Sfântul Graal al Hackerului rău
Una dintre mantrele securității informațiilor este să vă păstrați sistemele patch-uri și actualizate. Întrucât furnizorii învață despre noi vulnerabilități în produsele lor, fie de la cercetători terți, fie prin descoperiri proprii, aceștia creează remedii rapide, patch-uri, pachete de service și actualizări de securitate pentru a repara găurile.
Sfântul Graal pentru scriitori rău intenționați și virusi este "exploatarea zero zilei". Un exploit de zero zile este atunci când exploatarea pentru vulnerabilitate este creată înainte sau în aceeași zi în care vulnerabilitatea este învățată de către vânzător. Prin crearea unui virus sau a unui vierme care profită de o vulnerabilitate pe care vânzătorul nu o cunoaște și pentru care în prezent nu există un patch disponibil atacatorul poate provoca un dezastru maxim.
Unele vulnerabilități sunt numite vulnerabilități de exploatare a zilei zero de către mass-media, dar întrebarea este zero zi prin calendarul căruia? De multe ori furnizorii și furnizorii de tehnologie cheie sunt conștienți de o vulnerabilitate săptămâni sau chiar luni înainte de crearea unui exploit sau înainte ca vulnerabilitatea să fie dezvăluită în mod public.
Un exemplu evident al acestui lucru a fost vulnerabilitatea SNMP (Simple Network Management Protocol), anunțată în februarie 2002. Studenții de la Universitatea Oulu din Finlanda au descoperit de fapt defectele în vara anului 2001, în timp ce lucrau la proiectul PROTOS, o suită de testare destinată testării SNMPv1 (versiunea 1).
SNMP este un protocol simplu pentru dispozitivele de a vorbi unii cu alții. Este utilizat pentru comunicarea de la dispozitiv la dispozitiv și pentru monitorizarea de la distanță și configurarea dispozitivelor de rețea de către administratori. SNMP este prezent în echipamente de rețea (routere, switch-uri, hub-uri etc.), imprimante, copiatoare, faxuri, echipamente medicale de înaltă tehnologie și în aproape toate sistemele de operare.
După ce au descoperit că ar putea să prăbușească sau să dezactiveze dispozitivele utilizând suita de test PROTOS, studenții de la Universitatea Oulu au notificat în mod discret puterile care au fost și cuvântul a ieșit la dispoziție vânzătorilor. Toată lumea sa așezat pe acea informație și a păstrat-o secretă până când sa scurs oarecum lumii că suita de testare PROTOS însăși, disponibilă în mod liber și public, ar putea fi folosită ca un cod de exploatare pentru a reduce dispozitivele SNMP. Numai atunci vânzătorii și lumea se luptau să creeze și să elibereze patch-uri pentru a rezolva situația.
Lumea a intrat în panică și a fost tratată ca exploatare în timpul zilei, când, de fapt, au trecut mai mult de 6 luni de la momentul în care vulnerabilitatea a fost descoperită inițial. În mod similar, Microsoft găsește noi gauri sau este avertizat de noi găuri în produsele lor în mod regulat. Unele dintre ele sunt o chestiune de interpretare și Microsoft poate sau nu poate fi de acord că este de fapt un defect sau o vulnerabilitate. Dar, chiar și pentru mulți dintre cei care sunt de acord sunt vulnerabilități, s-ar putea să fie săptămâni sau luni care să treacă înainte ca Microsoft să lanseze o actualizare de securitate sau pachet de servicii care să abordeze problema.
O singură organizație de securitate (PivX Solutions) a folosit pentru a menține o listă de alerte a vulnerabilităților Microsoft Internet Explorer pe care Microsoft le-a făcut cunoscute, dar care încă nu le-au patch-uri. Există și alte site-uri de pe web frecventate de hackeri care mențin liste de vulnerabilități cunoscute și unde hackerii și dezvoltatorii codului rău intenționează să comercializeze informații.
Aceasta nu înseamnă că exploatarea zero-zi nu există. Din nefericire se întâmplă de multe ori că de multe ori pentru prima dată când vânzătorii sau lumea sunt conștienți de o gaură este atunci când face o investigație medico-legale pentru a afla cum a fost spart un sistem sau când analizați un virus care se răspândește deja în sălbăticie aflați cum funcționează.
Dacă vânzătorii știau despre vulnerabilitatea acum un an sau au aflat despre asta în această dimineață, dacă codul de exploatare există atunci când vulnerabilitatea este făcută publică, este vorba de un exploatare de zero zile pe calendar.
Cel mai bun lucru pe care îl puteți face pentru a vă proteja împotriva exploatărilor cu zero zile este să urmați, în primul rând, politici de securitate bune. Prin instalarea și păstrarea actualizată a software - ului dvs. anti-virus , blocarea atașamentelor de fișiere la e-mailuri care pot fi dăunătoare și menținerea sistemului în patch-uri împotriva vulnerabilităților pe care deja le cunoașteți vă puteți asigura sistemul sau rețeaua dvs. împotriva 99% din ceea ce există .
Una dintre cele mai bune măsuri de protecție împotriva amenințărilor necunoscute în prezent este utilizarea unui firewall hardware sau software (sau ambele). Puteți, de asemenea, să permiteți scanarea euristică (o tehnologie folosită pentru a încerca să blocați viruși sau viermi care nu sunt încă cunoscuți) în software-ul dvs. antivirus. Blocând traficul inutil în primul rând cu un firewall hardware, blocând accesul la resursele și serviciile de sistem cu un firewall software sau folosind software-ul antivirus pentru a ajuta la detectarea comportamentului anormal, vă puteți proteja mai bine împotriva exploatării temute de zero zile.