La economía y la naturaleza de White Hat de NSS ExploitHub

5

Esta pregunta es sobre el modelo económico empleado por NSS con su mercado de exploits ExpoitHub ( enlace del sitio ) y si coincide con El sombrero blanco reclama de la empresa. La compañía ha publicado noticias este mes ofreciendo recompensas de cientos de dólares por armar una docena de vulnerabilidades conocidas ( oferta de la empresa ).

Este modelo de negocios parece ser una variación de la tan esperada solución del Santo Grial de crear un mercado para los buenos que se perpetuará a sí mismo y será beneficioso para todos los interesados en la seguridad mejorada. La compañía cita a H.D. Moore (primer enlace arriba) y otros en apoyo del concepto. Su cita sugiere que esta actividad de armamento es benigna porque solo se enfoca en vulnerabilidades que no son de día cero. En la prensa, el Director de Tecnología de eEye, Marc Maiffret ( link ) proporciona un comentario más negativo en la misma línea de pensamiento" Si eres una empresa explotada por vulnerabilidades conocidas, tu seguridad no está haciendo su trabajo ".

NSS afirma que solo 1.000 de 15,000 a 17,000 vulnerabilidades críticas conocidas tienen vulnerabilidades disponibles en Metasploit y que esta brecha presenta una gran oportunidad para que los escritores de exploits apoyen a la comunidad de pruebas de lápiz. El sitio en sí ofrece a los autores de exploits el 30% de los ingresos y vende exploits sin verificar por hasta $ 1,500 cada uno.

¿Quién pagaría $ 1,500 por un único exploit específico? ¿Una simple auditoría de seguridad que identifica la vulnerabilidad no tiene el mismo propósito que un comprobador de penetración de terceros que demuestra la debilidad de forma activa con su ataque comprado? Si ese es el caso, entonces es hora de sugerir que las personas que compran este tipo de proezas no estén usando sombreros blancos o me estoy perdiendo algo importante.

    
pregunta zedman9991 12.10.2011 - 17:26
fuente

1 respuesta

1

Creo que estás absolutamente en la línea correcta. El único uso para un exploit desarrollado para una vulnerabilidad conocida es demostrarle a un cliente incrédulo que puede hacerse.

La gran mayoría de las pruebas de lápiz para un cliente maduro es para confirmar / refutar su postura de seguridad. Hacen su trabajo, protegen y fortalecen la arquitectura, las plataformas y las aplicaciones, y luego realizan una prueba de penetración para ver si se han perdido algo o están mal configuradas.

Incluso cuando nuestras pruebas toman en cuenta la escalada y el encadenamiento de vulnerabilidades, el escenario habitual es:

  • Ejecutar pruebas externas: vea qué vulnerabilidades existen
  • Desde el punto en las pruebas de ejecución de DMZ, suponiendo que los atacantes superen su primera capa
  • Desde el punto en la red principal, ejecute las pruebas para ver qué puede hacer un atacante interno o uno que haya superado las capas externas

Si bien los equipos de prueba realmente disfrutan las pruebas, lo que les permite ejecutar un conjunto completo de extremo a extremo, son cada vez más escasos, ya que no es tan rentable para el cliente.

El supuesto clave debe ser: si existe una vulnerabilidad que podría proporcionar a un atacante una manera útil de alcanzar un objetivo de alto valor, será armado y financiado por grupos que pueden pagar mucho más. que gente como NSS.

Prácticamente, una vez que se conoce una vulnerabilidad, debe protegerla hasta que salga un parche (use otros controles de mitigación) y luego parche. La explotación real en sí no es necesariamente tan importante.

    
respondido por el Rory Alsop 13.10.2011 - 10:12
fuente

Lea otras preguntas en las etiquetas