Вразливість нульового дня

Вразливість нульового дня (англ. Zero-day / 0day) — вразливість програмного забезпечення, яка ще невідома користувачам чи розробникам програмного забезпечення та проти яких ще не розроблені механізми захисту[1].

Сам термін означає, що у розробників було 0 днів на виправлення дефекту: уразливість або атака стає публічно відомою до моменту випуску виробником ПЗ для виправлення помилок (тобто потенційно уразливість може експлуатуватися на робочих копіях програми без можливості захищатися від неї).

Виявлення вразливостей

На даний момент багато хакерів фокусують свої зусилля саме на виявленні невідомих вразливостей в програмному забезпеченні. Це обумовлено високою ефективністю використання вразливостей, що, в свою чергу, пов'язано з двома фактами - високим поширенням уразливого ПЗ (саме таке програмне забезпечення, як правило, атакують) і деяким часовим проміжком між виявленням уразливості компанією-розробником програмного забезпечення і випуском патчів.

Для виявлення вразливостей хакери використовують різні техніки, наприклад:

Дизасемблювання програмного коду і подальший пошук помилок безпосередньо в коді програмного забезпечення;
Зворотна розробка і подальший пошук помилок в алгоритмах роботи програмного забезпечення;
Fuzz-тестування - свого роду стрес-тест для програмного забезпечення, суть якого полягає в обробці програмним забезпеченням великого обсягу інформації, що містить завідомо неправильні параметри.

Створення шкідливого коду

Після виявлення уразливості в програмному забезпеченні починається процес розробки шкідливого програмного забезпечення, що використовує виявлену уразливість для зараження окремих комп'ютерів або комп'ютерних мереж[2].

На сьогоднішній день (2017) найвідомішою шкідливою програмою, що використовує 0day уразливість в програмному забезпеченні, є мережевий черв'як-вимагач WannaCry, який був виявлений в травні 2017 року. WannaCry використовував експлойт EternalBlue в уразливості SMB (Server Message Block) на операційних системах сімейства Windows. При вдалій спробі потрапити в комп'ютер WannaCry встановлює бекдор DoublePulsar для подальших маніпуляції і дій. Також, не менш відомий черв'як Stuxnet використовував раніше невідому вразливість операційних систем сімейства Windows, пов'язану з алгоритмом обробки ярликів[3]. Слід зазначити, що, крім 0day уразливості, Stuxnet використовував ще три раніше відомі уразливості.

Крім створення шкідливих програм, що використовують вразливості нульового дня в програмному забезпеченні, хакери активно працюють і над створенням шкідливих програм, які не виявляються антивірусними сканерами. Дані шкідливі програми також потрапляють під визначення терміна 0day.

Відсутність детектування антивірусними програмами досягається за рахунок застосування крекерами таких технологій, як обфускація, шифрування програмного коду тощо.

Захист

У зв'язку із застосуванням спеціальних технологій вразливості нульового дня не можуть бути знайдені класичними антивірусними технологіями. Саме з цієї причини продукти, в яких зроблена ставка на класичні антивірусні технології, показують досить посередній результат в динамічних антивірусних тестуваннях[4].

На думку антивірусних компаній, для забезпечення ефективного захисту проти 0day шкідливих програм і вразливостей потрібно використовувати проактивні технології антивірусного захисту. Завдяки специфіці проактивних технологій захисту вони здатні однаково ефективно забезпечувати захист як від відомих, так і від невідомих 0day-загроз. Хоча варто відзначити, що ефективність проактивного захисту не є абсолютною, і вагома частка 0day-загроз здатна завдати шкоди жертвам зловмисників. Незалежних підтверджень цим твердженням на даний момент немає.

Див. також

Примітки

About Zero Day Exploits Архівовано 8 серпня 2011 у Wayback Machine.(англ.)
Cyberhawk - zero day threat detection review. www.kickstartnews.com. Процитовано 28 квітня 2018.
Interview with Sergey Ulasen, The Man Who Found The Stuxnet Worm | Nota Bene: Eugene Kaspersky's Official Blog. eugene.kaspersky.com. Процитовано 28 квітня 2018.
Anti-virus protection gets worse (англ.). Процитовано 28 квітня 2018.

Джерела

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[1] About Zero Day Exploits Архівовано 8 серпня 2011 у Wayback Machine.(англ.)

[2] Cyberhawk - zero day threat detection review. www.kickstartnews.com. Процитовано 28 квітня 2018.

[3] Interview with Sergey Ulasen, The Man Who Found The Stuxnet Worm | Nota Bene: Eugene Kaspersky's Official Blog. eugene.kaspersky.com. Процитовано 28 квітня 2018.

[4] Anti-virus protection gets worse (англ.). Процитовано 28 квітня 2018.