Pahatahtlik häkker püha hauanipuu
Üks infoturbe mantradest on teie süsteemide paigalhoidmine ja ajakohastamine. Kui müüjad õpivad oma toodete uutest nõrkadest külgedest kas kolmanda osapoole teadlastest või oma avastustest, siis loovad need avade jaoks parandused, patches, hoolduspaketid ja turvavärskendused.
Püha Graal pahatahtliku programmi ja viiruse autorite jaoks on "null päevast ärakasutamist". Null päeva kasutamine on siis, kui haavatavuse kasutamine on loodud enne seda või samal päeval, kui tarnija on haavatavusest teada saanud. Luues viiruse või usside, mis haavatavust kasutavad, ei ole müüja veel teadlik ja mille jaoks pole praegu plaastrit saadaval, võib ründaja tuua kaasa maksimaalse hävingu.
Mõned nõrgad kohad on dubleeritud null päeva kasutada haavatavusi meedia, kuid küsimus on null päev, mille kalendri? Tihti on müüja ja võtmetähtsusega tehnoloogia pakkujad teadlikud haavatavuse nädalast või isegi kuust, enne kui rakendus luuakse või kui haavatavus avalikustatakse.
Selle silmapaistva näitena oli 2002. Aasta veebruaris välja kuulutatud SNMP (Simple Network Management Protocol) haavatavus. Soome Oulu ülikooli õpilased avastasid 2001. Aasta suvel puudused, töötades välja SNMPv1 testimiseks mõeldud PROTOS - i projekti (versioon 1).
SNMP on lihtne protokoll , mille abil seadmeid üksteisega rääkida. Seda kasutatakse seadete sideseadmete ning võrguseadmete kaugseireks ja seadistamiseks administraatorite poolt. SNMP on olemas võrguseadmetes (ruuterid, kommutaatorid, jaoturid jne), printerid, koopiamasinad, faksid, kõrgetasemelised arvutipõhised meditsiiniseadmed ja peaaegu igas operatsioonisüsteemis.
Pärast seda, kui nad avastasid, et nad võivad PROTOS-i proovikomplekti kasutades seadmeid katkestada või keelata, teatasid Oulu ülikooli õpilased diskreetselt, millised volitused ja sõnad läksid müüjatele. Igaüks istus sellel informatsioonil ja hoidis seda salajas, kuni maailmale lekiti kuidagi, et SNMP-seadmete levitamiseks võib kasutada koodi, mis oli vabalt ja avalikult saadaval. Alles siis tegid müüjad ja maailm, et luua ja vabastada plaastrid olukorda lahendamiseks.
Maailm pani pahaks ja seda käsitleti null-päevase ärakasutamisena, kui tegelikult hakkas haavatavus algselt avastama rohkem kui kuus kuud. Samamoodi leiab Microsoft uusi auke või teavitatakse regulaarselt oma toodete uutest aukudest. Mõned neist on tõlgendamise teema ja Microsoft võib või ei pruugi nõustuda, et see on tõesti viga või haavatavus. Kuid isegi paljud neist, kellega nad nõustuvad, on haavatavused, võivad olla nädalat või kuud, enne kui Microsoft avaldab turvavärskenduse või hoolduspaketi, mis probleemi lahendab.
Üks turvaorganisatsioon (PivX Solutions) kasutas Microsofti Internet Exploreri nõrkade kohtade nimekirja säilitamiseks, millest Microsoft oli teadlik, kuid mida ei olnud veel parandatud. Häkkeril on ka teisi veebisaite, mis hoiavad teadaolevate haavatavuste loendeid ja kus häkkerid ja pahatahtliku koodi arendajad müüvad ka teavet.
See ei tähenda, et null-päeva kasutamist ei eksisteeri. Kahjuks juhtub see ka tihtipeale, et esmakordselt, kui müüjad või maailm on aukust teadlik, on kohtuekspertiisi uurimine, et selgitada välja, kuidas süsteem purustati või loodusesse juba levinud viiruse analüüsimisel teada, kuidas see toimib.
Ükskõik, kas müüjad teadsid haavatavust aasta tagasi või teadsid seda täna hommikul, kui haavatavuse avalikustamise koodeks on olemas, siis on see teie kalendris null päeva kasutusel.
Parim asi, mida saate teha, et kaitsta nullpäevade ärakasutamiste eest, on esiteks järgida häid turvapoliitikat. Kui installite ja hoiate oma viirusetõrjetarkvara ajakohasena, blokeerite e-kirjadele failide manused, mis võivad olla kahjulikud ja hoiavad teie süsteemi pahanduste vastu turvaaukude eest, millest olete juba teadlikud, saate oma süsteemi või võrku kaitsta 99% ulatuses sellest, mis seal on .
Praegu tundmatute ohtude vastu kaitsmise üheks parimaks meetmeks on riistvara või tarkvara (või mõlema) tulemüüri kasutamine . Samuti saate oma viirusetõrjetarkvara abil võimaldada heuristiline skannimine (tehnoloogia, mida kasutatakse, et katkestada viirused või ussid, mis pole veel teada). Blokeerides ebavajalikku liiklust riistvaralise tulemüüriga, blokeerides juurdepääsu süsteemiressurssidele ja -teenustele tarkvara tulemüüriga või kasutage oma viirusetõrjetarkvara, et avastada ebaharilikku käitumist, võite ennast paremini kaitsta kohutava null-päeva ekspluateerimise eest.