Google’ın şirket içi güvenlik ekibi, sıfırıncı gün güvenlik tehditlerinin her zamankinden daha büyük bir risk haline geldiği konusunda uyardı.
Google Project Zero ekibi, sıfır gün tehdit ortamının yıllık özetinde, 2021’de 58 farklı tehdidin tespit edildiğini ve 2014’te araştırmaya başladığından bu yana görülen en büyük sayı olduğunu kaydetti.
Bu, 2020’de keşfedilen 25 istismardan ve soruşturma kapsamındaki çoğu yıl için görülen miktarın neredeyse iki katı.
Sıfır gün tehdidi
Biraz cesaret kırıcı bir şekilde ekip, sıfır gün saldırganları tarafından kullanılan metodolojinin önceki yıllara göre çok fazla değişmediğini veya gelişmediğini, aynı hata kalıpları ve istismar tekniklerinin hala popüler olduğunu belirtti.
Google, “2021’de kullanılan bu 58 0 güne baktığımızda, bunun yerine 0 günlerinin önceki ve herkes tarafından bilinen güvenlik açıklarına benzer olduğunu görüyoruz” diye yazdı. “Başarılı olmak için saldırganların daha önce hiç görülmemiş istismar yöntemleri kullanarak yeni saldırı yüzeylerinde yeni güvenlik açıkları sınıfları bulmasını beklerdik. Genel olarak, verilerin bize bu yıl gösterdiği şey bu değildi.”
Bununla birlikte, Google ayrıca, daha fazla tehdidin bildirildiği ve kamuya açıklandığı anlamına geldiğinden, bildirilen sıfır gün sayısındaki artışın aslında iyi bir şey olabileceğini de not eder.
Project Zero ekibinden Maddie Stone, “0 günü zorlaştırmak için bu analizi gerçekleştiriyor ve paylaşıyoruz” dedi. Blog yazısı bulguları duyuruyor. “Saldırganların 0 günlük yetenekleri kullanmasının daha maliyetli, daha fazla kaynak yoğun ve genel olarak daha zor olmasını istiyoruz.”
“2021, saldırganların 0 gün içinde kullanıcıları sömürmesini zorlaştırma arayışımızda acımasız kalmanın ne kadar önemli olduğunu vurguladı. Hükümetlerin gazetecileri, azınlık toplulukları, politikacıları, insan hakları savunucularını nasıl hedef aldığını defalarca duyduk. ve hatta dünya çapındaki güvenlik araştırmacıları.”
“Güvenlik ve teknoloji topluluklarında verdiğimiz kararların toplum ve diğer insanlarımızın yaşamları üzerinde gerçek etkileri olabilir.”
Genel olarak Google, sıfırıncı gün istismarlarının “tespiti ve ifşası” söz konusu olduğunda endüstrinin gelişiyor göründüğünü söylüyor, ancak bunların hala “bebek adımları” olduğu konusunda uyarıyor.
Şirket, ürünlerindeki bir güvenlik açığından yararlanıldığını gösteren kanıtlar olduğunda tüm satıcıların kamuya açıklamaları için endüstri standardı bir davranış oluşturmak da dahil olmak üzere ilerlemeyi hızlandırmak için bir dizi adım çağrısında bulunuyor.
Google ayrıca, satıcıların ve güvenlik araştırmacılarının, istismar örneklerini veya tekniklerini paylaşmada daha iyi olmaları gerektiğini ve ayrıca bellek bozulması güvenlik açıklarını azaltmak veya bunları kullanılamaz hale getirmek için daha fazla çaba gösterilmesi gerektiğini söylüyor.