惡意黑客的聖杯
信息安全的一個咒語是保持系統的修補和更新。 由於供應商通過第三方研究人員或通過他們自己的發現了解其產品中的新漏洞 ,他們創建修補程序,修補程序,服務包和安全更新來修復漏洞。
惡意程序和病毒編寫者的聖杯是“零日攻擊”。 零日漏洞利用時間是漏洞利用率是在供應商了解漏洞之前或同一天創建的。 通過創建利用漏洞的病毒或蠕蟲 ,供應商尚未意識到,並且目前還沒有可用的補丁,攻擊者可能造成最大破壞。
有些漏洞被媒體稱為零日漏洞利用漏洞,但問題在於日期為零的日期? 很多時候,供應商和關鍵技術提供商在漏洞被創建之前或漏洞被公開披露之前的幾週甚至幾個月內都會意識到漏洞。
一個明顯的例子是2002年2月宣布的SNMP(簡單網絡管理協議)漏洞。芬蘭奧盧大學的學生在2001年夏季發現了這個缺陷,同時從事PROTOS項目,這是一個測試套件,用於測試SNMPv1 (版本1)。
SNMP是設備彼此交談的簡單協議 。 它用於設備到設備的通信以及管理員對網絡設備的遠程監視和配置。 SNMP存在於網絡硬件(路由器,交換機,集線器等),打印機,複印機,傳真機,高端計算機醫療設備以及幾乎所有操作系統中。
在發現他們可能使用他們的PROTOS測試套件崩潰或禁用設備後,奧盧大學的學生謹慎地通知了這些權力,並將這些權力交給了供應商。 每個人都坐在這些信息上並保持秘密,直到它洩露給世界,使得PROTOS測試套件本身可以被自由和公開地用作攻擊代碼來使SNMP設備失效。 只有到那時,供應商和全世界才開始創建和發布補丁來解決這種情況。
這個世界驚慌失措,它被視為零日漏洞利用,事實上從漏洞最初發現的時間起,已經有6個多月的時間了。 同樣,微軟會定期發現新的漏洞或者在其產品中發現新漏洞。 其中一些是解釋問題,微軟可能會也可能不會同意它實際上是一個缺陷或漏洞。 但是,即使對於許多他們認為存在漏洞的人來說,在微軟發布安全更新或解決該問題的服務包之前,可能會有數週或數月的時間。
一個安全組織(PivX Solutions)用於維護微軟已經知道但尚未修補的Microsoft Internet Explorer漏洞的運行列表。 網絡上還有其他經常出現黑客的站點,它們列出了已知漏洞列表以及黑客和惡意代碼開發者交換信息的位置。
這並不是說零日漏洞利用不存在。 不幸的是,第一次讓供應商或全世界意識到漏洞的時候,經常會發生這樣的情況:在進行法醫調查時,要弄清楚系統是如何破壞的,或者分析已經在野外傳播的病毒了解它是如何工作的。
無論供應商是在一年前了解該漏洞還是在今天早上發現它,如果在漏洞被公開時存在漏洞利用代碼,那麼它就是日曆中的零日漏洞利用。
您可以做的最好的事情來防範零日漏洞,首先要遵循良好的安全策略。 通過安裝並保持您的防病毒軟件為最新版本,阻止可能有害的電子郵件附件並保持系統針對您已知道的漏洞進行修補可以保護您的系統或網絡免受99%的外部攻擊。
防止當前未知威脅的最佳措施之一是使用硬件或軟件(或兩者) 防火牆 。 您還可以在防病毒軟件中啟用啟發式掃描(一種用於阻止尚不知曉的病毒或蠕蟲的技術)。 通過用硬件防火牆阻止不必要的流量,用軟件防火牆阻止對系統資源和服務的訪問,或使用反病毒軟件來幫助檢測異常行為,可以更好地保護自己免受可怕的零日攻擊。