Вразливість нульового дня

Матеріал з Вікіпедії — вільної енциклопедії.
(Перенаправлено з Zero-day)
Перейти до: навігація, пошук

Вразливість нульового дня (англ. Zero-day / 0day) — вразливість програмного забезпечення, яка ще невідома користувачам чи розробникам програмного забезпечення та проти яких ще не розроблені механізми захисту[1].

Сам термін означає, що у розробників було 0 днів на виправлення дефекту: уразливість або атака стає публічно відомою до моменту випуску виробником ПО для виправлення помилок (тобто потенційно уразливість може експлуатуватися на робочих копіях програми без можливості захищатися від неї).

Виявлення вразливостей[ред.ред. код]

На даний момент багато хакерів фокусують свої зусилля саме на виявленні невідомих вразливостей в програмному забезпеченні. Це обумовлено високою ефективністю використання вразливостей, що, в свою чергу, пов'язано з двома фактами - високим поширенням уразливого ПО (саме таке програмне забезпечення, як правило, атакують) і деяким часовим проміжком між виявленням уразливості компанією-розробником програмного забезпечення і випуском патчів.

Для виявлення вразливостей хакери використовують різні техніки, наприклад:

  • Дизасемблювання програмного коду і подальший пошук помилок безпосередньо в коді програмного забезпечення;
  • Зворотна розробка і подальший пошук помилок в алгоритмах роботи програмного забезпечення;
  • Fuzz-тестування - свого роду стрес-тест для програмного забезпечення, суть якого полягає в обробці програмним забезпеченням великого обсягу інформації, що містить завідомо неправильні параметри.

Створення шкідливого коду[ред.ред. код]

Після виявлення уразливості в програмному забезпеченні починається процес розробки шкідливого програмного забезпечення, що використовує виявлену уразливість для зараження окремих комп'ютерів або комп'ютерних мереж[2].

На сьогоднішній день (2017) найвідомішою шкідливою програмою, що використовує 0day уразливість в програмному забезпеченні, є мережевий черв'як-вимагач WannaCry, який був виявлений в травні 2017 року. WannaCry використовував експлойт EternalBlue в уразливості SMB (Server Message Block) на операційних системах сімейства Windows. При вдалій спробі потрапити в комп'ютер WannaCry встановлює бекдор DoublePulsar для подальших маніпуляції і дій. Також, не менш відомий черв'як Stuxnet використовував раніше невідому вразливість операційних систем сімейства Windows, пов'язану з алгоритмом обробки ярликів[3]. Слід зазначити, що, крім 0day уразливості, Stuxnet використовував ще три раніше відомі уразливості.

Крім створення шкідливих програм, що використовують вразливості нульового дня в програмному забезпеченні, хакери активно працюють і над створенням шкідливих програм, які не виявляються антивірусними сканерами. Дані шкідливі програми також потрапляють під визначення терміна 0day.

Відсутність детектування антивірусними програмами досягається за рахунок застосування крекерами таких технологій, як обфускація, шифрування програмного коду тощо.

Захист[ред.ред. код]

У зв'язку із застосуванням спеціальних технологій вразливості нульового дня не можуть бути знайдені класичними антивірусними технологіями. Саме з цієї причини продукти, в яких зроблена ставка на класичні антивірусні технології, показують досить посередній результат в динамічних антивірусних тестуваннях[4].

На думку антивірусних компаній, для забезпечення ефективного захисту проти 0day шкідливих програм і вразливостей потрібно використовувати проактивні технології антивірусного захисту. Завдяки специфіці проактивних технологій захисту вони здатні однаково ефективно забезпечувати захист як від відомих, так і від невідомих 0day-загроз. Хоча варто відзначити, що ефективність проактивного захисту не є абсолютною, і вагома частка 0day-загроз здатна завдати шкоди жертвам зловмисників. Незалежних підтверджень цим твердженням на даний момент немає.

Примітки[ред.ред. код]

  1. About Zero Day Exploits(англ.)
  2. Cyberhawk - zero day threat detection review. www.kickstartnews.com. Процитовано 2018-04-28. 
  3. Interview with Sergey Ulasen, The Man Who Found The Stuxnet Worm | Nota Bene: Eugene Kaspersky's Official Blog. eugene.kaspersky.com. Процитовано 2018-04-28. 
  4. Anti-virus protection gets worse (en). Процитовано 2018-04-28. 

Джерела[ред.ред. код]

Див. також[ред.ред. код]