Модель розрахунку витрат на баг-баунті програми тестування вразливостей безпеки

В статті описані способи дослідження баг-баунті програм та запропоновано новий підхід для розрахунку оцінки знайдених вразливостей. Робота починається з вводу у розуміння процесів управлінням вразливостями, поняття поверхні вразливості атаки. У роботі наведено аналіз статистики всіх знайдених вразливостей в інформаційних системах за останні десять років, які розділені за стандартною оцінкою CVSS. Проаналізовано види і вектори атак на прикладі фінансового сектору. Додатково проведено розподілення зламів і інцидентів по векторам атак на фінансовий сектор. Далі наведено співвідношення найпопулярніших видів і векторів атак до критичності інформаційних систем. Представлено рейтинг критичних і високих вразливостей однієї з платформ баг-баунті з детальним описом видів атак і технік експлуатації. Невід’ємною частиною процесу управління вразливостями є категоризація важливості і впливу на організацію. Також представлено можливі сценарії життєвого циклу для знайденої вразливості в інформаційній системі очима власника інформації про вразливість та власника такої інформаційної системи. Проведено порівняльний кількісний і якісний аналізи зрілості програм баг-баунті від моменту запуску і протягом років, а також чинники впливу на зрілість програми. Проаналізовано статистику знайдених вразливостей в публічних баг-баунті програмах за останні шість років. Запропоновано власний підхід до розрахунку ефективної вартості програми баг-баунті та проведено експериментальну перевірку на трьох програмах. Висвітлено фактори впливу на розрахунок ефективної вартості вразливостей. Розглянуто підходи до оцінок і валідації вразливостей платформами баг-баунті та етапи арбітражу між власником інформаційної системи та дослідником вразливостей. Наприкінці дослідження наведено рекомендації для набуття вищого рівню зрілості процесів управління вразливостями. Виковки висвітлюють безперервність виникнення і зникнення додаткових факторів у процесах управління вразливостями, в яких програми баг-баунті є невід’ємною частиною. Взаємозалежність зрілості процесів компанії та її програми баг-баунті, що потребує залучення достатніх ресурсів, задля ефективності її роботи

StateAFL: Greybox fuzzing for stateful network servers

Fuzzing network servers is a technical challenge, since the behavior of the target server depends on its state over a sequence of multiple messages. Existing solutions are costly and difficult to use, as they rely on manually-customized artifacts such as protocol models, protocol parsers, and learning frameworks. The aim of this work is to develop a greybox fuzzer for network servers that only relies on lightweight analysis of the target program, with no manual customization, in a similar way to what the AFL fuzzer achieved for stateless programs. The proposed fuzzer instruments the target server at compile-time, to insert probes on memory allocations and network I/O operations. At run-time, it infers the current protocol state of the target by analyzing snapshots of long-lived memory areas, and incrementally builds a protocol state machine for guiding fuzzing. The experimental results show that the fuzzer can be applied with no manual customization on a large set of network servers for popular protocols, and that it can achieve comparable, or even better code coverage than customized fuzzing. Moreover, our qualitative analysis shows that states inferred from memory better reflect the server behavior than only using response codes from messages.Comment: The tool is available at https://github.com/stateafl/stateaf

Revenue maximizing markets for zero-day exploits

Markets for zero-day exploits (software vulnerabilities unknown to the vendor) have a long history and a growing popularity. We study these markets from a revenue-maximizing mechanism design perspective. We first propose a theoretical model for zero-day exploits markets. In our model, one exploit is being sold to multiple buyers. There are two kinds of buyers, which we call the defenders and the offenders. The defenders are buyers who buy vulnerabilities in order to fix them (e.g., software vendors). The offenders, on the other hand, are buyers who intend to utilize the exploits (e.g., national security agencies and police). Our model is more than a single-item auction. First, an exploit is a piece of information, so one exploit can be sold to multiple buyers. Second, buyers have externalities. If one defender wins, then the exploit becomes worthless to the offenders. Third, if we disclose the details of the exploit to the buyers before the auction, then they may leave with the information without paying. On the other hand, if we do not disclose the details, then it is difficult for the buyers to come up with their private valuations. Considering the above, our proposed mechanism discloses the details of the exploit to all offenders before the auction. The offenders then pay to delay the exploit being disclosed to the defenders.Mingyu Guo, B, Hideaki Hata, and Ali Baba

ZERODays: Sistema de Gestão de Ameaças de Cibersegurança de Dia-Zero

Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2021Com a adoção crescente de meios digitais no regime normal de trabalho e no fornecimento e gestão de serviços, aumentam também as possibilidades e oportunidades para a concretização de ofensivas maliciosas, obrigando a uma constante atualização e prevenção por parte dos profissionais de segurança para a manutenção e proteção destes meios e dos ativos de cada organização. A constante monitorização e recolha de informação torna-se, assim, uma atividade chave para identificar ativamente novas vulnerabilidades dentro da infraestrutura interna da organização, ao mesmo ritmo em que estas são descobertas e publicadas, mantendo as equipas conscientes do panorama interno e externo no que diz respeito a possibilidades de ataques e ofensivas. De forma a tornar esta recolha um processo regular, com uma resolução automática e atempada, é desenvolvido o ZERODays, um sistema que recolhe ativamente informação sobre novas vulnerabilidades, e ameaças associadas, e gera um processo automático, dentro da Altice Portugal, que cruza os dados com ativos potencialmente afetados e com ferramentas internas, e coordena ações de notificação às entidades interessadas. O sistema recolhe informação de fontes externas selecionadas e armazena-a num repositório central. Informação relevante é proactivamente notificada às entidades interessadas. Assim, todo o sistema promove a quantidade de nova informação recolhida, em complemento às ferramentas da empresa, e a iniciação proativa do processo de resolução.Nowadays, information technologies play a critical role on the delivery of services, as well as on the way enterprises manage their assets and their personnel. Organizations resort to a large variety of technologies to provide their services, as well as to monitor and manage their infrastructure. Proportionally, the rate in which new vulnerabilities, and related threats and attacks, are identified and developed, grows more and more every day, demanding security teams to be permanently aware of the internal and external security landscape. This requires an active and timely gathering of intelligence about new vulnerabilities and threats, to prevent and protect the whole infrastructure. For this reason, to actively gather information, and respond quickly and automatically, it was developed the ZERODays system. The system collects information from external sources, correlates it with data from internal assets and security tools, and stores it in a central repository. For relevant vulnerability information, the system proactively initiates a notification procedure within Altice Portugal. This way, the system extends the amount of new information gathered by the company, beyond the implemented security tools, and actively initiates a response procedure