Společnost Trend Micro v rámci své Zero Day Initiative (ZDI) vyplácí odměny lidem, kteří ji informují o zranitelnostech v softwaru dalších výrobců. Získané informace poté využívá ve svých produktech a současně tlačí na výrobce, aby vydali příslušné záplaty. Jak to probíhá?
Podle nezávislé studie Frost & Sullivan: Analysis of the Global Public Vulnerability Research Market, 2017, bylo v loňském roce nalezeno a nahlášeno celkem 1 522 nových zranitelností – potenciálně zneužitelných softwarových chyb. Ve více než polovině případů jde o chyby kriticky závažné (26 %) nebo velmi závažné (36 %).
Podle Frost & Sullivan se na odhalování zranitelností podílejí z drtivé většiny třetí strany. Pouze ve 2 % případů našel novou zranitelnost samotný výrobce softwaru. Nejčastěji hlásili zranitelnosti jednotlivci. Aby se informace o zranitelnostech dostaly včas k firmám, které je mohou využít pro ochranu svých klientů, nabízejí tyto firmy za nalezené a oznámené chyby finanční odměny. Trend Micro se chlubí, že má za loňský rok zdaleka nejvíce zakoupených zranitelnosti, dokonce výrazně více než známý Google Project Zero (1009 oproti 340). Firma nabízí TippingPoint Zero Day Coverage pro organizace, které potřebují být chráněny i proti dosud nezveřejněným slabinam.
V loňském roce si velkou pozornost vysloužila například zranitelnost EternalBlue, která se týkala chyby v zabezpečení zastaralé služby Windows pro sdílení souborů a umožnila vznik ransomwaru WannaCry. Ten napadl více než 230 000 počítačů ve 150 zemích po celém světě a způsobil škody za miliardy dolarů.
Nejvíce potenciálně zneužitelných chyb bylo podle Frost & Sullivan odhaleno v přehrávačích médií (292), operačních systémech (212) a webových prohlížečích (120). Z pohledu konkrétních produktů na tom byl nejhůře Adobe Reader/Acrobat (166 zranitelností), Adobe Flash Player (119) a Microsoft Internet Explorer / Edge (92).
Na operační systémy Microsoft Windows připadlo 54 zranitelností a MS Office 53 zranitelností.
Ze statistik Trend Micro ZDI za rok 2017 dále vyplývá, že výrobce softwaru potřebuje v průměru 72 dní na vytvoření záplaty pro danou zranitelnost, kterou ZDI vykoupí a nahlásí výrobci. U produktů Microsoft je to v průměru 43 dní, u Adobe 63 dní. Nastal ovšem i případ, kdy zranitelnost zůstala nevyřešená až 252 dní.
Na hledání zranitelností se podílí i Česká republika. Součástí společnosti Trend Micro je tým Advanced Threat Research, který sídlí i v Praze. Má na starosti analýzu nových malwarů, vyhledávání nových hrozeb nebo tvorbu algoritmů pro strojové učení. Dále v Praze sídlí laboratoře Digital Vaccine Labs (DVLabs), které mají na starosti implementaci filtrů pro Intrusion Prevention Systems (IPS) po nalezení nových zranitelností.
„Díky tomu, že nalezneme zranitelnost dříve než kdokoli jiný, můžeme zajistit ochranu proti tzv. zero-day hrozbám dříve, než je zneužijí hackeři. Standardně nabídneme výrobci softwaru informaci o zranitelnosti a dáme mu tříměsíční lhůtu na to, aby vytvořil na svůj produkt záplatu – patch. Až poté zranitelnost, či částečné informace o ní oznámíme veřejně,“ říká Robin Bay, Sales Engineer společnosti Trend Micro.
Součástí iniciativ společnosti Trend Micro je i soutěž Pwn2Own a Mobile Pwn2Own, která probíhá od roku 2007 a jejímž cílem je nalezení těch nejkritičtějších zranitelností. Účastníci musí v časovém limitu na plně záplatovaném systému, aplikaci nebo zařízení najít a zneužít zcela novou zranitelnost. Za ročník Pwn2Own 2017 byla výhercům vyplacena celková částka v přepočtu přibližně 18,3 milionu Kč. Jednou z nejzajímavějších objevených zranitelností byl únik z virtuálního stroje VMware. V lednu 2018 se podařilo to samé z virtuálního stroje Oracle. Na nově objevenou zranitelnost ihned v průběhu soutěže vyvíjejí výrobci daného softwaru záplatu a Trend Micro filtr do svých IPS systémů.