ข้ามไปเนื้อหา

ช่องโหว่ซีโร่เดย์

จากวิกิพีเดีย สารานุกรมเสรี

ซีโร่เดย์ (อังกฤษ: zero-day หรือ 0-day) หรือ วันศูนย์ คือช่องโหว่ในซอฟต์แวร์หรือฮาร์ดแวร์ที่โดยทั่วไปผู้ผลิตยังไม่ทราบ และยังไม่มีแพตช์หรือการแก้ไขใด ๆ อธิบายว่า ผู้ผลิตจะมีเวลาศูนย์วันในการเตรียมแพตช์เพราะช่องโหว่ได้เปิดเผยหรือถูกใช้ประโยชน์ไปแล้ว

แม้นักพัฒนาจะมีเป้าหมายมอบส่งผลิตภัณฑ์ที่ทำงานได้ตามที่ออกแบบไว้ แต่ซอฟต์แวร์และฮาร์ดแวร์เกือบทั้งหมดก็จะมีข้อบกพร่อง ข้อบกพร่องหลายอย่างลดทอนความปลอดภัยของระบบจึงจัดเป็นช่องโหว่ แม้จะเป็นเหตุของการโจมตีทางไซเบอร์เป็นเพียงส่วนน้อย แต่ช่องโหว่วันศูนย์ก็ถือว่าอันตรายกว่าช่องโหว่ที่รู้จักแล้วเพราะมีมาตรการป้องกันน้อยกว่า

ผู้ใช้ช่องโหว่วันศูนย์หลัก ๆ ก็คือหน่วยงานของรัฐ ไม่เพียงเพราะต้นทุนที่สูงในการค้นหาหรือซื้อช่องโหว่เหล่านี้ แต่ยังรวมถึงค่าใช้จ่ายมากในการเขียนซอฟต์แวร์เพื่อโจมตี แฮ็กเกอร์หรือนักวิจัยด้านความปลอดภัยเป็นผู้ค้นพบช่องโหว่หลายอย่าง ซึ่งอาจจะเปิดเผยให้แก่ผู้ผลิตโดยมักแลกกับเงินรางวัล หรือขายให้แก่รัฐหรือกลุ่มอาชญากร การใช้ช่องโหว่วันศูนย์ได้เพิ่มขึ้นหลังจากที่บริษัทซอฟต์แวร์ยอดนิยมหลายแห่งเริ่มเข้ารหัสข้อความและข้อมูล ซึ่งหมายความว่าจะได้ข้อมูลที่ไม่เข้ารหัสก็ต่อเมื่อสามารถแฮ็กเข้าไปในซอฟต์แวร์ก่อนที่จะเข้ารหัส

คำจำกัดความ

[แก้]

แม้นักพัฒนาจะมีเป้าหมายมอบส่งผลิตภัณฑ์ที่ทำงานได้ตามที่ออกแบบไว้ แต่ซอฟต์แวร์และฮาร์ดแวร์เกือบทั้งหมดก็จะมีข้อบกพร่อง[1] ข้อบกพร่องหลายอย่างลดทอนความปลอดภัยของระบบจึงจัดเป็นช่องโหว่ ผู้ไม่หวังดีจะถือเอาประโยชน์จากช่องโหว่ต่าง ๆ ได้ไม่เท่ากัน บางอย่างก็ใช้ไม่ได้เลย บางอย่างอาจใช้รบกวนด้วยการโจมตีแบบปฏิเสธการให้บริการ ที่มีค่าที่สุดทำให้ผู้โจมตีสามารถแทรกและเรียกใช้โค้ดของตนเองในระบบผู้ใช้ได้โดยที่ผู้ใช้ไม่รู้ตัว[2] แม้คำว่า "ซีโร่เดย์" เดิมทีจะหมายถึงเวลาที่ผู้ผลิตเริ่มตระหนักถึงช่องโหว่ แต่ก็นิยามได้ด้วยว่า เป็นช่องโหว่ที่ยังไม่มีแพตช์หรือการแก้ไขใด [3][4][5] เอ็กซ์พลอยต์ซีโร่เดย์ (zero-day exploit) เป็นการใช้ประโยชน์จากช่องโหว่ดังกล่าว[2]

การถือเอาประโยชน์

[แก้]

การถือเอาประโยชน์/การแสวงหาประโยชน์/การใช้ประโยชน์/เอ็กซ์พลอยต์ (อังกฤษ: exploit) คือกลไกการส่งซอฟต์แวร์/มัลแวร์ที่ใช้ประโยชน์จากช่องโหว่เพื่อเจาะเข้าสู่ระบบเป้าหมายเพื่อวัตถุประสงค์เช่น การขัดการทำงาน การติดตั้งมัลแวร์ และการขโมยข้อมูล[6] นักวิชาการระบุว่า "มีข้อมูลน้อยมากเกี่ยวกับขอบเขต การใช้งาน ประโยชน์ และอันตรายที่แท้จริงของเอ็กซ์พลอยต์ซีโร่เดย์"[7] การใช้ประโยชน์เช่นนี้ถือว่าอันตรายมากกว่าการใช้ประโยชน์จากช่องโหว่ที่รู้จัก[8][9] แต่การโจมตีทางไซเบอร์ส่วนใหญ่ก็น่าจะใช้ช่องโหว่ที่รู้จัก ไม่ใช่ช่องโหว่วันศูนย์[7]

ผู้ใช้ช่องโหว่วันศูนย์หลัก ๆ ก็คือหน่วยงานของรัฐ ไม่เพียงเพราะต้นทุนที่สูงในการค้นหาหรือซื้อช่องโหว่เหล่านี้ แต่ยังรวมถึงค่าใช้จ่ายสูงในการเขียนซอฟต์แวร์โจมตี อย่างไรก็ตาม ใคร ๆ ก็สามารถใช้ช่องโหว่ได้[4] และตามการวิจัยของสถาบันนโยบายอเมริกัน RAND Corporation "ผู้โจมตีที่เอาจริงสามารถหาช่องโหว่วันศูนย์มีราคาพอจ่ายได้สำหรับเป้าหมายเกือบทุกอย่างได้เสมอ"[10] และกลุ่มภัยคุกคามต่อเนื่องขั้นสูง (advanced persistent threat) ส่วนใหญ่จะพึ่งพาช่องโหว่วันศูนย์[11] เวลาเฉลี่ยในการพัฒนาเอ็กซ์พลอยต์ซีโร่เดย์อยู่ที่ประมาณ 22 วัน[12] การพัฒนานั้นยากเพิ่มขึ้นเรื่อย ๆ เพราะซอฟต์แวร์ยอดนิยมพยายามป้องกันตัวเองเพิ่มขึ้น[13]

ช่วงการมีช่องโหว่

[แก้]
Vulnerability introduced = เกิดมีช่องโหว่, Exploit released in the wild = เกิดการใช้ประโยชน์, Vulnerability discovered by the vendor = ผู้ผลิตพบช่องโหว่, Vulnerability disclosed publicly = มีการเปิดเผยช่องโหว่, Anti-virus signatures released = มีลายเซ็นตรวจจับสำหรับโปรแกรมป้องกันไวรัส, Patch released = แจกจำหน่ายแพตช์, Patch deployment completed = แพตช์เสร็จหมดแล้ว, Zero-day attack = การโจมตีซีโร่เดย์, Follow-on attack = การโจมตีหลังซีโร่เดย์แต่ก่อนแพตช์, Window of exposure = ช่วงการมีช่องโหว่

ช่องโหว่วันศูนย์มักจัดว่า "มีชีวิต" คือ ยังไม่มีการเปิดเผย และ "ตายแล้ว" คือ มีการเปิดเผยแล้วแต่ยังไม่ได้แพตช์ หากผู้ดูแลซอฟต์แวร์ยังต้องสืบหาช่องโหว่อย่างเป็นกิจลักษณะ นั่นคือช่องโหว่ที่มีชีวิต ส่วนช่องโหว่ในซอฟต์แวร์ที่ไม่มีการดูแลจัดว่าเป็นอมตะ ช่องโหว่ซอมบี้คือช่องโหว่ที่ถือเอาประโยชน์ได้ในซอฟต์แวร์เวอร์ชันเก่า แต่ได้แพตช์แล้วในเวอร์ชันใหม่[14]

แต่แม้ช่องโหว่ที่เปิดเผยแล้วและช่องโหว่ซอมบี้ก็ยังถือเอาประโยชน์ได้เป็นระยะเวลานาน [15][16] แพตช์ความปลอดภัยอาจใช้เวลาพัฒนาหลายเดือน[17] หรืออาจไม่ทำเลย[16] แพตช์อาจมีผลลบต่อการทำงานของซอฟต์แวร์[16] และผู้ใช้อาจต้องทดสอบแพตช์เพื่อยืนยันการทำงานและความเข้ากันได้[18] องค์กรขนาดใหญ่อาจไม่สามารถระบุและแพตช์ซอฟต์แวร์ที่ต้องพึ่งพิงทั้งหมด ในขณะที่องค์กรขนาดเล็กและผู้ใช้ส่วนบุคคลอาจไม่ติดตั้งแพตช์เลย[16]

งานวิจัยชี้ว่าความเสี่ยงของการโจมตีทางไซเบอร์จะเพิ่มขึ้นหากได้เปิดเผยช่องโหว่หรือมีการปล่อยแพตช์[19] อาชญากรไซเบอร์สามารถทำวิศวกรรมย้อนรอยกับแพตช์เพื่อหาช่องโหว่ที่เป็นเหตุและพัฒนาการถือเอาประโยชน์ [20] โดยมักจะทำได้เร็วกว่าที่ผู้ใช้จะติดตั้งแพตช์[19]

ตามการวิจัยของ RAND Corporation ปี 2017 เอ็กซ์พลอยต์ซีโร่เดย์ใช้ได้นานโดยเฉลี่ย 6.9 ปี[21] แต่เมื่อซื้อจากบุคคลที่สาม ก็จะใช้ได้โดยเฉลี่ยเพียง 1.4 ปี[12] ไม่สามารถสัมพันธ์แพลตฟอร์มหรือชนิดซอฟต์แวร์ (เช่น ซอฟต์แวร์โอเพนซอร์ส) กับอายุขัยของช่องโหว่วันศูนย์[22] พบว่า สำหรับคลังช่องโหว่วันศูนย์ที่เก็บไว้อย่างลับ ๆ คนอื่น ๆ จะค้นพบช่องโหว่เดียวกัน 5.7% ในหนึ่งปี[23] แต่งานศึกษาอีกชิ้นหนึ่งพบอัตราการค้นพบทับซ้อนที่สูงกว่านั้นคือ 10.8–21.9% ต่อปี[24]

มาตรการตอบโต้

[แก้]

เนื่องจากตามนิยาม ยังไม่มีแพตช์ที่สามารถป้องกันการโจมตีแบบซีโร่เดย์ได้ ระบบทั้งหมดที่ใช้ซอฟต์แวร์หรือฮาร์ดแวร์ที่มีช่องโหว่จึงมีความเสี่ยง ซึ่งรวมถึงระบบที่ต้องทำการอย่างปลอดภัย เช่น ระบบธนาคารและรัฐบาล รวมทั้งที่มีอัปเดตล่าสุด[25] โปรแกรมป้องกันไวรัสมักไม่สามารถป้องกันมัลแวร์ที่แทรกเข้ามาโดยเอ็กซ์พลอยต์ซีโร่เดย์[26] ระบบความปลอดภัยออกแบบมาสำหรับช่องโหว่ที่รู้จัก ดังนั้น มัลแวร์ที่แทรกเข้าในระบบโดยการใช้ประโยชน์วันศูนย์ อาจยังคงดำเนินการได้โดยไม่ถูกตรวจจับเป็นระยะเวลานาน[16] แม้จะมีระบบที่เสนอหลายระบบซึ่งสามารถตรวจจับการใช้ประโยชน์วันศูนย์ แต่ก็ยังคงเป็นแค่ประเด็นงานวิจัยที่ยังทำอยู่ในปี 2023[27]

องค์กรหลายแห่งได้เริ่มใช้กลยุทธ์ป้องกันเชิงลึก (defense-in-depth) เพื่อให้ต้องโจมตีฝ่าระบบความปลอดภัยหลายระดับซึ่งทำได้ยากขึ้น[28] มาตรการรักษาความปลอดภัยที่มีอยู่แล้ว (เช่น การฝึกอบรมพนักงาน) และการควบคุมการเข้าถึง (เช่น การพิสูจน์ตัวตนด้วยปัจจัยหลายอย่าง การเข้าถึงแบบมีสิทธิ์น้อยที่สุด และการแยกระบบออกจากเครือข่าย) ก็จะทำให้โจมตีด้วยซีโร่เดย์ได้ยากขึ้น[29] เนื่องจากการเขียนซอฟต์แวร์ที่ปลอดภัยโดยสิ้นเชิงเป็นไปไม่ได้ นักวิจัยบางท่านจึงโต้แย้งว่าการบีบเพิ่มต้นทุนของเอ็กซ์พลอยต์ เป็นกลยุทธ์ลดภาระการโจมตีทางไซเบอร์ที่ดี[30]

ตลาด

[แก้]
ราคาเฉลี่ยของเอ็กซ์พลอยต์ช่องโหว่ชนิดต่าง ๆ ปี 2015–2022 เป็นดอลลาร์สหรัฐ

ชุดเอ็กซ์พลอยต์ซีโร่เดย์อาจมีค่าเป็นล้าน ดอลลาร์สหรัฐ[31] มีผู้ซื้อหลัก ๆ สามประเภท[32]

  • ฝ่ายขาว คือ ผู้ผลิต หรือบุคคลที่สามเช่นโครงการ Zero Day Initiative ผู้เปิดเผยซีโร่เดย์ต่อผู้ผลิตโดยมักจะเป็นการเปิดเผยเพื่อแลกกับรางวัลค้นพบข้อบกพร่อง[33][34][35] แต่ไม่ใช่ทุกบริษัทจะยินดียอมรับการเปิดเผย เพราะมันอาจก่อความรับผิดชอบทางกฎหมายและภาระในการดำเนินงาน ผู้เปิดเผยจึงอาจได้รับจดหมายให้หยุดทำการจากผู้ผลิตซอฟต์แวร์หลังจากเปิดเผยช่องโหว่แม้ไม่คิดค่าใช้จ่าย[36]
  • ฝ่ายเทา เป็นตลาดใหญ่สุด[4] และทำกำไรได้มากสุด หน่วยงานรัฐบาลหรือหน่วยข่าวกรองเป็นผู้ซื้อช่องโหว่วันศูนย์ อาจนำไปใช้ในการโจมตี หรือเก็บสะสมไว้ หรือแจ้งให้ผู้ผลิตทราบ[32] รัฐบาลกลางสหรัฐอเมริกาเป็นผู้ซื้อรายใหญ่ที่สุดรายหนึ่ง[4] จนถึงปี 2013 ประเทศไฟฟ์อายส์ คือ สหรัฐอเมริกา สหราชอาณาจักร แคนาดา ออสเตรเลีย และนิวซีแลนด์ เป็นผู้ซื้อมากที่สุด ผู้ซื้อรายสำคัญอื่น ๆ รวมถึงรัสเซีย อินเดีย บราซิล มาเลเซีย สิงคโปร์ เกาหลีเหนือ และอิหร่าน ประเทศในตะวันออกกลางมีแนวโน้มที่จะกลายเป็นผู้ใช้จ่ายรายใหญ่ที่สุด[37]
  • ฝ่ายดำ คือ กลุ่มอาชญากร ซึ่งโดยทั่วไปต้องการซอฟต์แวร์เอ็กซ์พลอต์สำเร็จรูปมากกว่าแค่ความรู้เกี่ยวกับช่องโหว่[38] ผู้ใช้เหล่านี้มักใช้ประโยชน์แบบ "ครึ่งวัน" ที่มีแพตช์อยู่แล้ว[39]

ในปี 2015 ตลาดสำหรับรัฐบาลและอาชญากรประเมินว่าใหญ่กว่าตลาดขาวอย่างน้อยสิบเท่า[32] ผู้ขายมักเป็นกลุ่มแฮ็กเกอร์ที่ค้นหาช่องโหว่ในซอฟต์แวร์ที่นิยมเพื่อผลกำไร[40] บางคนจะขายให้แก่ผู้ซื้อบางรายเท่านั้น ในขณะที่บางคนจะขายให้แก่ใครก็ได้ [39] ผู้ขายตลาดขาวมีโอกาสได้แรงจูงใจจากรางวัลที่ไม่ใช่เงิน เช่น การได้การยอมรับและความท้าทายทางปัญญา[41] การขายชุดเอ็กซ์พลอยต์วันศูนย์นั้นไม่ผิดกฎหมาย[35][42] แม้จะมีการเรียกร้องให้ควบคุมทางกฎหมายเพิ่มขึ้น แต่นักวิชาการก็ระบุว่า มีโอกาสได้ข้อตกลงระหว่างประเทศน้อยเพราะผู้เล่นหลัก ๆ เช่น รัสเซียและอิสราเอล ไม่ยอม[42]

ผู้ซื้อขายช่องโหว่วันศูนย์มักจะทำการอย่างลับ ๆ โดยอาศัยสัญญาไม่เปิดเผยข้อมูล (non-disclosure agreements) และกฎหมายข้อมูลลับเพื่อเก็บความลับของชุดการใช้ประโยชน์ หากช่องโหว่กลายเป็นที่รู้จัก ก็อาจจะแพตช์ได้ แล้วราคาก็จะตกลงอย่างรวดเร็ว[43] เนื่องจากตลาดขาดความโปร่งใส การหาราคาที่เป็นธรรมจึงยากสำหรับทุกฝ่าย ผู้ขายอาจไม่ได้รับค่าตอบแทนถ้ามีการเปิดเผยช่องโหว่ก่อนที่ผู้ซื้อจะได้ตรวจสอบ หรือหากผู้ซื้อปฏิเสธที่จะซื้อแต่กลับเอาไปใช้อยู่ดี เพราะมีคนกลางเพิ่มขึ้นเรื่อย ๆ ผู้ขายอาจไม่มีวันรู้ว่าชุดการใช้ประโยชน์จากช่องโหว่จะนำไปใช้ในทางใด[44] ผู้ซื้อก็ไม่มีประกันว่า ชุดการใช้ประโยชน์จะไม่ขายให้แก่คนอื่นด้วย[45] ทั้งผู้ซื้อและผู้ขายต่างโฆษณาบนเว็บมืด[46]

งานวิจัยปี 2022 พบว่า ราคาชุดการใช้ประโยชน์เพิ่มขึ้น 44% ปีต่อปีโดยอิงราคาสูงสุดที่นายหน้ารายหนึ่งอ้าง ชุดการใช้ประโยชน์จากระยะไกลแบบไม่ต้องคลิก (remote zero-click exploit) ขายได้ในราคาสูงสุด แต่ที่ต้องเข้าถึงอุปกรณ์ถึงจะทำได้จะถูกกว่ามาก[47] ช่องโหว่ในซอฟต์แวร์ที่นิยมก็มีราคาแพงกว่าด้วย[48] ประเมินว่ามีผู้ขายชุดการใช้ประโยชน์ราว 400–1,200 คนที่ขายให้แก่นายหน้ารายนั้น แต่ละคนหาเงินได้ประมาณ 5,500–20,800 ดอลลาร์สหรัฐต่อปี (ประมาณ 193,000–729,000 บาท)[49]

การเปิดเผยและการเก็บสะสม

[แก้]

ตั้งแต่ปี 2017 มีการถกเถียงกันอย่างต่อเนื่องว่า สหรัฐอเมริกาควรเปิดเผยช่องโหว่ที่ตนทราบเพื่อให้สามารถแพตช์ได้ หรือควรเก็บไว้เป็นความลับเพื่อใช้งานเอง[50] เหตุผลที่รัฐเก็บช่องโหว่เป็นความลับรวมถึงความต้องการใช้มันในเชิงรุก หรือในเชิงป้องกันเพื่อทดสอบการเจาะระบบ [10] การเปิดเผยช่องโหว่ช่วยลดความเสี่ยงที่ผู้บริโภคและผู้ใช้ซอฟต์แวร์ทั้งหมดจะตกเป็นเหยื่อของมัลแวร์หรือการละเมิดข้อมูล[1]

ประวัติ

[แก้]

ชุดการใช้ประโยชน์วันศูนย์มีความสำคัญมากขึ้นหลังจากบริการต่าง ๆ เช่น แอปเปิล กูเกิล เฟซบุ๊ก และไมโครซอฟต์ เริ่มเข้ารหัสข้อมูลในเซิร์ฟเวอร์และข้อความที่ส่ง ซึ่งหมายความว่าวิธีเดียวในการเข้าถึงข้อมูลของผู้ใช้ได้คือการดักจับข้อมูลที่แหล่งกำเนิดก่อนจะเข้ารหัส[25] การใช้ประโยชน์วันศูนย์ที่รู้จักกันดีที่สุดอย่างหนึ่งคือ หนอนคอมพิวเตอร์ Stuxnet ซึ่งใช้ช่องโหว่วันศูนย์ 4 ตัวเพื่อก่อความเสียหายแก่โครงการนิวเคลียร์ของอิหร่านในปี 2010[7] หนอนนี้แสดงให้เห็นว่าทำอะไรได้ด้วยการใช้ประโยชน์วันศูนย์ จึงทำให้ตลาดขยายตัวยิ่งขึ้น[37]

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เพิ่มการค้นหาช่องโหว่แบบซีโร่เดย์ หลังจากที่บริษัทเทคโนโลยียักษ์ใหญ่ปฏิเสธการติดตั้งประตูหลังลงในซอฟต์แวร์ของตน ๆ โดยมอบหมายให้หน่วย Tailored Access Operations (TAO) ค้นหาและซื้อชุดการใช้ประโยชน์วันศูนย์[51] ในปี 2007 อดีตเจ้าหน้าที่ของสำนักงานเปิดเผยต่อสาธารณชนเป็นครั้งแรกว่า รัฐบาลสหรัฐจัดซื้อชุดการใช้ประโยชน์วันศูนย์[52] ในปี 2013 เอ็ดเวิร์ด สโนว์เดน ได้เปิดเผยข้อมูลบางอย่างเกี่ยวการมีส่วนร่วมของสำนักงานกับช่องโหว่วันศูนย์ แต่ก็ยังขาดรายละเอียด[51] โดยนักข่าวหนังสือพิมพ์ เดอะนิวยอร์กไทมส์ สรุปว่า "อาจเป็นไปได้ว่าสโนว์เดนในฐานะผู้รับเหมาเข้าถึงระบบของรัฐบาลได้ไม่ลึกพอให้ได้ข้อมูลที่ต้องการ หรือแหล่งข้อมูลและวิธีการของรัฐในการซื้อหาช่องโหว่วันศูนย์นั้น เป็นความลับหรือถูกตำหนิได้มากจนกระทั่งหน่วยงานไม่กล้าระบุไว้เป็นลายลักษณ์อักษร"[53]

เชิงอรรถและอ้างอิง

[แก้]
  1. 1.0 1.1 Ablon & Bogart 2017, p. 1.
  2. 2.0 2.1 Ablon & Bogart 2017, p. 2.
  3. Ablon & Bogart 2017, pp. iii, 2.
  4. 4.0 4.1 4.2 4.3 Sood & Enbody 2014, p. 1.
  5. Perlroth 2021, p. 7.
  6. Strout 2023, p. 23.
  7. 7.0 7.1 7.2 Ablon & Bogart 2017, p. 3.
  8. Sood & Enbody 2014, p. 24.
  9. Bravo & Kitchen 2022, p. 11.
  10. 10.0 10.1 Ablon & Bogart 2017, p. xiv.
  11. Sood & Enbody 2014, p. 4.
  12. 12.0 12.1 Ablon & Bogart 2017, p. xiii.
  13. Perlroth 2021, p. 142.
  14. Ablon & Bogart 2017, p. xi.
  15. Ablon & Bogart 2017, p. 8.
  16. 16.0 16.1 16.2 16.3 16.4 Sood & Enbody 2014, p. 42.
  17. Strout 2023, p. 26.
  18. Libicki, Ablon & Webb 2015, p. 50.
  19. 19.0 19.1 Libicki, Ablon & Webb 2015, pp. 49–50.
  20. Strout 2023, p. 28.
  21. Ablon & Bogart 2017, p. x.
  22. Ablon & Bogart 2017, pp. xi–xii.
  23. Ablon & Bogart 2017, p. x: "For a given stockpile of zero-day vulnerabilities, after a year, approximately 5.7 percent have been discovered by an outside entity."
  24. Leal, Marcelo M.; Musgrave, Paul (2023). "Backwards from zero: How the U.S. public evaluates the use of zero-day vulnerabilities in cybersecurity". Contemporary Security Policy. 44 (3): 437–461. doi:10.1080/13523260.2023.2216112. ISSN 1352-3260.
  25. 25.0 25.1 Perlroth 2021, p. 8.
  26. Sood & Enbody 2014, p. 125.
  27. Ahmad et al. 2023, p. 10733.
  28. Strout 2023, p. 24.
  29. Libicki, Ablon & Webb 2015, p. 104.
  30. Dellago, Simpson & Woods 2022, p. 41.
  31. "How to Sell Your Zero-Day (0day) Exploit to ZERODIUM". ZERODIUM. เก็บจากแหล่งเดิมเมื่อ 2024-08-05. สืบค้นเมื่อ 2024-08-11. ... at Zerodium we focus on high-risk vulnerabilities with fully functional exploits and we pay the highest rewards in the market (up to $2,500,000 per submission).
  32. 32.0 32.1 32.2 Libicki, Ablon & Webb 2015, p. 44.
  33. Dellago, Simpson & Woods 2022, p. 33.
  34. O'Harrow 2013, p. 18.
  35. 35.0 35.1 Libicki, Ablon & Webb 2015, p. 45.
  36. Strout 2023, p. 36.
  37. 37.0 37.1 Perlroth 2021, p. 145.
  38. Libicki, Ablon & Webb 2015, pp. 44, 46.
  39. 39.0 39.1 Libicki, Ablon & Webb 2015, p. 46.
  40. Sood & Enbody 2014, p. 116.
  41. Libicki, Ablon & Webb 2015, pp. 46–47.
  42. 42.0 42.1 Gooding, Matthew (2022-07-19). "Zero day vulnerability trade is lucrative but risky". Tech Monitor. สืบค้นเมื่อ 2024-04-04.
  43. Perlroth 2021, p. 42.
  44. Perlroth 2021, p. 57.
  45. Perlroth 2021, p. 58.
  46. Sood & Enbody 2014, p. 117.
  47. Dellago, Simpson & Woods 2022, pp. 31, 41.
  48. Libicki, Ablon & Webb 2015, p. 48.
  49. Dellago, Simpson & Woods 2022, p. 42: "The number of independent active sellers (between 400[31] and 1500[35] individuals) ... 2015,[35] suggests an annual pay of $5.5k - 20.8k per researcher."
  50. Ablon & Bogart 2017, p. iii.
  51. 51.0 51.1 Perlroth 2021, p. 9.
  52. Perlroth 2021, pp. 60, 62.
  53. Perlroth 2021, p. 10.

แหล่งอ้างอิงอื่น 

[แก้]