Zranitelnosti typu Zero Day

A Zranitelnost nultého dne je bezpečnostní chyba, která není známa dodavateli softwaru ani firmě, ve které se nachází, a pro kterou dosud nebyla vydána oprava zranitelnostTermín „zero-day“ označuje skutečnost, že vývojáři měli zero-day na opravu bezpečnostní chyby, která byla nedávno nalezena v jejich softwaru nebo hardwaru. K „útoku nulového dne“ dochází, když hackeři zneužijí zranitelnost, kterou vývojáři hardwaru nebo softwaru dosud neopravili (možná o ní ani nevědí). Toto zneužití umožňuje hackerům proniknout do systému prostřednictvím softwarové nebo hardwarové zranitelnosti „nulového dne“. 

V červenci 2014 společnost Google zahájila „Iniciativu Zero Day“, což byl program sestávající z bezpečnostních analytiků z Googlu, kteří měli za úkol najít zranitelnosti typu Zero Day. Tento tým se nazývá „Projekt Zero“. Výzkumníci Projektu Zero nacházejí zranitelnosti v hardwarových a softwarových řešeních a hlásí tato zjištění výrobci produktu. Spolupracují na opravě bezpečnostní chyby a po zaplnění díry veřejně vydávají záplaty.

Projekt Zero je podobný Bug Bounty Programy, což je nabídka, kterou nabízí mnoho webových stránek, organizací a vývojářů softwaru, kde jednotlivci mohou získat uznání a peněžní odměnu za nahlášení chyb nebo zranitelností v produktech nabízených dodavateli.

Související podmínky: Bug Bounty Programy, Odpovědné zveřejnění, Zranitelnost 

Související četby:

Hackeři zneužívají plugin Zero-Day ve WordPressu k vytváření falešných administrátorských účtů

Únik dat ve společnosti Mitsubishi Electric způsobený zranitelností zero-day v antivirovém softwaru

Zdroje:  

„Seznamte se s ‚Projektem Zero‘, tajným týmem hackerů společnosti Google, kteří loví chyby“

„Oznamujeme Projekt Zero“

Symantec

Jak se to týká malých a středních podniků?

Způsob, jakým jako malá a střední firma reagujete na zranitelnosti typu zero-day, závisí na tom, zda si hardware (HW) nebo software (SW) vyvíjíte sami, nebo zda využíváte hardware a software jiných společností.

Moje malá a střední firma nevyvíjí hardware ani software – co mám dělat?

Pro malé a střední podniky, které nevyvíjejí hardware ani software, stačí mít zavedenou politiku a proces správy upozornění na zranitelnosti, které se budou vypořádávat s bezpečnostními zranitelnostmi oznámenými pro vámi používaný hardware a software. Tento proces definuje, jak rychle musíte své zařízení opravit s ohledem na kritickost nebo velikost rizika, kterému čelíte. U rizik, která představují úplné narušení vašich sítí, kde je k dispozici exploit kód a máte porty a protokoly s připojením k internetu pro napadené služby, bude vaše politika uvádět – zastavte vše ostatní a opravte ihned. Zranitelnosti s nižším rizikem vám umožní věnovat více času a plánování tak, jak je definováno v rámci vašeho procesu VAMP. CyberHoot má plně prověřenou šablonu VAMP, kterou můžete ve své společnosti zavést.

Moje malá a střední firma vyvíjí hardware nebo software (nebo obojí) – co musím udělat?

Pro malé a střední podniky, které vyvíjejí hardware nebo software, byste měli do svých vývojových procesů zabudovat program nebo proces odměn za chyby a zodpovědného zveřejňování chyb. Na svých webových stránkách uveďte, jak hlásit kritické chyby ve vašem softwaru a jaký je vhodný způsob hlášení. Pokud jste dostatečně velká společnost na to, abyste nabízela finanční pobídky za hlášení chyb v rámci programu odměn za chyby, zveřejněte je spolu s pokyny, jak chyby hlásit a jaké informace v hlášeních požadujete. Za druhé, stanovte časový harmonogram, v němž budete reagovat s potvrzením chyby, a časové harmonogramy, které budete dodržovat při vývoji opravy. Cílem je vyhnout se situaci, kdy se bezpečnostní výzkumník cítí odmítnut nebo ignorován a místo toho, aby čekal na vývoj opravy, zveřejní svá zjištění internetové komunitě navzdory „…zodpovědné zveřejňování informací„osvědčené postupy“.

Pokud se chcete dozvědět více o zranitelnostech typu „zero day“, podívejte se na toto krátké video: