Jump to content

Уязвимость нулевого дня

(Перенаправлено с атаки 0-day )

Нулевой день (также известный как нулевой день ) — это уязвимость в программном или аппаратном обеспечении , которая обычно неизвестна поставщику и для которой не патча существует или другого исправления. У поставщика нет дней на подготовку исправления, поскольку уязвимость уже описана или использована.

Несмотря на цель разработчиков создать продукт, который работает полностью так, как задумано, практически все программное и аппаратное обеспечение содержат ошибки. Многие из них снижают безопасность системы и, таким образом, являются уязвимостями. Несмотря на то, что уязвимости нулевого дня являются основой лишь незначительного числа кибератак, они считаются более опасными, чем известные уязвимости, поскольку существует меньше возможных контрмер.

Государства являются основными пользователями уязвимостей нулевого дня не только из-за высокой стоимости их обнаружения или покупки, но и из-за значительных затрат на написание программного обеспечения для атак. Многие уязвимости обнаруживаются хакерами или исследователями безопасности, которые могут раскрыть их поставщику (часто в обмен на вознаграждение за обнаружение ошибок ) или продать их государствам или преступным группам. Использование нулевого дня увеличилось после того, как многие популярные компании-разработчики программного обеспечения начали шифровать сообщения и данные, а это означает, что незашифрованные данные можно было получить только путем взлома программного обеспечения до того, как оно было зашифровано.

Определение

[ редактировать ]

Несмотря на цель разработчиков создать продукт, который работает полностью так, как задумано, практически все программное и аппаратное обеспечение содержат ошибки. [1] Если ошибка создает угрозу безопасности, она называется уязвимостью . Уязвимости различаются по возможности использования злоумышленниками . Некоторые из них вообще непригодны для использования, а другие можно использовать для нарушения работы устройства с помощью атаки типа «отказ в обслуживании» . Наиболее ценные из них позволяют злоумышленнику внедрить и запустить свой собственный код без ведома пользователя. [2] Хотя термин «нулевой день» первоначально относился к моменту, когда поставщику стало известно об уязвимости, уязвимости нулевого дня также можно определить как подмножество уязвимостей, для которых не патча или другого исправления. существует [3] [4] [5] Эксплойт нулевого дня — это любой эксплойт, использующий такую ​​уязвимость. [2]

Эксплойты

[ редактировать ]

Эксплойт — это механизм доставки, который использует уязвимость для проникновения в системы цели для таких целей, как срыв операций, установка вредоносного ПО или утечка данных . [6] Исследователи Лилиан Аблон и Энди Богарт пишут, что «мало что известно об истинных масштабах, использовании, пользе и вреде эксплойтов нулевого дня». [7] Эксплойты, основанные на уязвимостях нулевого дня, считаются более опасными, чем те, которые используют известную уязвимость. [8] [9] Однако вполне вероятно, что большинство кибератак используют известные уязвимости, а не уязвимости нулевого дня. [7]

Государства являются основными пользователями эксплойтов нулевого дня не только из-за высокой стоимости поиска или покупки уязвимостей, но и из-за значительных затрат на написание программного обеспечения для атак. Тем не менее, любой может воспользоваться уязвимостью, [4] и, согласно исследованию корпорации RAND , «любой серьезный злоумышленник всегда может получить доступное средство нулевого дня практически для любой цели». [10] Множество целевых атак [11] а большинство продвинутых постоянных угроз основаны на уязвимостях нулевого дня. [12]

Среднее время разработки эксплойта уязвимости нулевого дня оценивалось в 22 дня. [13] Сложность разработки эксплойтов со временем возрастает из-за увеличения количества функций защиты от эксплойтов в популярном программном обеспечении. [14]

Окно уязвимости

[ редактировать ]
Хронология уязвимостей

Уязвимости нулевого дня часто классифицируются как «живые», что означает, что об уязвимости никто не знает, и «мертвые», когда уязвимость обнаружена, но не исправлена. Если сопровождающие программного обеспечения активно ищут уязвимости, это живая уязвимость; такие уязвимости в необслуживаемом программном обеспечении называются бессмертными. Уязвимости зомби можно использовать в старых версиях программного обеспечения, но они исправлены в более новых версиях. [15]

Даже общеизвестные уязвимости и уязвимости-зомби часто можно использовать в течение длительного периода времени. [16] [17] Разработка исправлений безопасности может занять месяцы. [18] или, возможно, никогда не будет разработан. [17] Патч может оказать негативное влияние на функциональность программного обеспечения. [17] и пользователям может потребоваться протестировать патч, чтобы убедиться в его функциональности и совместимости. [19] Крупные организации могут оказаться не в состоянии выявить и исправить все зависимости, тогда как более мелкие предприятия и частные пользователи могут не устанавливать исправления. [17] Исследования показывают, что риск кибератак увеличивается, если об уязвимости становится публично известно или выпущен патч. [20] Киберпреступники могут перепроектировать патч, чтобы найти основную уязвимость и разработать эксплойты. [21] часто быстрее, чем пользователи устанавливают патч. [20]

Согласно исследованию RAND Corporation, опубликованному в 2017 году, эксплойты нулевого дня остаются пригодными для использования в среднем в течение 6,9 лет. [22] хотя те, которые приобретены у третьих лиц, можно использовать в среднем только 1,4 года. [13] Исследователи не смогли определить, имеет ли какая-либо конкретная платформа или программное обеспечение (например, программное обеспечение с открытым исходным кодом ) какое-либо отношение к ожидаемой продолжительности жизни уязвимости нулевого дня. [23] Хотя исследователи RAND обнаружили, что 5 процентов запасов секретных уязвимостей нулевого дня были обнаружены кем-то другим, [22] другое исследование выявило более высокий уровень перекрытия: от 10,8 до 21,9 процента в год. [24]

Контрмеры

[ редактировать ]

Поскольку по определению не существует патча, который мог бы заблокировать эксплойт нулевого дня, все системы, использующие программное или аппаратное обеспечение с уязвимостью, подвергаются риску. Сюда входят защищенные системы, такие как банки и правительства, на которых установлены все актуальные исправления. [25] Антивирусное программное обеспечение часто неэффективно против вредоносного ПО, вызванного эксплойтами нулевого дня. [26] Системы безопасности созданы с учетом известных уязвимостей, и вредоносное ПО, внедренное с помощью эксплойта нулевого дня, может продолжать работать незамеченным в течение длительного периода времени. [17] Хотя было много предложений по созданию системы, эффективной для обнаружения эксплойтов нулевого дня, в 2023 году эта область останется активной областью исследований. [27]

Многие организации приняли тактику глубокоэшелонированной защиты, поэтому атаки, скорее всего, потребуют нарушения нескольких уровней безопасности, что затрудняет их достижение. [28] Обычные меры кибербезопасности, такие как обучение и контроль доступа, такие как многофакторная аутентификация , доступ с наименьшими привилегиями и контроль доступа , затрудняют компрометацию систем с помощью эксплойта нулевого дня. [29] Поскольку написать абсолютно безопасное программное обеспечение невозможно, некоторые исследователи утверждают, что повышение стоимости эксплойтов является хорошей стратегией снижения бремени кибератак. [30]

Сравнение средних цен на разные виды эксплойтов, 2015–2022 гг.

Эксплойты нулевого дня могут принести миллионы долларов. [4] Существует три основных типа покупателей: [31]

  • Белый: поставщик или третьи стороны, такие как « Инициатива нулевого дня» , которые раскрывают информацию поставщику. Часто такое раскрытие происходит в обмен на вознаграждение за обнаружение ошибок . [32] [33] [34] Не все компании положительно реагируют на раскрытие информации, поскольку оно может повлечь за собой юридическую ответственность и операционные накладные расходы. Нередко получают письма о прекращении противоправных действий от поставщиков программного обеспечения после бесплатного раскрытия уязвимости. [35]
  • Серый: самый большой [4] и самый прибыльный. Правительство или спецслужбы покупают нулевой день и могут использовать его в атаке, накапливать уязвимости или уведомлять поставщика. [31] Федеральное правительство США является одним из крупнейших покупателей. [4] По состоянию на 2013 год « Пять глаз» (США, Великобритания, Канада, Австралия и Новая Зеландия) захватили большую часть рынка, а среди других крупных покупателей были Россия, Индия, Бразилия, Малайзия, Сингапур, Северная Корея и Иран. Позже страны Ближнего Востока увеличат свои расходы. [36]
  • Черный: организованная преступность, которая обычно предпочитает использовать программное обеспечение, а не просто знать об уязвимостях. [37] Эти пользователи с большей вероятностью будут использовать «полдня», когда патч уже доступен. [38]

По оценкам, в 2015 году рынки правительства и преступности как минимум в десять раз превышали белый рынок. [31] Продавцами часто являются хакерские группы, которые ищут уязвимости в широко используемом программном обеспечении за финансовое вознаграждение. [39] Некоторые будут продавать только определенным покупателям, а другие будут продавать кому угодно. [38] Продавцы на белом рынке, скорее всего, будут мотивированы неденежными вознаграждениями, такими как признание и интеллектуальный вызов. [40] Продажа эксплойтов нулевого дня является законной. [34] [41] Несмотря на призывы к ужесточению регулирования, профессор права Мейлин Фидлер говорит, что шансов на международное соглашение мало, поскольку ключевые игроки, такие как Россия и Израиль, не заинтересованы в этом. [41]

Продавцы и покупатели, которые торгуют в нулевой день, как правило, скрытны, полагаясь на соглашения о неразглашении и законы о секретной информации, чтобы сохранить секретность своих действий. Если уязвимость станет известна, ее можно будет исправить, и, как следствие, ее ценность упадет. [42] Поскольку рынку не хватает прозрачности, сторонам может быть трудно найти справедливую цену. Продавцам могут не заплатить, если уязвимость была раскрыта до того, как она была проверена, или если покупатель отказался купить ее, но все равно использовал. С увеличением числа посредников продавцы никогда не могли знать, как можно использовать эти уязвимости. [43] Покупатели не могли гарантировать, что эксплойт не будет продан другой стороне. [44] И покупатели, и продавцы размещают рекламу в даркнете . [45]

Исследование, опубликованное в 2022 году и основанное на максимальных ценах, уплачиваемых одним брокером эксплойтов, выявило 44-процентную годовую инфляцию цен на эксплойты. Удаленные эксплойты с нулевым щелчком мыши могут принести самую высокую цену, а те, которые требуют локального доступа к устройству, стоят намного дешевле. [46] Уязвимости в широко используемом программном обеспечении также обходятся дороже. [47] По их оценкам, от 400 до 1200 человек продавали эксплойты этому брокеру, и они зарабатывали в среднем от 5000 до 20 000 долларов в год. [48]

Раскрытие информации и накопление запасов

[ редактировать ]

По состоянию на 2017 год Продолжаются дебаты о том, следует ли Соединенным Штатам раскрывать известные им уязвимости, чтобы их можно было исправить, или держать их в секрете для собственного использования. [49] Причины, по которым государства держат уязвимость в секрете, включают желание использовать ее в наступательных или защитных целях при тестировании на проникновение . [10] Раскрытие уязвимости снижает риск того, что потребители и все пользователи программного обеспечения станут жертвами вредоносного ПО или утечки данных . [1]

Значимость эксплойтов нулевого дня возросла после того, как такие службы, как Apple, Google, Facebook и Microsoft, зашифровали серверы и сообщения. Это означает, что единственным способом получить доступ к данным пользователя было перехватить их в источнике до того, как они будут зашифрованы. [25] Одним из наиболее известных случаев использования эксплойтов нулевого дня стал червь Stuxnet , который использовал четыре уязвимости нулевого дня, чтобы нанести ущерб ядерной программе Ирана в 2010 году. [7] Червь показал, чего можно достичь с помощью эксплойтов нулевого дня, вызвав расширение рынка. [36]

США Агентство национальной безопасности (АНБ) усилило поиск уязвимостей нулевого дня после того, как крупные технологические компании отказались устанавливать бэкдоры в программное обеспечение, поручив Tailored Access Operations (TAO) обнаружение и приобретение эксплойтов нулевого дня. [50] В 2007 году бывший сотрудник АНБ Чарли Миллер впервые публично заявил, что правительство США покупает эксплойты нулевого дня. [51] Некоторая информация о причастности АНБ к нулевым дням была раскрыта в документах, опубликованных подрядчиком АНБ Эдвардом Сноуденом в 2013 году, но подробности отсутствовали. [50] Репортер Николь Перлрот пришла к выводу, что «либо доступ Сноудена в качестве подрядчика не позволил ему достаточно глубоко проникнуть в правительственные системы для получения необходимой информации, либо некоторые правительственные источники и методы получения данных нулевого дня были настолько конфиденциальными или противоречивыми, что агентство так и не осмелилось изложить их в письменной форме». [52]

  1. ^ Перейти обратно: а б Аблон и Богарт 2017 , с. 1.
  2. ^ Перейти обратно: а б Аблон и Богарт 2017 , с. 2.
  3. ^ Аблон и Богарт 2017 , стр. iii, 2.
  4. ^ Перейти обратно: а б с д и Суд и Энбоди, 2014 , с. 1.
  5. ^ Перлрот 2021 , с. 7.
  6. ^ Страут 2023 , с. 23.
  7. ^ Перейти обратно: а б с Аблон и Богарт 2017 , с. 3.
  8. ^ Sood & Enbody 2014 , с. 24.
  9. ^ Браво и Кухня 2022 , с. 11.
  10. ^ Перейти обратно: а б Аблон и Богарт 2017 , с. xiv.
  11. ^ Sood & Enbody 2014 , стр. 2–3, 24.
  12. ^ Sood & Enbody 2014 , с. 4.
  13. ^ Перейти обратно: а б Аблон и Богарт 2017 , с. xiii.
  14. ^ Перлрот 2021 , с. 142.
  15. ^ Аблон и Богарт 2017 , с. xi.
  16. ^ Аблон и Богарт 2017 , с. 8.
  17. ^ Перейти обратно: а б с д и Суд и Энбоди, 2014 , с. 42.
  18. ^ Страут 2023 , с. 26.
  19. ^ Либицки, Аблон и Уэбб, 2015 , с. 50.
  20. ^ Перейти обратно: а б Либицкий, Аблон и Уэбб, 2015 , стр. 49–50.
  21. ^ Страут 2023 , с. 28.
  22. ^ Перейти обратно: а б Аблон и Богарт 2017 , с. х.
  23. ^ Аблон и Богарт 2017 , стр. xi–xii.
  24. ^ Леал, Марсело М.; Масгрейв, Пол (2023). «Назад с нуля: как общественность США оценивает использование уязвимостей нулевого дня в кибербезопасности». Современная политика безопасности . 44 (3): 437–461. дои : 10.1080/13523260.2023.2216112 . ISSN   1352-3260 .
  25. ^ Перейти обратно: а б Перлрот 2021 , с. 8.
  26. ^ Sood & Enbody 2014 , с. 125.
  27. ^ Ахмад и др. 2023 , с. 10733.
  28. ^ Страут 2023 , с. 24.
  29. ^ Либицки, Аблон и Уэбб, 2015 , с. 104.
  30. ^ Деллаго, Симпсон и Вудс, 2022 , с. 41.
  31. ^ Перейти обратно: а б с Либицкий, Аблон и Уэбб, 2015 , с. 44.
  32. ^ Деллаго, Симпсон и Вудс, 2022 , с. 33.
  33. ^ О'Хэрроу 2013 , с. 18.
  34. ^ Перейти обратно: а б Либицкий, Аблон и Уэбб, 2015 , с. 45.
  35. ^ Страут 2023 , с. 36.
  36. ^ Перейти обратно: а б Перлрот 2021 , с. 145.
  37. ^ Либицки, Аблон и Уэбб, 2015 , стр. 44, 46.
  38. ^ Перейти обратно: а б Либицкий, Аблон и Уэбб, 2015 , с. 46.
  39. ^ Sood & Enbody 2014 , с. 116.
  40. ^ Либицки, Аблон и Уэбб, 2015 , стр. 46–47.
  41. ^ Перейти обратно: а б Гудинг, Мэтью (19 июля 2022 г.). «Торговля уязвимостями нулевого дня прибыльна, но рискованна» . Технический монитор . Проверено 4 апреля 2024 г.
  42. ^ Перлрот 2021 , с. 42.
  43. ^ Перлрот 2021 , с. 57.
  44. ^ Перлрот 2021 , с. 58.
  45. ^ Sood & Enbody 2014 , с. 117.
  46. ^ Деллаго, Симпсон и Вудс, 2022 , стр. 31, 41.
  47. ^ Либицки, Аблон и Уэбб, 2015 , с. 48.
  48. ^ Деллаго, Симпсон и Вудс, 2022 , с. 42.
  49. ^ Аблон и Богарт 2017 , с. iii.
  50. ^ Перейти обратно: а б Перлрот 2021 , с. 9.
  51. ^ Перлрот 2021 , стр. 60, 62.
  52. ^ Перлрот 2021 , с. 10.

Источники

[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 32f78447fc44e1838016f22139012a12__1719801900
URL1:https://arc.ask3.ru/arc/aa/32/12/32f78447fc44e1838016f22139012a12.html
Заголовок, (Title) документа по адресу, URL1:
Zero-day vulnerability - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)