Nul -dag (computing) - Zero-day (computing)

En nul-dag (også kendt som 0-dag ) er en computer-software sårbarhed, der enten er ukendt for dem, der burde være interesseret i dens afbødning (herunder leverandøren af ​​målsoftwaren) eller kendt, og en patch ikke er blevet udviklet. Indtil sårbarheden er afbødet, kan hackere udnytte det til at påvirke programmer, data, yderligere computere eller et netværk negativt. En udnyttelse rettet mod en nul-dag kaldes en nul-dages udnyttelse eller nul-dages angreb.

Udtrykket "zero-day" refererede oprindeligt til antallet af dage siden et nyt stykke software blev frigivet til offentligheden, så "zero-day software" blev opnået ved at hacke ind i en udviklers computer før frigivelse. Til sidst blev udtrykket anvendt på de sårbarheder, der tillod denne hacking, og på det antal dage, som leverandøren har haft til at rette dem. Når leverandørerne har fundet ud af sårbarheden, opretter de normalt patches eller rådgiver løsninger til at afbøde det.

Jo mere for nylig, at leverandøren er blevet opmærksom på sårbarheden, desto mere sandsynligt er det, at der ikke er blevet udviklet en løsning eller afhjælpning. Når først en rettelse er udviklet, falder chancen for, at udnyttelsen lykkes, efterhånden som flere brugere anvender rettelsen over tid. For nul-dages bedrifter, medmindre sårbarheden utilsigtet er rettet, f.eks. Ved en ikke-relateret opdatering, der sker for at løse sårbarheden, er sandsynligheden for, at en bruger har anvendt en leverandørleveret patch, der løser problemet, nul, så udnyttelsen vil forblive ledig. Nul-dages angreb er en alvorlig trussel .

Angrebsvektorer

Malware- forfattere kan udnytte nul-dages sårbarheder gennem flere forskellige angrebsvektorer . Nogle gange, når brugere besøger useriøse websteder , kan ondsindet kode på webstedet udnytte sårbarheder i webbrowsere . Webbrowsere er et særligt mål for kriminelle på grund af deres udbredte distribution og brug. Cyberkriminelle , samt internationale leverandører af spyware såsom Israel ’s NSO Group , kan også sende ondsindede e-mails vedhæftede filer via SMTP , der udnytter sårbarheder i programmet åbne den vedhæftede fil. Eksploit, der drager fordel af almindelige filtyper, er mange og hyppige, hvilket fremgår af deres stigende udseende i databaser som US-CERT . Kriminelle kan konstruere malware til at drage fordel af disse filtypeudnyttelser til at kompromittere angrebne systemer eller stjæle fortrolige data.

Sårbarhedsvindue

Tiden fra en softwareudnyttelse først bliver aktiv til det tidspunkt, hvor antallet af sårbare systemer skrumper til ubetydelighed, kaldes vinduet for sårbarhed . Tidslinjen for hver softwaresårbarhed defineres af følgende hovedhændelser:

• t ₀ : Sårbarheden opdages (af alle).
• t _1a : Der udgives en sikkerhedsrettelse (f.eks. af softwareleverandøren).
• t _1b : En udnyttelse bliver aktiv.
• t ₂ : De fleste sårbare systemer har anvendt patchen.

Formlen for længden af ​​sårbarhedsvinduet er således: t ₂  -  t _1b .

I denne formulering er det altid rigtigt, at t ₀ ≤ t _1a og t ₀ ≤ t _1b . Bemærk, at t ₀ ikke er det samme som dag nul . For eksempel, hvis en hacker er den første til at opdage (ved t ₀ ) sårbarheden, får leverandøren muligvis først at vide om det meget senere (på dag nul).

Ved normale sårbarheder, t _1b > t _1a . Dette indebærer, at softwareleverandøren var opmærksom på sårbarheden og havde tid til at udgive en sikkerhedsrettelse ( t _1a ), før enhver hacker kunne lave en brugbar udnyttelse ( t _1b ). For nul-dages udnyttelser, t _1b ≤ t _1a , således at udnyttelsen bliver aktiv, før en patch bliver gjort tilgængelig.

Ved ikke at afsløre kendte sårbarheder håber en softwareleverandør at nå t _2, før t _1b nås, og dermed undgå enhver udnyttelse. Leverandøren har dog ingen garantier for, at hackere ikke selv finder sårbarheder. Desuden kan hackere selv analysere sikkerhedsrettelserne og derved opdage de underliggende sårbarheder og automatisk generere arbejdsudnyttelser. Disse bedrifter kan bruges effektivt indtil tid t ₂ .

I praksis varierer længden af ​​sårbarhedsvinduet mellem systemer, leverandører og individuelle sårbarheder. Det måles ofte i dage, hvor en rapport fra 2006 anslår gennemsnittet til 28 dage.

Beskyttelse

Nul-dags beskyttelse er evnen til at yde beskyttelse mod nul-dages bedrifter. Da nul-dages angreb generelt er ukendte for offentligheden, er det ofte svært at forsvare sig mod dem. Nul-dages angreb er ofte effektive mod "sikre" netværk og kan forblive uopdaget, selv efter at de er lanceret. Således skal brugere af såkaldte sikre systemer også udvise sund fornuft og udøve sikre computervaner.

Der findes mange teknikker til at begrænse effektiviteten af ​​nul-dages hukommelseskorruption, f.eks. Bufferoverløb . Disse beskyttelsesmekanismer findes i nutidige operativsystemer såsom macOS , Windows Vista og senere (se også: Sikkerheds- og sikkerhedsfunktioner, der er nye til Windows Vista ), Solaris , Linux , Unix og Unix-lignende miljøer; Windows XP Service Pack 2 indeholder begrænset beskyttelse mod generiske hukommelseskorruption, og tidligere versioner inkluderer endnu mindre. Desktop- og serverbeskyttelsessoftware findes også for at afbøde sårbarheder ved bufferoverløb på nul dage. Disse teknologier involverer typisk heuristisk afslutningsanalyse for at stoppe angreb, før de forårsager skade.

Det er blevet foreslået, at en løsning af denne art kan være uden for rækkevidde, fordi det i almindelighed er algoritmisk umuligt at analysere vilkårlig kode for at afgøre, om den er ondsindet, da en sådan analyse reducerer til stopproblemet over en lineær afgrænset automat , hvilket er uløseligt. Det er imidlertid unødvendigt at behandle den generelle sag (det vil sige at sortere alle programmer i kategorierne ondsindede eller ikke-ondsindede) under de fleste omstændigheder for at fjerne en bred vifte af ondsindet adfærd. Det er tilstrækkeligt at anerkende sikkerheden ved et begrænset sæt programmer (f.eks. Dem, der kun kan få adgang til eller ændre en given delmængde af maskinressourcer), mens både nogle sikre og alle usikre programmer afvises. Dette kræver, at integriteten af ​​disse sikre programmer opretholdes, hvilket kan vise sig at være svært i lyset af en udnyttelse på kernel-niveau.

Den Zeroday Emergency Response Team (ZERT) var en gruppe af softwareingeniører, der arbejdede for at frigive ikke-leverandør patches til zero-day exploits.

Orme

Nul-dages orme drager fordel af et overraskelsesangreb, mens de stadig er ukendte for computersikkerhedspersonale . Nyere historie viser en stigende grad af ormspredning. Godt designede orme kan spredes meget hurtigt med ødelæggende konsekvenser for Internettet og andre systemer.

Etik

Der findes forskellige ideologier vedrørende indsamling og brug af nul-dages sårbarhedsinformation. Mange computersikkerhedsleverandører undersøger nul-dages sårbarheder for bedre at forstå sårbarhedernes art og deres udnyttelse af enkeltpersoner, computerorme og vira. Alternativt køber nogle leverandører sårbarheder for at øge deres forskningskapacitet. Et eksempel på et sådant program er TippingPoints Zero Day Initiative. Selvom salg og køb af disse sårbarheder ikke er teknisk ulovligt i de fleste dele af verden, er der meget kontrovers om metoden til afsløring. En tysk beslutning fra 2006 om at inkludere artikel 6 i konventionen om it -kriminalitet og EU's rammeafgørelse om angreb mod informationssystemer kan gøre salg eller endda fremstilling af sårbarheder ulovligt.

De fleste formelle programmer følger en eller anden form for Rain Forest Puppys oplysningsretningslinjer eller de nyere OIS -retningslinjer for rapportering og reaktion på sikkerhedsrisiko. Generelt forbyder disse regler offentliggørelse af sårbarheder uden meddelelse til sælgeren og tilstrækkelig tid til at producere en patch.

Vira

En zero-day virus (også kendt som zero-day malware eller næste generations malware ) er en tidligere ukendt computervirus eller anden malware, for hvilken specifikke antivirussoftwaresignaturer endnu ikke er tilgængelige.

Traditionelt er antivirussoftware baseret på signaturer for at identificere malware. En virussignatur er et unikt mønster eller en unik kode, der kan bruges til at opdage og identificere bestemte vira. Antivirusprogrammet scanner filsignaturer og sammenligner dem med en database med kendte ondsindede koder. Hvis de matcher, markeres filen og behandles som en trussel. Den største begrænsning for signaturbaseret detektion er, at den kun er i stand til at markere allerede kendt malware, hvilket gør den ubrugelig mod nul-dages angreb. De fleste moderne antivirussoftware bruger stadig signaturer, men udfører også andre former for analyse.

Kode analyse

I kodeanalyse , den maskinkode er af filen analyseret for at se, om der er noget, der ser mistænkeligt. Typisk har malware karakteristisk adfærd; kode analyse forsøger at opdage, om dette er til stede i koden.

Selvom den er nyttig, har kodeanalyse betydelige begrænsninger. Det er ikke altid let at afgøre, hvad et afsnit af kode er beregnet til at gøre, især hvis det er meget komplekst og bevidst er skrevet med det formål at besejre analyse. En anden begrænsning af kodeanalyse er den tid og de tilgængelige ressourcer. I den konkurrencedygtige verden af ​​antivirussoftware er der altid en balance mellem analysens effektivitet og den involverede tidsforsinkelse.

En metode til at overvinde begrænsningerne ved kodeanalyse er, at antivirussoftwaren kører mistænkte kodesektioner i en sikker sandkasse og observerer deres adfærd. Dette kan være størrelsesordener hurtigere end at analysere den samme kode, men skal modstå (og opdage) forsøg fra koden til at detektere sandkassen.

Generiske underskrifter

Generiske signaturer er signaturer, der er specifikke for bestemt adfærd frem for et specifikt element af malware. De fleste nye malware er ikke helt nye, men er en variant af tidligere malware eller indeholder kode fra et eller flere tidligere eksempler på malware. Resultaterne af tidligere analyse kan således bruges mod ny malware.

Konkurrenceevne i antivirussoftwareindustrien

Det er generelt accepteret i antivirusindustrien, at de fleste leverandørers signaturbaserede beskyttelse er identisk effektiv. Hvis en underskrift er tilgængelig for et element af malware, skal hvert produkt (medmindre det er dysfunktionelt) registrere det. Nogle leverandører er dog betydeligt hurtigere end andre ved at blive klar over nye vira og/eller opdatere deres kunders signaturdatabaser for at opdage dem.

Der er en bred vifte af effektivitet med hensyn til nul-dages virusbeskyttelse. Det tyske computer magasin c't fandt, at afsløring satser for zero-day vira varierede fra 20% til 68%. Det er primært inden for nul-dages virusydelse, at producenter nu konkurrerer.

USA's regeringsinddragelse

NSA's brug af zero-day exploits (2017)

I midten af ​​april 2017 offentliggjorde hackerne kendt som The Shadow Brokers (TSB), der angiveligt er knyttet til den russiske regering, filer fra NSA (oprindeligt lige anset for at være fra NSA, senere bekræftet gennem interne detaljer og af amerikanske whistleblower Edward Snowden ), der inkluderer en række 'zero-day exploits' rettet mod Microsoft Windows- software og et værktøj til at trænge ind i Society for Worldwide Interbank Financial Telecommunication (SWIFT )'s tjenesteudbyder. Ars Technica havde rapporteret Shadow Brokers 'hackingkrav i midten af ​​januar 2017, og i april lagde Shadow Brokers ud af bedrifterne som bevis.

Sårbarhed Aktier Proces

Den Vulnerabilities Equities Proces , først afsløret offentligt i 2016, er en proces, der anvendes af den amerikanske føderale regering at afgøre fra sag til sag, hvordan det skal behandle zero-day computer sikkerhedshuller : om at udlevere dem til offentligheden til hjælp forbedre den generelle computersikkerhed eller holde dem hemmelige til offensiv brug mod regeringens modstandere. Processen er blevet kritiseret for en række mangler, herunder begrænsning ved hemmeligholdelsesaftaler, mangel på risikovurderinger, særlig behandling for NSA og ikke en fuld forpligtelse til oplysning som standardmulighed.

Se også

• Adgangskontrol
• Bug bounty program
• Heuristisk analyse
• Marked for nul-dages bedrifter
• Netværksadgangskontrol
• Netværksadgangsbeskyttelse
• Netværksadgangskontrol
• Software-defineret beskyttelse
• Målrettede angreb
• Hvælving 7
• Hvid hat (computersikkerhed)
• Zero Days , en dokumentar om de 4 nul-dage i stuxnet

Referencer

Yderligere læsning

• Messmer, Ellen (6. april 2007). "Er Desktop Antivirus død?" . PC World .
• Naraine, Ryan (1. december 2006). "Antivirus er død, død, død!" . eWeek . Arkiveret fra originalen den 7. januar 2010.

Eksempler på nul-dages angreb

(Kronologisk rækkefølge)

• "PowerPoint Zero-Day Attack kan være tilfælde af virksomhedsspionage" . FoxNews . 24. juli 2006.
• Naraine, Ryan (7. december 2006). "Microsoft udsender Word Zero-Day Attack Alert" . eWeek .
• "Angribere griber ny nul-dag i Word" . InfoWorld . 15. februar 2007.

eksterne links