Uno dei mantra della sicurezza delle informazioni è quello di mantenere i vostri sistemi patchati e aggiornati. Mentre i fornitori apprendono nuove vulnerabilità nei loro prodotti, sia da ricercatori di terze parti o attraverso le loro scoperte, creano hotfix, patch, service pack e aggiornamenti di sicurezza per riparare i buchi.
Il Santo Graal per programmi maligni e autori di virus è lo "zero day exploit". Un exploit zero day si ha quando l'exploit per la vulnerabilità viene creato prima o nello stesso giorno in cui la vulnerabilità viene rilevata dal venditore. Creando un virus o un worm che si avvantaggi di una vulnerabilità di cui il fornitore non è ancora a conoscenza e per la quale non esiste attualmente una patch disponibile, l'hacker può provocare il massimo caos.
Alcune vulnerabilità sono soprannominate vulnerabilità di exploit zero day dai media, ma la domanda è zero giorni dal calendario di chi? Spesso il fornitore e i principali fornitori di tecnologia sono a conoscenza di una vulnerabilità settimane o addirittura mesi prima che venga creato un exploit o prima che la vulnerabilità venga resa pubblica.
Un chiaro esempio di ciò è stata la vulnerabilità SNMP (Simple Network Management Protocol) annunciata nel febbraio del 2002. Gli studenti dell'Università di Oulu in Finlandia hanno scoperto i difetti nell'estate del 2001 mentre lavoravano al progetto PROTOS, una suite di test progettata per testare SNMPv1 (versione 1).
SNMP è un protocollo semplice che consente ai dispositivi di comunicare tra loro. Viene utilizzato per la comunicazione tra dispositivo e dispositivo e per il monitoraggio e la configurazione remota dei dispositivi di rete da parte degli amministratori. SNMP è presente nell'hardware di rete (router, switch, hub, ecc.), Stampanti, fotocopiatrici, fax, apparecchiature mediche computerizzate di fascia alta e in quasi tutti i sistemi operativi.
Dopo aver scoperto che potevano bloccare o disabilitare i dispositivi utilizzando la loro suite di test PROTOS, gli studenti della Oulu University hanno comunicato con discrezione i poteri e la parola ai venditori. Tutti si sono seduti su quelle informazioni e hanno tenuto il segreto fino a quando non è stato in qualche modo divulgato al mondo che la suite di test PROTOS stessa, che era liberamente e pubblicamente disponibile, poteva essere usata come codice di exploit per far cadere i dispositivi SNMP. Solo allora i venditori e il mondo si affrettarono a creare e rilasciare patch per affrontare la situazione.
Il mondo fu preso dal panico e fu trattato come un exploit zero-day quando in realtà passarono più di 6 mesi dal momento in cui la vulnerabilità fu scoperta originariamente. Allo stesso modo, Microsoft trova nuovi buchi o viene avvisato di nuovi buchi nei loro prodotti su base regolare. Alcuni di questi sono una questione di interpretazione e Microsoft può o non può essere d'accordo sul fatto che si tratti in realtà di un difetto o di una vulnerabilità. Ma anche per molti di loro sono le vulnerabilità che potrebbero passare settimane o mesi prima che Microsoft rilasci un aggiornamento di sicurezza o un service pack che risolva il problema.
Un'organizzazione di sicurezza (soluzioni PivX) utilizzata per mantenere un elenco in esecuzione delle vulnerabilità di Microsoft Internet Explorer di cui Microsoft era stata informata ma che non aveva ancora aggiornato. Esistono altri siti sul web frequentati da hacker che gestiscono elenchi di vulnerabilità note e in cui gli hacker e gli sviluppatori di codici malevoli scambiano anche le informazioni.
Questo non vuol dire che l'exploit zero-day non esista. Sfortunatamente succede anche spesso che la prima volta che i venditori o il mondo vengono messi a conoscenza di un buco è quando si fa un'indagine forense per scoprire come è stato suddiviso un sistema o quando si analizza un virus che si sta già diffondendo in natura per Scoprite come funziona.
Se i produttori conoscevano la vulnerabilità un anno fa o se ne sono venuti a conoscenza stamattina, se il codice di exploit esiste quando la vulnerabilità viene resa pubblica è un exploit zero-day su il tuo calendario.
La cosa migliore che puoi fare per proteggerti dagli exploit zero-day è seguire in primo luogo buone politiche di sicurezza. Installando e mantenendo aggiornato il software antivirus, bloccando i file allegati alle e-mail che potrebbero essere dannosi e mantenendo il sistema aggiornato alle vulnerabilità di cui già si è a conoscenza, è possibile proteggere il sistema o la rete dal 99% di ciò che è là fuori .
Una delle migliori misure per la protezione da minacce attualmente sconosciute consiste nell'utilizzare un firewall hardware o software (o entrambi). È inoltre possibile abilitare la scansione euristica (una tecnologia utilizzata per tentare di bloccare virus o worm di cui non si è ancora a conoscenza) nel software antivirus. Bloccando il traffico non necessario in primo luogo con un firewall hardware, bloccando l'accesso alle risorse di sistema e ai servizi con un firewall software o utilizzando il software antivirus per aiutare a rilevare comportamenti anomali, è possibile proteggersi meglio dal temuto exploit zero-day.
