Proč kritická zranitelnost automaticky neznamená kritické riziko

V tomto příspěvku se pokusím vysvětlit, jak je možné, že kritická zranitelnost, které je možno zneužít vzdáleně, a zcela bez interakce uživatele kompletně ovládnout jeho zařízení, nemusí vůbec představovat významné riziko.

Jako příklad použijeme nedávno zveřejněnou kritickou zranitelnost v Adobe Flash Playeru.

Nejprve si připomeňme, jak je definováno riziko. To je definováno jako funkce R = T x V x I, kde T je hrozba (threat, zkr. T) zranitelnost (vulnerability, zkr. V) a dopad (Impact, zkr. I). Je zřejmé, že výsledné riziko bude podstatně ovlivňovat skutečnost, s jakou pravděpodobností daná hrozba nastane.

Jestliže ze statistik víme, že Flash se nachází prakticky na každém zařízení, tak by nás to mohlo svádět k prohlášení, že pravděpodobnost nakažení je jistá a tudíž že i výsledné riziko je kritické.

Ovšem pozor, na zařízení uživatele se musí nacházet Adobe Flash Player trpící danou zranitelností a musí být i uživatelem k přehrávání Flashe používán, protože jen jeho pouhá přítomnost k napadení samotného zařízení samozřejmě nestačí.

Uživatel dále musí navštívit stránku, na které se nachází škodlivý obsah a musí ji zpravidla navštívit i v určitý čas, protože daný škodlivý kód se na ní nachází jen po určitou dobu.

Pokud je škodlivý kód navíc ukryt v banneru, který je poskytován nějakým reklamním systémem, což je poměrně častý případ, protože nakazit nějaký hojně navštěvovaný web není zase až tak triviální, tak do hry vstupuje ještě tzv. cílená behaviorální reklama.

To ve výsledku vede k tomu, že uživateli se nakažený banner nemusí vzhledem k jeho preferencím a geolokaci zobrazit vůbec. Tato skutečnost pravděpodobnost nakažení podstatně snižuje.

A pokud platí, že když se v rovnici rizika změní jedna z veličin, tak se musí změnit i výsledné riziko, nemůžeme hovořit o kritickém riziku v okamžiku, kdy došlo ke snížení jedné z nich, v tomto případě pravděpodobnosti hrozby.

Těžko asi můžeme prohlásit, že pravděpodobnost nakažení je jistá, když reálná zkušenost ukazuje, že tomu tak není. Pokud tedy připustíme, že pravděpodobnost, že uživatel ČR zavítá na web, na kterém se nachází škodlivý kód a dojde ke kompromitaci jeho zařízení prostřednictvím Flashe, je relativně nízká, tak pak lze výsledné riziko hodnotit jako střední.

Poznámka: Předpokládáme ten nejhorší možná dopad a neexistenci bezpečnostních opatření.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Proč kritická zranitelnost automaticky neznamená kritické riziko” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: