Ако не сте от хората, които четат ежедневно статии за информационна сигурност, вероятно ще ви заболи главата от странни термини – червеи, вируси, троянски коне, ботове. И все пак те някак звучат интуитивно. Но какво означава Zero Day?Ако попитате някой експерт, той ще ви отговори: „Уязвимост, за която все още не е издаден пач (кръпка), използвана за осъществяване на кибер-атака. Името zero-day идва от фактът, че все още няма съществуващ патч, който да попълни дупката и да предотврати използването на уязвимостта. Zero Day уязвимости се използват по различен начин от различни видове вируси -троянски коне, руткитове, червеи и т.н., и т.н. Причината: липсата на патч за пробива в сигурността улеснява разпространението на зловредни кодове. Освен като Zero Day, терминът се среща още и в разновидностите си “zeroday”, “0day” и “0-day”.“Добре, съгласни сме, че и това не звучи съвсем разбираемо. Но преди да го преведем на човешки език, трябва да кажем някои думи за уязвимостите и експлойтите.
Уязвимости и експлойти… навсякъде
Представете си компютърния софтуер като една мрежеста врата (или комарник, както е по-популярно у нас): всяка една програма се състои от стотици, хиляди и дори милиони редове код, свързани един с друг. Разликата при софтуера е, че връзките между редовете са далеч по-сложни и приличат по-скоро на купа със спагети - толкова са омешани помежду си. Това прави и търсенето на слаби места доста по-трудно. Дори и специализираните инструменти често се затрудняват в намирането на пробойни.Казано по друг начин: и софтуерът се пише от хора. А нито един човек не е съвършен и имунизиран от възможността да допусне грешка - волна или неволна. Или да си представи всеки един сценарий, по който може да бъде използван даден код. Понякога, дали след детайлно проучване или пък съвсем случайно, едно от тези слаби места може да бъде открито. Тази разкрита слабост се нарича уязвимост в софтуера.Популярната приказка гласи „Има грешка – има и прошка“. Е, в света на интернет нещата не стоят съвсем по същия начин. И когато дадена уязвимост бъде открита, слабото място, което създава, може да бъде използвано от кибер-престъпници, които да инсталират зловреден код във вашата машина. Кодът, който се създава цели да експлоатира създалата се уязвимост в софтуера. По тази причина той се нарича експлойт.
Колко точно дни?
И така, вече имаме уязвимости и експлойти, чакащи да ги „обслужат“. Но къде идва Zero Day частта? Как точно се преброяват нула дни? Простият отговор: докато съответния производител на софтуер не създаде патч, който да поправя уязвимостта, тя се счита за Zero Day уязвимост. Ако в този момент е наличен експлойт за тази уязвимост, то той се нарича Zero Day експлойт. Zero, или нулата, в този случай образно отброява дните, от които патчът е наличен, т.е нула (защото все още не съществува).
А сега накъде?
В идеалния случай някой добросъвестен изследовател с добро сърце ще разкрие уязвимостта на производителя на софтуер и проблемът ще бъде решен преди някой да бъде ощетен. За съжаление обаче, не малко са случаите, в които авторите на зловреден код (кибер-престъпници) са тези, които първи откриват грешката. Те едва ли биха споделели „откритието си“ с производителя на софтуер. По-скоро биха го използвали по друг начин, което поставя под риск всички потребители, които имат инсталиран и/или работят със съответния софтуер. В този случай, производителите разбират за уязвимостта последни – първо кибер-престъпниците я експлоатират, след това потребителите биват заразени, анализатори по интернет сигурност получават оплакване за заразата и чак тогава информират производителя, който да създаде съответния патч.И един пример – трите уязвимости в Adobe, които бяха открити съвсем скоро.
Създадохме патч - можем да си отдъхнем! Или пък не…
Не съвсем. Всъщност напротив. Създаването на патч много често не означава край на атаките. Причината – много потребители отлагат ъпдейтите с дни, седмици, дори години. А в същото време, след създаването на патча, все повече кибер-престъпници са запознати с наличната „възможност“ и са готови да я експлоатират срещу добра възвращаемост.Спокойно, има решениеВ заключение, можем да кажем, че Zero Day означава проблем, който все още не е поправен. По тази причина винаги сме препоръчвали няколко нива на защита. Никога не се знае кога подобен проблем ще ни връхлети и затова е добре да сме подготвени и да знаем някои важни неща:· Ъпдейтвайте редовно софтуерът, който използвате - операционна система, браузъри, PDF четци и дори по-софистицирани приложения · Използвайте лицензиран софтуер за информационна сигурност с функции като Exploit Blocker и Vulnerability Shield - например, ESET Smart Security, който можете да опитате напълно безплатно за 30 дни.