/ Новости сайта / Что такое уязвимость нулевого дня (0day)?
23Май Уязвимость нулевого дня (0day)

Что такое уязвимость нулевого дня (0day)?

56

То самое чувство, когда уязвимость уже есть и вероятнее всего эксплуатируется хакерами, а решения для ее исправления и защитных механизмов еще нет - простое, но доступное объяснение уязвимости нулевого дня. Уязвимость 0day представляется собой "дыру" или ошибку в программном обеспечение для которой разработчики еще не выпустили исправление, в силу того, что они не знают о существовании данной проблемы. Т.е. понятие подразумевает, что у производителей есть ноль дней с момента обнаружения уязвимости для защиты от потенциальных кибератак.


Что может сделать хакер при обнаружении уязвимости нулевого дня?

Хакер типа "белая шляпа", вероятнее всего сообщит об ошибке в компанию, что бы они внесли соответствующие изменения. В качестве поощрения от представителей организации может быть финансовое вознаграждение или судебный иск, как уж повезет.

 

Злоумышленники, которые не особо заинтересованы быть честными, могут продать полученную информацию на сером рынке, где подобные уязвимости могут стоить сотни тысяч долларов.

 

В случае, если киберпреступник является специалистом в своей области, он самостоятельно будет использовать эксплойты, с целью получения личной выгоды.


В чем заключается угроза 0day?

В тот момент, когда разработчикам становится известно об уязвимости 0day, они пытаются исправить ошибку и выпустить необходимое обновление для ее устранения. Если проблема используется хакерами до того момента, как она была исправлена программистами, в этот момент осуществляется атака нулевого дня (эксплойт нулевого дня).

 

Хакерам очень импонирует уязвимость 0day, поскольку, без патча безопасности, нет возможности их остановить. Уязвимости нулевого дня, как правило, очень трудно обнаружить. Системы защиты (антивирусы, файрволлы) могут просто на просто их не обнажить в силу того, что может применяться шифрование или обфускация программного кода, т.е. вредоносное ПО (код) может восприниматься, как необходимый элемент системы, тем самым не вызывая никаких подозрений. В это время злоумышленники могут осуществлять удаленное управления системой или компьютером, кражу персональных данных, промышленный шпионаж и т.п.

 

В мае 2017 года, была обнаружена программа-вымогатель WannaCry, которая, на сегодняшний день, является примером одной из самых масштабных атак использующих уязвимость нулевого дня в ПО. В то время от действия данного "червя" пострадало более 500 тысяч компьютеров, как персональных, так и коммерческих, в более чем 100 странах мира.


Как можно обнаружить уязвимость нулевого дня?

Один из самых действующий и эффективных методов для обнаружения - анализ поведенческого фактора пользователей. Статистика позволяет проанализировать буквально каждый шаг человека в системе. И есть определенные шаблоны, которые можно считать нормой поведения человека. Если имеются отклонения от нормы - это уже является одним из факторов, которые могут косвенно или напрямую указывать на наличие уязвимостей 0day.

 

Так же, в системе или ПО можно:

  • выполнить обратную разработку (т.е. исследовать "объект" с целью понять принцип его работы, проанализировать механизмы и процессы, создать интерпретацию с изменениями и т.п.);
  • использовать дизассемблер (для подробного анализа программы, с целью выявления уязвимостей, изменения, поиска багов, взлома);
  • осуществить фаззинг (тестирование ПО или системы путем подачи на вход ложных или случайных данных, впоследствии выполняется анализ возникших нарущений, ошибок и т.п.).

 

Защита от атак нулевого дня (0day)

Обеспечить полноценную защиту от эксплойтов 0day трудная задача, поскольку их трудно обнаружить. Антивирусы, которые обеспечивают сканирование ПО или системы на наличие уязвимостей применяют проверку вредоносного ПО или подозрительного кода с уже существующими и ранее зафиксированными эксплойтами.

 

Соответственно, антивирусные технологии защиты, в силу того, что уязвимость нулевого дня не известна заранее, не смогут ее заблокировать - нет способа или метода, чтобы обеспечить защиту от эксплойта, прежде, чем он станет общедоступным.

 

Однако, есть рекомендации, которые могут применять компании для снижения риска воздействия 0-day уязвимостей:

  • разделите сеть на сегменты (физические или виртуальные), тем самым можно будет изолировать конфиденциальную информацию (трафик) между серверами;
  • организуйте систему управления и контроля доступа к сети, для ограничения возможностей корпоративных компьютеров;
  • используйте протокол IPsec, для шифрования и проверки подлинности сетевого трафика;
  • в случае с беспроводными точками доступа применяйте схему безопасности;
  • выполняйте регулярное сканирование системы на выявление ошибок и эксплойтов;
  • используйте проактивные технологии антивирусной защиты;
  • проводите своевременное обновления;
Статья для Вас была полезной? Расскажите о ней в социальных сетях:

Комментарии 0

avatar
Наверх