Sveti gral zlonamernega hekerja
Eden od mantra informacijske varnosti je, da vaši sistemi popravijo in posodabljajo. Ker se prodajalci seznanijo s novimi ranljivostmi v svojih izdelkih bodisi s strani tretjih raziskovalcev bodisi s svojimi odkritji, ustvarjajo hitre popravke, popravke, servisne pakete in varnostne posodobitve za popravilo lukenj.
Sveti gral za zlonamerne programe in pisce virusov je "izkoriščanje ničelnega dne". Ničelni dan izkoriščanja je takrat, ko je izkoriščanje ranljivosti ustvarjeno pred ali na isti dan, ko se prodajalec seznani s ranljivostjo. Z ustvarjanjem virusa ali črva, ki izkorišča ranljivost, pa se prodajalec še ne zaveda in za katerega trenutno ni razpoložljivega popravka, lahko napadalec povzroči največjo škodo.
Nekatere ranljivosti imenujejo ničelni dan, ki jih izkoriščajo ranljivosti medijev, vendar je vprašanje nič na dan, za katerega koledar? Pogosto se prodajalci in ključni ponudniki tehnologije zavedajo tednov ranljivosti ali celo mesecev pred ustvarjanjem izkoriščanja ali pred objavo ranljivosti javnosti.
Očarljiv primer tega je bila ranljivost, objavljena februarja leta 2002 v SNMP (Simple Network Management Protocol). Študenti na univerzi v Oulu na Finskem so dejansko odkrili pomanjkljivosti poleti 2001, ko so delali na projektu PROTOS, testni paket, namenjen testiranju SNMPv1 (različica 1).
SNMP je preprost protokol za naprave, ki se med seboj pogovarjajo. Uporablja se za komunikacijo naprave z napravo in za daljinsko spremljanje in konfiguracijo omrežnih naprav s strani skrbnikov. SNMP je prisoten v omrežni strojni opremi (usmerjevalniki, stikala, vozlišča itd.), Tiskalniki, kopirni stroji, telefaksi, vrhunska računalniška medicinska oprema in v skoraj vseh operacijskih sistemih.
Po odkritju, da bi lahko sesali ali onemogočili naprave z uporabo testnega paketa PROTOS, so študentje na univerzi v Oulu diskretno obvestili o pooblastilih in besedah, ki so se pojavili prodajalcem. Vsi so sedeli na teh podatkih in jih skrivali, dokler ni bilo na nek način ušlo v svet, da bi bilo mogoče preskusni paket PROTOS, ki je bil prosto in javno dostopen, uporabiti kot izkoriščevalno kodo, s katero bi odpravili naprave SNMP. Šele takrat so se prodajalci in svet preplavili, da so ustvarili in sprostili popravke, da bi rešili situacijo.
Svet se je paničil in ga obravnavali kot ničelni izkoriščanje, ko je dejansko več kot 6 mesecev minilo od takrat, ko je ranljivost prvotno odkrila. Podobno tudi Microsoft odkrije nove luknje ali je opozorjen na nove luknje v svojih izdelkih redno. Nekateri od njih so predmet razlage in Microsoft se lahko strinja ali se ne strinja, da je dejansko pomanjkljivost ali ranljivost. Toda tudi za mnoge od tistih, s katerimi se strinjajo, da so ranljivosti, lahko pride do tednov ali mesecev, preden Microsoft sprosti varnostno posodobitev ali servisni paket, ki obravnava to težavo.
Ena varnostna organizacija (PivX Solutions) je uporabljala za vzdrževanje tekočega seznama ranljivosti Microsoft Internet Explorerja, ki so ga Microsoftu seznanili, vendar še niso popravili. Obstajajo še druge spletne strani, ki jih obiščejo hekerji, ki vzdržujejo sezname znanih ranljivosti in kjer hackerji in razvijalci zlonamerne kode trgovajo tudi z informacijami.
To ne pomeni, da eksplozija brez dneva ne obstaja. Na žalost se zgodi tudi, da se pogosto zgodi, da se prvič prodajalci ali svet zavedajo luknje, ko opravljajo forenzično preiskavo, da bi ugotovili, kako je bil sistem razčlenjen ali ko analizira virus, ki se že razširja v naravi ugotovite, kako deluje.
Ne glede na to, ali so prodajalci vedeli pred ranljivostjo pred letom dni ali so danes zjutraj ugotovili, ali izkoriščevalna koda obstaja, ko je ranljivost javno objavljena, je na vašem koledarju nično.
Najboljša stvar, ki jo lahko storite za zaščito pred ničelnim izkoriščanjem, je slediti pravilnim varnostnim politikam. Z namestitvijo in vzdrževanjem posodobitve protivirusne programske opreme, blokirate priloge datotek do e-poštnih sporočil, ki so lahko škodljive in da je vaš sistem zaščiten pred ranljivostmi, ki jih že poznate, lahko zaščitite vaš sistem ali omrežje z 99% tistega, kar je zunaj .
Eden od najboljših ukrepov za zaščito pred trenutno neznanimi grožnjami je uporaba strojne ali programske opreme (ali obeh) požarnega zidu . Prav tako lahko omogočite hevristično skeniranje (tehnologija, ki se uporablja za poskušanje blokirati viruse ali črve, za katere še ni znana) v vaši protivirusni programski opremi. Z blokiranjem nepotrebnega prometa v prvi vrsti s strojnim požarnim zidom, blokiranjem dostopa do sistemskih virov in storitev z uporabo požarnega zidu ali uporabo vaše protivirusne programske opreme za odkrivanje nepravilnega vedenja, se lahko bolje zaščitite pred neugodnim izkoriščanjem nič dni.