Zero Day Initiative
Zero Day Initiative — международная программа, занимающаяся выявлением уязвимостей в программном обеспечении. Основана в 2005 году компанией TippingPoint, подразделением 3Com[1]. В 2015 году была приобретена Trend Micro в рамках покупки HP TippingPoint[2].
Программа приобретает различные уязвимости программного обеспечения у независимых исследователей в области безопасности, а затем раскрывает эти уязвимости их первоначальным производителям для последующего исправления, прежде чем сделать информацию публичной.
Что важно знать
| Zero Day Initiative | |
|---|---|
| Тип | программа по поиску уязвимостей в программном обеспечении |
| Основание | 2005 |
| Отрасль | Кибербезопасность |
| Владелец | Trend Micro |
| Сайт | zerodayinitiative.com |
История
Zero Day Initiative была создана 25 июля 2005 года компанией TippingPoint и изначально управлялась Дэвидом Эндлером и Педрамом Амини[3]. «Zero-day» в названии инициативы означает момент, когда производитель впервые узнаёт об уязвимости в конкретном программном обеспечении. Программа была запущена для выплаты денежных вознаграждений исследователям и хакерам, обнаружившим эксплойты в широком спектре программных продуктов. Из-за отсутствия мотивации, а также опасений по поводу безопасности и конфиденциальности, исследователи часто не обращаются напрямую к вендорам с обнаруженными уязвимостями. ZDI была создана как независимая третья сторона, стимулирующая поиск уязвимостей и защищающая исследователей и чувствительную информацию[3].
Участники ZDI обнаружили уязвимости в таких продуктах, как Firefox 3[4], Microsoft Windows[5], QuickTime для Windows[6], а также в ряде продуктов Adobe[7][8].
Внутренняя команда ZDI также занимается исследованием уязвимостей, выявляя их, в частности, в продуктах Adobe[9], Microsoft[10][11], VMware и Oracle Java[12].
В 2016 году ZDI стала крупнейшим внешним поставщиком уязвимостей для Microsoft и Adobe, «выкупив и раскрывая 22 % публично обнаруженных уязвимостей Microsoft и 28 % — в программном обеспечении Adobe»[13].
ZDI также организует хакерское соревнование Pwn2Own, проводимое трижды в год[14], где команды хакеров могут получить денежные призы, а также устройства, которые им удалось взломать.
Покупка эксплойтов
Покупка эксплойтов и организаций, занимающихся этим, вызывает критику. Хотя это юридически разрешено, этика таких операций часто ставится под вопрос. Большинство критиков опасаются возможных последствий от попадания эксплойтов в чужие руки[15]. Хакеры и исследователи, находящие уязвимости, могут продавать их либо государственным ведомствам, либо третьим компаниям, либо на чёрном рынке, либо непосредственно производителям программного обеспечения.
Рыночная цена и стоимость таких эксплойтов на чёрном рынке существенно различаются (иногда на десятки тысяч долларов)[16], как и последствия для покупателей. Эти вопросы привели к появлению таких программ, как ZDI, в качестве легальных площадок для передачи и продажи уязвимостей исследователями[16].
ZDI принимает уязвимости таких классов, как удалённое выполнение кода, повышение привилегий или раскрытие информации, но «не покупает все типы ошибок, включая межсайтовый скриптинг (XSS), которые преобладают во многих баг-баунти программах»[13].