Na czym polega Zero-day exploit?

Jedną z najważniejszych prawd branży cyberbezpieczeństwa powtarzanych niczym mantra jest „aktualizacja i jeszcze raz aktualizacja”. Gdy dostawcy dowiadują się o nowych lukach w swoich produktach tworzą poprawki, łatki, dodatki Service Pack i aktualizacje zabezpieczenia. Świętym Graalem dla twórców złośliwych programów i wirusów jest „eksploit dnia zerowego”. Gdy narzędzie wykorzystujące lukę zostało utworzone przed lub w tym samym dniu, w którym sprzedawca dowiedział się o luce. Tworząc wirusa lub robaka, który wykorzystuje dziurę, o której sprzedawca jeszcze nie jest świadomy. Dla którego nie ma obecnie dostępnej łaty, atakujący może bez przeszkód korzystać z niej dla swoich korzyści.

Kiedy występuje zagrożenie Zero-day

Pytanie przy Zero-day exploit brzmi: według którego kalendarza ustalany jest dzień 0? Często sprzedawca i twórcy technologii są świadomi istnienia luki na kilka tygodni lub nawet miesięcy przed utworzeniem exploita lub przed publicznym ujawnieniem luki. Jaskrawym tego przykładem była luka SNMP (Simple Network Management Protocol) ogłoszona w lutym 2002 roku. Studenci z Uniwersytetu Oulu w Finlandii faktycznie odkryli luki latem 2001 roku podczas pracy nad projektem PROTOS. SNMP to prosty protokół umożliwiający komunikację między urządzeniami. Służy do komunikacji urządzenie-urządzenie oraz do zdalnego monitorowania i konfiguracji urządzeń sieciowych przez administratorów.

SNMP jest obecny w sprzęcie sieciowym (routery, przełączniki, koncentratory itp.). Wdrukarkach, kopiarkach, faksach, skomputeryzowanych sprzętach medycznych i w prawie każdym systemie operacyjnym. Po odkryciu, że mogą spowodować awarię lub wyłączyć urządzenie za pomocą zestawu PROTOS. Studenci z Uniwersytetu Oulu dyskretnie powiadomili o problemie dostawców. Wszyscy utrzymywali je w tajemnicy, dopóki w jakiś sposób nie ujawniono światu, że sam zestaw testowy PROTOS, który był swobodnie i publicznie dostępny, może zostać użyty jako kod exploita do wyłączania urządzeń SNMP. Dopiero wtedy producenci zaczęli się starać, aby stworzyć i wydać łatki, które zaradzą tej sytuacji.

Interpretacja Microsoft

Świat wpadł w panikę a zdarzenie został potraktowane jako exploit dnia zerowego. Podczas gdy w rzeczywistości minęło ponad 6 miesięcy od czasu odkrycia luki. Podobnie firma Microsoft regularnie znajduje nowe dziury lub jest informowana o nowych dziurach w swoich produktach. Niektóre z nich są kwestią interpretacji, a Microsoft może zgodzić się, ale nie musi, że w rzeczywistości jest to wada lub luka w zabezpieczeniach. Jednak nawet w przypadku wielu z nich, którzy zgadzają się, że są to luki, mogą minąć tygodnie lub miesiące, zanim firma Microsoft wyda aktualizację zabezpieczeń lub dodatek Service Pack, które rozwiązują problem. Jedna z organizacji zajmujących się bezpieczeństwem (PivX Solutions) wykorzystywała bieżącą listę luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer, o których firma Microsoft wiedziała, ale nic z nimi nie robiła.

Nie oznacza to, że exploit dnia zerowego nie istnieje. Niestety często zdarza się również, że po raz pierwszy dostawcy lub świat zostają poinformowani o dziurze, gdy przeprowadzają śledztwo kryminalistyczne. Aby dowiedzieć się, w jaki sposób włamano się do systemu lub analizując wirusa, który już rozprzestrzenia się w środowisku naturalnym. Niezależnie od tego, czy dostawcy wiedzieli o luce rok temu, czy dowiedzieli się o niej dziś rano. Jeśli kod exploita istnieje, gdy luka jest upubliczniana, jest to exploit zero-day.

Jak się zabezpieczyć przed zagrożeniem Zero-day?

Najlepszą rzeczą, jaką możesz zrobić, aby chronić się przed tego typu zagrożeniami, jest przede wszystkim przestrzeganie dobrych zasad bezpieczeństwa:

• Instalując i aktualizując oprogramowanie antywirusowe
• blokując załączniki wiadomości e-mail, które mogą być szkodliwe,
• utrzymując system na bieżąco ze znanymi już lukami w zabezpieczeniach

możesz zabezpieczyć swój system lub sieć przed 99% takich ataków. Jednym z najlepszych sposobów ochrony przed obecnie nieznanymi zagrożeniami jest zastosowanie zapory sprzętowej lub programowej (lub obu). Możesz także włączyć skanowanie heurystyczne (technologię używaną do blokowania wirusów lub robaków, które nie są jeszcze znane) w oprogramowaniu antywirusowym. Blokuj niepotrzebny ruch w pierwszej kolejności za pomocą zapory sprzętowej i programowej. Używaj oprogramowania antywirusowego do wykrywania nietypowych zachowań.