Zero-day(0day) nədir?
Müəllif: Verdiyev Asim
Zero-day (0 gün) proqram təminatçısı və ya antivirus təchizatçıları üçün məlum olmayan zəifliyini hədəf alan kiberhücumdur. Təcavüzkar zəifliyi onu tapmaq istəyən hərkəsdən əvvəl görür, tez istismar edib və ondan hücum üçün istifadə edir. Bu cür hücumların müvəffəqiyyət qazanma ehtimalı yüksəkdir, çünki müdafiə sistemləri belə bir hücum gözləmirlər. Bu, 0day hücumlarını ciddi təhlükəsizlik təhdidinə çevirir.
Tipik hücum vektorlarına ümumi hədəflər olan veb brauzerlər və qoşmanı açan proqramlar və ya Word, Excel, PDF və ya Flash kimi xüsusi fayl növlərindəki boşluqlardan istifadə edən e-poçt qoşmaları daxildir.
0day istismarı üçün tipik hədəflərə aşağıdakılar daxildir:
Hökumət idarələri.
Böyük müəssisələr.
Dəyərli biznes məlumatlarına çıxışı olan şəxslər.
Brauzer və ya əməliyyat sistemi kimi həssas sistemdən istifadə edən çoxlu sayda ev istifadəçisi. Hakerlər boşluqlardan kompüterləri ələ keçirmək və kütləvi botnetlər yaratmaq üçün istifadə edə bilərlər.
Hardware cihazları, firmware və Əşyaların İnterneti (IoT).
Bəzi hallarda hökumətlər təhlükəsizliyini təhdid edən fərdlərə, təşkilatlara və ya ölkələrə hücum etmək üçün 0day istismarından istifadə edirlər.
0day zəiflikləri müxtəlif tərəflər üçün dəyərli olduğundan, təşkilatların zəiflikləri aşkar edən tədqiqatçılara pul ödədiyi bir bazar mövcuddur. Bu “white market”-ə əlavə olaraq, 0day zəifliklərinin ictimaiyyətə açıqlanmadan yüz minlərlə dollara qədər satıldığı qara bazarlar var.
0day hücumlarının nümunələri
Stuxnet: Bu zərərli kompüter qurdu İran, Hindistan və İndoneziya daxil olmaqla bir neçə ölkədə istehsal məqsədləri üçün istifadə edilən kompüterləri hədəfə alıb. Əsas hədəf ölkənin nüvə proqramını pozmaq niyyəti ilə İranın uranın zənginləşdirilməsi zavodları idi. 0day zəiflikləri Microsoft Windows sistemində işləyən programmable logic controllers (PLC) kimi tanınan sənaye kompüterlərində işləyən proqram təminatında mövcud idi. Qurd PLC-ləri Siemens Step7 proqram təminatındakı zəifliklər vasitəsilə yoluxdurdu və PLC-lərin konveyer maşınlarında gözlənilməz əmrlər yerinə yetirməsinə səbəb oldu və nüvə materialını ayırmaq üçün istifadə edilən sentrifuqaları sabote etdi.
Sony zero-day hücumu: Sony Pictures 2014-cü ilin sonunda 0day istismarının qurbanı oldu. Hücum Sony şəbəkəsini şikəst etdi və fayl paylaşma saytlarında həssas korporativ məlumatların yayılmasına səbəb oldu. Yayılan məlumatlara qarşıdan gələn filmlərin təfərrüatları, biznes planları və Sony-nin yüksək səviyyəli rəhbərlərinin şəxsi e-poçt ünvanları daxildir. Sony hücumunda istifadə edilən zəifliyin təfərrüatları hələ də məlum deyil.
RSA: 2011-ci ildə hakerlər RSA təhlükəsizlik şirkətinin şəbəkəsinə daxil olmaq üçün Adobe Flash Player-də o vaxta qədər düzəldilməmiş boşluqdan istifadə etdilər. Təcavüzkarlar kiçik RSA əməkdaşlarına Excel cədvəli əlavələri ilə elektron məktublar göndəriblər. Cədvəllərdə 0day Flash zəifliyindən istifadə edən daxili Flash faylı var idi. İşçilərdən biri elektron cədvəli açanda hücuma məruz qalan şəxs kompüterə nəzarəti ələ keçirmək üçün Poison Ivy uzaqdan idarəetmə alətini quraşdırıb. Şəbəkəyə daxil olduqdan sonra təcavüzkarlar həssas məlumatları axtarır, onu kopyalayır və idarə etdikləri xarici serverlərə ötürürdülər. RSA etiraf etdi ki, oğurlanan məlumatlar arasında şirkətin SecurID iki faktorlu autentifikasiya məhsulları ilə bağlı həssas məlumatlar da var, bütün dünyada həssas məlumatlara və cihazlara daxil olmaq üçün istifadə olunur.
Operation Aurora: Bu 2009-cu il 0day istismarı Google, Adobe Systems, Yahoo və Dow Chemical daxil olmaqla bir neçə böyük müəssisənin mülkiyyətini hədəf aldı. Boşluqlar həm Internet Explorer, həm də Perforce proqramlarında mövcud idi; sonuncu dəfə mənbə kodunu idarə etmək üçün Google tərəfindən istifadə edilmişdir.
0Day zəifliyin aşkarlanması
Tərifə görə, sıfır gün istismarları üçün hələ heç bir yamaq və ya antivirus imzası mövcud deyil, bu da onları aşkar etməyi çətinləşdirir. Bununla belə, əvvəllər məlum olmayan proqram zəifliklərini aşkar etməyin bir neçə yolu var.
Vulnerability scanning
Zəifliyin skan edilməsi bəzi zero-day istismarlarını aşkarlaya bilər. Zəifliklərin skan edilməsi həllərini təklif edən təhlükəsizlik təchizatçıları proqram koduna hücumları simulyasiya edə, kodu nəzərdən keçirə və proqram yeniləməsindən sonra təqdim edilmiş yeni boşluqları tapmağa cəhd edə bilərlər.
Bu yanaşma bütün 0day istismarlarını aşkar edə bilməz. Lakin hətta aşkar etdiyi şəxslər üçün skan etmək kifayət deyil - təşkilatlar skan nəticələrinə əsasən hərəkət etməli, kodu nəzərdən keçirməli və istismarın qarşısını almaq üçün kodlarını dezinfeksiya etməlidir. Əslində, əksər təşkilatlar yeni aşkar edilmiş zəifliklərə cavab verməkdə ləng davranır, təcavüzkarlar isə sıfır günlük istismardan çox tez istifadə edə bilərlər.
Patch management
Başqa bir strategiya proqram təminatının yeni aşkar edilmiş zəiflikləri üçün proqram yamaqlarını mümkün qədər tez yerləşdirməkdir. Bu, 0day hücumlarının qarşısını ala bilməsə də, yamaqların və proqram təminatının təkmilləşdirilməsinin sürətlə tətbiqi hücum riskini əhəmiyyətli dərəcədə azalda bilər.
Bununla belə, təhlükəsizlik yamalarının yerləşdirilməsini gecikdirə bilən üç amil var. Proqram təminatçıları zəiflikləri aşkar etmək, yamaq hazırlamaq və onu istifadəçilərə yaymaq üçün vaxt ayırır. Yamağın təşkilati sistemlərə tətbiq edilməsi də vaxt apara bilər. Bu proses nə qədər uzun sürərsə, sıfır günlük hücum riski bir o qədər yüksəkdir.
Input validation and sanitization
Input validation zəifliyin skan edilməsinə və yamaqların idarə edilməsinə xas olan bir çox məsələləri həll edir. Sistemləri yamaqlayanda və ya kodu təmizləyərkən təşkilatları müdafiəsiz qoymur - vaxt apara bilən proseslər. O, təhlükəsizlik mütəxəssisləri tərəfindən idarə olunur və daha çevikdir, real vaxt rejimində yeni təhdidlərə uyğunlaşa və cavab verə bilir.
Sıfır gün hücumlarının qarşısını almağın ən təsirli yollarından biri şəbəkə kənarında Web Application Firewall (WAF) yerləşdirilməsidir. WAF bütün daxil olan trafiki nəzərdən keçirir və təhlükəsizlik zəifliklərini hədəfə ala biləcək zərərli girişləri süzür.
Bundan əlavə, sıfır gün hücumlarına qarşı mübarizədə ən son irəliləyiş icra zamanı tətbiqinin özünümüdafiəsidir (RASP). RASP agentləri, sorğunun normal və ya zərərli proqramların özlərini müdafiə etməsinə imkan verən olub olmadığını müəyyən etmək üçün icra zamanı proqram kodunun konteksti ilə sorğu yüklərini araşdıraraq proqramların içərisində otururlar.
Zero-day initiative
Məlumatı qara bazarda satmaq əvəzinə, zəiflikləri məsuliyyətlə açıqlayan təhlükəsizlik tədqiqatçılarını mükafatlandırmaq üçün yaradılmış proqram. Onun məqsədi hakerlərdən əvvəl təhlükəsizlik zəifliklərini aşkarlaya bilən və proqram təminatçılarını xəbərdar edə bilən zəiflik tədqiqatçılarından ibarət geniş icma yaratmaqdır.
Last updated