Jedną z mantr bezpieczeństwa informacji jest utrzymywanie poprawności i aktualizacji systemów. Sprzedawcy dowiadują się o nowych lukach w swoich produktach, zarówno od zewnętrznych badaczy, jak i poprzez własne odkrycia, tworzą poprawki, poprawki, dodatki Service Pack i aktualizacje zabezpieczeń w celu naprawy dziur.
Święty Graal dla szkodliwych programistów i twórców wirusów to "exploit zero-dzienny". Exploit typu zero day ma miejsce, gdy exploit dotyczący luki zostanie utworzony przed lub w dniu, w którym luka zostanie wykryta przez sprzedawcę. Tworząc wirusa lub robaka, który wykorzystuje lukę w zabezpieczeniach, której sprzedawca nie jest jeszcze świadomy i dla której nie ma obecnie dostępnej łaty, atakujący może siać maksymalne spustoszenie.
Niektóre słabe punkty są określane przez media jako luki w lukach w lukach zero-dziennych, ale pytanie brzmi "zero dni" według którego kalendarza? Często zdarza się, że sprzedawca i kluczowi dostawcy technologii wiedzą o usterce przez kilka tygodni lub nawet miesięcy, zanim zostanie utworzony exploit lub zanim luka zostanie ujawniona publicznie.
Jaskrawym tego przykładem była luka w zabezpieczeniach protokołu SNMP (Simple Network Management Protocol) ogłoszona w lutym 2002 roku. Studenci z Uniwersytetu w Oulu w Finlandii odkryli wady 2001 roku podczas pracy nad projektem PROTOS, zestawem testów zaprojektowanym do testowania SNMPv1 (wersja 1).
SNMP to prosty protokół do komunikowania się urządzeń. Służy do komunikacji między urządzeniami oraz do zdalnego monitorowania i konfigurowania urządzeń sieciowych przez administratorów. SNMP jest obecny w sprzęcie sieciowym (routery, przełączniki, koncentratory itp.), Drukarkach, kopiarce, faksach, wysokiej klasy skomputeryzowanym sprzęcie medycznym i prawie w każdym systemie operacyjnym.
Po odkryciu, że mogą awarie lub wyłączyć urządzenia przy użyciu pakietu testowego PROTOS, uczniowie z Uniwersytetu w Oulu dyskretnie powiadomili o tym, jakie moce i jakie słówka wyszły na dostawców. Wszyscy siedzieli na tych informacjach i trzymali to w sekrecie, dopóki nie doszło do wycieku na świat, że sam pakiet testów PROTOS, który był swobodnie i publicznie dostępny, mógł zostać użyty jako kod exploita do usunięcia urządzeń SNMP. Dopiero wtedy sprzedawcy i cały świat zaczęli próbować tworzyć i wypuszczać łaty, aby zająć się sytuacją.
Świat wpadł w panikę i został potraktowany jako exploita zero-day, gdy w rzeczywistości minęło ponad 6 miesięcy od momentu odkrycia luki. Podobnie, Microsoft znajduje nowe dziury lub jest regularnie informowany o nowych dziurach w swoich produktach. Niektóre z nich dotyczą interpretacji, a Microsoft może, ale nie musi, zgodzić się, że jest to wada lub luka. Jednak nawet w przypadku wielu z tych, które zgadzają się na luki w zabezpieczeniach, mogą minąć tygodnie lub miesiące, zanim Microsoft wyda aktualizację zabezpieczeń lub dodatek Service Pack rozwiązujący problem.
Jedna organizacja bezpieczeństwa (PivX Solutions) używana do utrzymywania listy uruchomionych luk w zabezpieczeniach Microsoft Internet Explorer, o których Microsoft wiedział, ale jeszcze nie załatał. Istnieją inne witryny w sieci odwiedzane przez hakerów, które utrzymują listy znanych luk w zabezpieczeniach i gdzie hakerzy i złośliwi programiści przetwarzają również informacje.
Nie znaczy to, że exploit zero-day nie istnieje. Niestety często zdarza się, że po raz pierwszy sprzedawcy lub świat są świadomi dziury, kiedy przeprowadzają sądowe dochodzenie, aby dowiedzieć się, w jaki sposób system został złamany lub kiedy analizuje się wirus, który rozprzestrzenia się już na wolności. dowiedzieć się, jak to działa.
Niezależnie od tego, czy sprzedawcy wiedzieli o luce w zabezpieczeniach rok temu, czy o tym dowiedzieli się dziś rano, czy kod exploita istnieje po ujawnieniu luki w zabezpieczeniach, jest to exploita zero-day Twój kalendarz.
Najlepszą rzeczą, jaką możesz zrobić, aby chronić się przed exploitami typu zero-day, jest przestrzeganie dobrych zasad bezpieczeństwa. Instalując i aktualizując oprogramowanie antywirusowe, blokując załączniki plików do wiadomości e-mail, które mogą być szkodliwe, i utrzymując system w zabezpieczeniach przed lukami, o których już wiesz, możesz zabezpieczyć swój system lub sieć przed 99% tego, co tam jest. .
Jednym z najlepszych sposobów ochrony przed nieznanymi zagrożeniami jest zastosowanie zapory sprzętowej lub programowej (lub obu). Możesz również włączyć skanowanie heurystyczne (technologię używaną do próby zablokowania wirusów lub robaków, których jeszcze nie znasz) w twoim oprogramowaniu antywirusowym. Blokując niepotrzebny ruch w pierwszej kolejności zaporą sprzętową, blokując dostęp do zasobów systemowych i usług za pomocą zapory ogniowej lub korzystając z oprogramowania antywirusowego w celu wykrywania anormalnych zachowań, można lepiej zabezpieczyć się przed przerażającym exploitem zerodniowym.
