Уязвимость нулевого дня

Компьютерная атака, использующая уязвимости, не известные массам и фирме-производителю, либо уязвимости для которых отсутствуют заплатки, называется атакой нулевого дня (или нулевого часа). Эксплоит нулевого дня(код, использующий дыру в безопасности для совершения вредоносных действий) используется или распространяется злоумышленникам до того, как фирма-производитель узнаёт об уязвимости.

Название произошло от времени жизни эксплойта. Когда фирма-производитель узнаёт о дыре в системе безопасности, начинается гонка, чтобы закрыть её до того, как о ней узнают взломщики или она станет общеизвестной. Суть термина происходит из того, что атака проводится в первый или "нулевой" день обнаружения фирмой-производителем дыры в системе безопасности, когда недостаточно времени для того, чтобы все пользователи получили заплатки. (в ИТ нумерация часто начинается с нуля.)

Направления атаки

Авторы вредоносного ПО могут использовать уязвимости нулевого дня несколькими способами. Например, при посещении пользователем заражённого сайта, код сайта может использовать дыры в безопасности веб-браузера. Веб-браузеры являются популярнейшей целью для злоумышленников в связи с широким применением и использованием по всему миру. Хакеры могут также рассылать электронные письма с вложениями, которые наносят вред при запуске. Обычно плохо-написанное ПО чувствительно к атакам нулевого дня недолгое время. Эксплоиты поражающие файлы наиболее распространенных типов встречаются часто и в больших количествах, о чем свидетельствует их увеличивающееся количество в базах вроде US-CERT. Злоумышленники могут использовать данный тип эксплоитов с целью скомпрометировать систему или украсть конфиденциальную информацию.

Временное окно уязвимости

Атаки нулевого дня происходят в промежуток с момента обнаружения уязвимости до выпуска заплатки поставщиком патчей.

Для вирусов, троянов и других zero-day атак этот промежуток времени можно разложить на следующие стадии:

Обнаружение новой уязвимости или эксплоита

Выявление и изучение нового эксплойта

Разработка нового решения

Выпуск заплатки или антивирусной сигнатуры для обнаружения эксплоита

Распространение и установка патча на системы пользователей или обновление антивирусных БД.

Этот процесс может длиться несколько часов или даже дней, и называется данный период окном уязвимости. Согласно одному из отчетов 2006 года, окно длилось 28 дней.

Защита

Защита от атаки нулевого дня называется защитой нулевого дня. Кроме того, атаки нулевого дня могут оставаться незамеченными после запуска.

Существует множество механизмов, препятствующих повреждению блоков памяти (например, ошибка переполнения буфера). Эти механизмы встроены в современные операционные системы, такие как Mac OS X, Windows Vista, Solaris, Linux, Unix и Unix-подобные среды. Второй сервис-пак для MS Windows XP включает кое-какие механизмы защиты против уязвимостей блоков памяти. Существует также пользовательское и серверное ПО для смягчения последствий от переполнения буфера.

Многоступенчатая система защиты направлена на перехват эксплоита. Пример: сервис, имплементирующий списки доступа и ограничивающий сетевой доступ к себе через прослойку программного брандмауэра (например, iptables) и, наконец, использующий аппаратный брандмауэр для защиты всей сети. Все ступени являются самостоятельными, то есть защита имеется даже в случае обнаружения ошибок в работе любой из них.

Использование служб "простукивания" портов (передачи через ранее закрытые порты) или Single Packet Authorization может дать эффект при защите против атак нулевого дня. Однако, данные службы неприменимы в системах с большим количеством пользователей.

Технология "белого листа" является эффективной защитой против атак нулевого дня. Её использование предполагает запрет использования системы всем, кроме определённых заранее, приложениям, что даёт гарантию того, что эксплоит не получит доступа к системе. Но, хотя "белый лист" и защищает от подобных атак, использование только его одного, не в связке с антивирусом или HIPS, может быть неэффективным для конечного пользователя.

Zeroday Emergency Response Team (ZERT) - группа профессионалов, работающих над выпуском неофициальных заплаток для эксплоитов нулевого дня, чей сайт, однако, не обновлялся с 2007 года. Другие группы, включая фирм-производителей ПО (Gama-Sec в Израиле, DataClone Labs в Неваде), стараются развивать Zeroday Project, чьей целью является распространение информации о будущих атаках и поддержка уязвимых систем.

Дождаться выпуска обновлений до новой стабильной версии - ещё один способ избежать атаки. Эксплоиты, найденные в новых версиях ПО, устраняются своевременными минорными обновлениями. Минорные обновления, содержащие заплатки дыр безопасности, должны быть обязательно установлены.
Однако, данный метод позволяет избежать атаки в нулевой (первый) день, тогда как дыры в безопасности могут быть найдены в любой момент. Если данные факты становятся достоянием общественности до того, как о них узнаёт фирма-производитель, окно уязвимости может возникнуть в любой момент (как и нулевой день).

Мораль

По поводу методом сбора и использования информации, касающейся уязвимостей нулевого дня, существуют разные мнения. Множество фирм-производителей ПО проводят исследования в данной области в целях лучшего понимания сути уязвимостей и использования их злоумышленниками, "червями" и вирусами. Другие покупают сведения об уязвимостях, расширяя свою базу знаний. Пример такой программы: TippingPoint's Zero Day Initiative. Несмотря на то, что покупка и продажа данной информации не является противозаконной, ведутся споры об обоснованности подобных методов. Недавно внесённая поправка в Статью 6 немецкой конвенции о киберпреступности и решение Евросоюза об атаках информационных систем может делегализовать продажу и даже намеренный поиск уязвимостей.

Суть данных законопроектов заключается в запрете опубликования информации об уязвимостях до того, как фирма-производитель ПО будет о них оповещена и предпримет действия по выпуску заплатки.

Пиратское ПО

Варезом нулевого дня (чаще называемом '0day') называется ПО, видео, музыка или информация, незаконно опубликованная или полученная в день публичного релиза. Полученные таким образом до официального релиза (pre-release) данные, называются данными Отрицательного дня (Negative day, -day). ПО, игры, видео и музыка нулевого дня - это нелегально полученная или скопированная в день официального релиза информация. Обычно к этому причастны пираты или работники фирмы-производителя ПО.