Sıfır-gün
Sıfır-gün (0-gün veya sıfır-saat veya sıfır-gün açığı olarak da bilinir) genellikle bir yazılımda bir zayıflığın keşfedildiği gün, çok uzun zamandan beri o açıklığın blackhatler tarafından bulunup kullanıldığının ortaya çıkmış olmasıdır. Ayrıca zayıflık ortaya çıktıktan sonra geliştirici tarafından bir güncelleme sunulamadan önce faydalanılan bir zayıflıktır[1]
Sıfır-gün saldırıları genellikle güvenlik açıklarının genel kullanıma açıklandığı tarihten önce veya günümüzde bilgisayar korsanları tarafından denenir. Bazen de geliştiricinin açığın farkında olduğu veya düzeltilmiş halini hazırlamadan önce denenir.[2] Sıfır-gün saldırıları ciddi bir tehdittir.[3]
Saldırı yönü
Kötü amaçlı yazılım yazarları sıfır-gün açıkları için birkaç farklı saldırı yönünden yararlanabilir. Bazen kullanıcılar sahte internet sitelerini ziyaret ettiğinde, sitedeki kötü amaçlı kod internet tarayıcılarındaki güvenlik açıklarından yararlanabilir. İnternet tarayıcıları, yaygın dağıtım ve kullanımları nedeniyle suçlular için özel bir hedeftir. Siber suçlular, eki açan uygulamadaki zayıf noktaları sömüren kötü amaçlı e-posta eklerini SMTP yoluyla da gönderebilirler.[4] US-CERT gibi veritabanlarında giderek artan oranlarda göründükleri gibi, yaygın dosya türlerinden yararlanan saldırılar çok sayıda ve sık görülür. Suçlular, saldırıya uğramış sistemlerden gizli verileri çalmak için bu dosya türü istismarlardan yararlanarak kötü amaçlı yazılım üretebilirler.[5]
Güvenlik açığı penceresi
Bir yazılım kullanımının ilk kez aktif hale gelmesinden güvenlik açığı bulunan sistemlerin sayısının küçülmesine kadar geçen süre, Güvenlik Açığı Penceresi (WoV) olarak bilinir.[6] Her yazılım güvenlik açığı için zaman çizelgesi aşağıdaki ana olaylarla tanımlanır:
- t0: Güvenlik açığı keşfedildi.
- t1a: Bir güvenlik düzeltme eki yayınlanır (ör. Yazılım satıcısı tarafından).
- t1b: Bir exploit aktif hale gelir.
- t2: En savunmasız sistemler düzeltmeyi uygular.
Normal güvenlik açıkları için, t1b - t1a> 0'dır. Bu, yazılım satıcısının güvenlik açığının farkında olduğunu (zaman t ≥ t0) ve herhangi bir bilgisayar korsanının çalıştırılabilir bir uygulama (t1b) hazırlamadan önce bir güvenlik düzeltme paketi (t1a) yayımlama zamanı geldiğini ima eder. Sıfır gün açıkları için, bir yama hazır olmadan önce exploitin faal hale gelmesi için t1b - t1a ≤ 0 olması gerekir.
Bilinen güvenlik açıklarını açıklamayarak bir yazılım satıcısı, t1b'ye erişmeden önce t2'ye ulaşmayı umar, böylece herhangi bir istismarı önler. Bununla birlikte, satıcının, bilgisayar korsanlarının kendi başına güvenlik açıklarını bulamayacakları konusunda hiçbir garantisi yoktur. Ayrıca, güvenlik yamaları temel güvenlik açıklarını ortaya çıkarmak için analiz edilebilir ve otomatik olarak çalışma açıkları üretir,[7] böylece her zaman t0 <= t1a ve <= t1b olacaktır.
Uygulamada WoV boyutu; sistemler, satıcılar ve bireysel güvenlik açıkları arasında değişir. Genellikle gün olarak ölçülür ve 2006'dan bir rapora göre ortalama 28 günde tamamlanır.[8]
Koruma
Sıfır-gün koruması, sıfır gün kullanımlarına karşı koruma sağlama yeteneğidir. Sıfır-gün saldırıları genel olarak halk tarafından bilinmediğinden, onlara karşı savunma yapmak genellikle zordur. Sıfır gün saldırıları "güvenli" ağlara karşı genellikle etkindir ve başlatıldıktan sonra bile tespit edilmemiş kalabilir. Bu nedenle, güvenli sistemler denilen kullanıcılar da sağduyu kullanmalı ve güvenli bilgisayar kullanma alışkanlıklarını uygulamalıdır.[9]
Tampon taşmaları gibi sıfır-gün bellek bozulması güvenlik açıklarının etkinliğini sınırlayan birçok teknik bulunmaktadır. Bu koruma mekanizmaları, OS X, Windows Vista, Solaris, Linux, Unix ve Unix benzeri ortamlar gibi çağdaş işletim sistemlerinde bulunur; Windows XP Service Pack 2, jenerik bellek bozulması güvenlik açıklarına karşı sınırlı koruma içerir[10] ve önceki sürümler daha da az içerir. Masaüstü ve sunucu koruma yazılımı sıfır gün tampon taşması güvenlik açıklarını azaltmak için de mevcuttur. Tipik olarak bu teknolojiler, sezgisel sonlandırma analizini içerir; zarar vermeden önce onları durdurur.[11]
Bu tür bir çözümün imkânsız olduğu öne sürülmüştür çünkü genel durumda kötü amaçlı olup olmadığını belirlemek için herhangi bir kodu analiz etmek algoritmik olarak imkânsızdır, çünkü böyle bir analiz doğrusal sınırlı otomat üzerinden durma sorununa azaltılır, çözülemez. Bununla birlikte, genel olayı ele almak gereksizdir, çoğu durumda kötü niyetli davranışları ortadan kaldırmaya gerek yoktur. Hem güvenli hem de güvensiz bazı programları reddetmekle birlikte sınırlı bir program grubunun güvenliğini tanımak yeterlidir (ör. Belirli makine kaynaklarının alt kümesine erişebilir veya bunları değiştirebilir). Bu, çekirdek düzeyinde bir istismar karşısında zorluk çıkaracak şekilde korunan bu güvenli programların bütünlüğünü gerektirir. Symantec SONAR teknolojisi, bilinen iyi yazılım özelliklerini algılayan bir algoritma kullanarak zararlı yazılımları tespit etmeye çalışmaktadır. Algoritmanın kriterlerini karşılamayan yeni yüklenen herhangi bir program potansiyel kötü amaçlı yazılım olarak işaretlenir.[12]
Sıfırgün Acil Müdahale Ekibi (ZERT), sıfır gün kullanımları için ücretsiz düzeltme eklerini çıkarmaya çalışan bir grup yazılım mühendisiydi.
Solucanlar
Sıfır-gün solucanları, bilgisayar güvenliği uzmanları tarafından bilinmiyorken sürpriz bir saldırıdan faydalanırlar. Yakın geçmiş, solucan yayılımının oranının artmakta olduğunu gösteriyor. İyi tasarlanmış solucanlar birkaç dakika içinde (bazıları saniyeler içerisinde) İnternet'e ve diğer yollarla yıkıcı sonuçlar doğurabilir.
Ahlak
Sıfır-gün güvenlik açığı bilgilerinin toplanması ve kullanılması ile ilgili olarak farklı ideolojiler mevcuttur. Birçok bilgisayar güvenlik sağlayıcısı, açıkların doğasını ve bireylerin, bilgisayar solucanlarının ve virüslerin sömürünün daha iyi anlaşılabilmesi için sıfır gün güvenlik açıklarını araştırır. Alternatif olarak, bazı satıcılar araştırma kapasitelerini artırmak için güvenlik açıkları satın alırlar. Böyle bir programa bir örnek, TippingPoint'in Zero Day Initiative yazılımıdır. Bu güvenlik açıklarını satmak ve satın almak dünyanın birçok yerinde teknik açıdan yasadışı değildir, ancak açıklama yöntemiyle ilgili çok fazla tartışma vardır.
Resmi programların çoğu, Rain Forest Puppy'nin açıklama kurallarının bir kısmını ya da daha yeni OIS Güvenlik Açığı Raporlama ve Müdahale Yönergeleri'ni izler. Genel olarak bu kurallar güvenlik açığının satıcıya bildirimde bulunmaksızın kamuya açıklanmasını yasaklamaktadır. Ve açığa karşı bir düzeltme için satıcıya zaman sağlamaktadır.
Virüsler
Sıfır-gün virüsü (sıfır-gün zararlı yazılımı veya yeni-nesil zararlı yazılım olarak da bilinir), önceden bilinmeyen bir bilgisayar virüsüdür veya belirli antivirüs yazılımı imzalarının henüz bulunmadığı diğer kötü amaçlı yazılımlardır.[13]
Antivirüs yazılımı, geleneksel olarak, kötü amaçlı yazılımları tanımlamak için imzalara güvenir. Bu çok etkili olabilir, ancak numuneler önceden elde edilinceye, imzalar üretilip güncellemeler kullanıcılara dağıtılmadıkça kötü amaçlı yazılımlara karşı savunamazlar. Bu nedenle, imza tabanlı yaklaşımlar sıfır-gün virüslerine karşı etkili değildir.
Çoğu modern antivirüs yazılımı hala imzalar kullanır, ancak diğer analiz türlerini de uygularlar.
Kod analizi
Kod analizinde dosyanın makine kodu, şüpheli görünen bir şey olup olmadığını görmek için analiz edilir. Genellikle, kötü amaçlı yazılım karakteristik davranışa sahiptir ve kodda bulunup bulunmadığını saptamak için kod analizi denemeleri yapılır.
Yararlı olmasına rağmen, kod analizi önemli sınırlamalara sahiptir. Bir bölüm kodunun neyin amaçlandığını belirlemek her zaman kolay değildir; özellikle de çok karmaşıksa ve kasıtlı olarak analizi yenmek için yazılmışsa. Kod analizinin bir başka kısıtlaması, mevcut zaman ve kaynaklardır. Rakipsiz antivirüs yazılımı dünyasında, analizin etkinliği ile zaman gecikmesi arasında bir denge vardır.
Emülasyon
Kod analizinin sınırlamalarını aşmak için bir yaklaşım, antivirüs yazılımı için şüpheli kod bölümlerini güvenli bir sanal alanda çalıştırmak ve davranışlarını gözlemlemektir. Bu, aynı kodu analiz etmekten daha hızlı bir yol olabilir.
Genel imzalar
Genel imzalar, belirli bir zararlı yazılım yerine belirli davranışlara özgü imzalardır. Çoğu yeni kötü amaçlı yazılım tamamen yeni değildir, ancak daha önce bulunan kötü amaçlı yazılımdaki bir varyasyon veya bir veya daha fazla önceki kötü amaçlı yazılım örneğindeki kodları içerir. Böylece, önceki analizin sonuçları yeni zararlı yazılımlara karşı kullanılabilir.
Virüsten koruma yazılımı endüstrisindeki rekabet gücü
Virüsten koruma endüstrisinde, çoğu satıcının imzaya dayalı korumasının aynı derecede etkili olduğu genellikle kabul edilmektedir. Bir zararlı yazılım ürünü için bir imza varsa, her ürün (işlevsiz değilse) onu algılamalıdır. Bununla birlikte bazı satıcılar, yeni virüslerden haberdar olmaları ve/veya onları tespit etmek için müşterilerin imza veritabanlarını güncelleştirmelerinde başkalarından önemli ölçüde daha hızlıdırlar.
Sıfır-gün virüs koruması açısından geniş bir etkinlik yelpazesi vardır. Alman bilgisayar dergisi c't, sıfır-gün virüslerin tespit oranlarının %20 ila %68 arasında değiştiğini tespit etti.[14]
Ayrıca bakınız
Kaynakça
- Compare: "What are zero-day attacks?". bullguard. Bullguard. 2 Ağustos 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017.
But the general definition describes zero-day attacks (or zero-day exploits) as attacks that target publicly known but still unpatched vulnerabilities.
- "About Zero Day Exploits". 8 Ağustos 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017.
- THE MAN WHO FOUND STUXNET – SERGEY ULASEN IN THE SPOTLIGHT 17 Aralık 2016 tarihinde Wayback Machine sitesinde arşivlendi. published on November 2, 2011
- "SANS sees upsurge in zero-day Web-based attacks, Computerworld". 22 Aralık 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017.
- "E-mail Residual Risk Assessment" Avinti, Inc., p. 2 http://www.avinti.com/download/case_studies/whitepaper_email_residual_risk.pdf
- Johansen, Håvard; Johansen, Dag; Renesse, Robbert van (14 Mayıs 2007). Venter, Hein; Eloff, Mariki; Labuschagne, Les; Eloff, Jan; Solms, Rossouw von (Edl.). New Approaches for Security, Privacy and Trust in Complex Environments. IFIP International Federation for Information Processing (İngilizce). Springer US. ss. 373-384. doi:10.1007/978-0-387-72367-9_32. ISBN 9780387723662. 23 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017.
- Halvar, Flake, (25 Ekim 2016). "Structural Comparison of Executable Objects" (İngilizce). doi:10.17877/de290r-2007.
- "Internet Security Threat Report" Symantec Corp, Vol. X, Sept. 2006, p. 12
- "What is a Zero-Day Exploit?". 3 Ocak 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017.
- "Changes to Functionality in Microsoft Windows XP Service Pack 2". 23 Şubat 2005 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017.
- "Mitigating XML Injection 0-Day Attacks through Strategy-Based Detection Systems" (PDF). 12 Mart 2017 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 29 Aralık 2013.
- "Symantec unveils SONAR to find zero-day attacks". 2 Nisan 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017.
- "Cyberhawk - zero day threat detection review". Kickstartnews. 3 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Aralık 2013.
- Goodin, Dan (21 Aralık 2008). "Anti-virus protection gets worse". The Channel. 6 Ekim 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Aralık 2013.
- Messmer, Ellen, Is Desktop Antivirus Dead?24 Nisan 2016 tarihinde Wayback Machine sitesinde arşivlendi., PC World, April 6, 2007.
- Naraine, Ryan, Anti-Virus Is Dead, D-E-A-D, Dead!, eWeek, December 1, 2006.
Dış bağlantılar
- Sıfır Gün Takip Aracı4 Temmuz 2010 tarihinde Wayback Machine sitesinde arşivlendi.
- US-CERT güvenlik açığı veritabanı11 Kasım 2008 tarihinde Wayback Machine sitesinde arşivlendi.
- Sıfır-gün saldırılarına örnekler:
- Attackers seize on new zero-day in Word InfoWorld'den
- PowerPoint Zero-Day Attack May Be Case of Corporate Espionage23 Nisan 2008 tarihinde Wayback Machine sitesinde arşivlendi. FoxNews'ten
- Microsoft Issues Word Zero-Day Attack Alert eWeek'ten