Sveti gral zlonamjernog hakera
Jedna od mantra informacijske sigurnosti je da vaši sustavi budu zakrčeni i ažurirani. Budući da dobavljači uče o novim ranjivostima svojih proizvoda, bilo od istraživača treće strane ili vlastitim otkrićima, stvaraju hitne popravke, zakrpe, servisne pakete i sigurnosna ažuriranja kako bi popravili rupe.
Sveti gral za zlonamjerne programe i virusne pisce je "zero day exploit". Nulti dan iskorištavanje je kada je iskorištavanje ranjivosti stvoreno prije ili istog dana kada je ranjivost saznala od strane dobavljača. Stvaranjem virusa ili crva koji iskorištava ranjivost dobavljača još nije svjesna i za koju trenutačno nema raspoloživih zakrpa, napadač može maksimalno pustošiti.
Neki su ranjivosti nazvane nula dana eksploatacijom ranjivosti od strane medija, ali pitanje je nula dana čiji kalendar? Često su dobavljači i ključni pružatelji tehnologije svjesni tjednih ranjivosti ili čak mjeseci prije nego što se izrađuje eksploatiranje ili prije nego što se ranjivost javno objavi.
Sjajan primjer toga bio je ranjivost SNMP-a (Simple Network Management Protocol) objavljena u veljači 2002. godine. Studenti Sveučilišta Oulu u Finskoj zapravo su otkrili nedostatke u ljeto 2001. dok su radili na PROTOS projektu, testnom sudu osmišljenom za test SNMPv1 (verzija 1).
SNMP je jednostavan protokol za uređaje koji međusobno razgovaraju. Koristi se za komunikaciju uređaja i uređaja te za daljinsko praćenje i konfiguraciju mrežnih uređaja od strane administratora. SNMP je prisutan u mrežnim hardverima (usmjerivači, preklopnici, čvorići, itd.), Pisači, fotokopirni uređaji, faksovi, vrhunska računalna medicinska oprema i gotovo svaki operativni sustav.
Nakon što su otkrili da mogu srušiti ili onemogućiti uređaje koristeći svoj PROTOS test paket, studenti na sveučilištu Oulu diskretno su obavijestili ovlasti koje su i riječi izašle prodavačima. Svatko je sjedio na tim informacijama i čuvao je tajnu sve dok nije na neki način propustio svijet da je PROTOS testni paket, koji je bio slobodan i javno dostupan, mogao biti korišten kao kôd za iskorištavanje kako bi srušio SNMP uređaje. Tek su se prodavači i svijet počeli stvarati i osloboditi zakrpe kako bi se riješila situacija.
Svijet je bio u panici i tretiran je kao nulti-dnevni iskorištavanje kada je zapravo više od 6 mjeseci prošlo od vremena kada je ranjivost izvorno otkrivena. Slično tome, Microsoft pronalazi nove rupe ili redovito se upozorava na nove rupe u svojim proizvodima. Neki od njih su stvar interpretacije, a Microsoft se možda ili ne mora složiti da je zapravo pogreška ili ranjivost. No, čak i za mnoge od njih se slažu da su ranjivosti moglo biti nekoliko tjedana ili mjeseci prije nego što Microsoft napravi sigurnosno ažuriranje ili servisni paket koji rješava problem.
Jedna sigurnosna organizacija (PivX Solutions) koristila je za održavanje popisa Microsoft Internet Explorer ranjivosti koje je Microsoft upoznao, ali još nije bio zakrpao. Postoje i druge web stranice na webu koje posjećuju hakeri koji održavaju popise poznatih ranjivosti i gdje hakeri i zlonamjerni koderi također razmjenjuju informacije.
To ne znači da nulti-dnevni eksploatacija ne postoji. Nažalost, često se događa i da se prvi put kada se dobavljači ili svijet upoznaju s rupom, radi forenzičke istrage kako bi saznali kako se sustav razgrađuje ili analizira virus koji se već širi u divljini saznajte kako to radi.
Bez obzira na to jesu li prodavači znali o ranjivosti prije godinu dana ili su saznali za nju ujutro, ako kôd za eksploataciju postoji kada se javlja ranjivost, taj je nulti dan iskorištavanje na vašem kalendaru.
Najbolje što možete učiniti kako biste zaštitili nultodnevne eksploatacije je slijediti dobro sigurnosne politike na prvom mjestu. Instaliranjem i održavanjem protuvirusnog softvera ažuriranim, blokiranjem privitaka u e-poštu koja može biti štetna i održavanjem vašeg sustava u odnosu na ranjivosti koje već poznajete možete osigurati vaš sustav ili mrežu od 99% onoga što je vani ,
Jedna od najboljih mjera za zaštitu od trenutno nepoznatih prijetnji jest korištenje hardverskog ili softverskog (ili oba) vatrozida . Također možete omogućiti heurističko skeniranje (tehnologija kojom se pokušava blokirati viruse ili crve koji još nisu poznati) u vašem protuvirusnom softveru. Blokiranjem nepotrebnog prometa na prvom mjestu s hardverskim firewallom, blokiranjem pristupa resursima sustava i uslugama pomoću softverskog vatrozida ili korištenjem vašeg protuvirusnog softvera za otkrivanje anomalnog ponašanja možete se bolje zaštititi od zastrašujućeg nultog dana korištenja.