⁸
Сотрудничество между государствами и информационными центрами должно отличаться от того, как в настоящее время работает отрасль:

Платные научно-исследовательские проекты (R&D): на данный момент наиболее распространенные отношения между государствами и информационными центрами основаны на сделках, и лишь небольшой процент на платных научно-исследовательских проектах (R&D).

Это означает, что информационные центры подвергаются более высокому риску, если они не могут найти какой-либо товар, который можно продать (например, уязвимости, примитивы, эксплойты и т.д.), им все равно придется платить исследователям, которые с ними работают, и они могут обанкротиться.

Чтобы продолжать нанимать лучших в своем классе исследователей и повышать вероятность обнаружения уязвимостей, информационные центры должны предлагать более высокие вознаграждения, как в виде базовой зарплаты, так и в виде бонусов за успех.

Кроме того, я упоминал ранее, что в современных условиях поиск и эксплуатация уязвимостей занимает больше времени и требует коллективных усилий (т.е. работа в группе).

Отказ от соглашения об уровне обслуживания(SLA): в своем выступлении на BlackHat USA¹ в 2019 году я упомянул, что когда клиент покупает уязвимость или эксплойт на рынке, на этот продукт распространяется гарантийный период. Если уязвимость будет исправлена в течение гарантийного срока, исследователю не будет выплачена полная сумма.

Это означает, что информационные центры подвергаются более высокому риску, поскольку они могут потерять значительную часть своих доходов, если уязвимость или эксплойт будут исправлены, тогда им прийдется остановить будущие исследовательские проекты, поскольку у них не будет достаточно средств для поддержки нового проекта.

В результате правительству необходимо поддерживать информационные центры постоянным финансированием, которые не зависят на 100% от конечного результата, что позволяет информационным центрам расширяться (т.е. нанимать новых исследователей) и поддерживать долгосрочные исследовательские проекты.

Крайне важно подчеркнуть, что в настоящее время мы находимся на этапе, когда важно время. Если государство не увеличивает финансирование своих исследований и разработок, не признают растущую стоимость уязвимостей и не будут активно взаимодействовать с рынком (т.е. открыто для общения), исследователи могут переключить свое внимание на более финансово выгодные и менее сложные области.

Заключение​

В этой статье я рассмотрел динамику отрасли с разных точек зрения, и то, как каждая организация влияет на другую. Для меня было непросто изложить основные моменты и объяснить эффект домино, тенденции и события, произошедшие за последние несколько лет, которые привели нас туда, где мы находимся сегодня.

Я хотел бы воспользоваться этой возможностью, чтобы подытожить основные положения этой статьи и то, как она потенциально может повлиять на будущее индустрии наступательной кибербезопасности.

• Количество комплексных компаний, работающих на рынке, сокращается.
• Число исследователей, способных находить и эксплуатировать уязвимости в основных направлениях, ограничено и сокращается.
• Благодаря улучшениям в области безопасности, предложенными производителями, исследователи начали объединяться, чтобы достичь того же уровня результатов, что и в прошлом.
• Чрезвычайно сложно создавать (т.е. находить и эксплуатировать уязвимости и объединять их воедино) и поддерживать цепочки по основным векторам.
• Новые организации, называемые информационными центрами, заполнили пустоту, образовавшуюся после банкротства комплексных компаний, и сосредоточились только на исследованиях уязвимостей. Кроме того, информационные центры вложили значительные средства в создание эксклюзивной сети исследователей и платных научно-исследовательских проектов.
• Информационные центры отдают предпочтение возможностям (таким как уязвимости или цепочки эксплойтов), а не максимизации прибыли, и предпочитают иметь дело с клиентами, у которых есть возможности проводить надежные OpSec операции.
• Брокерам пришлось перейти от посредников к агентам, поскольку исследователи требуют контроля над уязвимостями и сделками с конечным клиентом.

На мой взгляд, главной потенциальной жертвой из перечисленных мною пунктов в будущем станут правительства. Хотя информационные центры были важными стабилизаторами отрасли, они не могут полностью заменить деньги и ресурсы, которые необходимо инвестировать в отрасль для поддержания объемов производства, необходимых для обеспечения будущих оперативных потребностей государств.

Ссылки​

¹youtube.com/watch?v=JkQxS1l9IPI
²https://support.apple.com/guide/security/operating-system-integrity-sec8b776536b/web
³https://blog.google/technology/safe...k-of-vulnerabilities-and-protect-researchers/
⁴https://medium.com/@maor_s/update-about-the-0-day-industry-8d8bb49e8dbb
⁵https://www.wassenaar.org/app/uploads/2019/12/Stand-alone-Munitions-List-2019.pdf
⁵https://www.wassenaar.org/app/uploa...-and-Technologies-and-Munitions-List-Corr.pdf
⁶https://www.reuters.com/investigates/special-report/usa-spying-raven/
⁶https://www.ft.com/content/11cb394d-a13e-4826-b580-823b9367fedb
⁷https://home.treasury.gov/news/press-releases/jy1296
⁷https://www.commerce.gov/news/press...group-and-other-foreign-companies-entity-list
⁷https://www.haaretz.com/israel-news...-scandal/00000185-bab3-deab-ad97-fafbd8ae0000 //
⁷https://www.dpa.gr/sites/default/files/2023-01/2_2023 anonym.pdf
⁷https://amp.dw.com/en/german-prosecutors-investigate-spyware-maker-finfisher/a-50293812
⁷https://www.al-monitor.com/originals/2022/02/israel-freezes-spyware-exports
⁷https://www.timesofisrael.com/defen...export-licenses-for-israeli-cyberattack-tech/
⁷https://www.apple.com/newsroom/pdfs/Apple_v_NSO_Complaint_112321.pdf
⁷https://www.theregister.com/2023/03/21/meta_employee_spyware/
⁷https://www.haaretz.com/israel-news...spy-tech/00000186-bceb-d2e9-a7df-bdef014c0000
⁷https://www.whitehouse.gov/briefing...pyware-that-poses-risks-to-national-security/
⁷https://www.dw.com/en/germany-charges-executives-for-selling-spyware-to-turkey/a-65701848
⁷https://www.ft.com/content/11cb394d-a13e-4826-b580-823b9367fedb
⁷https://www.timesofisrael.com/repor...e-deal-with-morocco-leading-to-firms-closure/
⁷https://www.reuters.com/technology/...sraels-nso-group-us-appeals-court-2021-11-08/
⁷https://www.wassenaar.org/app/uploa...nd-Technologies-and-Munitions-List-Dec-19.pdf
⁸https://english.almayadeen.net/news...:-meet-quadream-another-israeli-spyware-compa //
⁸https://www.reuters.com/technology/...y-second-israeli-spy-firm-sources-2022-02-03/
⁸https://www.amnesty.org/en/latest/press-release/2021/07/the-pegasus-project/
⁸https://www.businesstimes.com.sg/st...ws-amid-claims-activists-amazon-boss-targeted
⁸https://www.forbes.com/sites/thomas...yption-surveillance-exploits/?sh=bb4d0581aa95
⁹https://www.latimes.com/business/technology/story/2020-01-27/spyware-booming-business-jeff-bezos
¹⁰https://www.theguardian.com/technol...r-spyware-threat-to-rival-pegasus-citizen-lab
¹¹https://news.sina.com.cn/c/2023-04-27/doc-imyruepi4556974.shtml?cre=tianyi&tr=181#/
¹¹https://cn.chinadaily.com.cn/a/202304/27/WS6449c3aaa310537989371d7c.html
¹²https://exportctrl.mod.gov.il/About/Pages/AllMessages.aspx?ItemId=242
¹³https://metacpc.org/wp-content/uploads/2022/12/predator.pdf
¹⁴https://www.vice.com/en/article/n7wbnd/hacking-team-is-dead
¹⁴https://www.bloomberg.com/news/arti...infisher-claims-insolvency-amid-investigation
¹⁴https://www.ecchr.eu/en/case/surveillance-software-germany-turkey-finfisher/
¹⁴https://www.forbes.com/sites/thomas...pps-like-whatsapp-and-signal/?sh=222a3c8f153b
¹⁴https://intelligencecommunitynews.c...sition-of-azimuth-security-and-linchpin-labs/
¹⁵https://www.moodys.com/research/Moodys-downgrades-NSO-to-B3-with-negative-outlook--PR_446947
¹⁵https://www.aljazeera.com/economy/2...es-shut-down-of-its-pegasus-spyware-unit-sale
¹⁵https://www.bloomberg.com/news/articles/2022-11-04/israel-s-nso-takes-drastic-measures-to-survive-spyware-scandal?leadSource=uverify wall
¹⁶https://www.washingtonpost.com/national-security/2022/07/10/nso-spyware-l3harris-talks-ended/
¹⁶https://seekingalpha.com/news/38556...bid-for-israeli-spyware-following-us-concerns
¹⁶https://www.technologyreview.com/2022/06/27/1054884/the-hacking-industry-faces-the-end-of-an-era/
¹⁷https://www.haaretz.com/israel-news...mployees/00000187-8b5c-d484-adef-ebdc048c0000
¹⁷https://www.calcalist.co.il/calcalistech/article/rjdbgg3fn
¹⁷https://www.timesofisrael.com/repor...e-deal-with-morocco-leading-to-firms-closure/
¹⁸First Updates to the New Theoretical Framework of Technology Start-up Lifecycle Stages by Jakub Ulč, Miroslav Mandel
¹⁹https://www.immunityinc.com/downloads/skylar_cansecwest09.pdf

Автор перевода weaver
Переведено специально для xss.pro (с)