Нулевой день (вычисления)

редактировать
Неисправленная программная уязвимость

A нулевого дня (также известная как нулевого дня ) Уязвимость компьютерного программного обеспечения уязвимость, которая неизвестен тем, кто должен быть заинтересован в устранении уязвимости (включая поставщика целевого программного обеспечения). Пока уязвимость не устранена, хакеры могут использовать ее, чтобы отрицательно повлиять на компьютерные программы, данные, дополнительные компьютеры или сеть. Эксплойт, направленный на нулевой день, называется эксплойтом нулевого дня, или атакой нулевого дня.

Термин «нулевой день» первоначально относился к количеству дней с момента Новое программное обеспечение было выпущено для широкой публики, поэтому программное обеспечение «нулевого дня» - это программное обеспечение, которое было получено путем взлома компьютера разработчика перед выпуском. В конце концов этот термин был применен к уязвимостям, которые позволили взломать их, и к количеству дней, в течение которых поставщик должен был их исправить. Как только поставщик узнает об уязвимости, он обычно создает патчи или советует обходные пути для ее устранения.

Чем позже поставщик узнал об уязвимости, тем больше вероятность того, что не было разработано никакого исправления или смягчения. Даже после того, как исправление разработано, чем меньше дней с тех пор, тем выше вероятность того, что атака на пораженное программное обеспечение будет успешной, поскольку не каждый пользователь этого программного обеспечения применит исправление. Для эксплойтов нулевого дня, если уязвимость не была случайно устранена, например из-за несвязанного обновления, которое случается для исправления уязвимости, вероятность того, что пользователь применил предоставленное поставщиком исправление, устраняющее проблему, равна нулю, поэтому эксплойт останется доступным. Атаки нулевого дня - серьезная угроза.

Содержание

  • 1 Векторы атак
  • 2 Окно уязвимости
  • 3 Защита
  • 4 Черви
  • 5 Этика
  • 6 Вирусы
    • 6.1 Анализ кода
    • 6.2 Эмуляция
    • 6.3 Общие сигнатуры
    • 6.4 Конкурентоспособность в индустрии антивирусного программного обеспечения
  • 7 Участие правительства США
    • 7.1 Использование АНБ эксплойтов нулевого дня (2017)
    • 7.2 Уязвимости Уязвимости Процесс
    • 7.3 Обнаружение на основе сигнатур
  • 8 См. Также
  • 9 Ссылки
  • 10 Дополнительная литература
  • 11 Внешние ссылки

Векторы атак

Авторы вредоносных программ могут использовать ноль -дневные уязвимости через несколько различных векторов атак. Иногда, когда пользователи посещают мошеннические веб-сайты, вредоносный код на сайте может использовать уязвимости в веб-браузерах. Веб-браузеры являются особой мишенью для преступников из-за их широкого распространения и использования. Киберпреступники, а также международные поставщики шпионского ПО, такие как Израиль NSO Group, также могут отправлять вредоносные вложения электронной почты через SMTP, которые используют уязвимости в приложении, открывающем вложение. Эксплойты, использующие общие типы файлов, многочисленны и часты, о чем свидетельствует их все большее появление в базах данных, таких как US-CERT. Преступники могут спроектировать вредоносное ПО, чтобы воспользоваться эксплойтами этих типов файлов для компрометации атакованных систем или кражи конфиденциальных данных.

Окно уязвимости

Время, с которого происходит первая эксплойт программного обеспечения становится активным к тому времени, когда количество уязвимых систем сокращается до незначительности, известное как окно уязвимости (WoV). График каждой уязвимости программного обеспечения определяется следующими основными событиями:

  • t0: уязвимость обнаружена (кем угодно).
  • t1a: опубликовано исправление безопасности (например, поставщиком программного обеспечения).
  • t1b: Активизируется эксплойт.
  • t2: большинство уязвимых систем применили исправление.

Таким образом, формула для длины окна уязвимости: t2– t1b

В этой формулировке всегда верно, что t0≤ t1aи t0≤ t1b. Обратите внимание, что t0- это не то же самое, что Day Zero. Например, если хакер первым обнаружит (на t0) уязвимость, поставщик может узнать о ней гораздо позже (в День Ноль).

Для обычных уязвимостей t1b– t1a>0. Это означает, что поставщик программного обеспечения знал об уязвимости и имел время опубликовать исправление безопасности (t1a) до того, как любой хакер смог создать работоспособный эксплойт (t1b). Для эксплойтов нулевого дня t1b– t1a≤ 0, чтобы эксплойт стал активным до того, как был выпущен патч.

Не раскрывая известные уязвимости, поставщик программного обеспечения надеется достичь t2до того, как будет достигнута t1b, тем самым избегая любых эксплойтов. Однако производитель не дает никаких гарантий, что хакеры не найдут уязвимости самостоятельно. Кроме того, хакеры могут сами анализировать исправления безопасности и, таким образом, обнаруживать лежащие в их основе уязвимости и автоматически генерировать рабочие эксплойты. Эти эксплойты могут эффективно использоваться до определенного времени t2.

На практике размер WoV варьируется в зависимости от системы, поставщика и отдельных уязвимостей. Он часто измеряется днями, и в одном из отчетов за 2006 год средний показатель оценивается как 28 дней.

Защита

Защита нулевого дня - это способность обеспечить защиту от эксплойтов нулевого дня. Поскольку атаки нулевого дня обычно неизвестны публике, часто сложно от них защититься. Атаки нулевого дня часто эффективны против «безопасных» сетей и могут оставаться незамеченными даже после запуска. Таким образом, пользователи так называемых безопасных систем также должны руководствоваться здравым смыслом и практиковать безопасные вычисления.

Существует множество методов, ограничивающих эффективность уязвимостей нулевого дня, связанных с повреждением памяти, таких как переполнение буфера. Эти механизмы защиты существуют в современных операционных системах, таких как macOS, Windows Vista и более поздних версиях (см. Также: Функции безопасности, новые для Windows Vista ), Solaris, Linux, Unix и среды, подобные Unix; Windows XP Service Pack 2 включает ограниченную защиту от общих уязвимостей повреждения памяти, а предыдущие версии включают еще меньше. Программное обеспечение для защиты настольных компьютеров и серверов также существует для смягчения уязвимостей, связанных с переполнением буфера нулевого дня. Обычно эти технологии включают эвристический анализ завершения - их остановку до того, как они причинят какой-либо вред.

Было высказано предположение, что решение такого рода может оказаться недостижимым, потому что оно алгоритмически невозможно в общий случай для анализа любого произвольного кода, чтобы определить, является ли он вредоносным, поскольку такой анализ сводится к проблеме остановки над линейно ограниченным автоматом, которая является неразрешимой. Однако нет необходимости рассматривать общий случай (то есть сортировать все программы по категориям вредоносных и не вредоносных) в большинстве случаев, чтобы устранить широкий спектр вредоносного поведения. Достаточно признать безопасность ограниченного набора программ (например, тех, которые могут иметь доступ или изменять только заданное подмножество машинных ресурсов), отклоняя при этом как некоторые безопасные, так и все небезопасные программы. Это действительно требует поддержания целостности этих безопасных программ, что может оказаться трудным перед лицом эксплойта на уровне ядра.

Zeroday Emergency Response Team (ZERT) была группой инженеры-программисты, которые работали над выпуском сторонних патчей для эксплойтов нулевого дня.

Черви

Черви нулевого дня используют преимущества внезапной атаки, хотя они еще неизвестны специалистам компьютерной безопасности. Недавняя история показывает возрастающую скорость распространения червя. Хорошо спроектированные черви могут очень быстро распространяться с разрушительными последствиями в Интернет и другие системы.

Этика

Существуют разные идеологии относительно сбора и использования информации об уязвимостях нулевого дня. Многие поставщики компьютерной безопасности проводят исследования уязвимостей нулевого дня, чтобы лучше понять природу уязвимостей и их использование отдельными лицами, компьютерными червями и вирусами. В качестве альтернативы некоторые поставщики приобретают уязвимости, чтобы увеличить свои исследовательские возможности. Примером такой программы является инициатива Zero Day компании TippingPoint. Хотя продажа и покупка этих уязвимостей технически не является незаконной в большинстве частей мира, существует много споров по поводу метода раскрытия информации. Решение Германии 2006 года о включении статьи 6 Конвенции о киберпреступности и Рамочного решения ЕС о атаках на информационные системы может сделать продажу или даже изготовление уязвимостей незаконными.

Большинство официальных программ следуют той или иной форме руководящих указаний по раскрытию информации Rain Forest Puppy или более поздних Рекомендаций OIS по сообщениям об уязвимостях безопасности и реагированию на них. Как правило, эти правила запрещают публичное раскрытие уязвимостей без уведомления поставщика и без достаточного времени для выпуска исправления.

Вирусы

A вирус нулевого дня (также известный как вредоносное ПО нулевого дня или вредоносное ПО следующего поколения ) - ранее неизвестный компьютерный вирус или другое вредоносное ПО, для которого еще нет сигнатур антивирусного ПО.

Традиционно антивирусное ПО использует сигнатуры для идентификации вредоносного ПО. Это может быть очень эффективным, но не может защитить от вредоносных программ, если уже не получены образцы, не сгенерированы подписи и не распространены обновления среди пользователей. Из-за этого подходы на основе сигнатур неэффективны против вирусов нулевого дня.

Большинство современных антивирусных программ по-прежнему используют сигнатуры, но также проводят другие виды анализа.

Анализ кода

В анализе кода машинный код файла анализируется на предмет наличия чего-либо подозрительного. Как правило, вредоносное ПО имеет характерное поведение, и анализ кода пытается определить, присутствует ли оно в коде.

Несмотря на свою полезность, анализ кода имеет значительные ограничения. Не всегда легко определить, для чего предназначена часть кода; особенно, если он очень сложный и был написан намеренно с целью опровергнуть анализ. Еще одно ограничение анализа кода - это время и доступные ресурсы. В конкурентном мире антивирусного программного обеспечения всегда существует баланс между эффективностью анализа и необходимой временной задержкой.

Эмуляция

Один из подходов к преодолению ограничений анализа кода заключается в том, чтобы антивирусное программное обеспечение запускало подозрительные участки кода в безопасной песочнице и наблюдало за их поведением. Это может быть на порядки быстрее, чем анализ того же кода, но должно противостоять (и обнаруживать) попытки кода обнаружить песочницу.

Универсальные сигнатуры

Общие сигнатуры - это сигнатуры, которые относятся к определенному поведению, а не к конкретному элементу вредоносного ПО. Большинство новых вредоносных программ не являются полностью новыми, но представляют собой вариации более ранних вредоносных программ или содержат код одного или нескольких более ранних примеров вредоносного ПО. Таким образом, результаты предыдущего анализа могут быть использованы против новых вредоносных программ.

Конкурентоспособность в индустрии антивирусного программного обеспечения

В антивирусной индустрии общепризнано, что защита на основе сигнатур большинства производителей одинаково эффективна. Если для вредоносного ПО доступна сигнатура, то каждый продукт (за исключением неисправных) должен ее обнаружить. Однако некоторые поставщики значительно быстрее других узнают о новых вирусах и / или обновляют базы данных сигнатур своих клиентов для их обнаружения.

Существует широкий диапазон эффективности с точки зрения защиты от вирусов нулевого дня. Немецкий компьютерный журнал c't обнаружил, что уровень обнаружения вирусов нулевого дня варьируется от 20% до 68%. В первую очередь производители конкурируют в области защиты от вирусов нулевого дня.

США участие правительства

Использование АНБ эксплойтов нулевого дня (2017)

В середине апреля 2017 года хакеры, известные как Shadow Brokers (TSB), предположительно связанные с Российское правительство - опубликованные документы АНБ (первоначально считавшиеся якобы принадлежащими АНБ, позже подтвержденные внутренними данными и американским информатором Эдвардом Сноуденом ), которые включают серию «эксплойтов нулевого дня», направленных на Программное обеспечение Microsoft Windows и инструмент для проникновения в провайдера услуг Общества всемирных межбанковских финансовых телекоммуникаций (SWIFT). Ars Technica сообщила о взломах Shadow Brokers в середине января 2017 г. и в апреле Shadow Brokers опубликовали эксплойты в качестве доказательства.

Процесс оценки уязвимостей

Процесс оценки уязвимостей, впервые публично раскрытый в 2016 г. процесс, используемый США федеральному правительству для определения в каждом конкретном случае, как оно должно обрабатывать «нулевые дни» уязвимости компьютерной безопасности ; раскрывать ли их общественности, чтобы улучшить общую компьютерную безопасность, или держать их в секрете для использования в оскорбительных целях против врагов правительства.

Процесс подвергался критике за ряд недостатков, включая ограничение неразглашением соглашения, отсутствие рейтингов риска, особый режим работы со стороны АНБ и менее чем искренняя приверженность раскрытию информации в качестве варианта по умолчанию.

Обнаружение на основе сигнатур

Сигнатура вируса - это уникальный образец или код, который можно использовать для обнаружения и идентификации конкретных вирусов. Антивирус сканирует сигнатуры файлов и сравнивает их с базой данных известных вредоносных кодов. Если они совпадают, файл помечается и рассматривается как угроза. Основным ограничением обнаружения на основе сигнатур является то, что оно способно помечать только уже известные вредоносные программы, что делает его совершенно бесполезным против атак нулевого дня.

См. Также

Ссылки

Дополнительная литература

Примеры атак нулевого дня

(в хронологическом порядке)

Внешние ссылки

Последняя правка сделана 2021-06-23 08:37:11
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте