Светия Граал на злонамерения хакер
Една от мантрите на информационната сигурност е да поддържате системите си подготвени и актуализирани. Тъй като продавачите научават за нови уязвимости в продуктите си или от изследователи на трети страни, или чрез свои собствени открития, те създават "hotfixes", "лепенки", "сервизни пакети" и "актуализации на защитата", за да поправят дупките.
Светият Граал за злонамерени програми и автори на вируси е "нулев ден". Едно нулево експлоатиране е когато експлоатацията за уязвимостта е създадена преди или в същия ден, когато уязвимостта се научи от продавача. Чрез създаването на вирус или червей, който се възползва от уязвимостта, която продавачът все още не е наясно и за който понастоящем няма налична пластир, нападателят може да причини максимален хаос.
Някои уязвимости се наричат уязвими от нула ден от уязвимостта на медиите, но въпросът е нула ден, по чийто календар? Често доставчиците и ключовите доставчици на технологии са наясно с уязвимостта седмици или дори месеци преди създаването на експлойта или преди уязвимостта да бъде разкрита публично.
Ярък пример за това беше обявената през февруари 2002 г. уязвимост на протокола SNMP (Simple Network Management Protocol). Учениците от Университета Оулу във Финландия всъщност откриха недостатъците през лятото на 2001 г., докато работеха по проекта PROTOS - тестов пакет, предназначен да тества SNMPv1 (Версия 1).
SNMP е прост протокол за устройства, за да разговарят помежду си. Той се използва за комуникация от устройство към устройство и за дистанционно наблюдение и конфигуриране на мрежови устройства от администраторите. SNMP присъства в мрежовия хардуер (рутери, комутатори, хъбове и т.н.), принтери, копирни машини, факс апарати, високотехнологично компютризирано медицинско оборудване и почти във всяка операционна система.
След като откриха, че биха могли да блокират или да забранят устройства, използващи тестовия си комплект PROTOS, учениците от Университета Оулу дискретно уведомиха властите, които бяха и думата излезе на продавачите. Всеки седеше на тази информация и я държеше в тайна, докато не се появи някаква изненада към света, че самият PROTOS тестов пакет, който е свободно и публично достъпен, може да се използва като код за изхвърляне на SNMP устройства. Едва тогава продавачите и светът се опитаха да създадат и пуснат лепенки, за да се справят със ситуацията.
Светът паникьосва и се третира като нулево експлоатиране, когато в действителност са изминали повече от 6 месеца от момента, в който уязвимостта беше открита първоначално. Също така, Microsoft открива нови дупки или е предупреждавано за нови дупки в продуктите си редовно. Някои от тях са въпрос на тълкуване и Microsoft може или не може да се съгласи, че всъщност е недостатък или уязвимост. Но дори и за много от тях те са уязвими, че може да има седмици или месеци, преди Microsoft да пусне актуализация на защитата или сервизен пакет, който да разреши проблема.
Една организация по сигурността (PivX Solutions) използваше за поддържане на работещ списък с уязвимости на Microsoft Internet Explorer, за които Microsoft беше уведомен, но все още не бе инсталиран. Има и други сайтове в мрежата, посещавани от хакери, които поддържат списъци с известни уязвимости и където хакерите и разработчиците на зловреден код обменят информация.
Това не означава, че експлоатацията в нулев ден не съществува. За съжаление, също така често се случва, че за пръв път, когато продавачите или светът са осведомени за дупка, се прави съдебно разследване, за да се разбере как е разбита система или когато се анализира вирус, който вече се разпространява в дивата природа разберете как работи.
Независимо дали продавачите са знаели за уязвимостта преди една година или са разбрали за нея тази сутрин, ако кодът за експлойти съществува, когато уязвимостта се оповести, това е нулев ден във вашия календар.
Най-доброто, което можете да направите, за да се предпазите от нулеви експлоатации, е да следвате най-напред добрите политики за сигурност. Чрез инсталирането и поддържането на антивирусен софтуер актуален, блокирането на прикачени файлове към имейли, които могат да са вредни и поддържането на вашата система подсигурена от уязвимостите, които вече сте наясно, можете да защитите вашата система или мрежа от 99% от това, което е там ,
Едно от най-добрите мерки за защита срещу понастоящем неизвестни заплахи е използването на хардуерна или софтуерна (или и двете) защитна стена . Можете да активирате и евристичното сканиране (технология, използвана за опит за блокиране на вируси или червеи, за които все още не е известно) във вашия антивирусен софтуер. Чрез блокиране на ненужния трафик на първо място с хардуерна защитна стена, блокиране на достъпа до системни ресурси и услуги със софтуерна защитна стена или използването на антивирусен софтуер за откриване на аномално поведение, можете по-добре да се предпазите от ужасния нулев ден.