Nullpäeva turvaauk

Nullpäeva turvaauk (ingl zero-day (vulnerability)) on tarkvara nõrkus, mis ei ole teada nendele, kes sooviks seda kõrvaldada (näiteks tarkvara müüjad). Kuniks haavatavust ei ole parandatud, saavad häkkerid seda ära kasutada, mõjutades arvutiprogramme, andmeid, teisi arvuteid või võrke. Rünnakut, mis tehakse nullpäeva turvaaugu arvelt, nimetatakse nullpäeva rünnakuks.

Päeva, millal huvitatud osapool (tarkvara müüja või tarnija) turvaaugust teada saab, nimetatakse küberturvalisuse erikeeles kui „nullis päev“. Sellele päevale eelneb aeg, mil nõrkus on teatud kui "nullpäeva turvaauk". Näiteks puuki (programmiviga), millest ollakse teadlikud juba 30 päeva, nimetatakse kolmekümnenda päeva turvaauguks. Siis, kui tarnija saab turvaaugust teada, väljastatakse tema poolt kas paik või töötatakse välja lahendus, mis leevendab turvaaugu mõju.[1]

Ründevektor

muuda

Ründetarkvara arendajad saavad nullpäeva turvaauku ära kasutada mitme ründevektori abil. Kui kasutajad külastavad võltsi veebilehte, saab sealne pahatahtlik kood ära kasutada veebibrauserite nõrkusi. Veebibrauserid on põhiline sihtmärk kurjategijatele, kuna need on nii laialt levinud.[2]

Nõrkuseaken

muuda

Nõrkuseaken on ajavahemik, mille jooksul on võimalik nõrkust ära kasutada.[3] Iga tarkvara nõrkuse ajajoon on defineeritud järgmiste peamiste sündmustega:

  • t0: nõrkus avastatakse (kellegi poolt)
  • t1a: antakse välja turvapaik (nt tarnija poolt)
  • t1b: nõrkuse pahatahtlik ärakasutamine
  • t2: kõige nõrgemad süsteemid on ka juba lisanud paiga

Seega on nõrkuseakna pikkus arvutatav valemiga t2-t1b.

Kaitse

muuda

Nullpäeva kaitse võimaldab pakkuda varjet nullpäeva rünnakute eest. Kuna need rünnakud pole laiemale üldsusele teada, on raske nende eest pidevalt kaitstud olla. Nullpäeva rünnakud on tihtipeale edukad kui sihtmärgiks on just "turvalised" võrgud. Rünnakud võivad jääda varjatuks isegi pärast nende algust. Seega peavad selliste turvaliste süsteemide kasutajad olema siiski ettevaatlikud ja praktiseerima ohutustehnikaid.[4]

Viirused

muuda

Nullpäeva viirus (nullpäeva pahavara) on eelnevalt tundmatu arvutiviirus või muu pahavara, millele pole veel loodud spetsiaalset antiviiruse signatuuri.[5] Tavaliselt loodab antiviiruse tarkvara signatuuri peale, et tuvastada pahavara, kuid seetõttu ei saa ennast kaitsta antiviirusega pahavara eest, mis on tundmatu. Seega pole signatuuripõhine antiviirus nullpäeva viiruste avastamise suhtes tõhus meetod. Tänapäevased antiviirused on signatuuripõhised, kuid viivad läbi ka teisi analüüse.

Koodi analüüsimine

muuda

Koodi analüüsimises vaadatakse läbi faili masinkood, et näha, kas seal on midagi kahtlast. Pahavaral on oma käitumisjäljed, mis tulevad koodis nähtavale, kui seda analüüsida. Samas on koodi analüüsimise meetodil palju piiranguid, sest pole alati võimalik öelda, mida mingi koodi osa tegema peaks. Samuti võidakse kirjutada kood niimoodi, et koodi analüüsimisel ei oleks võimalik täheldada, et kood on pahavara. Lisaks kasutab see meetod liialt palju aega ja muid ressursse, mis pole antiviiruste tootjate konkurentsis hea omadus.[6]

Emuleerimine

muuda

Teine moodus on käitada kahtlast tarkvara turvalises „aedikus“ ning jälgida selle koodi käitumist.[7] See on kiirem, kui koodi analüüsimine, kuid peab hoolitsema selle eest, et kahtlane kood „aedikut“ ei märkaks.

Üldistatud signatuurid

muuda

Üldistatud signatuurid on signatuurid, mis on spetsiifilised käitumuslikule eripärale, mitte ühele pahavara tükile. Paljud pahavarad on omavahel sarnased või üksteisest välja töötatud, seega on neis palju sarnast, mida saab üldistatud signatuuridega kindlaks teha.[8]

Viited

muuda
  1. Norton by Symantec (2018). "Zero-day vulnerability: What it is, and how it works". Vaadatud 27.11.2018.
  2. Adam Ely (08.05.2010). "The Browser as Attack Vector". Vaadatud 27.11.2018.
  3. Cybernetica AS (2015). "Andmekaitse ja infoturbe leksikon". Vaadatud 27.11.2018.
  4. what-is-what.com (2015). "What is a Zero-Day Exploit?". Vaadatud 27.11.2018.
  5. Novatix (mai 2007). "Cyberhawk". Vaadatud 27.11.2018.
  6. Jeremy Scott (14.09.2017). "Detecting malware through static and dynamic techniques". Originaali arhiivikoopia seisuga 1.12.2018. Vaadatud 27.11.2018.
  7. Cybernetica AS (2015). "Andmekaitse ja infoturbe leksikon". Vaadatud 27.11.2018.
  8. techopedia. "Virus Signature". Vaadatud 27.11.2018.