Sıfır gün (bilgi işlem) - Zero-day (computing)

Bir sıfır gün (Ayrıca şöyle bilinir 0 gün) güvenlik açığı bir bilgisayar yazılımı güvenlik açığı bu, güvenlik açığını azaltmakla ilgilenmesi gerekenler tarafından bilinmiyor (hedef yazılımın satıcısı dahil). Güvenlik açığı azaltılıncaya kadar, hackerlar Yapabilmek istismar etmek bilgisayar programlarını, verileri, ek bilgisayarları veya bir ağı olumsuz etkilemek için.[1] Sıfır güne yönelik bir istismara, sıfır gün istismarı, veya sıfır gün saldırısı.

"Sıfır gün" terimi, başlangıçta yeni bir yazılım parçasının halka sunulmasından bu yana geçen günlerin sayısını ifade ediyordu, bu nedenle "sıfır gün" yazılımı, piyasaya sürülmeden önce geliştiricinin bilgisayarına girilerek elde edilen yazılımdı. Sonunda terim, bu bilgisayar korsanlığına izin veren güvenlik açıklarına ve satıcının bunları düzeltmek zorunda kaldığı gün sayısına uygulandı.[2][3][4] Satıcı güvenlik açığını öğrendikten sonra, satıcı genellikle yamalar veya tavsiye geçici çözümler hafifletmek için.

Satıcı güvenlik açığından ne kadar yakın zamanda haberdar olursa, herhangi bir düzeltme veya azaltma geliştirilmeme olasılığı o kadar yüksektir. Bir düzeltme geliştirildikten sonra bile, o zamandan bu yana ne kadar az gün olursa, etkilenen yazılıma karşı bir saldırının başarılı olma olasılığı o kadar yüksek olur, çünkü bu yazılımın her kullanıcısı düzeltmeyi uygulamaz. Güvenlik açığı yanlışlıkla düzeltilmediği sürece sıfır gün istismarları için, örn. Güvenlik açığını gidermek için yapılan ilgisiz bir güncelleştirme ile, bir kullanıcının sorunu gideren satıcı tarafından sağlanan bir yamayı uygulama olasılığı sıfırdır, böylece yararlanma mevcut kalacaktır. Sıfır gün saldırıları ciddi tehdit.[5]

Saldırı vektörleri

Kötü amaçlı yazılım yazarlar, birkaç farklı saldırı vektörü aracılığıyla sıfırıncı gün güvenlik açıklarından yararlanabilir. Bazen kullanıcılar sahtekarlığı ziyaret ettiğinde web siteleri, kötü niyetli kodu sitedeki güvenlik açıklarından yararlanabilirsiniz internet tarayıcıları. Web tarayıcıları, yaygın dağıtımları ve kullanımları nedeniyle suçlular için özel bir hedeftir. Siber suçlular yanı sıra uluslararası satıcılar nın-nin casus yazılım gibi İsrail ’S NSO Grubu,[6] kötü niyetli de gönderebilir e-posta aracılığıyla ekler SMTP, eki açan uygulamadaki güvenlik açıklarından yararlanan.[7] Ortaktan yararlanan istismarlar dosya türleri sayısız ve sıktır, çünkü onların artan görünüşlerinin de kanıtladığı gibi veritabanları sevmek US-CERT. Suçlular mühendislik yapabilir kötü amaçlı yazılım saldırıya uğramış sistemleri tehlikeye atmak veya gizli verileri çalmak için bu dosya türü istismarlarından yararlanmak.[8]

Güvenlik açığı penceresi

Bir yazılım istismarının ilk kez etkin hale geldiği andan, savunmasız sistemlerin sayısının önemsizliğe düştüğü ana kadar geçen süre, Güvenlik Açığı Penceresi (WoV) olarak bilinir.[9] Her bir yazılım zafiyetinin zaman çizelgesi aşağıdaki ana olaylarla tanımlanır:

  • t0: Güvenlik açığı keşfedildi (herkes tarafından).
  • t1 A: Bir güvenlik yaması yayınlanır (örneğin, yazılım satıcısı tarafından).
  • t1b: Bir istismar etkin hale gelir.
  • t2: Savunmasız sistemlerin çoğu yamayı uyguladı.

Dolayısıyla, Güvenlik Açığı Penceresinin uzunluğu için formül şu şekildedir: t2t1b

Bu formülasyonda, her zaman doğrudur t0t1 A ve t0t1b. Bunu not et t0 Sıfırıncı Günü ile aynı değildir. Örneğin, ilk keşfeden bir bilgisayar korsanıysa ( t0) güvenlik açığı, satıcı bunu çok daha sonraya kadar öğrenemeyebilir (Sıfırıncı Günde).

Normal güvenlik açıkları için, t1bt1 A > 0. Bu, yazılım satıcısının güvenlik açığının farkında olduğu ve bir güvenlik yaması yayınlama zamanı olduğu anlamına gelir (t1 A) herhangi bir bilgisayar korsanı uygulanabilir bir istismar yaratmadan önce (t1b). Sıfır gün istismarları için, t1bt1 A ≤ 0, böylece bir yama kullanıma sunulmadan önce yararlanma etkin hale gelir.

Bir yazılım satıcısı, bilinen güvenlik açıklarını ifşa etmeyerek, t2 önce t1b ulaşılır, böylece herhangi bir istismar önlenir. Ancak satıcının, bilgisayar korsanlarının güvenlik açıklarını kendi başlarına bulamayacağına dair hiçbir garantisi yoktur. Ayrıca, bilgisayar korsanları güvenlik yamalarını kendileri analiz edebilir ve böylece temeldeki güvenlik açıklarını keşfedebilir ve otomatik olarak çalışan istismarlar oluşturabilir.[10] Bu istismarlar zamana kadar etkili bir şekilde kullanılabilir t2.

Pratikte, WoV'nin boyutu sistemler, satıcılar ve bireysel güvenlik açıkları arasında değişiklik gösterir. Genellikle gün cinsinden ölçülür ve 2006 tarihli bir rapor ortalamayı 28 gün olarak tahmin eder.[11]

Koruma

Sıfır gün koruması, sıfır gün istismarlarına karşı koruma sağlama yeteneğidir. Sıfırıncı gün saldırıları genel olarak halk tarafından bilinmediğinden, onlara karşı savunmak genellikle zordur. Sıfırıncı gün saldırıları genellikle "güvenli" ağlara karşı etkilidir ve başlatıldıktan sonra bile tespit edilemeyebilir. Bu nedenle, sözde güvenli sistemlerin kullanıcıları da sağduyulu olmalı ve güvenli bilgi işlem alışkanlıkları uygulamalıdır.[12]

Sıfırıncı gün bellek bozulması güvenlik açıklarının etkinliğini sınırlamak için birçok teknik mevcuttur. arabellek taşmaları. Bu koruma mekanizmaları, aşağıdakiler gibi çağdaş işletim sistemlerinde mevcuttur: Mac os işletim sistemi, pencereler Vista ve ötesi (ayrıca bakınız: Windows Vista'da yeni olan güvenlik ve güvenlik özellikleri ), Solaris, Linux, Unix ve Unix benzeri ortamlar; pencereler XP Service Pack 2, genel bellek bozulması güvenlik açıklarına karşı sınırlı koruma içerir[13] ve önceki sürümler daha da azını içerir. Sıfırıncı gün arabellek taşması güvenlik açıklarını azaltmak için masaüstü ve sunucu koruma yazılımı da mevcuttur. Tipik olarak bu teknolojiler şunları içerir: sezgisel sonlandırma analizi - herhangi bir zarar vermeden önce onları durdurmak.[14]

Bu tür bir çözüme ulaşılamayacağı öne sürülmüştür, çünkü genel durumda herhangi bir rasgele kodu kötü amaçlı olup olmadığını belirlemek için analiz etmek algoritmik olarak imkansızdır, çünkü böyle bir analiz durdurma sorunu üzerinde doğrusal sınırlı otomat çözülemez olan. Bununla birlikte, çok çeşitli kötü niyetli davranışları ortadan kaldırmak için çoğu durumda genel durumu ele almak (yani, tüm programları kötü niyetli veya kötü niyetli olmayan kategorilerine ayırmak) gereksizdir. Hem bazı güvenli hem de güvenli olmayan programları reddederken, sınırlı bir program kümesinin (örneğin, yalnızca belirli bir makine kaynakları alt kümesine erişebilen veya bunları değiştirebilenler) güvenliğini tanımak yeterlidir. Bu, bu güvenli programların bütünlüğünün sürdürülmesini gerektirir ve bu, çekirdek düzeyinde bir açıktan yararlanma durumunda zor olabilir.[kaynak belirtilmeli ]

Zeroday Acil Müdahale Ekibi (ZERT), sıfırıncı gün istismarları için satıcı olmayan yamaları yayınlamak için çalışan bir grup yazılım mühendisiydi.

Solucanlar

Sıfır gün solucanlar Hala bilmedikleri bir sürpriz saldırıdan yararlanmak bilgisayar Güvenliği profesyoneller. Yakın tarih artan bir solucan yayılma oranını gösterir. İyi tasarlanmış solucanlar, çok hızlı yayılabilir ve çok hızlı yayılabilir. İnternet ve diğer sistemler.

Etik

Sıfırıncı gün güvenlik açığı bilgilerinin toplanması ve kullanılmasıyla ilgili olarak farklı ideolojiler mevcuttur. Birçok bilgisayar güvenliği satıcısı, güvenlik açıklarının doğasını ve bunların bireyler, bilgisayar solucanları ve virüsler tarafından sömürülmesini daha iyi anlamak için sıfırıncı gün güvenlik açıkları üzerinde araştırma yapar. Alternatif olarak, bazı satıcılar araştırma kapasitelerini artırmak için güvenlik açıkları satın alırlar. Böyle bir programa örnek olarak TippingPoint Zero Day Initiative. Bu güvenlik açıklarının satılması ve satın alınması dünyanın çoğu yerinde teknik olarak yasadışı olmasa da, ifşa etme yöntemi konusunda çok fazla tartışma vardır. 2006 Almanya'nın 6.Maddesini dahil etme kararı Siber Suçlar Sözleşmesi ve Bilgi Sistemlerine Karşı Saldırılara İlişkin AB Çerçeve Kararı güvenlik açıklarını satmayı ve hatta üretimi yasadışı hale getirebilir.[kaynak belirtilmeli ]

Çoğu resmi program bir tür Rain Forest Puppy'nin açıklama kuralları veya Güvenlik Açığı Raporlama ve Yanıt için daha yeni OIS Yönergeleri. Genel olarak bu kurallar, satıcıya bildirimde bulunulmadan güvenlik açıklarının kamuya açıklanmasını ve bir yama oluşturmak için yeterli süreyi yasaklar.

Virüsler

Bir sıfır gün virüsü (Ayrıca şöyle bilinir sıfır gün kötü amaçlı yazılım veya yeni nesil kötü amaçlı yazılım) önceden bilinmeyen bilgisayar virüsü veya diğer kötü amaçlı yazılımlar antivirüs yazılımı imzalar henüz mevcut değil.[15]

Geleneksel olarak, antivirüs yazılımı aşağıdakilere dayanır: imzalar kötü amaçlı yazılımları tanımlamak için. Bu çok etkili olabilir, ancak örnekler zaten alınmadıkça, imzalar oluşturulmadıkça ve kullanıcılara dağıtılmadıkça kötü amaçlı yazılımlara karşı savunma yapamaz. Bu nedenle imza tabanlı yaklaşımlar sıfırıncı gün virüslerine karşı etkili değildir.

Çoğu modern antivirüs yazılımı hala imzalar kullanıyor, ancak aynı zamanda diğer analiz türlerini de gerçekleştiriyor.

Kod analizi

İçinde kod analizi, makine kodu şüpheli görünen herhangi bir şey olup olmadığını görmek için dosyanın tamamı analiz edilir. Genellikle kötü amaçlı yazılımın karakteristik davranışı vardır ve kod analizi, bunun kodda mevcut olup olmadığını tespit etmeye çalışır.

Yararlı olmasına rağmen, kod analizinin önemli sınırlamaları vardır. Bir kod bölümünün ne yapması gerektiğini belirlemek her zaman kolay değildir; özellikle çok karmaşık ve kasıtlı olarak analizi bozma niyetiyle yazılmıştır. Kod analizinin diğer bir sınırlaması, mevcut zaman ve kaynaklardır. Virüsten koruma yazılımının rekabetçi dünyasında, analizin etkinliği ile ilgili zaman gecikmesi arasında her zaman bir denge vardır.

Emülasyon

Kod analizinin sınırlamalarının üstesinden gelmek için bir yaklaşım, virüsten koruma yazılımının kodun şüpheli bölümlerini bir kasada çalıştırmasıdır. kum havuzu ve davranışlarını gözlemleyin. Bu, aynı kodu analiz etmekten daha hızlı olabilir, ancak kodun korumalı alanı algılama girişimlerine direnmesi (ve saptaması) gerekir.

Genel imzalar

Genel imzalar, belirli bir kötü amaçlı yazılım öğesi yerine belirli davranışa özgü imzalardır. Yeni kötü amaçlı yazılımların çoğu tamamen yeni değildir, ancak daha önceki kötü amaçlı yazılımların bir varyasyonudur veya bir veya daha fazla kötü amaçlı yazılım örneğinden kod içerir. Böylece, önceki analizin sonuçları yeni kötü amaçlı yazılımlara karşı kullanılabilir.

Antivirüs yazılımı endüstrisindeki rekabet gücü

Virüsten koruma endüstrisinde, çoğu satıcının imza tabanlı korumasının aynı şekilde etkili olduğu genel olarak kabul edilmektedir. Bir kötü amaçlı yazılım öğesi için bir imza varsa, her ürün (işlevsiz olmadığı sürece) onu algılamalıdır. Ancak, bazı satıcılar yeni virüslerden haberdar olma ve / veya müşterilerinin imza veritabanlarını bunları tespit etmek için güncelleme konusunda diğerlerinden önemli ölçüde daha hızlıdır.[16]

Sıfır gün virüs koruması açısından geniş bir etkinlik yelpazesi vardır. Alman bilgisayar dergisi c't sıfır gün virüsleri için tespit oranlarının% 20 ile% 68 arasında değiştiğini buldu.[17] Üreticilerin artık rekabet ettiği alan, öncelikle sıfır gün virüs performansı alanında.

ABD hükümetinin katılımı

NSA'nın sıfır gün istismarlarını kullanması (2017)

Nisan 2017'nin ortalarında bilgisayar korsanları olarak bilinen Gölge Komisyoncuları (TSB) - iddia edildiği gibi Rus hükümeti ile bağlantılı[18][19]—NSA'dan yayımlanan dosyalar (başlangıçta sadece NSA'dan geldiği iddia edildi, daha sonra dahili ayrıntılar ve Amerikan ihbarcı tarafından onaylandı Edward Snowden )[20] bir dizi 'sıfır gün istismarı' hedeflemesi içeren Microsoft Windows yazılım ve Dünya Çapında Bankalararası Finansal Telekomünikasyon Derneği (SWIFT) hizmet sağlayıcısı.[21][22][23] Ars Technica Shadow Brokers'ın 2017 Ocak ortalarında hackleme iddialarını rapor etmişti[24] ve Nisan ayında Shadow Brokers istismarları kanıt olarak yayınladı.[24]

Güvenlik Açıkları Hisse Senedi Süreci

Ana makale: Güvenlik Açıkları Hisse Senedi Süreci

Güvenlik Açıkları Hisse Senedi Süreci, ilk olarak 2016 yılında kamuoyuna açıklanan, ABD federal hükümeti sıfırıncı güne nasıl davranması gerektiğini duruma göre belirlemek bilgisayar güvenlik açıkları; genel bilgisayar güvenliğini iyileştirmeye yardımcı olmak için bunları kamuoyuna ifşa edip etmemek veya hükümetin düşmanlarına karşı saldırgan kullanım için gizli tutmak için.[25]

Süreç, ifşa etmeme anlaşmalarıyla kısıtlama, risk derecelendirmelerinin olmaması, NSA için özel muamele ve varsayılan seçenek olarak ifşa etmeye gönülden daha az bağlılık dahil olmak üzere bir dizi eksiklik nedeniyle eleştirildi.[26]

İmza bazlı tespit

Virüs imzası, belirli virüsleri algılamak ve tanımlamak için kullanılabilen benzersiz bir model veya koddur. Antivirüs, dosya imzalarını tarar ve bunları bilinen kötü amaçlı kodlardan oluşan bir veritabanıyla karşılaştırır. Eşleşirlerse dosya işaretlenir ve tehdit olarak değerlendirilir. İmza tabanlı algılamanın en büyük sınırlaması, yalnızca zaten bilinen kötü amaçlı yazılımları işaretleyerek sıfırıncı gün saldırılarına karşı tamamen yararsız hale getirmesidir.[27]

Ayrıca bakınız

Referanslar

  1. ^ Karşılaştırmak: "Sıfırıncı Gün Güvenlik Açığı nedir?". pctools. Symantec. Arşivlenen orijinal 2017-07-04 tarihinde. Alındı 2016-01-20. Sıfır gün güvenlik açığı, satıcının bilmediği, yazılımdaki istismar edilebilir bir hatayı ifade eder. Bu güvenlik açığı, satıcı farkına varmadan ve düzeltmek için acele etmeden önce korsanlar tarafından istismar edilebilir - bu istismara sıfır gün saldırısı denir.
  2. ^ Kim Zetter (11 Kasım 2014). "Hacker Sözlüğü: Sıfır Gün Nedir?". Kablolu.
  3. ^ Mark Maunder (16 Haziran 2014). "Sıfırıncı Gün" teriminin nereden geldiği ". Arşivlenen orijinal 31 Ocak 2018.
  4. ^ "Sorunlara Neden Olan Flaş Güvenlik Açıkları". ESET. Arşivlenen orijinal Mart 4, 2016. Alındı 4 Mart 2016.
  5. ^ Stuxnet'i Bulan Adam - Sergey Ulaşen Gündemde yayınlandı 2 Kasım 2011
  6. ^ Ahmed, Azam; Perlroth, Nicole (19 Haziran 2017). "Metinleri Yem Olarak Kullanmak, Hükümet Casus Yazılımları Meksikalı Gazetecileri ve Ailelerini Hedefliyor". New York Times. Alındı 19 Mayıs 2019.
  7. ^ "SANS, sıfırıncı gün Web tabanlı saldırılarda artış görüyor, Bilgisayar Dünyası". Arşivlenen orijinal 22 Aralık 2008.
  8. ^ ""E-posta Artık Risk Değerlendirmesi "Avinti, Inc., s. 2" (PDF).
  9. ^ Johansen, Håvard; Johansen, Dag; Renesse, Robbert van (2007-05-14). Venter, Hein; Eloff, Mariki; Labuschagne, Les; Eloff, Ocak; Solms, Rossouw von (editörler). Karmaşık Ortamlarda Güvenlik, Gizlilik ve Güven için Yeni Yaklaşımlar. IFIP Uluslararası Bilgi İşleme Federasyonu. Springer ABD. pp.373 –384. doi:10.1007/978-0-387-72367-9_32. ISBN  9780387723662.
  10. ^ Halvar, Flake (2016-10-25). "Yürütülebilir Nesnelerin Yapısal Karşılaştırması". Bilişimde Ders Notları: 46. doi:10.17877 / de290r-2007.
  11. ^ "İnternet Güvenliği Tehdit Raporu" Symantec Corp, Cilt. X, Eylül 2006, s. 12
  12. ^ "Sıfırıncı Gün İstismarı Nedir? - Sıfır gün yazılım istismarlarına giriş ve evde bunlardan kaçınmaya yönelik ipuçları". what-is-what.com.
  13. ^ "Microsoft Windows XP Service Pack 2'de İşlevsellikteki Değişiklikler".
  14. ^ "Strateji Tabanlı Tespit Sistemleriyle 0 Günlük XML Enjeksiyon Saldırılarını Azaltma" (PDF). Alındı 29 Aralık 2013.
  15. ^ "Cyberhawk - sıfır gün tehdit algılama incelemesi". Kickstarthaberler. Alındı 29 Aralık 2013.
  16. ^ Robert Westervelt (Nisan 2011). "Antivirüs satıcıları imza tabanlı antivirüsün ötesine geçiyor". Alındı 7 Ocak 2019.
  17. ^ Goodin, Dan (21 Aralık 2008). "Anti-virüs koruması kötüleşiyor". Kanal. Alındı 29 Aralık 2013.
  18. ^ "Geçici kanıtlar ve geleneksel bilgelik, Rusya'nın sorumluluğunu gösterir. İşte bunun neden önemli olduğu". Twitter. Ağustos 16, 2016. Alındı 22 Ağustos 2016.
  19. ^ Fiyat Rob. "Edward Snowden: Rusya, NSA siber silahlarını 'uyarı olarak' ni9G3r'e sızdırmış olabilir'". Business Insider. Alındı 22 Ağustos 2016.
  20. ^ Sam Biddle (19 Ağustos 2016). "NSA Sızıntısı Gerçek, Snowden Belgeleri Onaylıyor". Kesmek. Alındı 15 Nisan, 2017.
  21. ^ Henry Farrell (15 Nisan 2017), "Bilgisayar korsanları az önce NSA verilerinden oluşan bir hazineyi çöpe attılar. Bunun anlamı şu.", Washington post, alındı 15 Nisan, 2017
  22. ^ Baldwin, Clare (15 Nisan 2017). "Bilgisayar korsanları, NSA'nın küresel banka transferlerini izlediğini gösteren dosyaları yayınlar". Reuters. Alındı 15 Nisan, 2017.
  23. ^ Lawler, Richard. "Shadow Brokers açıklaması ayrıca NSA'nın banka işlemlerinde casusluk yaptığını ileri sürdü". Engadget. Alındı 15 Nisan, 2017.
  24. ^ a b Dan Goodin (2017/01/13). "NSA'dan sızan Shadow Brokers dünya sahnesinden çıkmadan önce Molotof kokteyli atıyor". Ars Technica. Alındı 14 Ocak 2017.
  25. ^ Newman, Lily Hay (2017-11-15). "Federaller Yazılım Hata Zulalarını Açıklıyor - Ancak Kaygıları Silmeyin". KABLOLU. Alındı 2017-11-16.
  26. ^ McCarthy, Kieren (15 Kasım 2017). "ABD hükümetinin güvenlik hatalarının ifşa edilmesine ilişkin en son kural kitabındaki dört sorun". Kayıt. Alındı 2017-11-16.
  27. ^ "Sıfırıncı Gün Saldırıları Nelerdir? | Güvenlik Dedektifi". Güvenlik Dedektifi. 2018-08-30. Alındı 2018-11-22.

daha fazla okuma

Sıfır gün saldırı örnekleri

(Kronolojik sıralama)

Dış bağlantılar