Svätý grál zlého hackera
Jednou z mantry informačnej bezpečnosti je udržať vaše systémy patchované a aktualizované. Keď sa dodávatelia dozvedia o nových zraniteľných miestach vo svojich produktoch, či už od výskumných pracovníkov tretej strany alebo prostredníctvom svojich vlastných objavov, vytvárajú opravy otvorov, opravy, balíky service pack a aktualizácie zabezpečenia.
Svätý grál pre škodlivých programov a spisovateľov vírusov je "nultý deň zneužívania". Využitie nultého dňa je vtedy, keď je zneužitie pre túto zraniteľnosť vytvorené predtým, alebo v ten istý deň, kedy sa o zraniteľnosti dozvie dodávateľ. Vytvorením vírusu alebo červu, ktorý využíva zraniteľnosť, o ktorej dodávateľ zatiaľ nevie a pre ktorý nie je v súčasnosti k dispozícii náplasť, môže útočník spôsobiť maximálny zmätok.
Niektoré zraniteľnosti sa v médiách nazývajú zraniteľnými miestami využívajúcimi nultý deň, ale otázkou je nultý deň, ktorého kalendár? Častokrát dodávatelia a kľúčoví poskytovatelia technológií sú si vedomí zraniteľnosti týždne alebo dokonca mesiacov pred vytvorením exploit alebo pred zverejnením zraniteľnosti.
Jasným príkladom bol zraniteľnosť protokolu SNMP (Simple Network Management Protocol) zverejnená vo februári 2002. Študenti na univerzite Oulu vo Fínsku skutočne objavili nedostatky v lete roku 2001 pri práci na projekte PROTOS, skúšobnom balíku určenom na testovanie SNMPv1 (verzia 1).
SNMP je jednoduchý protokol pre zariadenia, ktoré si medzi sebou môžu rozprávať. Používa sa na komunikáciu medzi zariadením a zariadením a na diaľkové sledovanie a konfiguráciu sieťových zariadení správcami. SNMP je súčasťou sieťového hardvéru (smerovače, prepínače, rozbočovače atď.), Tlačiarní, kopírovacích strojov, faxov, špičkových počítačových zdravotníckych zariadení a takmer vo všetkých operačných systémoch.
Po zistení, že by mohli zničiť alebo zakázať zariadenia pomocou skúšobnej sady PROTOS, študenti Oulu University diskrétne upozornili na právomoci a slovo prešlo k dodávateľom. Všetci sedeli na týchto informáciách a držali ich v tajnosti, až kým nebol nejakým spôsobom preniknutý do sveta, že samotná testovacia sada PROTOS, ktorá bola voľne a verejne dostupná, mohla byť použitá ako kód na zneužitie, aby sa SNMP zariadenia zničili. Až potom si výrobcovia a svetový šok vytvorili a uvoľnili záplaty na riešenie situácie.
Svet sa panikaval a považoval sa za zneužívanie nultého dňa, keď v skutočnosti prešlo viac ako 6 mesiacov od okamihu zistenia zraniteľnosti. Podobne nájde spoločnosť Microsoft nové diery alebo pravidelne upozorňuje na nové diery vo svojich produktoch. Niektoré z nich sú výkladom a spoločnosť Microsoft sa môže alebo nemusí súhlasiť s tým, že je v skutočnosti chybou alebo zraniteľnosťou. Ale aj pre mnohých tých, ktorí súhlasia s tým, že sú zraniteľnými, môže dôjsť k týždňom alebo mesiacom, ktoré sa prejavia skôr, ako spoločnosť Microsoft uvoľní aktualizáciu zabezpečenia alebo balík Service Pack, ktorý rieši danú problematiku.
Jedna bezpečnostná organizácia (riešenie PivX) používala na udržiavanie bežného zoznamu zraniteľností programu Microsoft Internet Explorer, o ktorých spoločnosť Microsoft vedomá, ale ešte nepodporovala. Existujú aj ďalšie stránky na webe, ktoré navštevujú hackeri, ktorí vedú zoznamy známych zraniteľných miest a kde hackeri a vývojári škodlivých kódov obchodujú aj s informáciami.
To neznamená, že exploatácia nultého dňa neexistuje. Bohužiaľ sa tiež stáva, že sa často, že prvýkrát, čo sa predajcovia alebo svet dozvedia o diere, je pri vyšetrovaní, aby zistili, ako bol systém rozbitý alebo pri analýze vírusu, ktorý sa už šíri vo voľnej prírode zistite, ako to funguje.
Či už pred rokom dodávatelia vedeli o zraniteľnosti, alebo o tom dnes ráno zistili, či existuje kód zneužitia, keď je zraniteľnosť zverejnená, je to vo vašom kalendári zneužitie nulového dňa.
Najlepšia vec, ktorú môžete urobiť na ochranu proti zneužívaniu nultého dňa, je v prvom rade sledovať dobré bezpečnostné politiky. Inštaláciou a udržiavaním antivírusového softvéru, zablokovaním príloh do e-mailov, ktoré môžu byť škodlivé a udržaním vášho systému záplatou proti zraniteľnostiam, o ktorých si už viete, môžete ochrániť systém alebo sieť pred 99% z toho, čo je vonku ,
Jedným z najlepších opatrení na ochranu pred aktuálne neznámymi hrozbami je použitie firewallu hardvéru alebo softvéru (alebo oboch). Môžete tiež povoliť heuristické skenovanie (technológiu používanú na pokus o zablokovanie vírusov alebo červov, o ktorých ešte nie je známe) v antivírovom softvéri. Zablokovaním zbytočnej prevádzky v prvom rade pomocou hardvérového firewallu, zablokovaním prístupu k systémovým zdrojom a službám pomocou softvérového firewallu alebo pomocou antivírusového softvéru, ktoré vám pomôžu zistiť anomálne správanie, sa môžete lepšie chrániť pred obávaným zneužívaním nuly.