Что за атака нулевого дня?
Атака нулевого дня использует уязвимость нулевого дня. Это уязвимость о которой еще не знает разработчик, не знают производители антивирусов или пользователи. Но знает злоумышленник. И используя эту уязвимость он может совершить идеальную атаку, ведь против его действий еще нет защиты.
Такая уязвимость обозначается как 0-day, Zero-Day Exploit. Время между обнаружением уязвимости и до ее устранения называется «окно возможностей». Как сообщают специалисты RAND Corporation в своем отчете «Zero Days, Thousands of Nights», они проанализировали более 200 0-day уязвимостей за 14 лет и установили, что одна уязвимость живет в среднем 2521 день, это без малого 7 лет. Причем что 25% уязвимостей живет всего полтора года, а 25% уязвимостей — более девяти лет.
Кому выгодна такая уязвимость?
Не все уязвимости сразу становятся известны широкой общественности. Наоборот, есть компании, которые делают бизнес на том, чтобы покупать сведения о таких уязвимостях и перепродавать их. Кстати, покупателями не всегда выступают криминальные структуры. Часто их приобретают различные правительственные организации разных стран. Например для того, чтобы проводить кибератаки на недружественные страны или взламывать переписку преступников (ФБР взломала iPhone стрелка из Сан-Бернандино, потратив на это более миллиона долларов). Заинтересованы в таких уязвимостях и корпорации, которые используют их для промышленного шпионажа.
Почему именно нулевой день?
Такое название обозначает, что программа уже вышла с набором таких «дыр», а значит у разработчиков было ноль дней на ее исправление. Программа работает, уязвимость есть, кто-то ей пользуется, а разработчики могут ничего не знать. До тех пор, пока очередной аналитик не определит как происходит атака нулевого дня.
Кстати, не надо путать уязвимость нулевого дня с проблемой нулевого года или «проблемой 2000». Та проблема заключалась в том, что некоторые программы использовали дату в виде двух последних символов. При наступлении 2000 года эти программы бы отображали просто два нуля, что интерпретировалось ими как 1900 год. Тогда на решение этой проблемы было потрачено много времени, сил и средств.
Разработка цифрового иммунитета
Представители «светлой стороны» интернета обеспокоены проблемой 0-day. И ищут способы противостоять ей. Один из перспективных способов противостояния состоит в том, чтобы создать цифровую иммунную систему на основе искусственного интеллекта. Этим занимается, в частности, Google в разрабатываемой системе Chronicle, которая будет анализировать угрозы безопасности на крупных предприятиях.
Машинное обучение использует и система изобретенная в Университете штата Аризона. Она мониторит даркнет на предмет продажи Zero-Day Exploit. Сообщается, что благодаря работе системы, каждую неделю выявляется более 300 угроз.
Как минимизировать опасность атаки нулевого дня
Полностью исключить возможность подобной атаки можно только если не включать компьютер. Но это не точно. Еще считается, что чем меньше программ установлено на компьютер, тем меньше вероятность быть атакованным. Впрочем, это уже почти паранойя.
Рекомендации следующие:
- Следить за тем, чтобы программы регулярно обновлялись. Разработчики периодически выпускают патчи, в которых решены проблемы различных уязвимостей.
- Использовать антивирусы с модулем анализа поведения приложений и программ. Сейчас производители антивирусов работают над тем, чтобы противостоять подобным атакам и один из вариантов — анализатор поведения.
- Использовать антивирусы, которые могут создавать списки доверенных программ и программ, которые должны запускаться с ограниченными возможностями, как в песочнице.
- Соблюдать правила гигиены в интернете — не открывать неизвестные файлы, не устанавливать программы из неизвестных источников, не переходить по странным ссылкам, которые присланы непонятными отправителями.
- Использовать файервол и контролировать подключения, которые выполняют программы.