Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Нулевого дня (также известный как 0-день ) является компьютер программное обеспечение уязвимости неизвестны тем , кто должен быть заинтересован в его смягчения (включая поставщика целевого программного обеспечения). Пока уязвимость не будет устранена, хакеры могут использовать ее, чтобы отрицательно повлиять на программы, данные, дополнительные компьютеры или сеть. [1] эксплойт направлено на нулевой день называется нулевой день эксплуатировать , или нулевой день атаки.

Термин «нулевой день» первоначально относился к количеству дней с момента выпуска нового программного обеспечения для публики, поэтому «программное обеспечение нулевого дня» было получено путем взлома компьютера разработчика перед выпуском. В конце концов, этот термин был применен к уязвимостям, которые позволили взломать их, и к количеству дней, в течение которых поставщик должен был их исправить. [2] [3] [4] Как только поставщик узнает об уязвимости, он обычно создает исправления или предлагает обходные пути для ее устранения .

Чем позже поставщик узнал об уязвимости, тем более вероятно, что не было разработано никакого исправления или смягчения. После разработки исправления вероятность успеха эксплойта снижается, поскольку все больше пользователей со временем применяют исправление. Для эксплойтов нулевого дня, если уязвимость не была случайно устранена, например, с помощью несвязанного обновления, которое происходит для исправления уязвимости, вероятность того, что пользователь применил предоставленный поставщиком патч, устраняющий проблему, равна нулю, поэтому эксплойт останется имеется в наличии. Атаки нулевого дня представляют собой серьезную угрозу . [5]

Векторы атак [ править ]

Создатели вредоносных программ могут использовать уязвимости нулевого дня с помощью нескольких различных векторов атак . Иногда, когда пользователи посещают мошеннические веб-сайты , вредоносный код на сайте может использовать уязвимости в веб-браузерах . Веб-браузеры являются особой мишенью для преступников из-за их широкого распространения и использования. Киберпреступники , а также международные производители из программ - шпионов , такие как Израиль «s НСУ Group , [6] также может отправить злонамеренное электронную почту вложение через SMTP, использующие уязвимости в приложении, открывающем вложение. [7] Эксплойты, использующие преимущества общих типов файлов , многочисленны и часты, о чем свидетельствует их все большее появление в таких базах данных, как US-CERT . Преступники могут создавать вредоносные программы, чтобы использовать эксплойты этих типов файлов для взлома атакованных систем или кражи конфиденциальных данных. [8]

Окно уязвимости [ править ]

Время от момента, когда программный эксплойт впервые становится активным, до момента, когда количество уязвимых систем сокращается до незначительности, известно как окно уязвимости . [9] График каждой уязвимости программного обеспечения определяется следующими основными событиями:

  • t 0 : уязвимость обнаружена (кем угодно).
  • t 1a : исправление безопасности опубликовано (например, поставщиком программного обеспечения).
  • t 1b : активизируется эксплойт.
  • t 2 : Патч уже применен к наиболее уязвимым системам.

Таким образом, формула длины окна уязвимости: t 2  -  t 1b .

В этой формулировке всегда верно, что t 0t 1a и t 0t 1b . Обратите внимание, что t 0 - это не нулевой день . Например, если хакер первым обнаружит (в момент t 0 ) уязвимость, поставщик может узнать о ней гораздо позже (в нулевой день).

Для обычных уязвимостей t 1b > t 1a . Это означает, что поставщик программного обеспечения знал об уязвимости и имел время опубликовать исправление безопасности ( t 1a ) до того, как какой-либо хакер смог создать работоспособный эксплойт ( t 1b ). Для эксплойтов нулевого дня t 1bt 1a , так что эксплойт становится активным до того, как патч становится доступным.

Не раскрывая известные уязвимости, поставщик программного обеспечения надеется достичь t 2 до достижения t 1b , избегая, таким образом, любых эксплойтов. Однако производитель не дает никаких гарантий, что хакеры не найдут уязвимости самостоятельно. Кроме того, хакеры могут сами анализировать исправления безопасности и, таким образом, обнаруживать лежащие в их основе уязвимости и автоматически генерировать рабочие эксплойты. [10] Эти эксплойты могут эффективно использоваться до момента t 2 .

На практике продолжительность окна уязвимости варьируется в зависимости от системы, поставщика и отдельных уязвимостей. Он часто измеряется в днях, при этом в одном из отчетов за 2006 год средний показатель оценивается как 28 дней. [11]

Защита [ править ]

Защита нулевого дня - это способность обеспечить защиту от эксплойтов нулевого дня. Поскольку атаки нулевого дня обычно неизвестны публике, от них часто сложно защититься. Атаки нулевого дня часто эффективны против «безопасных» сетей и могут оставаться незамеченными даже после запуска. Таким образом, пользователи так называемых безопасных систем также должны руководствоваться здравым смыслом и практиковать безопасные компьютерные навыки. [12]

Существует множество методов, ограничивающих эффективность уязвимостей нулевого дня, связанных с повреждением памяти, таких как переполнение буфера . Эти механизмы защиты существуют в современных операционных системах, таких как macOS , Windows Vista и выше (см. Также: Функции безопасности, новые для Windows Vista ), Solaris , Linux , Unix и Unix-подобных средах; Пакет обновления 2 для Windows XP включает ограниченную защиту от общих уязвимостей, связанных с повреждением памяти [13]а предыдущие версии включают еще меньше. Программное обеспечение для защиты настольных компьютеров и серверов также существует для предотвращения уязвимостей, связанных с переполнением буфера нулевого дня. Обычно эти технологии включают эвристический анализ завершения , чтобы остановить атаки до того, как они нанесут какой-либо вред. [14]

Было высказано предположение, что решение такого рода может оказаться недосягаемым, поскольку в общем случае алгоритмически невозможно проанализировать любой произвольный код, чтобы определить, является ли он вредоносным, поскольку такой анализ сводится к проблеме остановки над линейным ограниченным автоматом., которая неразрешима. Однако нет необходимости рассматривать общий случай (то есть сортировать все программы по категориям вредоносных и не вредоносных) в большинстве случаев, чтобы исключить широкий спектр злонамеренного поведения. Достаточно признать безопасность ограниченного набора программ (например, тех, которые могут обращаться или изменять только заданное подмножество машинных ресурсов), отвергая при этом как некоторые безопасные, так и все небезопасные программы. Это действительно требует сохранения целостности этих безопасных программ, что может оказаться трудным перед лицом эксплойта на уровне ядра. [ необходима цитата ]

Группа реагирования на чрезвычайные ситуации Zeroday (ZERT) была группой инженеров-программистов, которые работали над выпуском сторонних патчей для эксплойтов нулевого дня.

Черви [ править ]

Черви нулевого дня используют преимущества внезапной атаки, пока они еще неизвестны специалистам по компьютерной безопасности . Недавняя история показывает увеличивающуюся скорость распространения червей. Хорошо спроектированные черви могут очень быстро распространяться с разрушительными последствиями для Интернета и других систем. [ необходима цитата ]

Этика [ править ]

Существуют разные идеологии, касающиеся сбора и использования информации об уязвимостях нулевого дня. Многие поставщики компьютерной безопасности проводят исследования уязвимостей нулевого дня, чтобы лучше понять природу уязвимостей и их использование отдельными лицами, компьютерными червями и вирусами. В качестве альтернативы некоторые поставщики приобретают уязвимости, чтобы увеличить свои исследовательские возможности. [ требуется пояснение ] Примером такой программы является инициатива нулевого дня TippingPoint . Хотя продажа и покупка этих уязвимостей технически не является незаконной в большинстве частей мира, существует много споров по поводу метода раскрытия информации. Решение Германии 2006 года о включении статьи 6 Конвенции о киберпреступности иРамочное решение ЕС об атаках на информационные системы может сделать продажу или даже изготовление уязвимостей незаконными. [ необходима цитата ]

Большинство официальных программ следуют той или иной форме руководящих принципов раскрытия информации Rain Forest Puppy или более поздних рекомендаций OIS по сообщению об уязвимостях безопасности и реагированию на них. [ необходима цитата ] В целом, эти правила запрещают публичное раскрытие уязвимостей без уведомления поставщика и без достаточного времени для создания исправления.

Вирусы [ править ]

Нулевого день вирус (также известный как нулевой день вредоносные программы или следующее поколение вредоносные программы ) является ранее неизвестным компьютерным вирусом или другими вредоносными программами , для которых конкретных антивирусов подпись еще не доступна. [15]

Традиционно антивирусное программное обеспечение полагалось на сигнатуры для идентификации вредоносных программ. Сигнатура вируса - это уникальный образец или код, который можно использовать для обнаружения и идентификации определенных вирусов. Антивирус сканирует сигнатуры файлов и сравнивает их с базой данных известных вредоносных кодов. Если они совпадают, файл помечается и рассматривается как угроза. Основным ограничением обнаружения на основе сигнатур является то, что оно способно помечать только уже известные вредоносные программы, что делает его бесполезным против атак нулевого дня. [16] Большинство современных антивирусных программ по-прежнему используют сигнатуры, но также проводят другие виды анализа. [ необходима цитата ]

Анализ кода [ править ]

В анализе кода , то машинный код файла анализируется , чтобы увидеть , если есть что - то , что выглядит подозрительно. Как правило, вредоносное ПО имеет характерное поведение; Анализ кода пытается определить, присутствует ли это в коде.

Хотя анализ кода полезен, он имеет значительные ограничения. Не всегда легко определить, для чего предназначен фрагмент кода, особенно если он очень сложен и был специально написан с целью помешать анализу. Еще одно ограничение анализа кода - это время и доступные ресурсы. В конкурентном мире антивирусного программного обеспечения всегда существует баланс между эффективностью анализа и необходимой временной задержкой.

Один из подходов к преодолению ограничений анализа кода заключается в том, чтобы антивирусное программное обеспечение запускало подозрительные участки кода в безопасной песочнице и наблюдало за их поведением. Это может быть на порядки быстрее, чем анализ того же кода, но должно противостоять (и обнаруживать) попытки кода обнаружить песочницу.

Общие подписи [ править ]

Общие сигнатуры - это сигнатуры, которые относятся к определенному поведению, а не к конкретному элементу вредоносного ПО. Большинство новых вредоносных программ не являются полностью новыми, но представляют собой вариации более ранних вредоносных программ или содержат код из одного или нескольких более ранних примеров вредоносного ПО. Таким образом, результаты предыдущего анализа могут быть использованы против новых вредоносных программ.

Конкурентоспособность в индустрии антивирусного программного обеспечения [ править ]

В антивирусной индустрии принято считать, что защита на основе сигнатур большинства поставщиков одинаково эффективна. Если для вредоносного ПО доступна сигнатура, то каждый продукт (за исключением неисправных) должен ее обнаружить. Однако некоторые поставщики значительно быстрее других узнают о новых вирусах и / или обновляют базы данных сигнатур своих клиентов для их обнаружения. [17]

Существует широкий диапазон эффективности с точки зрения защиты от вирусов нулевого дня. Немецкий компьютерный журнал c't обнаружил , что частота обнаружения для нулевого дня вирусов варьировалась от 20% до 68%. [18] В первую очередь производители конкурируют в области защиты от вирусов нулевого дня.

Участие правительства США [ править ]

Использование АНБ эксплойтов нулевого дня (2017) [ править ]

В середине апреля 2017 года хакеры, известные как The Shadow Brokers (TSB), которые предположительно связаны с российским правительством [19] [20], опубликовали файлы из АНБ (первоначально считавшееся якобы принадлежащим АНБ, позже подтвердилось). через внутренние данные и американским информатором Эдвардом Сноуденом ) [21], которые включают серию «эксплойтов нулевого дня», нацеленных на программное обеспечение Microsoft Windows, и инструмент для проникновения в поставщика услуг Общества всемирных межбанковских финансовых телекоммуникаций (SWIFT). [22] [23] [24] Ars Technica сообщила о взломе Shadow Brokers в середине января 2017 года, [25]а в апреле Shadow Brokers опубликовали эксплойты в качестве доказательства. [25]

Уязвимость операций с акционерным капиталом [ править ]

Основная статья: Процесс оценки уязвимостей акций

Процесс долевого участия в уязвимостях , впервые обнародованный в 2016 году, представляет собой процесс, используемый федеральным правительством США для определения в каждом конкретном случае, как оно должно относиться к уязвимостям компьютерной безопасности нулевого дня : раскрывать ли их общественности, чтобы помочь улучшить общую компьютерную безопасность или сохранить их в секрете для использования в нападениях против врагов правительства. [26] Процесс подвергался критике за ряд недостатков, включая ограничение соглашениями о неразглашении информации, отсутствие рейтингов риска, особый режим для АНБ и менее чем искреннюю приверженность раскрытию информации в качестве варианта по умолчанию. [27]

См. Также [ править ]

  • Контроль доступа
  • Программа Bug Bounty
  • Эвристический анализ
  • Рынок эксплойтов нулевого дня
  • Контроль доступа к сети
  • Защита доступа к сети
  • Контроль доступа к сети
  • Программно-определяемая защита
  • Целевые атаки
  • Убежище 7
  • Белая шляпа (компьютерная безопасность)
  • Zero Days , документальный фильм о 4 нулевых днях в stuxnet

Ссылки [ править ]

  1. ^ Сравните: «Что такое уязвимость нулевого дня?» . pctools . Symantec . Архивировано из оригинала на 2017-07-04 . Проверено 20 января 2016 . Уязвимость «нулевого дня» относится к уязвимости в программном обеспечении, неизвестной поставщику. Эта брешь в безопасности может быть использована взломщиками до того, как поставщик узнает об этом и поспешит исправить - этот эксплойт называется атакой нулевого дня.
  2. ^ Ким Zetter (11 ноября 2014). «Хакерский лексикон: что такое нулевой день?» . Проводной .
  3. Марк Маундер (16 июня 2014 г.). «Откуда появился термин« нулевой день »» . Архивировано из оригинала на 31 января 2018 года.
  4. ^ «Уязвимости Flash, вызывающие проблемы» . ESET . Архивировано из оригинала на 4 марта 2016 года . Проверено 4 марта, 2016 .
  5. Человек, который основал Stuxnet - Сергей Уласен в центре внимания, опубликованный 2 ноября 2011 г.
  6. ^ Ахмед, Азам; Перлрот, Николь (19 июня 2017 г.). «Использование текстов в качестве приманки, правительственное шпионское ПО нацелено на мексиканских журналистов и их семьи» . Нью-Йорк Таймс . Архивировано из оригинала на 2017-12-29 . Дата обращения 19 мая 2019 .
  7. ^ «SANS видит рост атак нулевого дня через Интернет» . Компьютерный мир . Архивировано из оригинального 22 декабря 2008 года.
  8. ^ «Оценка остаточного риска по электронной почте» (PDF) . Avinti, Inc . п. 2.
  9. Johansen, Håvard; Йохансен, Даг; Ренесс, Робберт ван (2007-05-14). Вентер, Хайн; Элофф, Марики; Лабушань, Лес; Элофф, Ян; Solms, Rossouw von (ред.). Новые подходы к безопасности, конфиденциальности и доверию в сложных средах . Международная федерация обработки информации IFIP. Springer США. стр.  373 -384. DOI : 10.1007 / 978-0-387-72367-9_32 . ISBN 9780387723662.
  10. ^ Halvar, Flake (2016-10-25). «Структурное сравнение исполняемых объектов» . Конспект лекций по информатике : 46. doi : 10.17877 / de290r-2007 .
  11. ^ Отчет об угрозах интернет-безопасности . 10 . Symantec Corp . Сентябрь 2006 г. с. 12.
  12. ^ «Что такое эксплойт нулевого дня? - Введение в эксплойты программного обеспечения нулевого дня и советы по их предотвращению в домашних условиях» . what-is-what.com .
  13. ^ «Изменения функциональности в Microsoft Windows XP с пакетом обновления 2» .
  14. ^ «Смягчение атак нулевого дня внедрения XML с помощью систем обнаружения на основе стратегии» (PDF) . Проверено 29 декабря 2013 года .
  15. ^ "Cyberhawk - обзор обнаружения угроз нулевого дня" . Kickstartnews . Проверено 29 декабря 2013 года .
  16. ^ «Что такое атаки нулевого дня? | Детектив по безопасности» . Детектив безопасности . 2018-08-30 . Проверено 22 ноября 2018 .
  17. ^ Роберт Вестервельт (апрель 2011 г.). «Поставщики антивирусов выходят за рамки сигнатурных антивирусов» . Проверено 7 января 2019 .
  18. ^ Goodin, Dan (21 декабря 2008). «Антивирусная защита ухудшается» . Канал . Проверено 29 декабря 2013 года .
  19. ^ «Косвенные доказательства и общепринятое мнение указывают на ответственность России. Вот почему это важно» . Twitter . 16 августа 2016 . Проверено 22 августа 2016 года .
  20. ^ Цена, Роб. «Эдвард Сноуден: Россия могла передать информацию о предполагаемом кибероружии АНБ ni9G3r в качестве« предупреждения » » . Business Insider . Проверено 22 августа 2016 года .
  21. Сэм Биддл (19 августа 2016 г.). «Утечка АНБ реальна, документы Сноудена подтверждают» . Перехват . Проверено 15 апреля 2017 года .
  22. Генри Фаррелл (15 апреля 2017 г.), «Хакеры только что выбросили кладезь данных АНБ. Вот что это значит». , The Washington Post , получено 15 апреля 2017 г.
  23. Рианна Болдуин, Клэр (15 апреля 2017 г.). «Хакеры публикуют файлы, свидетельствующие о том, что АНБ контролировало глобальные банковские переводы» . Рейтер . Проверено 15 апреля 2017 года .
  24. ^ Лоулер, Ричард. «Сообщение Shadow Brokers также предполагает, что АНБ шпионило за банковскими операциями» . Engadget . Проверено 15 апреля 2017 года .
  25. ^ a b Дэн Гудин (13 января 2017). «Теневые брокеры, получившие утечку из АНБ, выплескивают коктейль Молотова перед тем, как покинуть мировую арену» . Ars Technica . Проверено 14 января 2017 года .
  26. ^ Ньюман, Лили Хэй (2017-11-15). «Федералы объясняют, как они хранят ошибки в программном обеспечении, но не стирают опасения» . ПРОВОДНОЙ . Проверено 16 ноября 2017 .
  27. Маккарти, Кирен (15 ноября 2017 г.). «Четыре проблемы с последним сводом правил правительства США по раскрытию ошибок безопасности» . Реестр . Проверено 16 ноября 2017 .

Дальнейшее чтение [ править ]

  • Мессмер, Эллен (6 апреля 2007 г.). "Настольный антивирус мертв?" . Мир ПК .
  • Нарайн, Райан (1 декабря 2006 г.). «Антивирус мертв, мертв, мертв!» . eWeek . Архивировано из оригинала 3 августа 2012 года.
Примеры атак нулевого дня

(Хронологический порядок)

  • «Атака нулевого дня PowerPoint может быть случаем корпоративного шпионажа» . FoxNews . 24 июля 2006 г.
  • Нарайн, Райан (7 декабря 2006 г.). «Microsoft выпускает предупреждение об атаке нулевого дня Word» . eWeek .
  • «Злоумышленники хватаются за новый нулевой день в Word» . InfoWorld . 15 февраля 2007 г.

Внешние ссылки [ править ]