![140711161301[1]](http://samosov.ru/wp-content/uploads/2016/07/1407111613011.jpg)
Нередко при нарушениях работы программного обеспечения специалисты сталкиваются с вопросом — что такое атака нулевого дня?
Угроза нулевого дня
Угроза нулевого дня относится в первую очередь к уязвимости программного обеспечения персонального оборудования фирмы.
Незакрытые уязвимости нулевого дня в программном обеспечении служат «входными воротами», через которые в компьютерную систему проникают хакеры и вредоносные программы.
По данным компании Secunia, на половине пользовательских компьютеров под управлением ОС Microsoft Windows установлено в среднем более 66 программ от 22-х вендоров.
Использование такого большого количества разнородного программного обеспечения без средств автоматизированного управления обновлениями ведёт к тому, что значительная часть программных продуктов не имеют всех необходимых патчей для противостояния атакам нулевого дня.
Проблема усугубляется тем, что для ряда уязвимостей патчей не существует вовсе. Атаки нулевого дня, осуществляемые через уже обнаруженные хакерами бреши, для которых ещё не выпущено соответствующее исправление и о которых ещё неизвестно в широких кругах ИТ-специалистов, называются атаками «нулевого дня».
Такие атаки нулевого дня представляют наибольшую опасность для пользователей и в то же время огромную ценность для киберпреступников.
Условия для хакерской атаки
Атака нулевого дня ведется течение периода «нулевого дня», когда злоумышленники имеют наилучшие условия для хакерской атаки: готовый хакерский эксплойт, а также отсутствие доступных исправлений и антивирусных сигнатур.
При этом многие пользователи игнорируют необходимость установки патчей на ПО даже после их выхода — в особенности для программного обеспечения, не входящего в состав операционной системы, что открывает хакерам доступ для осуществления атак нулевого дня.
Уязвимости могут иметь, а могут и не иметь эксплойты – это зависит от распространённости и функциональности программы и, соответственно, уровня внимания к ней со стороны киберпреступников при атаке нулевого дня.
Типичный пример – эпидемия Мак-трояна Flashback. в Java, которую атаковал этот вирус нашли в начале года, но эксплойт для Мака появился только спустя месяц.
Важно для противодействия атакам нулевого дня: если уязвимостей в конкретной программе не обнаружено – это не значит, что их нет. Это лишь значит, что а) ею пользуется слишком малое количество людей, чтобы случайно «нарваться» на ошибку или б) она не нужна, чтобы в ней специально копались в поиске таких ошибок.
Самая неприятная разновидность эксплойтов – т.н. зеродеи (эксплойт «нулевого дня», 0-day exploit). Обычно сначала находят уязвимость, потом разработчик срочно латает её специальной «заплаткой» («патч», patch), а уже потом подтягивается кибер-андерграунд, делает эксплойт и пытается атаковать пользователей, которые не успели установить патч, чтобы противостоять атаке нулевого дня.
Точнее это сценарий, по которому мы бы хотели, чтобы развивались события. На самом деле иногда случается, что эксплойт появляется вместе с информацией об уязвимости или разработчик (например, Apple в случае с Flashback) и, в итоге, эксплойт опережает её появление.
Эксплойт, для которого нет «заплатки» и называется зеродеем (нулевой день) и способствует атакам нулевого дня.
Проактивные методы защиты
Для борьбы с атаками нулевого дня необходимы проактивные методы защиты. Проблема атаки нулевого дня не только в уязвимости для ПО, но и во временном периоде. Сколько обычно длится период «нулевого дня»? Недавнее исследование “Before We Knew It. An Empirical Study of Zero-Day Attacks In The Real World” показало, что он продолжается довольно долго — в среднем 10 месяцев.
Самая большая проблема, связанная с атаками «нулевого дня» — это невозможность их детектирования традиционными сигнатурными средствами защиты, поскольку об уязвимостях «нулевого дня» не известно никому за исключением хакеров, либо хакеров и вендора.
Бороться с подобными угрозами можно лишь с помощью проактивных методов, таких как анализ поведения подозрительных программ, поиск опасных инструкций в коде ПО и контроль целостности системных файлов для противодействия атакам нулевого дня.
«Организации, не использующие проактивные методы защиты, остаются незащищенными от новых угроз в течение длительного срока до момента выхода соответствующих исправлений. Это опасная практика, способствующая киберпреступникам и входам атак нулевого дня», — предупреждают эксперты eScan.
Значительная часть уязвимостей «нулевого дня» – это критические уязвимости, то есть бреши, позволяющие хакеру получить полный контроль над системой.
Выходит, что атаки нулевого дня представляют значительную угрозу для всего программного обеспечения предприятия или фирмы.
Таким образом, на вопрос что такое атака нулевого дня, можно сказать, что это вход, открывающий широкий диапазон действий для хакеров. Основные способы защиты – это не только многочисленные патчи, но и проактивные защиты, позволяющие отслеживать подозрительные программы, чтобы избежать атаки нулевого дня.
http://www.ixbt.com/
https://eugene.kaspersky.ru/about/
