¿Existe una estimación de la cantidad de días cero que hay?

4
  

Una vulnerabilidad de día cero se refiere a un agujero en el software que se desconoce   al vendedor.

Dado que, las vulnerabilidades de día cero son desconocidas, ¿se puede hacer una estimación de las cantidades? ¿Cuáles son los escenarios posibles para estimar la cantidad de cero días? Por ejemplo, según la experiencia con la compra / venta de vulnerabilidades de día cero.

Me pregunto cuántos errores no descubiertos hay aproximadamente en el mundo y cuántas vulnerabilidades conocidas de día cero con exploits hay aproximadamente.

    
pregunta Bob Ortiz 19.03.2017 - 23:01
fuente

1 respuesta

3

Las vulnerabilidades, en general, existen antes de que los investigadores las encuentren, por lo que el número ya existente pero aún no conocido podría ser muy alto. En cuanto a las Vulnerabilidades conocidas que constituirían Zero-Días donde existe un exploit pero que aún son privadas para algunas personas u organizaciones, realmente no hay forma de saberlo porque muchas de estas organizaciones son muy reservadas por razones obvias. Es demasiado difícil especular cuánto esfuerzo se ha puesto para encontrar Zero-Days en el mundo y mucho menos cuán productivas han sido esas personas u organizaciones al hacerlo.

Dicho esto, el siguiente documento de Rand Corporation tiene mucha información muy relevante para su pregunta.

Cero días, miles de noches "La vida y los tiempos del cero Vulnerabilidades del día y sus explotaciones enlace

Algo que también se debe tener en cuenta es que ha habido muchos avances en la tecnología de fuzzing en los últimos años, lo que puede facilitar la búsqueda de nuevos días cero para los atacantes.

    
respondido por el Trey Blalock 20.03.2017 - 04:09
fuente

Lea otras preguntas en las etiquetas