Уязвимость нулевого дня: различия между версиями

В статье не хватает ссылок на источники (см. рекомендации по поиску). Информация должна быть проверяема, иначе она может быть удалена. Вы можете отредактировать статью, добавив ссылки на авторитетные источники в виде сносок. (18 января 2012)

0day (англ. zero day) – термин, принятый в индустрии антивирусного программного обеспечения и обозначающий вредоносные программы или уязвимости, против которых существующие защитные механизмы бессильны.

Происхождение термина связано с тем обстоятельством, что хакеры, обнаруживающие уязвимость в программах, проводят атаки не позднее первого или "нулевого дня" информированности разработчика об обнаруженной ошибке. А это в свою очередь означает, что у разработчика не было никакой возможности распространить патчи безопасности для пользователей программного обеспечения.

Обнаружение уязвимостей

На данный момент многие вирусописатели фокусируют свои усилия именно на обнаружении неизвестных уязвимостей в программном обеспечении. Это обусловлено высокой эффективностью использования уязвимостей, что, в свою очередь, связано с двумя фактами – высоким распространением уязвимого ПО (именно такое программное обеспечение, как правило, атакуют хакеры) и некоторым временным промежутком между обнаружением уязвимости компанией-разработчиком программного обеспечения и выпуском соответствующего обновления для исправления ошибки.

Для обнаружения уязвимостей вирусописатели используют различные техники, например:

• Дизассемблирование программного кода и последующий поиск ошибок непосредственно в коде программного обеспечения;
• Реверс-инжиниринг и последующий поиск ошибок в алгоритмах работы программного обеспечения;
• Fuzz-тестирование – своего рода стресс-тест для программного обеспечения, суть которого заключается в обработке программным обеспечением большого объёма информации, содержащей заведомо неверные параметры.

Создание вредоносного кода

После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, использующего обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей.

На сегодняшний день, самой известной вредоносной программой, использующей 0day уязвимость в программном обеспечении, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее неизвестную уязвимость операционных систем семейства Windows, связанную с алгоритмом обработки ярлыков. Следует отметить, что помимо 0day уязвимости Stuxnet использовал ещё три, ранее известные, уязвимости.

Помимо создания вредоносных программ, использующих 0day уязвимости в программном обеспечении, вирусописатели активно работают и над созданием вредоносных программ, недетектируемых антивирусными сканерами и мониторами. Данные вредоносные программы также попадают под определение термина 0day.

Отсутствие детектирования антивирусными программами достигается за счёт применения вирусописателями различных технологий, таких как обфускация и шифрование программного кода и множество других технологий.

Защита

В связи с применением специальных технологий 0day угрозы не могут быть детектированы классическими антивирусными технологиями. Именно по этой причине продукты, в которых сделана ставка на классические антивирусные технологии, показывают весьма посредственный результат в динамических антивирусных тестированиях.

По мнению антивирусных компаний, для обеспечения эффективной защиты против 0day вредоносных программ и уязвимостей необходимо использование проактивных технологий антивирусной защиты. Благодаря специфике проактивных технологий защиты, они способны одинаково эффективно обеспечивать защиту как от известных, так и от незвестных 0day-угроз. Хотя стоит отметить, что эффективность проактивной защиты не является абсолютной, и весомая доля 0day угроз способна причинить вред жертвам злоумышленников

Ссылки

• 0-Day Patch - Exposing Vendors (In)security Performance
• Attackers seize on new zero-day in Word
• zero-day arhive in Word

Это заготовка статьи о программном обеспечении. Помогите Википедии, дополнив её.