Za ich odhaľovaním stoja najčastejšie jednotlivci, od ktorých výrobcovia a bezpečnostné spoločnosti zraniteľnosti vykupujú
Podľa nezávislej štúdie Frost & Sullivan: Analysis of the Global Public Vulnerability Research Market, 2017 bolo v minulom roku nájdených a nahlásených celkovo 1 522 nových zraniteľností – potenciálne zneužiteľných softvérových chýb. V primere sa tak jedná o štyri nové zraniteľnosti denne, ktoré sú navyše vo viac než polovici prípadov kriticky závažné (26 %) alebo veľmi závažné (36 %).
Softvérové zraniteľnosti sú chyby, ktoré možno pomocou exploitov zneužiť napríklad pre získanie dát alebo ovládnutie počítača za účelom inštalácie a šírenie počítačových hrozieb, ako napríklad malvér či ransomvér. V minulom roku si veľkú pozornosť vyslúžila napríklad zraniteľnosť EternalBlue, ktorá sa týkala chyby v zabezpečení zastaranej služby Windows pre zdieľanie súborov SMB a umožnila vznik ransomvéru WannaCry. Ten napadol viac než 230 tisíc počítačov v 150 krajinách po celom svete a spôsobil škody za miliardy dolárov. S rastúcim počtom zraniteľností sa zvyšuje aj počet útokov, ktoré tieto zraniteľnosti zneužívajú a rastú tak aj finančné škody, predovšetkým vo firemnej sfére.
Podľa Frost & Sullivan sa na odhaľovaní zraniteľností podieľajú z drvivej väčšiny tretie strany. Iba v 2 % prípadov našiel novú zraniteľnosť samotný výrobca softvéru. Najčastejšie hlásili zraniteľnosť jednotlivci.
Na odhaľovaní zraniteľností sa zameriava rad firiem a organizácií. Podľa analýzy Frost & Sullivan má na svedomí najviac nájdených zraniteľností iniciatíva Trend Micro Zero Day Initiative (ZDI), ktorá odhalila 1 009 z celkového počtu 1 522 zraniteľností. Na druhom mieste je s veľkým odstupom Google Project Zero s 340 zraniteľnosťami a US-CERTS s 54 zraniteľnosťami.
Mezdi ďalšie hlavné zistenia štúdie spoločnosti Frost & Sullivan patrí:
- Najviac potenciálne zneužiteľných chýb bolo odhalených v prehčávačoch médií (292), operačných systémoch (212) a webových prehliadačoch (120).
- Z pohľadu konkrétnych produktov na tom bol najhoršie Adobe Reader/Acrobat (166 zraniteľností), Adobe Flash Player (119) a Microsoft Internet Explorer / Edge /92).
- Na operačné systémy Windows pripadlo 54 zraniteľností a MS Office 53 zraniteľností.
Zo štatistík Trend Micro ZDI za rok 2017 ďalej vyplýva, že výrobca softvéru potrebuje v priemere 72 dní na vytvorenie záplaty pre danú zraniteľnosť, ktorú ZDI vykúpi a nahlási výrobcovi. U produktov Microsoft je to v priemere 43 dní, u Adobe 63 dní. Nastal však aj prípad, kedy zraniteľnosť zostala nevyriešená až 252 dní.
Hľadanie zraniteľností v Českej republike
Na hľadanie zraniteľností sa podieľa aj Česká republika. Súčasťou spoločnosti Trend Micro je tým Advanced Threat Research, ktorý sídli aj v Prahe. Má na starosti analýzu nových malvérov, vyhľadávanie nových hrozieb alebo tvorbu algoritmov pre strojové učenie. Ďalej v Prahe sídli laboratórium Digital Vaccine Labs (DVLabs), ktoré má na starosti implementáciu filtrov pre Intrusion Prevention Systems (IPS) po nájdených nových zraniteľností.
„Vďaka tomu, že nájdeme zraniteľnosť skôr než ktokoľvek iný, môžeme zaistiť ochranu proti tzv. Zero-day hrozbám skôr, než ich zneužijú hackeri. Štandardne ponúkame výrobcovi softvéru informáciu o zraniteľnosti a dáme mu trojmesačnú lehotu na to, aby vytvoril na svoj produkt záplatu – patch. Až potom zraniteľnosť či čiastočnú informáciu o nej oznámime verejne,“ hovorí Robin Bay, Sales Enginner spoločnosti Trend Micro.
Hľadanie zraniteľností ako súťaž
Súčasťou iniciatívy spoločnosti Trend Micro je aj súťaž Pwn2Own a Mobile Pwn2Own, ktorá prebieha od roku 2007 a jej cieľom je nájdenie tých najkritickejších zraniteľností. Účastníci musia v časovom limite na plne zaplátanom systéme, aplikácii alebo zariadení nájsť a zneužiť úplne novú zraniteľnosť. Za ročník Pwn2Own 2017 bola výhercom vyplatená celková čiastka v prepočte okolo 700 000 eur. Jednou z najzaujímavejších objavených zraniteľností bol únik z virtuálneho stroja VMware. To je niečo, čoho sa rad zákazníkov veľmi obáva. V januári 2018 sa podarilo to isté z virtuálneho stroja Oracle. Na novo objavenej zraniteľnosti ihneď v priebehu súťaže vyvíjali výrobcovia daného softvéru záplatu a Trend Micro filter do svojich IPS systémov.