0-zi

0-day (sau zero-day ), în tehnologia informației , este orice vulnerabilitate a securității informației care nu este cunoscută în mod expres de dezvoltator sau compania care a produs un anumit sistem informatic; definește, de asemenea, programul - numit „ exploit ” - care exploatează această vulnerabilitate a computerului pentru a permite executarea, chiar parțială, a acțiunilor care nu sunt permise în mod normal de proiectantul sistemului în cauză. Acestea sunt numite 0-day tocmai pentru că au trecut zero zile de când vulnerabilitatea a fost cunoscută de dezvoltator și, prin urmare, dezvoltatorul are „zero zile” pentru a remedia defectul din program înainte ca oricine să poată scrie un exploit pentru acesta ^[1] . Odată ce bug - ul a fost remediat, 0-day își pierde o parte din importanța sa inițială, deoarece nu mai poate fi folosit împotriva sistemelor actualizate la versiunea în care este remediată vulnerabilitatea sistemului respectiv.

În mod normal, vorbim de 0-zi referindu-se la acestea ca activități expres rău intenționate desfășurate de crackeri care încearcă să le găsească tocmai cu intenția de a obține acces abuziv la un sistem informatic vulnerabil sau de a provoca un comportament neașteptat în acesta, care poate merge de la pierderea chiar și defecțiuni foarte grave.

Vulnerabilitățile de 0 zi reprezintă o amenințare serioasă ^[2] .

Descriere

Etică

Există diferite ideologii legate de colectarea și utilizarea informațiilor de vulnerabilitate de 0 zile. Majoritatea companiilor de securitate cibernetică cercetează vulnerabilitățile de 0 zi pentru a înțelege natura și utilizarea lor de către indivizi, viermi și viruși. Sau, unele companii cumpără vulnerabilități pentru a-și crește capacitatea de căutare. Un exemplu al acestui tip de program este inițiativa Tipping's Point Zero Day . În timp ce vânzarea și cumpărarea acestor vulnerabilități nu este ilegală din punct de vedere tehnic în majoritatea lumii, există o mare controversă în ceea ce privește metoda de divulgare. O decizie din 2006 a Germaniei de a include articolul 6 din Convenția privind criminalitatea informatică și Decizia-cadru a UE privind atacurile împotriva sistemelor informatice ar putea duce la vânzarea sau chiar producerea de vulnerabilități să devină ilegale.

Majoritatea programelor oficiale urmează o anumită formă de orientări din RFPolicy sau cele mai recente Ghiduri OIS pentru raportarea și răspunsul la vulnerabilitatea de securitate. În general, aceste reguli interzic dezvăluirea publică a vulnerabilităților fără a notifica producătorul și înainte de suficient timp pentru a elibera un patch.

Fereastra de vulnerabilitate

Timpul dintre momentul în care un exploit devine activ și momentul în care numărul sistemelor vulnerabile se micșorează la nesemnificativitate se numește fereastra vulnerabilității.

Linia de timp pentru fiecare vulnerabilitate este definită de următoarele evenimente principale:

t ₀ : vulnerabilitatea este descoperită.
t _1a : este publicat un patch de securitate.
t _1b : Un exploit devine activ.
t ₂ : Cele mai vulnerabile sisteme aplică patch-ul.

Pentru vulnerabilitățile normale avem t _1b -t _1a > 0. Aceasta implică faptul că distribuitorul de software a fost conștient de vulnerabilitate (la momentul t ≥ t ₀ ) și a avut timp să publice un patch de securitate (t _1a ) înainte ca un hacker să ia timpul pentru a crea un exploit de lucru (t _1b ) ^[3] . Pentru exploatările de 0 zile, avem t _1b -t _1a ≤ 0, astfel încât exploatarea devine activă înainte ca un patch să fie pus la dispoziție.

Nedivulgând vulnerabilitățile cunoscute, un distribuitor de software speră să ajungă la t ₂ înainte de atingerea t _1b , pentru a evita exploatările. Cu toate acestea, distribuitorul de software nu are nicio garanție că hackerul nu va găsi singur vulnerabilități. Printre altele, patch-urile de securitate pot fi analizate pentru a detecta vulnerabilitățile subiacente și pentru a genera automat exploate de lucru: prin urmare, vom avea întotdeauna t ₀ ≤ t _1a și t ₀ ≤ t _1b .

În practică, dimensiunea ferestrei de vulnerabilitate variază între sisteme, distribuitori și vulnerabilități individuale. Este adesea măsurat în zile: un raport din 2006 îl estimează la 28 de zile. ^[4]

Metode de atac

Dezvoltatorii de programe malware pot exploata vulnerabilitățile de 0 zi prin câteva metode de atac diferite.

Uneori, când utilizatorii vizitează site-uri web de încredere, codul rău intenționat de pe site poate exploata vulnerabilitățile browserului web. Browserele web sunt o țintă specială pentru infractori datorită prevalenței și utilizării lor enorme. Infractorii cibernetici pot trimite, de asemenea, e-mailuri cu atașamente dăunătoare prin SMTP , care exploatează vulnerabilitățile din aplicația care deschide atașamentul. Exploatările care exploatează tipuri comune de fișiere sunt numeroase și frecvente.

Protecţie

Protecția de 0 zile este capacitatea de a oferi protecție împotriva exploatărilor de 0 zile. Deoarece atacurile de 0 zile sunt în general necunoscute publicului, este adesea dificil să te aperi împotriva lor. Atacurile de 0 zile sunt deseori eficiente împotriva rețelelor „sigure” și pot rămâne nedetectate chiar și după lansare. Prin urmare, utilizatorii acestor sisteme „sigure” trebuie să folosească bunul simț și obiceiuri sigure atunci când utilizează computerul. ^[5]

Majoritatea tehnicilor există pentru a limita eficacitatea vulnerabilităților de 0 zile care corup memoria, cum ar fi depășirile de tampon . Aceste mecanisme de protecție există în sistemele de operare actuale, cum ar fi macOS , Windows Vista , Solaris, Linux , Unix și medii asemănătoare Unix; Windows XP Service Pack 2 include protecție limitată împotriva vulnerabilităților generale de corupere a memoriei ^[6], iar versiunile anterioare includ chiar mai puțin. Software-ul de securitate pentru desktop și server există, de asemenea, pentru a reduce vulnerabilitățile la depășirea bufferului de 0 zile. În mod obișnuit, aceste tehnologii profită de algoritmi euristici , blocând depășirile de tampon înainte de a provoca daune.

S-a sugerat că o astfel de soluție poate fi impracticabilă deoarece este algoritmic imposibil, în cazul general, să se analizeze orice cod arbitrar pentru a determina dacă este rău intenționat, deoarece analiza reduce problema de terminare la un automat liniar limitat , în definitiv de nerezolvat. Cu toate acestea, nu este necesar să se facă referire, de cele mai multe ori, la cazul general (împărțiți toate programele în programe rău intenționate și non-rău intenționate) pentru a elimina o porție mare de comportament rău intenționat.

Viermi

Viermii care exploatează 0 zile profită de un atac surpriză, atâta timp cât sunt necunoscuți de profesioniștii în securitate cibernetică. Istoria recentă arată o creștere a propagării viermilor. Viermii bine proiectați se pot răspândi în câteva minute cu consecințe devastatoare pe internet .

Virus

Un virus de 0 zile este un virus sau malware de calculator necunoscut anterior pentru care protecția antivirus nu este încă disponibilă. ^[7]

În mod tradițional, software-ul antivirus s-a bazat pe semnături pentru a identifica malware-ul. Acest lucru poate fi cu adevărat eficient, dar nu poate apăra împotriva malware-ului, cu excepția cazului în care semnăturile au fost deja obținute și actualizările distribuite. Din această cauză, abordarea bazată pe semnături nu este eficientă împotriva virușilor de 0 zi.

Majoritatea antivirusurilor moderne folosesc în continuare semnături, dar efectuează și alte tipuri de scanări.

Analiza codului

În analiza codului, se analizează limbajul mașinii fișierului pentru a vedea dacă există ceva care pare suspect. De obicei, malware-ul are un comportament caracteristic, iar analiza codului încearcă să detecteze dacă acest lucru este prezent în cod.

Deși utilă, analiza codului are limitări semnificative. Nu este întotdeauna ușor să determinați pentru ce este destinată o secțiune a codului; mai ales dacă este într-adevăr complex și a fost scris în mod deliberat astfel cu intenția de a împiedica analiza acestuia. O altă limitare a analizei codului este timpul și resursele disponibile. În lumea competitivă a software-ului antivirus, există întotdeauna un echilibru între eficiența analizei și timpul necesar.

Emulare

O abordare pentru a depăși limitele analizei de cod este de a rula secțiuni suspecte de cod de către software-ul antivirus într-un sandbox și de a observa comportamentul. Aceasta poate fi ordine de mărime mai rapidă decât analizarea codului în sine.

Semnături generice

Semnăturile generice sunt semnături care sunt specifice unui anumit comportament, mai degrabă decât unui anumit element sau malware. Cele mai multe programe malware noi nu sunt complet noi, ci reprezintă o variantă a programelor malware mai vechi sau conține cod de la unul sau mai multe programe malware mai vechi. Prin urmare, rezultatele analizelor anterioare pot fi utilizate împotriva noilor programe malware.

Competitivitate în industria software-ului antivirus

În general, este acceptat în industria antivirus că protecția bazată pe semnături a majorității companiilor este într-adevăr identică. Dacă este disponibilă o semnătură pentru un articol sau malware, atunci fiecare produs (cu excepția celor care nu funcționează defectuos) ar trebui să îl detecteze. Cu toate acestea, unii producători sunt semnificativ mai rapizi decât alții în a afla despre viruși noi și / sau a-și actualiza bazele de date cu semnături pentru a le detecta.

Există o mare diferență în ceea ce privește eficacitatea în ceea ce privește protecția împotriva virusului de 0 zile. Revista germană de calculatoare nu a descoperit că rata de detectare a virușilor de 0 zile variază de la 20% la 60%. ^[8] În principal, în sfera virușilor de 0 zile, producătorii concurează astăzi.

Notă

^ (EN) Vulnerabilități Flash care cauzează probleme , pe www.eset.co.uk. Adus la 22 ianuarie 2017 .
^ Interviu cu Sergey Ulasen, Omul care a găsit viermele Stuxnet | Vă rugăm să rețineți: Blogul oficial al lui Eugene Kaspersky , la eugene.kaspersky.com . Adus la 22 ianuarie 2017 .
^ (EN) Flake, Halvar, Comparația structurală a obiectelor executabile , 22 ianuarie 2017, DOI : 10.17877 / de290r 2007 . Adus la 22 ianuarie 2017 .
^ "Raportul privind amenințarea securității internetului" Symantec Corp , vol. X, sept. 2006, p. 12.
^ Ce este un exploatare Zero-Day? - O introducere în exploatările software-ului de zi zero și sfaturi pentru a le evita acasă. , pe what-is-what.com . Adus la 22 ianuarie 2017 .
^ Implementarea rețelelor Secure 802.11 utilizând Microsoft Windows , la www.microsoft.com . Adus la 22 ianuarie 2017 (arhivat din original la 23 februarie 2005) .
^ Cyberhawk - revizuire de detectare a amenințărilor de zi zero , la www.kickstartnews.com . Adus la 22 ianuarie 2017 .
^ 21 decembrie 2007 la 03:05, Dan Goodin tweet_btn (), Protecția antivirus se înrăutățește , su theregister.co.uk . Adus la 22 ianuarie 2017 .

Elemente conexe

linkuri externe

(EN) Baza de date comună privind vulnerabilitatea și expunerea pe cve.mitre.org.
(EN) Baza de date a vulnerabilităților US-CERT pe us-cert.gov.
( EN ) Arhiva Zero Day Vulnerability , la research.eeye.com .
( RO ) Liste de recomandări pe produse , pe secunia.com .
(RO) Atacatorii profită de un nou Word de zero zile pe infoworld.com. Accesat la 2 martie 2009 (arhivat din original la 24 martie 2009) .
(EN) PowerPoint Zero-Day Attack poate fi un caz de spionaj corporativ , pe foxnews.com. Accesat la 2 martie 2009 (arhivat din original la 23 aprilie 2008) .
(RO) Microsoft lansează Alertă Word Zero-Day Attack , pe eweek.com.

Portal IT

Portal de securitate IT

[1] (EN) Vulnerabilități Flash care cauzează probleme , pe www.eset.co.uk. Adus la 22 ianuarie 2017 .

[2] Interviu cu Sergey Ulasen, Omul care a găsit viermele Stuxnet | Vă rugăm să rețineți: Blogul oficial al lui Eugene Kaspersky , la eugene.kaspersky.com . Adus la 22 ianuarie 2017 .

[3] (EN) Flake, Halvar, Comparația structurală a obiectelor executabile , 22 ianuarie 2017, DOI : 10.17877 / de290r 2007 . Adus la 22 ianuarie 2017 .

[4] "Raportul privind amenințarea securității internetului" Symantec Corp , vol. X, sept. 2006, p. 12.

[5] Ce este un exploatare Zero-Day? - O introducere în exploatările software-ului de zi zero și sfaturi pentru a le evita acasă. , pe what-is-what.com . Adus la 22 ianuarie 2017 .

[6] Implementarea rețelelor Secure 802.11 utilizând Microsoft Windows , la www.microsoft.com . Adus la 22 ianuarie 2017 (arhivat din original la 23 februarie 2005) .

[7] Cyberhawk - revizuire de detectare a amenințărilor de zi zero , la www.kickstartnews.com . Adus la 22 ianuarie 2017 .

[8] 21 decembrie 2007 la 03:05, Dan Goodin tweet_btn (), Protecția antivirus se înrăutățește , su theregister.co.uk . Adus la 22 ianuarie 2017 .

[1]

[2]

[3]

[4]

[5]

[6],

[7]

[8]