Een van de mantra's van informatiebeveiliging is om uw systemen te laten bijwerken en patchen. Terwijl leveranciers leren over nieuwe kwetsbaarheden in hun producten, van externe onderzoekers of door hun eigen ontdekkingen, maken ze hotfixes, patches, servicepacks en beveiligingsupdates om de gaten te repareren.
De heilige graal voor kwaadwillende programma- en virusschrijvers is "zero-day-exploit". Een zero day-exploit is wanneer de exploit voor het beveiligingslek eerder is gemaakt of op dezelfde dag als waarop de kwetsbaarheid door de leverancier wordt geleerd. Door een virus of worm te maken die misbruik maakt van een kwetsbaarheid waarvan de leverancier zich nog niet bewust is en waarvoor er momenteel geen patch beschikbaar is, kan de aanvaller maximale ravage aanrichten.
Sommige kwetsbaarheden worden door de media zero-dag-kwetsbaarheden genoemd, maar de vraag is nul dag volgens welke kalender? Vaak zijn de leverancier en belangrijke technologieproviders op de hoogte van een kwetsbaarheid weken of zelfs maanden voordat een exploit wordt gemaakt of voordat de kwetsbaarheid openbaar wordt bekendgemaakt.
Een flagrant voorbeeld hiervan was de kwetsbaarheid van SNMP (Simple Network Management Protocol) die werd aangekondigd in februari 2002. Studenten aan de Universiteit van Oulu in Finland ontdekten de fouten in de zomer van 2001 tijdens het werken aan het PROTOS-project, een testsuite ontworpen om SNMPv1 te testen. (versie 1).
SNMP is een eenvoudig protocol waarmee apparaten met elkaar kunnen praten. Het wordt gebruikt voor apparaat-naar-apparaatcommunicatie en voor bewaking op afstand en configuratie van netwerkapparaten door beheerders. SNMP is aanwezig in netwerkhardware (routers, switches, hubs, enz.), Printers, kopieerapparaten, faxmachines, geavanceerde computergestuurde medische apparatuur en in bijna elk besturingssysteem.
Nadat ze hadden ontdekt dat ze apparaten konden crashen of apparaten konden uitschakelen met behulp van hun PROTOS-testsuite, meldden de studenten van Oulu University discreet de bevoegdheden die er waren en het woord ging naar de verkopers. Iedereen zat op die informatie en hield het geheim totdat het op de een of andere manier naar de wereld was gelekt dat de PROTOS-testsuite zelf, die vrij en publiek beschikbaar was, kon worden gebruikt als de exploit-code om SNMP-apparaten naar beneden te halen. Pas daarna trokken de verkopers en de wereld door elkaar om patches te maken en vrij te geven om de situatie aan te pakken.
De wereld raakte in paniek en het werd beschouwd als een zero-day exploit toen in feite meer dan 6 maanden voorbijgingen vanaf het moment dat de kwetsbaarheid oorspronkelijk werd ontdekt. Op dezelfde manier vindt Microsoft nieuwe gaten of wordt regelmatig op de hoogte gehouden van nieuwe gaten in hun producten. Sommigen van hen zijn een kwestie van interpretatie en Microsoft is het er al dan niet mee eens dat het eigenlijk een fout of kwetsbaarheid is. Maar zelfs voor veel van hen waarvan zij het eens zijn dat ze kwetsbaarheden zijn, kunnen er weken of maanden voorbijgaan voordat Microsoft een beveiligingsupdate of servicepack uitgeeft die het probleem verhelpt.
Eén beveiligingsorganisatie (PivX Solutions) gebruikte een lijst met Microsoft Internet Explorer-kwetsbaarheden waarvan Microsoft op de hoogte was gesteld, maar die nog niet was gepatcht. Er zijn andere sites op het web die bezocht worden door hackers die lijsten met bekende kwetsbaarheden bijhouden en waar hackers en kwaadwillende codeontwikkelaars ook informatie uitwisselen.
Dit wil niet zeggen dat de zero-day exploit niet bestaat. Helaas gebeurt het ook vaak dat de eerste keer dat de verkopers of de wereld op de hoogte worden gebracht van een gat, een forensisch onderzoek doet om erachter te komen hoe een systeem is ingebroken of wanneer een virus wordt geanalyseerd dat zich al in het wild verspreidt. Ontdek hoe het werkt.
Of de leveranciers een jaar geleden op de hoogte waren van de kwetsbaarheid of er vanmorgen achter kwamen, als de exploit-code bestaat wanneer de kwetsbaarheid openbaar wordt gemaakt, is het een zero-day exploit op jouw kalender.
Het beste wat u kunt doen om u te beschermen tegen zero-day exploits, is om in de eerste plaats goed beveiligingsbeleid te volgen. Door uw antivirussoftware up-to-date te houden en te houden, bestandsbijlagen te blokkeren voor e-mails die schadelijk kunnen zijn en uw systeem te laten patchen tegen de kwetsbaarheden waarvan u zich al bewust bent, kunt u uw systeem of netwerk beveiligen tegen 99% van wat er is .
Een van de beste maatregelen om te beschermen tegen de momenteel onbekende dreigingen is om een firewall voor hardware of software (of beide) te gebruiken. U kunt ook heuristische scanning inschakelen (een technologie die wordt gebruikt om virussen of wormen waarvan nog niet bekend is te proberen te blokkeren) in uw antivirussoftware. Door onnodig verkeer te blokkeren met een hardwarefirewall, de toegang tot systeembronnen en -services te blokkeren met een softwarefirewall of antivirussoftware te gebruiken om afwijkend gedrag te detecteren, kunt u uzelf beter beschermen tegen de gevreesde zero-day-exploit.
