Chén Thánh của Hacker độc hại
Một trong những câu thần chú về bảo mật thông tin là giữ cho các hệ thống của bạn được vá và cập nhật. Khi các nhà cung cấp tìm hiểu về các lỗ hổng mới trong sản phẩm của họ, hoặc từ các nhà nghiên cứu của bên thứ ba hoặc thông qua khám phá của riêng họ, họ tạo hotfix, bản vá, gói dịch vụ và cập nhật bảo mật để sửa các lỗ.
Chén Thánh cho chương trình độc hại và các nhà văn virus là "khai thác zero day". Khai thác zero day là khi khai thác lỗ hổng được tạo trước đó, hoặc vào cùng ngày với lỗ hổng do nhà cung cấp biết. Bằng cách tạo ra một loại virus hoặc sâu mà tận dụng lợi thế của một lỗ hổng mà nhà cung cấp chưa nhận thức được và hiện không có bản vá nào, kẻ tấn công có thể tàn phá tối đa.
Một số lỗ hổng được gọi là zero day khai thác lỗ hổng bởi các phương tiện truyền thông, nhưng câu hỏi là zero ngày theo lịch của ai? Thông thường, nhà cung cấp và nhà cung cấp công nghệ chủ chốt nhận thức được một tuần dễ bị tổn thương hoặc thậm chí hàng tháng trước khi một khai thác được tạo ra hoặc trước khi lỗ hổng được tiết lộ công khai.
Một ví dụ rõ ràng về vấn đề này là lỗ hổng SNMP (Simple Network Management Protocol) được công bố vào tháng 2 năm 2002. Các sinh viên tại Đại học Oulu ở Phần Lan đã phát hiện lỗ hổng vào mùa hè năm 2001 khi làm việc trên dự án PROTOS, một bộ thử nghiệm được thiết kế để kiểm tra SNMPv1 (phiên bản 1).
SNMP là một giao thức đơn giản cho các thiết bị trò chuyện với nhau. Nó được sử dụng cho thiết bị để truyền thông thiết bị và giám sát và cấu hình thiết bị mạng từ xa bởi các quản trị viên. SNMP có mặt trong phần cứng mạng (bộ định tuyến, thiết bị chuyển mạch, trung tâm, vv), máy in, máy photocopy, máy fax, thiết bị y tế máy tính cao cấp và trong hầu hết mọi hệ điều hành.
Sau khi phát hiện ra rằng họ có thể sụp đổ hoặc vô hiệu hóa các thiết bị bằng cách sử dụng bộ kiểm tra PROTOS của họ, các sinh viên tại Đại học Oulu kín đáo thông báo các quyền hạn được và từ đi ra cho các nhà cung cấp. Mọi người ngồi trên thông tin đó và giữ nó bí mật cho đến khi nó bị rò rỉ bằng cách nào đó trên thế giới rằng bản thân bộ thử nghiệm PROTOS, được cung cấp miễn phí và công khai, có thể được sử dụng làm mã khai thác để hạ xuống các thiết bị SNMP. Chỉ sau đó các nhà cung cấp và thế giới tranh giành để tạo ra và phát hành các bản vá lỗi để giải quyết tình hình.
Thế giới hoảng sợ và nó được coi là một ngày khai thác zero-day khi thực tế hơn 6 tháng trôi qua kể từ khi lỗ hổng ban đầu được phát hiện. Tương tự, Microsoft phát hiện ra các lỗ hổng mới hoặc được cảnh báo về các lỗ hổng mới trong các sản phẩm của họ một cách thường xuyên. Một số người trong số họ là một vấn đề giải thích và Microsoft có thể hoặc có thể không đồng ý rằng nó thực sự là một lỗ hổng hoặc lỗ hổng. Nhưng, ngay cả đối với nhiều người trong số họ đồng ý là lỗ hổng bảo mật có thể là tuần hoặc tháng trôi qua trước khi Microsoft phát hành bản cập nhật bảo mật hoặc gói dịch vụ giải quyết vấn đề.
Một tổ chức bảo mật (PivX Solutions) đã sử dụng để duy trì một danh sách các lỗ hổng Microsoft Internet Explorer đang chạy mà Microsoft đã nhận thức được nhưng chưa được vá. Có những trang web khác trên web thường xuyên bị tin tặc truy cập để duy trì danh sách các lỗ hổng đã biết và nơi các tin tặc và các nhà phát triển mã độc hại cũng có thông tin giao dịch.
Điều này không có nghĩa là khai thác zero-day không tồn tại. Thật không may, nó thường xuyên xảy ra khi lần đầu tiên các nhà cung cấp hoặc thế giới nhận thức được một lỗ hổng là khi thực hiện một cuộc điều tra pháp y để tìm hiểu xem một hệ thống bị phá vỡ như thế nào hoặc khi phân tích vi-rút đang lan rộng trong tự nhiên đến Tìm hiểu làm thế nào nó hoạt động.
Cho dù các nhà cung cấp biết về lỗ hổng này cách đây một năm hay phát hiện ra nó vào sáng nay, nếu mã khai thác tồn tại khi lỗ hổng được công khai thì đó là khai thác zero-day trên lịch của bạn .
Điều tốt nhất bạn có thể làm để bảo vệ chống lại việc khai thác zero-day là tuân thủ chính sách bảo mật tốt ngay từ đầu. Bằng cách cài đặt và cập nhật phần mềm chống vi-rút của bạn, hãy chặn tệp đính kèm vào email có thể gây hại và giữ cho hệ thống của bạn được vá dựa trên các lỗ hổng bạn đã biết, bạn có thể bảo mật hệ thống hoặc mạng của mình trước 99% .
Một trong những biện pháp tốt nhất để bảo vệ chống lại các mối đe dọa hiện không rõ là sử dụng phần cứng hoặc phần mềm (hoặc cả hai) tường lửa . Bạn cũng có thể cho phép quét heuristic (một công nghệ được sử dụng để cố gắng ngăn chặn virus hoặc sâu chưa được biết) trong phần mềm chống vi-rút của bạn. Bằng cách chặn lưu lượng không cần thiết ở vị trí đầu tiên với tường lửa phần cứng, chặn truy cập vào tài nguyên hệ thống và dịch vụ bằng tường lửa phần mềm hoặc sử dụng phần mềm chống vi-rút của bạn để giúp phát hiện hành vi bất thường bạn có thể bảo vệ mình tốt hơn chống lại sự khai thác zero-day đáng sợ.