Из Википедии, бесплатной энциклопедии
  (Перенаправлено из эксплойта нулевого дня )
Перейти к навигации Перейти к поиску

Нулевого дня (также известный как 0-день ) уязвимость является компьютерным программным обеспечением уязвимости , что неизвестно, кто должен быть заинтересован в снижении уязвимости ( в том числе поставщика целевого программного обеспечения). Пока уязвимость не будет устранена, хакеры могут использовать ее, чтобы отрицательно повлиять на компьютерные программы, данные, дополнительные компьютеры или сеть. [1] эксплойт направлено на нулевой день называется нулевой день эксплуатировать, или нулевой день атаки.

Термин «нулевой день» первоначально относился к количеству дней с момента выпуска новой части программного обеспечения для широкой публики, поэтому программное обеспечение «нулевого дня» - это программное обеспечение, которое было получено путем взлома компьютера разработчика перед выпуском. В конце концов этот термин был применен к уязвимостям, которые позволили взломать их, и к количеству дней, в течение которых поставщик должен был их исправить. [2] [3] [4] Как только поставщик узнает об уязвимости, он обычно создает исправления или предлагает обходные пути для ее устранения .

Чем позже поставщик узнал об уязвимости, тем больше вероятность того, что не было разработано никакого исправления или смягчения. Даже после того, как исправление разработано, чем меньше дней с тех пор, тем выше вероятность того, что атака на пораженное программное обеспечение будет успешной, потому что не каждый пользователь этого программного обеспечения применит исправление. Для эксплойтов нулевого дня, если уязвимость не была случайно устранена, например, с помощью несвязанного обновления, которое происходит для исправления уязвимости, вероятность того, что пользователь применил предоставленный поставщиком патч, устраняющий проблему, равна нулю, поэтому эксплойт останется доступным. . Атаки нулевого дня представляют собой серьезную угрозу . [5]

Векторы атак [ править ]

Создатели вредоносных программ могут использовать уязвимости нулевого дня с помощью нескольких различных векторов атак . Иногда, когда пользователи посещают мошеннические веб-сайты , вредоносный код на сайте может использовать уязвимости в веб-браузерах . Веб-браузеры являются особой мишенью для преступников из-за их широкого распространения и использования. Киберпреступники , а также международные производители из программ - шпионов , такие как Израиль «s НСУ Group , [6] также может отправить злонамеренное электронную почту вложение через SMTP, использующие уязвимости в приложении, открывающем вложение. [7] Эксплойты, использующие общие типы файлов , многочисленны и часты, о чем свидетельствует их все большее появление в таких базах данных, как US-CERT . Преступники могут создавать вредоносные программы, чтобы использовать эксплойты этих типов файлов для взлома атакованных систем или кражи конфиденциальных данных. [8]

Окно уязвимости [ править ]

Время от момента, когда программный эксплойт впервые становится активным, до момента, когда количество уязвимых систем сокращается до незначительного значения, известно как окно уязвимости (WoV). [9] График каждой уязвимости программного обеспечения определяется следующими основными событиями:

  • t 0 : уязвимость обнаружена (кем угодно).
  • t 1a : исправление безопасности опубликовано (например, поставщиком программного обеспечения).
  • t 1b : Активизируется эксплойт.
  • t 2 : Патч применили наиболее уязвимые системы.

Таким образом, формула длины окна уязвимости: t 2 - t 1b.

В этой формулировке всегда верно, что t 0t 1a и t 0t 1b . Обратите внимание, что t 0 не то же самое, что Day Zero. Например, если хакер первым обнаружит (в момент t 0 ) уязвимость, поставщик может узнать о ней гораздо позже (в нулевой день).

Для обычных уязвимостей t 1b > t 1a . Это означает, что поставщик программного обеспечения знал об уязвимости и имел время опубликовать исправление безопасности ( t 1a ) до того, как любой хакер смог создать работоспособный эксплойт ( t 1b ). Для эксплойтов нулевого дня t 1bt 1a , так что эксплойт становится активным до того, как патч становится доступным.

Не раскрывая известные уязвимости, производитель программного обеспечения надеется достичь t 2 до достижения t 1b , избегая, таким образом, любых эксплойтов. Однако производитель не дает никаких гарантий, что хакеры не найдут уязвимости самостоятельно. Кроме того, хакеры могут сами анализировать исправления безопасности и, таким образом, обнаруживать лежащие в их основе уязвимости и автоматически генерировать рабочие эксплойты. [10] Эти эксплойты могут эффективно использоваться до момента t 2 .

На практике размер WoV варьируется в зависимости от системы, поставщика и отдельных уязвимостей. Он часто измеряется в днях, и в одном из отчетов за 2006 год средний показатель оценивается в 28 дней. [11]

Защита [ править ]

Защита нулевого дня - это способность обеспечить защиту от эксплойтов нулевого дня. Поскольку атаки нулевого дня обычно неизвестны публике, часто сложно от них защититься. Атаки нулевого дня часто эффективны против «безопасных» сетей и могут оставаться незамеченными даже после запуска. Таким образом, пользователи так называемых безопасных систем также должны руководствоваться здравым смыслом и практиковать безопасные компьютерные навыки. [12]

Существует множество методов, ограничивающих эффективность уязвимостей нулевого дня, связанных с повреждением памяти, таких как переполнение буфера . Эти механизмы защиты существуют в современных операционных системах, таких как macOS , Windows Vista и выше (см. Также: Функции безопасности, новые для Windows Vista ), Solaris , Linux , Unix и Unix-подобных средах; Пакет обновления 2 для Windows XP включает ограниченную защиту от общих уязвимостей, связанных с повреждением памяти [13]а предыдущие версии включают еще меньше. Программное обеспечение для защиты настольных компьютеров и серверов также существует для смягчения уязвимостей, связанных с переполнением буфера нулевого дня. Обычно эти технологии включают эвристический анализ завершения - их остановку до того, как они причинят какой-либо вред. [14]

Было высказано предположение, что решение такого рода может быть недостижимо, потому что в общем случае алгоритмически невозможно проанализировать любой произвольный код, чтобы определить, является ли он вредоносным, поскольку такой анализ сводится к проблеме остановки над линейным ограниченным автоматом., которая неразрешима. Однако нет необходимости рассматривать общий случай (то есть сортировать все программы по категориям вредоносных и не вредоносных) в большинстве случаев, чтобы устранить широкий спектр вредоносного поведения. Достаточно признать безопасность ограниченного набора программ (например, тех, которые могут обращаться или изменять только заданное подмножество машинных ресурсов), отвергая при этом как некоторые безопасные, так и все небезопасные программы. Это действительно требует поддержания целостности этих безопасных программ, что может оказаться трудным перед лицом эксплойта на уровне ядра. [ необходима цитата ]

Emergency Response Team Zeroday (ZERT) была группой инженеров программного обеспечения , которые работали , чтобы выпускать патчи без поставщика для нулевого дня подвигов.

Черви [ править ]

Черви нулевого дня используют преимущества внезапной атаки, пока они еще неизвестны специалистам по компьютерной безопасности . Недавняя история показывает возрастающую скорость распространения червей. Хорошо разработанные черви могут очень быстро распространяться с разрушительными последствиями для Интернета и других систем.

Этика [ править ]

Существуют разные идеологии относительно сбора и использования информации об уязвимостях нулевого дня. Многие поставщики компьютерной безопасности проводят исследования уязвимостей нулевого дня, чтобы лучше понять природу уязвимостей и их использование отдельными лицами, компьютерными червями и вирусами. В качестве альтернативы некоторые поставщики приобретают уязвимости, чтобы увеличить свои исследовательские возможности. Примером такой программы является инициатива нулевого дня TippingPoint . Хотя продажа и покупка этих уязвимостей технически не является незаконной в большинстве частей мира, существует много споров по поводу метода раскрытия информации. Решение Германии 2006 года о включении статьи 6 Конвенции о киберпреступности и Рамочного решения ЕС о атаках на информационные системыможет сделать незаконной продажу или даже изготовление уязвимостей. [ необходима цитата ]

Большинство официальных программ следуют той или иной форме руководящих принципов раскрытия информации Rain Forest Puppy или более поздних рекомендаций OIS по отчетности и реагированию на уязвимости системы безопасности. Как правило, эти правила запрещают публичное раскрытие уязвимостей без уведомления поставщика и без достаточного времени для выпуска исправления.

Вирусы [ править ]

Нулевого день вирус (также известный как нулевой день вредоносные программы или следующее поколение вредоносные программы ) является ранее неизвестным компьютерным вирусом или другими вредоносными программами , для которых конкретных антивирусов подпись еще не доступна. [15]

Традиционно антивирусное программное обеспечение использует сигнатуры для идентификации вредоносных программ. Это может быть очень эффективным, но не может защитить от вредоносных программ, если уже не получены образцы, не сгенерированы подписи и не распространены обновления среди пользователей. Из-за этого подходы на основе сигнатур неэффективны против вирусов нулевого дня.

Большинство современных антивирусных программ по-прежнему используют сигнатуры, но также проводят другие виды анализа.

Анализ кода [ править ]

В анализе кода , то машинный код файла анализируется , чтобы увидеть , если есть что - то , что выглядит подозрительно. Как правило, вредоносное ПО имеет характерное поведение, и анализ кода пытается определить, присутствует ли оно в коде.

Несмотря на свою полезность, анализ кода имеет значительные ограничения. Не всегда легко определить, для чего предназначена часть кода; особенно, если он очень сложен и был написан намеренно с целью опровергнуть анализ. Еще одно ограничение анализа кода - это время и доступные ресурсы. В конкурентном мире антивирусного программного обеспечения всегда существует баланс между эффективностью анализа и временной задержкой.

Эмуляция [ править ]

Один из подходов к преодолению ограничений анализа кода заключается в том, чтобы антивирусное программное обеспечение запускало подозрительные участки кода в безопасной песочнице и наблюдало за их поведением. Это может быть на порядки быстрее, чем анализ того же кода, но должно противостоять (и обнаруживать) попытки кода обнаружить песочницу.

Общие подписи [ править ]

Общие сигнатуры - это сигнатуры, которые относятся к определенному поведению, а не к конкретному элементу вредоносного ПО. Большинство новых вредоносных программ не являются полностью новыми, но представляют собой вариации более ранних вредоносных программ или содержат код одного или нескольких более ранних примеров вредоносного ПО. Таким образом, результаты предыдущего анализа могут быть использованы против новых вредоносных программ.

Конкурентоспособность в индустрии антивирусного программного обеспечения [ править ]

В антивирусной индустрии принято считать, что защита на основе сигнатур большинства поставщиков одинаково эффективна. Если для вредоносного ПО доступна сигнатура, то каждый продукт (за исключением неисправных) должен ее обнаружить. Однако некоторые поставщики значительно быстрее других узнают о новых вирусах и / или обновляют базы данных сигнатур своих клиентов для их обнаружения. [16]

С точки зрения защиты от вирусов нулевого дня существует широкий диапазон эффективности. Немецкий компьютерный журнал c't обнаружил , что частота обнаружения для нулевого дня вирусов варьировалась от 20% до 68%. [17] В первую очередь производители конкурируют в области защиты от вирусов нулевого дня.

Участие правительства США [ править ]

Использование АНБ эксплойтов нулевого дня (2017) [ править ]

В середине апреля 2017 года хакеры, известные как Shadow Brokers (TSB), предположительно связанные с российским правительством [18] [19], выпустили файлы из АНБ (первоначально считавшееся якобы исходящим от АНБ, позже подтвержденное внутренним подробностей и американского информатора Эдварда Сноудена ) [20], которые включают серию «эксплойтов нулевого дня», нацеленных на программное обеспечение Microsoft Windows, и инструмент для проникновения в поставщика услуг Общества всемирных межбанковских финансовых телекоммуникаций (SWIFT). [21] [22] [23] Ars Technica сообщила о взломе Shadow Brokers в середине января 2017 года [24]а в апреле Shadow Brokers опубликовали эксплойты в качестве доказательства. [24]

Уязвимость операций с акционерным капиталом [ править ]

Основная статья: Процесс оценки уязвимости акций

Процесс долевого участия в уязвимостях , впервые публично обнародованный в 2016 году, представляет собой процесс, используемый федеральным правительством США для определения в каждом конкретном случае, как оно должно обрабатывать уязвимости компьютерной безопасности нулевого дня ; раскрывать ли их общественности, чтобы улучшить общую компьютерную безопасность, или держать их в секрете для использования в наступательных целях против противников правительства. [25]

Процесс подвергался критике за ряд недостатков, включая ограничение соглашениями о неразглашении информации, отсутствие рейтингов риска, особый режим для АНБ и менее чем искреннюю приверженность раскрытию информации в качестве варианта по умолчанию. [26]

Обнаружение на основе подписи [ править ]

Сигнатура вируса - это уникальный шаблон или код, который можно использовать для обнаружения и идентификации определенных вирусов. Антивирус сканирует сигнатуры файлов и сравнивает их с базой данных известных вредоносных кодов. Если они совпадают, файл помечается и рассматривается как угроза. Основным ограничением обнаружения на основе сигнатур является то, что оно способно помечать только уже известные вредоносные программы, что делает его совершенно бесполезным против атак нулевого дня. [27]

См. Также [ править ]

  • Контроль доступа
  • Программа Bug Bounty
  • Эвристический анализ
  • Рынок эксплойтов нулевого дня
  • Контроль доступа к сети
  • Защита доступа к сети
  • Контроль доступа к сети
  • Программно-определяемая защита
  • Целевые атаки
  • Убежище 7
  • Белая шляпа (компьютерная безопасность)
  • Zero Days , документальный фильм о 4 нулевых днях в stuxnet

Ссылки [ править ]

  1. ^ Сравните: «Что такое уязвимость нулевого дня?» . pctools . Symantec . Архивировано из оригинала на 2017-07-04 . Проверено 20 января 2016 . Уязвимость нулевого дня относится к уязвимости в программном обеспечении, которая неизвестна поставщику. Эта дыра в безопасности может быть использована взломщиками до того, как поставщик узнает об этом и поспешит исправить это - такая уязвимость называется атакой нулевого дня.
  2. ^ Ким Zetter (11 ноября 2014). «Хакерский лексикон: что такое нулевой день?» . Проводной .
  3. Марк Маундер (16 июня 2014 г.). «Откуда появился термин« нулевой день »» . Архивировано из оригинала на 31 января 2018 года.
  4. ^ «Уязвимости Flash, вызывающие проблемы» . ESET . Архивировано из оригинала на 4 марта 2016 года . Проверено 4 марта, 2016 .
  5. Человек, который основал Stuxnet - Сергей Уласен в центре внимания, опубликованный 2 ноября 2011 г.
  6. ^ Ахмед, Азам; Перлрот, Николь (19 июня 2017 г.). «Использование текстов как приманки, правительственное шпионское ПО нацелено на мексиканских журналистов и их семьи» . Нью-Йорк Таймс . Дата обращения 19 мая 2019 .
  7. ^ " SANS видит рост атак нулевого дня через Интернет , Computerworld " . Архивировано из оригинального 22 декабря 2008 года.
  8. ^ " " Электронное письмо с оценкой остаточного риска "Avinti, Inc., стр. 2" (PDF) .
  9. Johansen, Håvard; Йохансен, Даг; Ренесс, Робберт ван (2007-05-14). Вентер, Хайн; Элофф, Марики; Лабушань, Лес; Элофф, Ян; Solms, Rossouw von (ред.). Новые подходы к безопасности, конфиденциальности и доверию в сложных средах . IFIP Международная федерация обработки информации. Springer США. стр.  373 -384. DOI : 10.1007 / 978-0-387-72367-9_32 . ISBN 9780387723662.
  10. ^ Halvar, Flake (2016-10-25). «Структурное сравнение исполняемых объектов» . Конспект лекций по информатике : 46. doi : 10.17877 / de290r-2007 .
  11. ^ "Отчет об угрозах безопасности в Интернете" Symantec Corp, Vol. X, сентябрь 2006 г., стр. 12
  12. ^ «Что такое эксплойт нулевого дня? - Введение в программные эксплойты нулевого дня и советы по их предотвращению дома» . what-is-what.com .
  13. ^ «Изменения функциональности в Microsoft Windows XP с пакетом обновления 2» .
  14. ^ «Смягчение атак нулевого дня внедрения XML с помощью систем обнаружения на основе стратегии» (PDF) . Проверено 29 декабря 2013 года .
  15. ^ "Cyberhawk - обзор обнаружения угроз нулевого дня" . Kickstartnews . Проверено 29 декабря 2013 года .
  16. ^ Роберт Вестервельт (апрель 2011 г.). «Поставщики антивирусов выходят за рамки сигнатурных антивирусов» . Проверено 7 января 2019 .
  17. ^ Goodin, Dan (21 декабря 2008). «Антивирусная защита ухудшается» . Канал . Проверено 29 декабря 2013 года .
  18. ^ «Косвенные доказательства и общепринятое мнение указывают на ответственность России. Вот почему это важно» . Twitter . 16 августа 2016 . Проверено 22 августа 2016 года .
  19. ^ Цена, Роб. «Эдвард Сноуден: Россия могла передать информацию о предполагаемом кибероружии АНБ ni9G3r в качестве« предупреждения » » . Business Insider . Проверено 22 августа 2016 года .
  20. Сэм Биддл (19 августа 2016 г.). «Утечка АНБ реальна, документы Сноудена подтверждают» . Перехват . Проверено 15 апреля 2017 года .
  21. Генри Фаррелл (15 апреля 2017 г.), «Хакеры только что выбросили кладезь данных АНБ. Вот что это значит». , The Washington Post , получено 15 апреля 2017 г.
  22. Рианна Болдуин, Клэр (15 апреля 2017 г.). «Хакеры публикуют файлы, свидетельствующие о том, что АНБ контролировало глобальные банковские переводы» . Рейтер . Проверено 15 апреля 2017 года .
  23. ^ Лоулер, Ричард. «Сообщение Shadow Brokers также предполагает, что АНБ шпионило за банковскими операциями» . Engadget . Проверено 15 апреля 2017 года .
  24. ^ а б Дэн Гудин (2017-01-13). «Утечка из АНБ Shadow Brokers подбрасывает коктейль Молотова перед тем, как покинуть мировую арену» . Ars Technica . Проверено 14 января 2017 года .
  25. ^ Ньюман, Лили Хэй (2017-11-15). «Федералы объясняют свою тайну ошибок программного обеспечения - но не стирают опасения» . ПРОВОДНОЙ . Проверено 16 ноября 2017 .
  26. Маккарти, Кирен (15 ноября 2017 г.). «Четыре проблемы с последним сводом правил правительства США по раскрытию ошибок безопасности» . Реестр . Проверено 16 ноября 2017 .
  27. ^ «Что такое атаки нулевого дня? | Детектив по безопасности» . Детектив безопасности . 2018-08-30 . Проверено 22 ноября 2018 .

Дальнейшее чтение [ править ]

  • Мессмер, Эллен (6 апреля 2007 г.). "Настольный антивирус мертв?" . Мир ПК .
  • Нарайн, Райан (1 декабря 2006 г.). «Антивирус мертв, мертв, мертв!» . eWeek . Архивировано из оригинала 3 августа 2012 года.
Примеры атак нулевого дня

(Хронологический порядок)

  • "Атака нулевого дня PowerPoint может быть случаем корпоративного шпионажа" . FoxNews . 24 июля 2006 г.
  • Нарайн, Райан (7 декабря 2006 г.). «Microsoft выпускает предупреждение об атаке нулевого дня Word» . eWeek .
  • «Злоумышленники хватаются за новый нулевой день в Word» . InfoWorld . 15 февраля 2007 г.

Внешние ссылки [ править ]

  • «База данных уязвимостей» . US-CERT .
  • «Отслеживание нулевого дня» . research.eeye.com .
  • «Проект отслеживания уязвимостей нулевого дня» . www.zero-day.cz .
  • «0day Exploit DataBase» . 0day.today . 2019-04-04.