恶意黑客的圣杯
信息安全的一个咒语是保持系统的修补和更新。 由于供应商通过第三方研究人员或通过他们自己的发现了解其产品中的新漏洞 ,他们创建修补程序,修补程序,服务包和安全更新来修复漏洞。
恶意程序和病毒编写者的圣杯是“零日攻击”。 零日漏洞利用时间是漏洞利用率是在供应商了解漏洞之前或同一天创建的。 通过创建利用漏洞的病毒或蠕虫 ,供应商尚未意识到,并且目前还没有可用的补丁,攻击者可能造成最大破坏。
有些漏洞被媒体称为零日漏洞利用漏洞,但问题在于日期为零的日期? 很多时候,供应商和关键技术提供商在漏洞被创建之前或漏洞被公开披露之前的几周甚至几个月内都会意识到漏洞。
一个明显的例子是2002年2月宣布的SNMP(简单网络管理协议)漏洞。芬兰奥卢大学的学生在2001年夏季发现了这个缺陷,同时从事PROTOS项目,这是一个测试套件,用于测试SNMPv1 (版本1)。
SNMP是设备彼此交谈的简单协议 。 它用于设备到设备的通信以及管理员对网络设备的远程监视和配置。 SNMP存在于网络硬件(路由器,交换机,集线器等),打印机,复印机,传真机,高端计算机医疗设备以及几乎所有操作系统中。
在发现他们可能使用他们的PROTOS测试套件崩溃或禁用设备后,奥卢大学的学生谨慎地通知了这些权力,并将这些权力交给了供应商。 每个人都坐在这些信息上并保持秘密,直到它泄露给世界,使得PROTOS测试套件本身可以被自由和公开地用作攻击代码来使SNMP设备失效。 只有到那时,供应商和全世界才开始创建和发布补丁来解决这种情况。
这个世界惊慌失措,它被视为零日漏洞利用,事实上从漏洞最初发现的时间起,已经有6个多月的时间了。 同样,微软会定期发现新的漏洞或者在其产品中发现新漏洞。 其中一些是解释问题,微软可能会也可能不会同意它实际上是一个缺陷或漏洞。 但是,即使对于许多他们认为存在漏洞的人来说,在微软发布安全更新或解决该问题的服务包之前,可能会有数周或数月的时间。
一个安全组织(PivX Solutions)用于维护微软已经知道但尚未修补的Microsoft Internet Explorer漏洞的运行列表。 网络上还有其他经常出现黑客的站点,它们列出了已知漏洞列表以及黑客和恶意代码开发者交换信息的位置。
这并不是说零日漏洞利用不存在。 不幸的是,第一次让供应商或全世界意识到漏洞的时候,经常会发生这样的情况:在进行法医调查时,要弄清楚系统是如何破坏的,或者分析已经在野外传播的病毒了解它是如何工作的。
无论供应商是在一年前了解该漏洞还是在今天早上发现它,如果在漏洞被公开时存在漏洞利用代码,那么它就是日历中的零日漏洞利用。
您可以做的最好的事情来防范零日漏洞,首先要遵循良好的安全策略。 通过安装并保持您的防病毒软件为最新版本,阻止可能有害的电子邮件附件并保持系统针对您已知道的漏洞进行修补可以保护您的系统或网络免受99%的外部攻击。
防止当前未知威胁的最佳措施之一是使用硬件或软件(或两者) 防火墙 。 您还可以在防病毒软件中启用启发式扫描(一种用于阻止尚不知晓的病毒或蠕虫的技术)。 通过用硬件防火墙阻止不必要的流量,用软件防火墙阻止对系统资源和服务的访问,或使用反病毒软件来帮助检测异常行为,可以更好地保护自己免受可怕的零日攻击。