0day

0day

Тёмная личность

Привет) Сегодня хочу рассказать о таком понятии как уязвимость нулевого дня.

//

Уязвимость нулевого дня, 0day, zero day – всё это обозначает одно – неустраненную уязвимость, от которой еще нет защиты.

Термин обозначает то, что у разрабов было ровно ноль дней на исправление этой уязвимости – она обнаруживается до момента фикса (исправления ошибки).

Это самый лакомый кусочек для тех, кто занимается написанием вредоносных программ. Именно такие уязвимости позволяют добиться больших успехов в заражении и распространении вредоноса.

Искать такие уязвимости стараются в популярном ПО, ведь чем больше пользователей этого ПО существует, тем больше пользователей можно заразить через обнаруженную уязвимость. Но, с другой стороны, в распространенных программах найти какую-то ошибку гораздо сложнее, ведь над созданием ПО работала целая команда специалистов. Но все люди ошибаются, поэтому уязвимости всё равно существуют, просто в гораздо меньшем количестве.

Также ищут уязвимости нулевого дня и в менее популярном ПО – хоть и потенциальная прибыль ниже, зато легче.

Как именно ищут? Чаще всего используют такие методы:

1)     Дисассемблирование кода  - преобразование программы в код для ассемблера  и поиск ошибок в нем.

2)     Анализ обмена данных, просмотр того, как программа взаимодействует с компьютером и сетью и поиск лазеек.

3)     Декомпиляция  - преобразование в исходный код. Отличается от первого варианта тем, что в данном случае получается язык высокоуровневого программирования, а не язык для ассемблера.

4)     Стресс-тест путем обработки ПО большего объема информации, содержащего неверные параметры. Это может приводить к ошибкам программы, которые могут быть использованы хакерами.

После того, как уязвимость была найдена, пишется вредонос, который использует эту уязвимость для последующего заражения отдельных компов или целых компьютерных сетей.

Также под определение 0day уязвимости можно отнести уязвимость антивирусных программ, которые не обнаруживают заражение компьютера какой-то промежуток времени.

Достигается это запутыванием кода и действий вредоносной программы и также требует внимания разработчиков (в данном случае разработчиков антивирусного ПО) для исправления ситуации.

Есть методики, которые позволяют защититься от части таких уязвимостей, даже пока они неизвестны. Например, настройка фаерволла, которая не позволит передать какой-либо программе данные в сеть.

Но в основном уязвимости нулевого дня никак не остановить заранее и именно поэтому они очень опасны.