Nolinchi kun (hisoblash) - Zero-day (computing)

A nol kun (shuningdek, nomi bilan tanilgan 0 kun) zaiflik bu kompyuter-dasturiy ta'minot zaiflik bu zaiflikni kamaytirishdan manfaatdor bo'lishi kerak bo'lganlar uchun (shu jumladan, dasturiy ta'minotning sotuvchisi) noma'lum. Zaiflik kamayguncha, xakerlar mumkin ekspluatatsiya bu kompyuter dasturlariga, ma'lumotlarga, qo'shimcha kompyuterlarga yoki tarmoqqa salbiy ta'sir ko'rsatishi mumkin.[1] Nolinchi kunga yo'naltirilgan ekspluatatsiya a deb ataladi nol kunlik ekspluatatsiya, yoki nol kunlik hujum.

Dastlab "nolinchi kun" atamasi yangi dasturiy ta'minot ommaga taqdim etilgan kunlar sonini nazarda tutgan edi, shuning uchun "nol kunlik" dasturiy ta'minot ishlab chiqaruvchining kompyuterini ozod qilishdan oldin buzib kirish yo'li bilan olingan dastur edi. Oxir-oqibat, ushbu atama ushbu buzg'unchilikka yo'l qo'ygan zaifliklarga va sotuvchining ularni tuzatishi kerak bo'lgan kunlar soniga nisbatan qo'llanildi.[2][3][4] Sotuvchi zaiflik haqida bilib olgach, sotuvchi odatda yaratadi yamalar yoki maslahat bering vaqtinchalik echimlar uni yumshatish.

Yaqinda sotuvchi ushbu zaiflik to'g'risida xabardor bo'lganligi sababli, hech qanday tuzatish yoki yumshatish jarayoni ishlab chiqilmagan. Tuzatish ishlab chiqilgandan keyin ham, o'sha kundan qancha kam kun bo'lsa, zararlangan dasturlarga qarshi hujum muvaffaqiyatli bo'lish ehtimoli shunchalik yuqori bo'ladi, chunki ushbu dasturning har bir foydalanuvchisi tuzatishni qo'llamaydi. Nol kunlik ekspluatatsiya uchun, agar zaiflik bexosdan tuzatilmasa, masalan. zaiflikni tuzatish bilan bog'liq bo'lmagan yangilanish bilan, foydalanuvchining sotuvchisi tomonidan muammoni bartaraf etadigan tuzatishni qo'llash ehtimoli nolga teng, shuning uchun ekspluatatsiya mavjud bo'lib qoladi. Nol kunlik hujumlar juda og'ir tahdid.[5]

Hujum vektorlari

Zararli dastur yozuvchilar bir necha xil hujum vektorlari orqali nol kunlik zaifliklardan foydalanishlari mumkin. Ba'zan, foydalanuvchilar yolg'onga tashrif buyurganlarida veb-saytlar, zararli kod saytdagi zaifliklardan foydalanishi mumkin Veb-brauzerlar. Internet-brauzerlar keng tarqalishi va ishlatilishi sababli jinoyatchilar uchun alohida maqsaddir. Kiberjinoyatchilar, shuningdek xalqaro sotuvchilar ning josuslarga qarshi dastur kabi Isroil Ning NSO guruhi,[6] zararli dasturlarni ham yuborishi mumkin elektron pochta orqali qo'shimchalar SMTP qo'shimchani ochadigan dasturdagi zaifliklardan foydalanadigan.[7] Oddiy narsalardan foydalanadigan ekspluatatsiya fayl turlari son-sanoqsiz va tez-tez bo'lib turadi, chunki ularning paydo bo'lishi ortib bormoqda ma'lumotlar bazalari kabi US-CERT. Jinoyatchilar muhandislik qilishlari mumkin zararli dastur hujum qilingan tizimlarni buzish yoki maxfiy ma'lumotlarni o'g'irlash uchun ushbu fayl turlaridan foydalanish.[8]

Zaiflik oynasi

Dasturiy ta'minot ekspluatatsiyasi birinchi marta faollashib, zaif tizimlar soni ahamiyatsizlikka qisqargan paytgacha bo'lgan vaqt, zaiflik oynasi (WoV) deb nomlanadi.[9] Har bir dasturiy ta'minotning zaifligi uchun vaqt liniyasi quyidagi asosiy voqealar bilan belgilanadi:

  • t0: Zaiflik (har kim tomonidan) aniqlanadi.
  • t1a: Xavfsizlik tuzatmasi nashr etilgan (masalan, dasturiy ta'minot sotuvchisi tomonidan).
  • t1b: Ekspluatatsiya faollashadi.
  • t2: Ko'pgina zaif tizimlar yamoqni qo'llashdi.

Shunday qilib, zaiflik oynasi uzunligining formulasi: t2t1b

Ushbu formulada har doim haqiqat t0t1a va t0t1b. Yozib oling t0 Day Zero bilan bir xil emas. Masalan, xaker birinchi bo'lib kashf etgan bo'lsa (da t0) zaiflik, sotuvchi bu haqda ancha keyinroq bilib olishi mumkin (Day Zero kuni).

Oddiy zaifliklar uchun, t1bt1a > 0. Bu shuni anglatadiki, dasturiy ta'minot sotuvchisi zaiflik haqida bilgan va xavfsizlik patchini nashr etishga ulgurgan (t1a) har qanday xaker ishlay oladigan ekspluatatsiya qilishdan oldin (t1b). Nol kunlik ekspluatatsiya uchun, t1bt1a ≤ 0, shuning uchun ekspluatatsiya yamoq paydo bo'lishidan oldin faollashdi.

Ma'lum bo'lgan zaif tomonlarni oshkor qilmasdan, dasturiy ta'minot sotuvchisi erishishga umid qilmoqda t2 oldin t1b erishildi, shuning uchun har qanday ekspluatatsiyadan saqlaning. Biroq, sotuvchining xakerlar o'zlari zaifliklarni topa olmasliklariga kafolati yo'q. Bundan tashqari, xakerlar xavfsizlik yamoqlarini o'zlari tahlil qilishlari va shu bilan asosiy zaifliklarni aniqlashlari va avtomatik ravishda ishchi ekspluatatsiya qilishlari mumkin.[10] Ushbu ekspluatatsiyalardan vaqtgacha samarali foydalanish mumkin t2.

Amalda, WoV hajmi tizimlar, sotuvchilar va individual zaifliklar o'rtasida farq qiladi. Ko'pincha kunlar bilan o'lchanadi, 2006 yilda bitta hisobotda o'rtacha 28 kun deb baholandi.[11]

Himoya

Nolinchi kunlik himoya - bu nol kunlik ekspluatatsiyadan himoya qilish qobiliyati. Nol kunlik hujumlar jamoatchilik uchun umuman noma'lum bo'lganligi sababli, ularni himoya qilish ko'pincha qiyin. Nolinchi kunlik hujumlar ko'pincha "xavfsiz" tarmoqlarga qarshi samarali bo'ladi va ular ishga tushirilgandan keyin ham aniqlanmay qolishi mumkin. Shunday qilib, xavfsiz tizim deb nomlangan foydalanuvchilar ham aqlni ishlatishi va xavfsiz hisoblash odatlariga amal qilishi kerak.[12]

Kabi nol kunlik xotira buzilishining zaifligi samaradorligini cheklash uchun ko'plab texnikalar mavjud bufer toshib ketadi. Ushbu himoya mexanizmlari kabi zamonaviy operatsion tizimlarda mavjud macOS, Windows Vista va undan tashqari (shuningdek qarang: Windows Vista uchun yangi xavfsizlik va xavfsizlik xususiyatlari ), Solaris, Linux, Unix va Unixga o'xshash muhitlar; Windows XP Service Pack 2 umumiy xotira buzilishidan himoyalanishni o'z ichiga oladi[13] va oldingi versiyalar bundan ham kamroqni o'z ichiga oladi. Nolinchi kunlik buferning haddan tashqari zaifligini kamaytirish uchun ish stoli va serverlarni himoya qilish dasturi mavjud. Odatda ushbu texnologiyalar o'z ichiga oladi evristik tugatish tahlili - zarar etkazishdan oldin ularni to'xtatish.[14]

Ushbu turdagi echimning qo'lidan kelgan bo'lishi mumkin, chunki har qanday tasodifiy kodni zararli ekanligini aniqlash uchun uni umumiy holda algoritmik ravishda imkonsiz deb hisoblash mumkin, chunki bunday tahlil muammoni to'xtatish ustidan chiziqli cheklangan avtomat, bu hal qilinmaydi. Biroq, ko'p hollarda zararli xatti-harakatlarni yo'q qilish uchun umumiy holatga murojaat qilish kerak emas (ya'ni barcha dasturlarni zararli yoki zararli bo'lmagan toifalarga ajratish). Cheklangan dasturlar to'plamining xavfsizligini tan olish kifoya (masalan, faqat ma'lum bir mashina resurslari to'plamiga kira oladigan yoki o'zgartirishi mumkin bo'lganlar), ham xavfsiz, ham xavfli dasturlarni rad etish. Buning uchun yadro darajasida ekspluatatsiya qilish qiyin bo'lishi mumkin bo'lgan xavfsiz dasturlarning yaxlitligi saqlanishi kerak.[iqtibos kerak ]

The Zeroday favqulodda vaziyatlarda javob berish guruhi (ZERT) nol kunlik ekspluatatsiya uchun sotuvchi bo'lmagan yamoqlarni chiqarish uchun ishlaydigan dasturiy ta'minot muhandislari guruhi edi.

Qurtlar

Nolinchi kun qurtlar ular hali noma'lum bo'lgan paytda kutilmagan hujumdan foydalaning kompyuter xavfsizligi professionallar. Yaqin tarix qurtlarni ko'payish sur'atining o'sib borayotganligini ko'rsatadi. Yaxshi ishlab chiqilgan qurtlar juda tez tarqalishi mumkin, bu esa halokatli oqibatlarga olib keladi Internet va boshqa tizimlar.

Axloq qoidalari

Nol kunlik zaiflik to'g'risidagi ma'lumotlarni to'plash va ulardan foydalanishga nisbatan turli xil mafkuralar mavjud. Ko'pgina kompyuter xavfsizligi sotuvchilari zaifliklarning mohiyatini va ularni shaxslar, kompyuter qurtlari va viruslari tomonidan ekspluatatsiya qilinishini yaxshiroq tushunish uchun nol kunlik zaifliklar bo'yicha tadqiqotlar o'tkazadilar. Shu bilan bir qatorda, ba'zi sotuvchilar tadqiqot qobiliyatini oshirish uchun zaif joylarni sotib olishadi. Bunday dasturning misoli TippingPoint Nol kunlik tashabbus. Ushbu zaif tomonlarni sotish va sotib olish dunyoning aksariyat qismida texnik jihatdan noqonuniy emas, ammo oshkor qilish usuli bo'yicha juda ko'p tortishuvlar mavjud. 2006 yil Germaniyaning ushbu qarorning 6-moddasini kiritish to'g'risidagi qarori Kiberjinoyatchilik to'g'risidagi konventsiya va Axborot tizimlariga qarshi hujumlar to'g'risida Evropa Ittifoqining asosli qarori sotish yoki hatto ishlab chiqarishdagi zaifliklarni noqonuniy holga keltirishi mumkin.[iqtibos kerak ]

Ko'pgina rasmiy dasturlar ba'zi bir shakllarga amal qiladi Yomg'ir o'rmon kuchukchasini oshkor qilish bo'yicha ko'rsatmalar yoki xavfsizlik nuqtai nazaridan hisobot berish va javob berish bo'yicha so'nggi OIS yo'riqnomasi. Umuman olganda, ushbu qoidalar zaif tomonlarni sotuvchiga xabar bermasdan va yamoq ishlab chiqarish uchun etarli vaqtni oshkora oshkor qilishni taqiqlaydi.

Viruslar

A nol kunlik virus (shuningdek, nomi bilan tanilgan nol kunlik zararli dastur yoki keyingi avlod zararli dasturlari) ilgari noma'lum kompyuter virusi yoki boshqa zararli dastur antivirus dasturi imzolar hali mavjud emas.[15]

An'anaviy ravishda antivirus dasturi ishonadi imzolar zararli dasturlarni aniqlash uchun. Bu juda samarali bo'lishi mumkin, ammo namunalar olinmagan, imzolar yaratilmagan va foydalanuvchilarga yangilanishlar tarqatilmagan bo'lsa, zararli dasturlardan himoya qila olmaydi. Shu sababli, imzoga asoslangan yondashuvlar nol kunlik viruslarga qarshi samarali emas.

Aksariyat zamonaviy antivirus dasturlari hanuzgacha imzolardan foydalanadi, ammo boshqa turdagi tahlillarni ham amalga oshiradi.

Kod tahlili

Yilda kod tahlili, mashina kodi shubhali ko'rinadigan biron bir narsa bor-yo'qligini tekshirish uchun fayldan tahlil qilinadi. Odatda, zararli dastur xarakterli xulq-atvorga ega va kodni tahlil qilish ushbu kodda mavjudligini aniqlashga harakat qiladi.

Kodni tahlil qilish foydali bo'lsa-da, muhim cheklovlarga ega. Kod qismini nima qilish kerakligini aniqlash har doim ham oson emas; ayniqsa, agar u juda bo'lsa murakkab va tahlilni mag'lub etish niyatida ataylab yozilgan. Kodni tahlil qilishning yana bir cheklovi mavjud vaqt va manbalardir. Antivirus dasturlarining raqobatbardosh dunyosida har doim tahlil samaradorligi va vaqtni kechiktirish o'rtasida muvozanat mavjud.

Emulyatsiya

Kodlarni tahlil qilishdagi cheklovlarni engish uchun yondashuvlardan biri antivirus dasturining kodning shubhali qismlarini seyfda ishlashidir qum qutisi va ularning xatti-harakatlarini kuzating. Bu xuddi shu kodni tahlil qilishdan ko'ra kattaroq buyruqlar bo'lishi mumkin, ammo kodni qum qutisini aniqlashga urinishlariga qarshi turish (va aniqlash) kerak.

Umumiy imzolar

Umumiy imzolar zararli dasturlardan emas, balki ma'lum bir xatti-harakatlarga xos bo'lgan imzolardir. Aksariyat yangi zararli dasturlar mutlaqo yangi emas, balki oldingi zararli dasturlarning o'zgarishi yoki zararli dasturlarning bir yoki bir nechta oldingi misollaridan kodni o'z ichiga oladi. Shunday qilib, avvalgi tahlil natijalari yangi zararli dasturlarga qarshi ishlatilishi mumkin.

Antivirus dasturiy ta'minot sanoatidagi raqobatbardoshlik

Antivirus sohasida odatda sotuvchilarning imzoga asoslangan himoyasi bir xil darajada samarali ekanligi qabul qilingan. Agar zararli dastur uchun imzo mavjud bo'lsa, unda har bir mahsulot (ishlamay qolmasa) uni aniqlab olishi kerak. Biroq, ba'zi sotuvchilar yangi viruslar to'g'risida xabardor bo'lish va / yoki ularni aniqlash uchun mijozlarining imzo bazalarini yangilashda boshqalarnikiga qaraganda ancha tezroq.[16]

Nolinchi kunlik virusdan himoya qilish bo'yicha keng samaradorlik mavjud. Nemis kompyuter jurnali c't nol kunlik viruslarni aniqlash darajasi 20% dan 68% gacha bo'lganligini aniqladi.[17] Endilikda ishlab chiqaruvchilar birinchi navbatda nolinchi kunlik virus ko'rsatkichlari bilan raqobatlashadi.

AQSh hukumatining ishtiroki

NSA ning nol kunlik ekspluatatsiyadan foydalanishi (2017)

2017 yil aprel oyining o'rtalarida xakerlar sifatida tanilgan Shadow Brokers (TSB) - Rossiya hukumati bilan bog'liqligi taxmin qilinmoqda[18][19]- NSA-dan chiqarilgan fayllar (dastlab faqat NSA-dan olingan deb taxmin qilingan, keyinchalik ichki tafsilotlar va Amerika xabarchisi tomonidan tasdiqlangan) Edvard Snouden )[20] qator "nol kunlik ekspluatatsiya" maqsadini o'z ichiga oladi Microsoft Windows dasturiy ta'minot va unga kirish vositasi Butunjahon banklararo moliyaviy telekommunikatsiya jamiyati (SWIFT) xizmat ko'rsatuvchi provayderi.[21][22][23] Ars Technica Shadow Brokers kompaniyasining xakerlik da'volari haqida 2017 yil yanvar o'rtalarida xabar bergan edi[24] va aprel oyida Shadow Brokers ekspluatatsiyani dalil sifatida e'lon qildi.[24]

Zaifliklarning qimmatli qog'ozlar jarayoni

Asosiy maqola: Zaifliklarning qimmatli qog'ozlar jarayoni

The Zaifliklarning qimmatli qog'ozlar jarayoni, birinchi marta 2016 yilda ommaviy ravishda oshkor qilingan, tomonidan ishlatiladigan jarayon AQSh federal hukumati nol kunga qanday munosabatda bo'lish kerakligini alohida-alohida aniqlash kompyuter xavfsizligining zaif tomonlari; kompyuterning umumiy xavfsizligini yaxshilashga yordam berish uchun ularni jamoatchilikka oshkor qilish yoki hukumat dushmanlariga qarshi tajovuzkor foydalanish uchun ularni sir tutish kerakmi.[25]

Jarayon bir qator kamchiliklar, jumladan, ma'lumotni oshkor qilmaslik to'g'risidagi bitimlar bilan cheklash, risk darajalarining yo'qligi, NSAga nisbatan maxsus muomala va defolt variant sifatida oshkor qilishga sodiq qolish kabi tanqidlarga uchragan.[26]

Imzo asosida aniqlash

Virus imzosi - bu o'ziga xos viruslarni aniqlash va aniqlash uchun ishlatilishi mumkin bo'lgan noyob naqsh yoki kod. Antivirus fayl imzolarini tekshiradi va ularni ma'lum zararli kodlar bazasi bilan taqqoslaydi. Agar ular mos keladigan bo'lsa, fayl belgilanadi va tahdid sifatida ko'rib chiqiladi, imzoga asoslangan aniqlashning asosiy cheklovi shundaki, u faqat allaqachon ma'lum bo'lgan zararli dasturlarni belgilashga qodir va uni nolinchi kunlik hujumlardan butunlay foydasiz qiladi.[27]

Shuningdek qarang

Adabiyotlar

  1. ^ Taqqoslang: "Nol kunlik zaiflik nima?". pctools. Symantec. Arxivlandi asl nusxasi 2017-07-04 da. Olingan 2016-01-20. Nolinchi kunlik zaiflik, sotuvchiga noma'lum bo'lgan dasturiy ta'minotdagi ekspluatatsiya qilinadigan xatoni anglatadi. Ushbu xavfsizlik teshigi sotuvchi xabardor bo'lishidan oldin uni tuzatishga shoshilishidan oldin krakerlar tomonidan ishlatilishi mumkin - bu ekspluatatsiya nol kunlik hujum deb ataladi.
  2. ^ Kim Zetter (2014 yil 11-noyabr). "Hacker lexicon: nolinchi kun nima?". Simli.
  3. ^ Mark Maunder (2014 yil 16-iyun). "" Nolinchi kun "atamasi qaerdan kelib chiqqan". Arxivlandi asl nusxasi 2018 yil 31 yanvarda.
  4. ^ "Muammolarni keltirib chiqaradigan flesh zaifliklari". ESET. Arxivlandi asl nusxasi 2016 yil 4 martda. Olingan 4-mart, 2016.
  5. ^ Stuxnetni topgan odam - Sergey Ulasen diqqat markazida 2011 yil 2-noyabrda nashr etilgan
  6. ^ Ahmed, A'zam; Perlrot, Nikol (2017 yil 19-iyun). "Matnlarni lures sifatida ishlatish, hukumatning shpion dasturi meksikalik jurnalistlar va ularning oilalarini nishonga oladi". The New York Times. Olingan 19 may 2019.
  7. ^ "SANS nol kunlik Internetga asoslangan hujumlarning kuchayishini ko'rmoqda, Computerworld". Arxivlandi asl nusxasi 2008 yil 22 dekabrda.
  8. ^ ""Elektron xatlar xavfini baholash "Avinti, Inc., 2-bet". (PDF).
  9. ^ Yoxansen, Xvard; Yoxansen, Dag; Reness, Robbert van (2007-05-14). Venter, Xayn; Eloff, Mariki; Labuschagne, Les; Eloff, Jan; Solms, Rossouw fon (tahrir). Murakkab muhitda xavfsizlik, maxfiylik va ishonchga oid yangi yondashuvlar. IFIP Xalqaro axborotni qayta ishlash federatsiyasi. Springer AQSh. pp.373 –384. doi:10.1007/978-0-387-72367-9_32. ISBN  9780387723662.
  10. ^ Halvar, Flake (2016-10-25). "Ijro etiladigan ob'ektlarni tarkibiy taqqoslash". Informatikadan ma'ruza matnlari: 46. doi:10.17877 / de290r-2007.
  11. ^ "Internet xavfsizligi tahdidi to'g'risida hisobot" Symantec Corp, Vol. X, 2006 yil sentyabr, p. 12
  12. ^ "Nolinchi kunlik ekspluatatsiya nima? - Nolinchi kunlik dasturiy ta'minot ekspluatatsiyasi bilan tanishish va ularni uyda oldini olish bo'yicha maslahatlar". what-is-what.com.
  13. ^ "Microsoft Windows XP Service Pack 2-dagi funktsiyalarga o'zgartirishlar".
  14. ^ "Strategiyaga asoslangan aniqlash tizimlari orqali 0 kunlik xml qarshi inyeksiyani kamaytirish" (PDF). Olingan 29 dekabr 2013.
  15. ^ "Cyberhawk - tahlikani nol kunlik tekshiruvi". Kickstartnews. Olingan 29 dekabr 2013.
  16. ^ Robert Vestervelt (2011 yil aprel). "Antivirus sotuvchilari imzoga asoslangan antivirusdan tashqarida". Olingan 7 yanvar 2019.
  17. ^ Goodin, Dan (21 dekabr 2008 yil). "Antivirusdan himoya yomonlashadi". Kanal. Olingan 29 dekabr 2013.
  18. ^ "Oddiy dalillar va odatiy donolik Rossiyaning javobgarligini anglatadi. Shuning uchun bu muhim". Twitter. 2016 yil 16-avgust. Olingan 22 avgust, 2016.
  19. ^ Narx, Rob. "Edvard Snouden: Rossiya NSA kiber qurollarini" ogohlantirish "sifatida da'vo qilgan ni9G3r-ni tarqatgan bo'lishi mumkin'". Business Insider. Olingan 22 avgust, 2016.
  20. ^ Sem Biddl (2016 yil 19-avgust). "NSA qochqinlari haqiqatdir, Snouden hujjatlari tasdiqlanadi". Intercept. Olingan 15 aprel, 2017.
  21. ^ Genri Farrell (2017 yil 15-aprel), "Xakerlar hozirgina NSA ma'lumotlari xazinasini tashladilar. Bu nimani anglatadi"., Washington Post, olingan 15 aprel, 2017
  22. ^ Bolduin, Kler (2017 yil 15-aprel). "Xakerlar NSA tomonidan kuzatilayotgan global bank o'tkazmalarini ko'rsatuvchi fayllarni tarqatishdi". Reuters. Olingan 15 aprel, 2017.
  23. ^ Lawler, Richard. "Shadow Brokers-ning chiqarilishi, shuningdek, NSA bank operatsiyalarida josuslik qilishni taklif qilmoqda". Engadget. Olingan 15 aprel, 2017.
  24. ^ a b Dan Gudin (2017-01-13). "Dunyo sahnasiga chiqishdan oldin NSA-Shadow Brokers lob molotov kokteyli". Ars Technica. Olingan 14 yanvar, 2017.
  25. ^ Nyuman, Lily Xey (2017-11-15). "Fedlar o'zlarining dasturiy ta'minotidagi xatolarni tushuntirib berishadi, ammo tashvishlarni yo'q qilmanglar". Simli. Olingan 2017-11-16.
  26. ^ Makkarti, Kieren (2017 yil 15-noyabr). "AQSh hukumatining xavfsizlik bo'yicha xatolarni oshkor qilish bo'yicha so'nggi qoidalar kitobidagi to'rtta muammo". Ro'yxatdan o'tish. Olingan 2017-11-16.
  27. ^ "Nol kunlik hujumlar nima? | Xavfsizlik bo'yicha detektiv". Xavfsizlik bo'yicha detektiv. 2018-08-30. Olingan 2018-11-22.

Qo'shimcha o'qish

Nol kunlik hujumlarga misollar

(Xronologik tartib)

Tashqi havolalar