Zero day útok: Porovnání verzí

← Přejít na předchozí porovnání Přejít na další porovnání →

Smazaný obsah Přidaný obsah

V textu

Verze z 24. 2. 2011, 13:54

Zero day exploit nebo Zero-day attack (česky zneužití či útok nultého dne) je útok nebo hrozba, která se v počítači snaží využít zranitelnost systému, která ještě obecně není známá. Útok využívá bezpečnostní díru v programu k provedení útoku. Tyto bezpečnostní díry mohou být sdíleny a využívány útočníky dokud není zranitelnost opravena vývojářem programu.

Termín je odvozen od stáří útoku. Jako nultý den je brán okamžik, kdy vývojář objeví zranitelnost v programu nebo je na ni upozorněn. Za zero day exploit je považován takový útok, který proběhne v ten den nebo předtím než se o něm vývojář dozví, což pro vývojáře znamená, že neměl šanci poskytnout uživatelům opravu.

Směrování útoků

Tvůrci Malware jsou schopni využít zero-day zranitelnost pomocí několika různých útoků. Jedním z konkrétních cílů jsou internetové prohlížeče, protože jsou nejrozšířenější a využívá je nejvíce lidí. Útočníci mohou také posílat e-maily, které zneužívají zranitelná místa v manipulaci s přílohami.^[1] Exploity, které využívají běžných typů souborů jsou uvedeny v databázích, jako je US-CERT. Malware může být navržen tak, aby napadl systém nebo aby kradl důvěrná data, jako jsou bankovní hesla a osobní informace o osobě.^[2]

Okno zranitelnosti

K Zero-day útokům může dojít během okna, které existuje v době, kdy je exploit objeven a doby než vývojáři začnou vyvíjet obranu proti této hrozbě.

Pro viry, trojské koně a další zero-day útoky, platí následující časová linie:

Vývojář vytvoří software obsahující (neznámé) zranitelnosti
Útočník najde chybu dříve než vývojáři
Útočník napíše a distribuuje exploit zenužívající tuto chybu, zatím co vývojáři o chybě nevědí
Vývojář najde chybu a opraví ji.

Měření délky okna zranitelnosti může být obtížné, protože útočníci nezveřejnují kdy byla chyba poprvé nalezena. Vývojáři nemusí tuto informaci zveřejňovat z komerčních nebo bezpečnostních důvodů. Vývojáři nemusí vědět, že je chyba zneužívána. Ale i přes to lze dokázat, že okno zranitelnosti může trvat i několik let. Například v roce 2008 Microsoft potvrdil chybu zabezpečení v aplikaci Internet Explorer, která postihla některé verze, které byly vydány v roce 2001.^[3] Bohužel, datum zranitelnost kdy byl exploit poprvé nalezen útočníky není známo, nicméně okno zranitelnosti v tomto případě mohlo být až 7 let.

Odhalování

Speciálním typem bezopečnostní řídíci postup se zaměřuje na hledání a odstraňování zero-day slabiny. Tato neznámá chyba zabezpečení životního cyklu je zabezpečení a zajištění kvality procesu, který má za cíl zajistit bezpečnost a robustnost obou in-house produktů a produktů třetích stran najít a stanovit neznámé (zero-day) zranitelnosti. Neznámá chyba zabezpečení procesu řízení se skládá ze čtyř fází: Analýza, Test, zpráva a zmírnění.^[4]

Analýza: tato fáze se zaměřuje na analýzu útoku
Test: tato fáze se zaměřuje na testování rozmanitosti zjištěných útoků
Zpráva: tato fáze se zaměřuje na reprodukci nalezených chyb pro vývojáře
Zmírnění: tato fáze se zaměřuje na ochranná opatření

Ochrana

Zero-day ochranou je myslena ochrana proti zero-day exploitu. Zero-day útoky mohou zůstat nezjištěné i potom co byly spuštěny.

Existuje mnoho technik k omezení zranitelnosti paměti, jako je například přetečení zásobníku. Tyto ochranné mechanismy existují v současných operačních systémech, jako Windows 7 , Microsoft Windows Vista, Apple Mac OS X, Oracle Solaris, Linux , Unix. Microsoft Windows XP Service Pack 2 obsahuje časově omezenou ochranu proti obecné zranitelnosti paměti. korupce XP a server software pro ochranu také existuje ke zmírnění zero day zranitelnosti buffer. přetečení Desktop. Existuje i software pro desktop a servery, který má za úkol ochránit před zranitelnosti typu přetečení zásobníku.

Používání démonů typu "klepání na porty" nebo "jediný paket autentizace" může poskytnout účinnou ochranu proti zero-day chyb u síťových služeb. Nicméně tyto techniky nejsou vhodné pro prostředí s velkým počtem uživatelů.

Whitelisting účinně chrání před zero-day hrozami. Whitelisting povolí pouze známým, spolehlivým aplikacím přístup k systému, a tak žádné nové či neznámé aplikaci není přístup povolen. Přestože whitelist je účinný proti zero-day útokům, aplikace hodnocené jako "spolehlivé" mohou mít chyby, které nebyly během testování nalezeny. Ke zvýšení ochrany se často používá v kombinaci s jinými způsoby ochrany, jako je HIPS (Host-based intrusion-prevention system) nebo Blacklist, ale to může být někdy dost omezující pro uživatele.

Etika

Rozdílné názory obklopují sběr a využívání zero-day informací o zranitelnosti. Mnoho počítačových prodejců zabývající se bezpečností provádí výzkum zero-day zranitelností, aby lépe porozuměli povaze zranitelností a jejich využívání jednotlivci, počítačovými červy a viry. Někteří prodavači nákupem zranitelnosti rozšířili své výzkumné kapacity. Příkladem takového programu je TippingPoint TippingPoint's Zero Day Initiative . Zatímco prodej a nákup těchto informací není technicky nezákonný ve většině částí světa, vzniká velká diskuze nad způsobem zveřejnění.

Reference

↑ SANS sees upsurge in zero-day web-based attacks, Computerworld
↑ "E-mail Residual Risk Assessment" Avinti, Inc., p. 2 http://avinti.com/download/case_studies/whitepaper_email_residual_risk.pdf
↑ BBC NEWS | Technology | Serious security flaw found in IE
↑ Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1].

[1] SANS sees upsurge in zero-day web-based attacks, Computerworld

[2] "E-mail Residual Risk Assessment" Avinti, Inc., p. 2 http://avinti.com/download/case_studies/whitepaper_email_residual_risk.pdf

[3] BBC NEWS | Technology | Serious security flaw found in IE

[4] Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1].

[1]

[2]

[3]

[4]

@@ Řádek 31: / Řádek 31: @@
 Používání démonů typu "[[port knocking|klepání na porty]]" nebo "[[port knocking|jediný paket autentizace]]" může poskytnout účinnou ochranu proti zero-day chyb u síťových služeb. Nicméně tyto techniky nejsou vhodné pro prostředí s velkým počtem uživatelů.
+Whitelisting účinně chrání před zero-day hrozami. Whitelisting povolí pouze známým, spolehlivým aplikacím přístup k systému, a tak žádné nové či neznámé aplikaci není přístup povolen. Přestože whitelist je účinný proti zero-day útokům, aplikace hodnocené jako "spolehlivé" mohou mít chyby, které nebyly během testování nalezeny. Ke zvýšení ochrany se často používá v kombinaci s jinými způsoby ochrany, jako je HIPS (Host-based intrusion-prevention system) nebo [[Blacklist]], ale to může být někdy dost omezující pro uživatele.
+==Etika==
+Rozdílné názory obklopují sběr a využívání zero-day informací o zranitelnosti. Mnoho počítačových prodejců zabývající se bezpečností provádí výzkum zero-day zranitelností, aby lépe porozuměli povaze zranitelností a jejich využívání jednotlivci, počítačovými červy a viry. Někteří prodavači nákupem zranitelnosti rozšířili své výzkumné kapacity. Příkladem takového programu je TippingPoint [http://www.zerodayinitiative.com TippingPoint's Zero Day Initiative] . Zatímco prodej a nákup těchto informací není technicky nezákonný ve většině částí světa, vzniká velká diskuze nad způsobem zveřejnění.
 == Reference ==