CIA泄漏后供应商安全保证值多少钱?
在最近关于美国中央智能局的Cyberespionage Arsenal的启示后,软件供应商重申了他们及时修复漏洞的承诺,并告诉用户原子能机构泄露文件中描述的许多缺陷已得到修复。
虽然这些保证从公共关系的角度来看,但他们无法真正改变任何东西,特别是对于国家赞助黑客目标的公司和用户来说。他们使用的软件并不不太安全,不太受到保护,而不是在上周二发布了8,700加中的CIA文件之前。
泄露的文件描述了CIA的CYBER配置用于破解所有主要桌面和移动操作系统的恶意软件工具和利用,以及智能电视等网络装备和嵌入式设备。Done Don“T包含这些工具的实际代码,并且一些据称更多的讲述描述已被删除。
Wikileaks创始人Julian Assange表示,他的组织将与软件供应商共享未发表的详细信息,以便修补漏洞。但即使维基解程所做的,即使是意识到该信息只代表了一个时间的快照。
文档中最新的日期字符串是2016年初从2016年初开始,可能指示文件从中央情报局系统复制文件时。一些利用列表建议相同。
例如,描述Apple iOS的漏洞利用的页面包含一个由iOS版安排的表。该表停止在iOS 9.2,2015年12月发布。IOS 9.3的下一个重要更新于2016年3月下旬发布。
[进一步阅读:7 Wi-Fi漏洞超出密码弱密码]从U.K.“S GCHQ获得的Docened Nandao的一个内核exproit,被列为iOS版本8.0至9.2。这是否意味着它不会在iOS 9.3或更新的操作系统版本上工作?不必要。桌子更有可能在9.2处停止,因为当复制CIA文件时,这是最新版本的iOS。
此外,如果没有额外的细节,它可能会讲述这一点和其他利用是否已经修补了这一点,它非常不太可能。“Nandao”的唯一描述是它是一个堆溢出内存损坏漏洞,并且没有迹象表明内核组件它实际上位于其中。
“除非Apple获得了完整的细节和/或漏洞,除非进行彻底的根本原因分析,否则Apple可以确保较新版本的漏洞”T受影响“,漏洞情报公司风险安全的安全性的首席研究官Carsten EIRAM,通过电子邮件说。
这也是影响其他软件的缺陷的情况。EIRAM公司能够确认有些已被修补,但有些仍然在他们影响Prezi桌面演示软件中的DLL劫持漏洞的最新版本的最新版本。
“用户应该只是假设较新的版本,因为它只是因为[维基解密]转储没有提到,”eIram说。
即使将所有这些缺陷最终都会被披露给供应商并修补,它也不意味着CIA不会有更新的零点利用。它的利用收购努力在2016年3月没有停止。
当其内部文件泄露时,该机构利用了未分割的漏洞,并且在此时它非常有可能为最新版本的流行计划和操作系统具有类似的利用。
重要的是要意识到总有零点爆炸在那里,而不仅仅是在情报机构的手中。2015年从黑客队伍中获得类似的泄漏,这是一家对执法进行监控软件的意大利公司,透露该公司定期从黑客购买零日漏洞。
多年来,众多黑客团体使用零点利用在他们的攻击中,有些人经常他们可能有大量的未被斑的缺陷。还有私人经纪人支付巨额资金来获取此类漏洞,然后将其转向客户,其中包括执法和情报机构。
“这泄漏主要是确认这些代理商的能力,而不是令人惊讶的是,”Eiram说。
根据EIRAM的说法,软件行业可以更好地阻止开发人员在其代码中引入漏洞,并可以构建功能以使利用更加努力,降低风险。但是,没有魔杖可以在可预见的未来摆脱所有漏洞。如果有的话,年度统计数据显示,软件漏洞的数量实际上是在崛起。
“因为这个原因,用户牢记钟声总是有益的 - 而不开发全吹偏执的偏执 - 当导航数字世界时,如果他们真的很想,”EIRAM就会有人会妥协你的系统。说。“有点逻辑,怀疑和安全意识都在物理和数字世界中有很长的路要走。”
可能是讯连月板袭击目标的用户和公司应该采取多层的防御方法,远远超出应用供应商修补程序,并考虑到零日的漏洞。