Zero day útok

Zero day exploit (zero-day attack, tj. zneužití či útok nultého dne) je v informatice označení útoku nebo hrozby, která se v počítači snaží využít zranitelnosti používaného software, která není ještě obecně známá, resp. pro ni neexistuje obrana (např. formou aktualizace počítačového systému či konkrétního software). Nultý den zde neoznačuje číslo nebo počet dní, ale skutečnost, že uživatel je ohrožen a až do vydání opravy (aktualizace) se nachází stále ve výchozím postavení (tj. v nultém dni). Doba ohrožení zero day exploitem tak může být několik dní, týdnů, ale i roků a doba jejího trvání je typicky plně v rukou autorů vadného software.

Popis[editovat | editovat zdroj]

Zero day exploit využívá k provedení útoku tak zvaný exploit, což je popis k využití programátorské chyby, která způsobuje zranitelnost. Pro řadu exploitů existují programy, které jej vykonají. Útočníci často vytvářejí exploity se zlými úmysly, což ohrožuje uživatele. Exploity (ve formě popisu i programu) jsou často snadno dostupné na Internetu. Exploit je nebezpečný i po zveřejnění opravy (aktualizace), která chybu opravuje, protože někteří uživatelé aktualizace z různých důvodů neinstalují.

Aktualizace, které zranitelnosti odstraňují, vytvářejí zpravidla tvůrci napadeného software. V některých případech je automatizovaným způsobem nabízejí uživatelům jejich softwaru (např. Microsoft Update pro Microsoft Windows nebo aktualizace poskytované pro Linuxové distribuce pomocí nástrojů yum, apt aj.).

Směrování útoků[editovat | editovat zdroj]

Tvůrci malware jsou schopni využít zero-day zranitelnost pomocí několika různých útoků. Jedním z konkrétních cílů jsou internetové prohlížeče, protože jsou nejrozšířenější a využívá je nejvíce lidí. Útočníci mohou také posílat e-maily, které zneužívají zranitelná místa poštovních programů či webmailů při manipulaci s vadně formátovaným tělem e-mailu nebo jeho přílohami.^[1] Exploity, které tyto chyby v software využívají, jsou uvedeny v různých databázích, například CERT. Malware může být navržen tak, aby napadl systém nebo aby kradl důvěrná data, jako jsou bankovní hesla a osobní informace o osobě.^[2]

Okno zranitelnosti[editovat | editovat zdroj]

K zero-day útokům může dojít během doby, kdy již existuje exploit, ale vývojáři ještě nestihli poskytnout opravu (tj. mezi body 2 a 4).

Pro viry, trojské koně a další zero-day útoky, platí následující časová linie:

vývojář vytvoří software obsahující (zatím neznámé) zranitelnosti
útočník zatím neodhalenou chybu najde
útočník napíše a distribuuje exploit zneužívající tuto chybu, zatímco vývojáři o chybě nevědí
vývojář najde chybu, opraví ji a opravu zveřejní
uživatel nainstaluje opravenou verzi (aktualizaci)

Měření délky okna zranitelnosti (tj. mezi body 2 a 4) může být obtížné, protože útočníci nezveřejňují, kdy byla chyba poprvé nalezena. Vývojáři tuto informaci někdy zveřejňují z komerčních nebo bezpečnostních důvodů. Vývojáři nemusí vědět, že je chyba zneužívána. Ale i přes to lze dokázat, že okno zranitelnosti může trvat i několik let. Například v roce 2008 Microsoft potvrdil chybu zabezpečení v aplikaci Internet Explorer, která postihla některé verze, které byly vydány v roce 2001.^[3] Avšak datum zranitelnost, kdy byl exploit poprvé nalezen útočníky, není známo, nicméně okno zranitelnosti v tomto případě mohlo být až 7 let. Chyby v open source software jsou často popisovány detailně a je možné snadno zjistit, od kdy byla chyba zneužitelná (případně kdo chybu způsobil). V jádře Linuxu bývají občas také nalezeny chyby, které přetrvávaly dlouhou dobu.^[4]

Odhalování[editovat | editovat zdroj]

Speciální typ bezpečnostních postupů se zaměřuje na hledání a odstraňování zero-day slabin. Tato neznámá chyba zabezpečení životního cyklu je zabezpečení a zajištění kvality procesu, který má za cíl zajistit bezpečnost a robustnost obou in-house produktů a produktů třetích stran najít a stanovit neznámé (zero-day) zranitelnosti. Neznámá chyba zabezpečení procesu řízení se skládá ze čtyř fází: analýza, test, zpráva a zmírnění.^[5]

analýza: tato fáze se zaměřuje na analýzu útoku
test: tato fáze se zaměřuje na testování rozmanitosti zjištěných útoků
zpráva: tato fáze se zaměřuje na reprodukci nalezených chyb pro vývojáře
zmírnění: tato fáze se zaměřuje na ochranná opatření

Ochrana[editovat | editovat zdroj]

Zero-day ochranou je myšlena ochrana proti zero-day exploitu. Zero-day útoky mohou zůstat nezjištěné i potom, co byly spuštěny.

Existuje mnoho technik k omezení zranitelnosti paměti, jako je například přetečení na zásobníku. Tyto ochranné mechanismy existují v současných operačních systémech, jako Windows 7, Microsoft Windows Vista, Apple Mac OS X, Oracle Solaris, Linux, Unix. Microsoft Windows XP Service Pack 2 obsahuje částečnou ochranu proti zranitelnostem způsobeným obecným poškozením paměti. Existuje i software pro desktop a servery, který má za úkol ochránit před zranitelnosti typu přetečení zásobníku.

Používání démonů typu "klepání na porty" nebo "jediný paket autentizace" může poskytnout účinnou ochranu proti zero-day chybám u síťových služeb. Nicméně tyto techniky nejsou vhodné pro prostředí s velkým počtem uživatelů.

Whitelisting účinně chrání před zero-day hrozbami. Whitelisting povolí pouze známým, spolehlivým aplikacím přístup k systému, a tak žádné nové či neznámé aplikaci není přístup povolen. Přestože whitelist je účinný proti zero-day útokům, aplikace hodnocené jako "spolehlivé" mohou mít chyby, které nebyly během testování nalezeny. Ke zvýšení ochrany se často používá v kombinaci s jinými způsoby ochrany, jako je HIPS (Host-based intrusion-prevention system) nebo Blacklist, ale to může být někdy dost omezující pro uživatele.

Etika[editovat | editovat zdroj]

Rozdílné názory obklopují sběr a využívání zero-day informací o zranitelnosti. Mnoho počítačových prodejců zabývající se bezpečností provádí výzkum zero-day zranitelností, aby lépe porozuměli povaze zranitelností a jejich využívání jednotlivci, počítačovými červy a viry. Někteří prodavači nákupem zranitelnosti rozšířili své výzkumné kapacity. Příkladem takového programu je TippingPoint TippingPoint's Zero Day Initiative. Zatímco prodej a nákup těchto informací není technicky nezákonný ve většině částí světa, vzniká velká diskuze nad způsobem zveřejnění.

Reference[editovat | editovat zdroj]

↑ – SANS sees upsurge in zero-day web-based attacks, Computerworld. www.computerworld.com [online]. [cit. 2011-02-24]. Dostupné v archivu pořízeném dne 2008-12-22.
↑ "E-mail Residual Risk Assessment" Avinti, Inc., p. 2. avinti.com [online]. [cit. 2011-02-24]. Dostupné v archivu pořízeném dne 2020-08-19.
↑ BBC NEWS | Technology | Serious security flaw found in IE
↑ – Bug exposes eight years of Linux kernel
↑ Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010.

Související články[editovat | editovat zdroj]

[1] – SANS sees upsurge in zero-day web-based attacks, Computerworld. www.computerworld.com [online]. [cit. 2011-02-24]. Dostupné v archivu pořízeném dne 2008-12-22.

[2] "E-mail Residual Risk Assessment" Avinti, Inc., p. 2. avinti.com [online]. [cit. 2011-02-24]. Dostupné v archivu pořízeném dne 2020-08-19.

[3] BBC NEWS | Technology | Serious security flaw found in IE

[4] – Bug exposes eight years of Linux kernel

[5] Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010.

[1]

[2]

[3]

[4]

[5]