Zero day útok: Porovnání verzí
Bez shrnutí editace |
Bez shrnutí editace |
||
Řádek 31: | Řádek 31: | ||
Používání démonů typu "[[port knocking|klepání na porty]]" nebo "[[port knocking|jediný paket autentizace]]" může poskytnout účinnou ochranu proti zero-day chyb u síťových služeb. Nicméně tyto techniky nejsou vhodné pro prostředí s velkým počtem uživatelů. |
Používání démonů typu "[[port knocking|klepání na porty]]" nebo "[[port knocking|jediný paket autentizace]]" může poskytnout účinnou ochranu proti zero-day chyb u síťových služeb. Nicméně tyto techniky nejsou vhodné pro prostředí s velkým počtem uživatelů. |
||
Whitelisting účinně chrání před zero-day hrozami. Whitelisting povolí pouze známým, spolehlivým aplikacím přístup k systému, a tak žádné nové či neznámé aplikaci není přístup povolen. Přestože whitelist je účinný proti zero-day útokům, aplikace hodnocené jako "spolehlivé" mohou mít chyby, které nebyly během testování nalezeny. Ke zvýšení ochrany se často používá v kombinaci s jinými způsoby ochrany, jako je HIPS (Host-based intrusion-prevention system) nebo [[Blacklist]], ale to může být někdy dost omezující pro uživatele. |
|||
==Etika== |
|||
Rozdílné názory obklopují sběr a využívání zero-day informací o zranitelnosti. Mnoho počítačových prodejců zabývající se bezpečností provádí výzkum zero-day zranitelností, aby lépe porozuměli povaze zranitelností a jejich využívání jednotlivci, počítačovými červy a viry. Někteří prodavači nákupem zranitelnosti rozšířili své výzkumné kapacity. Příkladem takového programu je TippingPoint [http://www.zerodayinitiative.com TippingPoint's Zero Day Initiative] . Zatímco prodej a nákup těchto informací není technicky nezákonný ve většině částí světa, vzniká velká diskuze nad způsobem zveřejnění. |
|||
== Reference == |
== Reference == |
Verze z 24. 2. 2011, 13:54
Zero day exploit nebo Zero-day attack (česky zneužití či útok nultého dne) je útok nebo hrozba, která se v počítači snaží využít zranitelnost systému, která ještě obecně není známá. Útok využívá bezpečnostní díru v programu k provedení útoku. Tyto bezpečnostní díry mohou být sdíleny a využívány útočníky dokud není zranitelnost opravena vývojářem programu.
Termín je odvozen od stáří útoku. Jako nultý den je brán okamžik, kdy vývojář objeví zranitelnost v programu nebo je na ni upozorněn. Za zero day exploit je považován takový útok, který proběhne v ten den nebo předtím než se o něm vývojář dozví, což pro vývojáře znamená, že neměl šanci poskytnout uživatelům opravu.
Směrování útoků
Tvůrci Malware jsou schopni využít zero-day zranitelnost pomocí několika různých útoků. Jedním z konkrétních cílů jsou internetové prohlížeče, protože jsou nejrozšířenější a využívá je nejvíce lidí. Útočníci mohou také posílat e-maily, které zneužívají zranitelná místa v manipulaci s přílohami.[1] Exploity, které využívají běžných typů souborů jsou uvedeny v databázích, jako je US-CERT. Malware může být navržen tak, aby napadl systém nebo aby kradl důvěrná data, jako jsou bankovní hesla a osobní informace o osobě.[2]
Okno zranitelnosti
K Zero-day útokům může dojít během okna, které existuje v době, kdy je exploit objeven a doby než vývojáři začnou vyvíjet obranu proti této hrozbě.
Pro viry, trojské koně a další zero-day útoky, platí následující časová linie:
- Vývojář vytvoří software obsahující (neznámé) zranitelnosti
- Útočník najde chybu dříve než vývojáři
- Útočník napíše a distribuuje exploit zenužívající tuto chybu, zatím co vývojáři o chybě nevědí
- Vývojář najde chybu a opraví ji.
Měření délky okna zranitelnosti může být obtížné, protože útočníci nezveřejnují kdy byla chyba poprvé nalezena. Vývojáři nemusí tuto informaci zveřejňovat z komerčních nebo bezpečnostních důvodů. Vývojáři nemusí vědět, že je chyba zneužívána. Ale i přes to lze dokázat, že okno zranitelnosti může trvat i několik let. Například v roce 2008 Microsoft potvrdil chybu zabezpečení v aplikaci Internet Explorer, která postihla některé verze, které byly vydány v roce 2001.[3] Bohužel, datum zranitelnost kdy byl exploit poprvé nalezen útočníky není známo, nicméně okno zranitelnosti v tomto případě mohlo být až 7 let.
Odhalování
Speciálním typem bezopečnostní řídíci postup se zaměřuje na hledání a odstraňování zero-day slabiny. Tato neznámá chyba zabezpečení životního cyklu je zabezpečení a zajištění kvality procesu, který má za cíl zajistit bezpečnost a robustnost obou in-house produktů a produktů třetích stran najít a stanovit neznámé (zero-day) zranitelnosti. Neznámá chyba zabezpečení procesu řízení se skládá ze čtyř fází: Analýza, Test, zpráva a zmírnění.[4]
- Analýza: tato fáze se zaměřuje na analýzu útoku
- Test: tato fáze se zaměřuje na testování rozmanitosti zjištěných útoků
- Zpráva: tato fáze se zaměřuje na reprodukci nalezených chyb pro vývojáře
- Zmírnění: tato fáze se zaměřuje na ochranná opatření
Ochrana
Zero-day ochranou je myslena ochrana proti zero-day exploitu. Zero-day útoky mohou zůstat nezjištěné i potom co byly spuštěny.
Existuje mnoho technik k omezení zranitelnosti paměti, jako je například přetečení zásobníku. Tyto ochranné mechanismy existují v současných operačních systémech, jako Windows 7 , Microsoft Windows Vista, Apple Mac OS X, Oracle Solaris, Linux , Unix. Microsoft Windows XP Service Pack 2 obsahuje časově omezenou ochranu proti obecné zranitelnosti paměti. korupce XP a server software pro ochranu také existuje ke zmírnění zero day zranitelnosti buffer. přetečení Desktop. Existuje i software pro desktop a servery, který má za úkol ochránit před zranitelnosti typu přetečení zásobníku.
Používání démonů typu "klepání na porty" nebo "jediný paket autentizace" může poskytnout účinnou ochranu proti zero-day chyb u síťových služeb. Nicméně tyto techniky nejsou vhodné pro prostředí s velkým počtem uživatelů.
Whitelisting účinně chrání před zero-day hrozami. Whitelisting povolí pouze známým, spolehlivým aplikacím přístup k systému, a tak žádné nové či neznámé aplikaci není přístup povolen. Přestože whitelist je účinný proti zero-day útokům, aplikace hodnocené jako "spolehlivé" mohou mít chyby, které nebyly během testování nalezeny. Ke zvýšení ochrany se často používá v kombinaci s jinými způsoby ochrany, jako je HIPS (Host-based intrusion-prevention system) nebo Blacklist, ale to může být někdy dost omezující pro uživatele.
Etika
Rozdílné názory obklopují sběr a využívání zero-day informací o zranitelnosti. Mnoho počítačových prodejců zabývající se bezpečností provádí výzkum zero-day zranitelností, aby lépe porozuměli povaze zranitelností a jejich využívání jednotlivci, počítačovými červy a viry. Někteří prodavači nákupem zranitelnosti rozšířili své výzkumné kapacity. Příkladem takového programu je TippingPoint TippingPoint's Zero Day Initiative . Zatímco prodej a nákup těchto informací není technicky nezákonný ve většině částí světa, vzniká velká diskuze nad způsobem zveřejnění.
Reference
- ↑ SANS sees upsurge in zero-day web-based attacks, Computerworld
- ↑ "E-mail Residual Risk Assessment" Avinti, Inc., p. 2 http://avinti.com/download/case_studies/whitepaper_email_residual_risk.pdf
- ↑ BBC NEWS | Technology | Serious security flaw found in IE
- ↑ Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1].