Нулевой день (вычисления) - Zero-day (computing)

А нулевой день (также известен как 0-дневный) уязвимость - это компьютерное программное обеспечение уязвимость это неизвестно тем, кто должен быть заинтересован в устранении уязвимости (включая поставщика целевого программного обеспечения). Пока уязвимость не будет устранена, хакеры может эксплуатировать это может отрицательно повлиять на компьютерные программы, данные, дополнительные компьютеры или сеть.[1] Эксплойт, направленный на нулевой день, называется эксплойт нулевого дня, или же атака нулевого дня.

Термин «нулевой день» первоначально относился к количеству дней с момента выпуска новой части программного обеспечения для широкой публики, поэтому программное обеспечение «нулевого дня» - это программное обеспечение, которое было получено путем взлома компьютера разработчика перед выпуском. В конце концов, этот термин был применен к уязвимостям, которые позволили взломать, и к количеству дней, в течение которых поставщик должен был их исправить.[2][3][4] Как только поставщик узнает об уязвимости, он обычно создает патчи или посоветуйте обходные пути чтобы смягчить его.

Чем позже поставщик узнал об уязвимости, тем больше вероятность того, что не было разработано исправления или смягчения. Даже после того, как исправление разработано, чем меньше дней с тех пор, тем выше вероятность того, что атака на пораженное программное обеспечение будет успешной, поскольку не каждый пользователь этого программного обеспечения применит исправление. Для эксплойтов нулевого дня, если уязвимость не будет случайно устранена, например из-за несвязанного обновления, которое случается для исправления уязвимости, вероятность того, что пользователь применил предоставленный поставщиком патч, устраняющий проблему, равна нулю, поэтому эксплойт останется доступным. Атаки нулевого дня - серьезное угроза.[5]

Векторы атак

Вредоносное ПО авторы могут использовать уязвимости нулевого дня через несколько различных векторов атак. Иногда, когда пользователи заходят в мошенническую веб-сайты, вредоносный код на сайте можно использовать уязвимости в Веб-браузеры. Веб-браузеры являются особой мишенью для преступников из-за их широкого распространения и использования. Киберпреступники, а также международные продавцы из шпионское ПО Такие как Израиль С Группа НСО,[6] также может рассылать вредоносные электронное письмо вложения через SMTP, использующие уязвимости в приложении, открывающем вложение.[7] Эксплойты, использующие общие типы файлов многочисленны и часты, о чем свидетельствует их все большее появление в базы данных подобно US-CERT. Преступники могут создавать вредоносное ПО чтобы воспользоваться эксплойтами этих типов файлов для компрометации атакованных систем или кражи конфиденциальных данных.[8]

Окно уязвимости

Время от момента, когда программный эксплойт впервые становится активным, до момента, когда количество уязвимых систем сокращается до незначительного значения, известно как окно уязвимости (WoV).[9] График каждой уязвимости программного обеспечения определяется следующими основными событиями:

  • т0: Уязвимость обнаружена (кем угодно).
  • т: Исправление безопасности опубликовано (например, поставщиком программного обеспечения).
  • т1b: Эксплойт становится активным.
  • т2: Патч уже применен к большинству уязвимых систем.

Таким образом, формула длины окна уязвимости: т2т1b

В этой формулировке всегда верно, что т0т и т0т1b. Обратите внимание, что т0 это не то же самое, что Day Zero. Например, если хакер первым обнаружит (на т0) об уязвимости, поставщик может узнать о ней гораздо позже (в День Ноль).

Для обычных уязвимостей т1bт > 0. Это означает, что поставщик программного обеспечения знал об уязвимости и успел опубликовать исправление безопасности (т) прежде, чем любой хакер сможет создать работоспособный эксплойт (т1b). Для эксплойтов нулевого дня, т1bт ≤ 0, чтобы эксплойт стал активным до того, как был выпущен патч.

Не раскрывая известные уязвимости, поставщик программного обеспечения надеется достичь т2 перед т1b достигается, таким образом избегая любых эксплойтов. Однако производитель не дает никаких гарантий, что хакеры не найдут уязвимости самостоятельно. Кроме того, хакеры могут сами анализировать исправления безопасности и, таким образом, обнаруживать лежащие в их основе уязвимости и автоматически генерировать рабочие эксплойты.[10] Эти эксплойты можно эффективно использовать до тех пор, пока т2.

На практике размер WoV варьируется в зависимости от системы, поставщика и отдельных уязвимостей. Он часто измеряется в днях: в одном отчете за 2006 год средний показатель оценивается как 28 дней.[11]

Защита

Защита нулевого дня - это способность обеспечить защиту от эксплойтов нулевого дня. Поскольку атаки нулевого дня обычно неизвестны публике, часто сложно от них защититься. Атаки нулевого дня часто эффективны против «безопасных» сетей и могут оставаться незамеченными даже после запуска. Таким образом, пользователи так называемых безопасных систем также должны руководствоваться здравым смыслом и практиковать безопасные компьютерные навыки.[12]

Существует множество методов, ограничивающих эффективность уязвимостей нулевого дня, связанных с повреждением памяти, таких как переполнение буфера. Эти механизмы защиты существуют в современных операционных системах, таких как macOS, Windows Vista и за его пределами (см. также: Новые функции безопасности и защиты Windows Vista ), Солярис, Linux, Unix, и Unix-подобные среды; Windows XP Service Pack 2 включает ограниченную защиту от общих уязвимостей, связанных с повреждением памяти.[13] а предыдущие версии включают еще меньше. Программное обеспечение для защиты настольных компьютеров и серверов также существует для смягчения уязвимостей, связанных с переполнением буфера нулевого дня. Обычно эти технологии включают эвристический анализ завершения - остановить их, прежде чем они причинят какой-либо вред.[14]

Было высказано предположение, что решение такого рода может оказаться недостижимым, поскольку в общем случае алгоритмически невозможно проанализировать любой произвольный код, чтобы определить, является ли он вредоносным, поскольку такой анализ сводится к проблема остановки через линейно ограниченный автомат, которая неразрешима. Однако нет необходимости рассматривать общий случай (то есть сортировать все программы по категориям вредоносных и не вредоносных) в большинстве случаев, чтобы устранить широкий спектр вредоносного поведения. Достаточно признать безопасность ограниченного набора программ (например, тех, которые могут обращаться или изменять только заданное подмножество машинных ресурсов), отклоняя при этом как некоторые безопасные, так и все небезопасные программы. Это действительно требует поддержания целостности этих безопасных программ, что может оказаться трудным перед лицом эксплойта на уровне ядра.[нужна цитата ]

В Группа аварийного реагирования Zeroday (ZERT) была группой инженеров-программистов, которые работали над выпуском сторонних патчей для эксплойтов нулевого дня.

черви

Нулевой день черви воспользоваться внезапной атакой, пока они еще неизвестны компьютерная безопасность профессионалы. Недавняя история показывает увеличивающуюся скорость распространения червя. Хорошо спроектированные черви могут распространяться очень быстро с разрушительными последствиями для Интернет и другие системы.

Этика

Существуют разные идеологии относительно сбора и использования информации об уязвимостях нулевого дня. Многие поставщики компьютерной безопасности проводят исследования уязвимостей нулевого дня, чтобы лучше понять природу уязвимостей и их использование отдельными лицами, компьютерными червями и вирусами. В качестве альтернативы некоторые поставщики приобретают уязвимости, чтобы увеличить свои исследовательские возможности. Пример такой программы: Переломный момент Инициатива нулевого дня. Хотя продажа и покупка этих уязвимостей технически не является незаконной в большинстве частей мира, существует много споров по поводу метода раскрытия информации. Решение Германии 2006 года о включении статьи 6 Конвенция о киберпреступности и Рамочное решение ЕС об атаках на информационные системы может сделать незаконной продажу или даже изготовление уязвимостей.[нужна цитата ]

Большинство формальных программ следуют той или иной форме Правила раскрытия информации о Rain Forest Puppy или более свежие рекомендации OIS по отчетам об уязвимостях и реагированию на них. Как правило, эти правила запрещают публичное раскрытие уязвимостей без уведомления поставщика и без достаточного времени для выпуска исправления.

Вирусы

А вирус нулевого дня (также известен как вредоносное ПО нулевого дня или же вредоносное ПО нового поколения) является ранее неизвестным Компьютерный вирус или другое вредоносное ПО, для которого антивирусное программное обеспечение подписи пока нет.[15]

Традиционно антивирусное программное обеспечение полагается на подписи для выявления вредоносных программ. Это может быть очень эффективным, но не может защитить от вредоносных программ, если уже не получены образцы, не сгенерированы подписи и не распространены обновления для пользователей. Из-за этого подходы на основе сигнатур неэффективны против вирусов нулевого дня.

Большинство современных антивирусных программ по-прежнему используют сигнатуры, но также проводят другие виды анализа.

Анализ кода

В анализ кода, то Машинный код файла анализируется на предмет подозрительности. Как правило, вредоносное ПО имеет характерное поведение, и анализ кода пытается определить, присутствует ли оно в коде.

Несмотря на свою полезность, анализ кода имеет значительные ограничения. Не всегда легко определить, для чего предназначена часть кода; особенно если это очень сложный и был написан намеренно с целью опровергнуть анализ. Еще одно ограничение анализа кода - это время и доступные ресурсы. В конкурентном мире антивирусного программного обеспечения всегда существует баланс между эффективностью анализа и временной задержкой.

Эмуляция

Один из подходов к преодолению ограничений анализа кода заключается в том, чтобы антивирусное программное обеспечение запускало подозрительные участки кода в безопасном месте. песочница и понаблюдайте за их поведением. Это может быть на порядки быстрее, чем анализ того же кода, но должно противостоять (и обнаруживать) попытки кода обнаружить песочницу.

Общие подписи

Общие сигнатуры - это сигнатуры, которые относятся к определенному поведению, а не к конкретному элементу вредоносного ПО. Большинство новых вредоносных программ не являются полностью новыми, но представляют собой вариации более ранних вредоносных программ или содержат код одного или нескольких более ранних примеров вредоносного ПО. Таким образом, результаты предыдущего анализа могут быть использованы против новых вредоносных программ.

Конкурентоспособность в индустрии антивирусного программного обеспечения

В антивирусной индустрии принято считать, что защита на основе сигнатур большинства поставщиков одинаково эффективна. Если для вредоносного ПО доступна сигнатура, то каждый продукт (за исключением неисправных) должен ее обнаружить. Однако некоторые поставщики значительно быстрее других узнают о новых вирусах и / или обновляют базы данных сигнатур своих клиентов для их обнаружения.[16]

Существует широкий диапазон эффективности с точки зрения защиты от вирусов нулевого дня. Немецкий компьютерный журнал c't обнаружили, что уровень обнаружения вирусов нулевого дня варьируется от 20% до 68%.[17] В первую очередь производители конкурируют в области защиты от вирусов нулевого дня.

Участие правительства США

Использование АНБ эксплойтов нулевого дня (2017)

В середине апреля 2017 года хакеры, известные как Теневые посредники (БСЭ) - якобы связанный с правительством России[18][19]- опубликованные файлы из АНБ (первоначально считавшиеся якобы полученными из АНБ, позже подтвержденные внутренними деталями и американским информатором Эдвард Сноуден )[20] которые включают серию "эксплойтов нулевого дня" Майкрософт Виндоус программное обеспечение и инструмент для проникновения в Общество всемирных межбанковских финансовых телекоммуникаций (SWIFT) поставщик услуг.[21][22][23] Ars Technica сообщили о взломе Shadow Brokers в середине января 2017 года.[24] а в апреле Shadow Brokers опубликовали эксплойты в качестве доказательства.[24]

Уязвимости Процесс акций

Основная статья: Уязвимости Процесс акций

В Уязвимости Процесс акций, впервые обнародованный в 2016 году, - это процесс, используемый Федеральное правительство США чтобы определить в каждом конкретном случае, как он должен относиться к нулевому дню уязвимости компьютерной безопасности; раскрывать ли их общественности, чтобы улучшить общую компьютерную безопасность, или держать их в секрете для использования в наступательных целях против противников правительства.[25]

Процесс подвергался критике за ряд недостатков, включая ограничение соглашениями о неразглашении информации, отсутствие рейтингов риска, особый режим для АНБ и менее чем искреннюю приверженность раскрытию информации в качестве варианта по умолчанию.[26]

Обнаружение на основе подписи

Сигнатура вируса - это уникальный шаблон или код, который можно использовать для обнаружения и идентификации определенных вирусов. Антивирус сканирует сигнатуры файлов и сравнивает их с базой данных известных вредоносных кодов. Если они совпадают, файл помечается и рассматривается как угроза. Основным ограничением обнаружения на основе сигнатур является то, что он может помечать только уже известные вредоносные программы, что делает его совершенно бесполезным против атак нулевого дня.[27]

Смотрите также

Рекомендации

  1. ^ Сравнивать: "Что такое уязвимость нулевого дня?". pctools. Symantec. Архивировано из оригинал на 2017-07-04. Получено 2016-01-20. Уязвимость нулевого дня относится к уязвимости в программном обеспечении, неизвестной поставщику. Эта дыра в безопасности может быть использована взломщиками до того, как поставщик узнает об этом и поспешит исправить это - такая уязвимость называется атакой нулевого дня.
  2. ^ Ким Зеттер (11 ноября, 2014). «Хакерский лексикон: что такое нулевой день?». Проводной.
  3. ^ Марк Маундер (16 июня 2014 г.). «Откуда появился термин« нулевой день »». Архивировано из оригинал 31 января 2018 г.
  4. ^ "Уязвимости Flash, вызывающие проблемы". ESET. Архивировано из оригинал 4 марта 2016 г.. Получено 4 марта, 2016.
  5. ^ Человек, который основал Stuxnet - Сергей Уласен в центре внимания опубликовано 2 ноября 2011 г.
  6. ^ Ахмед, Азам; Перлрот, Николь (19 июня 2017 г.). «Использование текстов в качестве приманки, правительственное шпионское ПО преследует мексиканских журналистов и их семьи». Нью-Йорк Таймс. Получено 19 мая 2019.
  7. ^ "SANS видит рост веб-атак нулевого дня, Computerworld". Архивировано из оригинал 22 декабря 2008 г.
  8. ^ ""Отправить оценку остаточного риска по электронной почте "Avinti, Inc., стр. 2" (PDF).
  9. ^ Йохансен, Ховард; Йохансен, Даг; Ренесс, Робберт ван (2007-05-14). Вентер, Хайн; Элофф, Марики; Лабушань, Лес; Элофф, Ян; Solms, Rossouw von (ред.). Новые подходы к безопасности, конфиденциальности и доверию в сложных средах. IFIP Международная федерация обработки информации. Springer США. стр.373 –384. Дои:10.1007/978-0-387-72367-9_32. ISBN  9780387723662.
  10. ^ Халвар, Флаке (2016-10-25). «Структурное сравнение исполняемых объектов». Конспект лекций по информатике: 46. Дои:10.17877 / de290r-2007.
  11. ^ "Отчет об угрозах безопасности в Интернете" Symantec Corp, Vol. X, сентябрь 2006 г., стр. 12
  12. ^ «Что такое эксплойт нулевого дня? - Введение в программные эксплойты нулевого дня и советы по их предотвращению дома». what-is-what.com.
  13. ^ «Изменения функциональности в Microsoft Windows XP с пакетом обновления 2».
  14. ^ «Снижение риска атак нулевого дня путем внедрения XML с помощью систем обнаружения на основе стратегии» (PDF). Получено 29 декабря 2013.
  15. ^ «Cyberhawk - обзор обнаружения угроз нулевого дня». Kickstartnews. Получено 29 декабря 2013.
  16. ^ Роберт Вестервельт (апрель 2011 г.). «Поставщики антивирусов выходят за рамки сигнатурных антивирусов». Получено 7 января 2019.
  17. ^ Гудин, Дэн (21 декабря 2008 г.). «Антивирусная защита ухудшается». Канал. Получено 29 декабря 2013.
  18. ^ «Косвенные доказательства и расхожее мнение указывают на ответственность России. Вот почему это важно». Twitter. 16 августа 2016 г.. Получено 22 августа, 2016.
  19. ^ Прайс, Роб. Эдвард Сноуден: Россия могла передать информацию о предполагаемом кибероружии АНБ ni9G3r в качестве предупреждения.'". Business Insider. Получено 22 августа, 2016.
  20. ^ Сэм Биддл (19 августа 2016 г.). «Утечка АНБ реальна, документы Сноудена подтверждают». Перехват. Получено 15 апреля, 2017.
  21. ^ Генри Фаррелл (15 апреля 2017 г.), «Хакеры только что выбросили кладезь данных АНБ. Вот что это значит»., Вашингтон Пост, получено 15 апреля, 2017
  22. ^ Болдуин, Клэр (15 апреля 2017 г.). «Хакеры публикуют файлы, свидетельствующие о том, что АНБ отслеживает глобальные банковские переводы». Рейтер. Получено 15 апреля, 2017.
  23. ^ Лоулер, Ричард. «Сообщение Shadow Brokers также предполагает, что АНБ шпионило за банковскими транзакциями». Engadget. Получено 15 апреля, 2017.
  24. ^ а б Дэн Гудин (13 января 2017). "Теневые брокеры, получившие утечку из АНБ, подбрасывают коктейль Молотова перед тем, как покинуть мировую арену". Ars Technica. Получено 14 января, 2017.
  25. ^ Ньюман, Лили Хэй (2017-11-15). «Федералы объясняют, как они хранят ошибки в программном обеспечении, но не стирают опасения». ПРОВОДНОЙ. Получено 2017-11-16.
  26. ^ Маккарти, Кирен (15 ноября 2017 г.). «Четыре проблемы с последним сводом правил правительства США по раскрытию ошибок безопасности». Реестр. Получено 2017-11-16.
  27. ^ "Что такое атаки нулевого дня? | Детектив по безопасности". Детектив безопасности. 2018-08-30. Получено 2018-11-22.

дальнейшее чтение

Примеры атак нулевого дня

(Хронологический порядок)

внешняя ссылка