Атака нулевого дня
Что такое атака нулевого дня?
Атака нулевого дня (также называемая Day Zero) — это атака, использующая потенциально серьезную уязвимость в системе безопасности программного обеспечения, о которой поставщик или разработчик может не знать. Разработчик программного обеспечения должен спешить устранить уязвимость, как только она будет обнаружена, чтобы ограничить угрозу для пользователей программного обеспечения. Решение называется программным патчем. Атаки нулевого дня также могут использоваться для атак на Интернет вещей (IoT).
Атака нулевого дня получила свое название из-за количества дней, в течение которых разработчик программного обеспечения знал о проблеме.
Понимание атаки нулевого дня
Атака нулевого дня может включать вредоносное ПО, рекламное ПО,. шпионское ПО или несанкционированный доступ к пользовательской информации. Пользователи могут защитить себя от атак нулевого дня, настроив свое программное обеспечение, включая операционные системы, антивирусное программное обеспечение и интернет-браузеры, на автоматическое обновление и своевременную установку любых рекомендуемых обновлений помимо регулярных запланированных обновлений.
При этом обновление антивирусного программного обеспечения не обязательно защитит пользователя от атаки нулевого дня, потому что до тех пор, пока уязвимость программного обеспечения не станет общеизвестной, антивирусное программное обеспечение может не иметь возможности ее обнаружить. Системы предотвращения вторжений хоста также помогают защититься от атак нулевого дня, предотвращая и защищая от вторжений и защищая данные.
Думайте об уязвимости нулевого дня как о незапертой двери автомобиля, которую владелец думает, что она заперта, но вор обнаруживает, что она не заперта. Вор может проникнуть внутрь незамеченным и украсть вещи из бардачка или багажника владельца автомобиля, которые могут быть замечены только через несколько дней, когда ущерб уже нанесен, а вор давно ушел.
Хотя известно, что уязвимости нулевого дня используются преступными хакерами, они также могут использоваться государственными службами безопасности, которые хотят использовать их для наблюдения или атак. На самом деле спрос на уязвимости нулевого дня со стороны государственных органов безопасности настолько велик, что они помогают стимулировать рынок покупки и продажи информации об этих уязвимостях и способах их эксплуатации.
Эксплойты нулевого дня могут быть раскрыты публично, раскрыты только поставщику программного обеспечения или проданы третьей стороне. Если они продаются, они могут быть проданы с исключительными правами или без них. Лучшее решение для бреши в системе безопасности, с точки зрения компании-разработчика программного обеспечения, ответственной за нее, — это для этичного хакера или «белой шляпы» в частном порядке сообщить о бреши компании, чтобы она могла быть устранена до того, как ее обнаружат хакеры-преступники. Но в некоторых случаях более чем одна сторона должна устранить уязвимость, чтобы полностью устранить ее, поэтому полное частное раскрытие может быть невозможным.
Рынки для атак нулевого дня
На темном рынке информации нулевого дня хакеры-преступники обмениваются подробностями о том, как взломать уязвимое программное обеспечение и украсть ценную информацию. На сером рынке исследователи и компании продают информацию военным, спецслужбам и правоохранительным органам. На белом рынке компании платят белым хакерам или исследователям безопасности за обнаружение и раскрытие уязвимостей программного обеспечения разработчикам, чтобы они могли устранить проблемы до того, как их найдут хакеры-преступники.
В зависимости от покупателя, продавца и полезности информация нулевого дня может стоить от нескольких тысяч до нескольких сотен тысяч долларов, что делает ее потенциально прибыльным рынком для участия. Прежде чем транзакция может быть завершена, продавец должен предоставить доказательство концепции (PoC) для подтверждения существования эксплойта нулевого дня. Для тех, кто хочет обмениваться информацией нулевого дня незамеченными, сеть Tor позволяет проводить транзакции нулевого дня анонимно с использованием биткойнов.
Атаки нулевого дня могут представлять меньшую угрозу, чем кажется. У правительств могут быть более простые способы шпионить за своими гражданами, а нулевые дни могут быть не самым эффективным способом эксплуатации бизнеса или отдельных лиц. Атака должна быть развернута стратегически и без ведома цели, чтобы иметь максимальный эффект. Атака нулевого дня сразу на миллионы компьютеров может раскрыть существование уязвимости и выпустить исправление слишком быстро, чтобы злоумышленники могли достичь своей конечной цели.
Реальный пример
В апреле 2017 года Microsoft стало известно об атаке нулевого дня на ее программное обеспечение Microsoft Word. Злоумышленники использовали вредоносное ПО под названием банковский троян Dridex для использования уязвимой и неисправленной версии программного обеспечения. Троянец позволял злоумышленникам внедрять вредоносный код в документы Word, который автоматически срабатывал при открытии документов. Атака была обнаружена антивирусным поставщиком McAfee, который уведомил Microsoft о скомпрометированном программном обеспечении. Хотя атака нулевого дня была обнаружена в апреле, миллионы пользователей уже подверглись атаке с января.
Особенности
Решение для устранения атаки нулевого дня известно как программное исправление.
Атаки нулевого дня можно предотвратить, хотя и не всегда, с помощью антивирусного программного обеспечения и регулярных обновлений системы.
Название происходит от количества дней, в течение которых разработчик программного обеспечения знал о проблеме.
Существуют различные рынки для атак нулевого дня, от законных до незаконных. К ним относятся белый рынок, серый рынок и темный рынок.
Атака нулевого дня — это атака, связанная с программным обеспечением, которая использует уязвимость, о которой не знал поставщик или разработчик.