Sıfır-gün (informatika)

Sıfır-gün (ing. Zero-day; həmçinin Sıfır-saat və ya 0-gün kimi tanınır) açığı əvvəlcədən aşkara çıxarılmamış gizli kompüter proqramı açığıdır və xakerlər tərəfindən, məlumat, kompüter və ya şəbəkəyə mənfi təsir üçün istifadə olunur. Bu qüsur məlum olan kimi proqram müəllifinin onun mənfi məqsədlər üçün istifadə olunmasının qarşısını almaq üçün sıfır günü mövcuddur.[1]

Xakerlər hücumlarında sıfır-gün açığını ictimayyətə açıqlandığı gün və ya ondan əvvəlki gün istifadə edirlər. Bu hücumlar çox təhlükəlidir.[2]

"Sıfır-gün" termini ilkin olaraq yeni proqram təminatının ictimaiyyətə təqdim edilməsindən sonrakı günlərin sayını nəzərdə tuturdu, buna görə də "sıfır gün proqramı" buraxılışdan əvvəl tərtibatçının kompüterinə sındırılaraq əldə edilmişdir. Nəhayət, bu termin bu sındırmağa icazə verən zəifliklərə və satıcının onları düzəltməli olduğu günlərin sayına tətbiq olundu.[3][4][5] Təchizatçılar zəiflik barədə məlumat əldə etdikdən sonra adətən zəiflikləri aradan qaldıracaq və ya onu azaltmaq üçün həll yollarını məsləhət görəcəklər.

Adın mənşəyi

[redaktə | mənbəni redaktə et]

Sıfır-gün adının iki əsas mənşəyi mövcuddur. Proqram təminatında zəiflik tapıldığı zaman onu mənfi məqsədlə istifadə etmək üçün bir neçə gün tələb olunur, eyni zamanda antivirus satıcıları tərəfindən bu boşluğu qaldırmaq üçün həllər axtarılır. Xakerlər proqram təminatındakı zəifliklə tanış olduqdan sonra həmin boşluğu öz xeyrinə dəyişməyə çalışır və zaman onların xeyrinə işləyir yəni getdikcə problemin aradan qaldırılma ehtimalı azalmağa başlayır.

Hücum istiqamətləri

[redaktə | mənbəni redaktə et]

Zərərli proqram yazanlar sıfır-gün zəiflikləri bir neçə istiqamətdə mənfi məqsədlər üçün istifadə edə bilər. İstifadəçilər dələduz veb saytlara daxil olduqda zərərli kodlar veb brouzerdeki boşluqları üzə çıxarır.[6] Veb brouzerlər krimanllar üçün əsas hədəf sayılır bunun da səbəbi onların genişmiqyaslı istifadə olunmasıdır. Diger bir vasitə SMTP protokolu ilə göndərilən eletron məktublardır hansı ki onları açan aplikasiyadakı zəifliklərdir. Həmçinin çox və tez-tez işlənən ümumi fayıllar da onların hədəfinə çevrilir (Məsələn US-CERT məlumat bazası) Krminallar bundan hücum edən sistem ilə hədəf arasında və məlumatların oğurlanmasında istifadə edə bilər.[7]

Zəifliyin aşkarlanması

[redaktə | mənbəni redaktə et]

Hazırda bir çox virus müəllifləri öz səylərini proqram təminatında naməlum boşluqların aşkarlanmasına yönəldirlər. Bu, zəifliklərdən istifadənin yüksək səmərəliliyi ilə bağlıdır ki, bu da öz növbəsində iki faktla əlaqələndirilir — həssas proqram təminatının yüksək yayılması (bu, adətən hücuma məruz qalan proqramdır) və zəifliyin aşkarlanması arasında müəyyən vaxt intervalı. Proqram şirkəti və səhvlərin düzəldilməsi üçün müvafiq yeniləmələr buraxılmalıdır.

Virus müəllifləri zəiflikləri aşkar etmək üçün müxtəlif üsullardan istifadə edirlər, məsələn:

  • Proqram kodunun sökülməsi (disassembler) və sonradan proqram kodunda səhvlərin birbaşa axtarışı;
  • Ters mühəndislik və proqram təminatının əməliyyat alqoritmlərində səhvlərin sonrakı axtarışı;
  • Fuzz testi proqram təminatı üçün bir növ stress testidir, mahiyyəti açıq-aydın yanlış parametrləri ehtiva edən böyük miqdarda məlumatın proqram təminatı tərəfindən işlənməsidir.

Zəiflik pəncərəsi

[redaktə | mənbəni redaktə et]

Sıfır-gün hücumlarının baş verməsinin səbəbi təhlükə yarandıqdan sonra təhlükəsizlik tədbirlərinin həyata keçrilməsinə qədər zəiflik pəncərəsinin mövcud olmasıdır.

Viruslar troyanlar və başqa sıfır-gün hücumlarda zəiflik pəncərəsi üçün bir sıra iş qrafiki var. Yeni təhlükənin buraxılması, təhlükənin üzə çıxarılması və öyrənilməsi, yeni həll mexanizminin formalaşdırılması, təhlükəni üzə çıxaran proqram təminatının buraxılması, həmin proqram təminatının istifadəçilərə aid sistemlərdə quraşdırılması və virus bazasının yenilənməsi.

Bu proses saatlarla və hətta həftələrlə davam edə bilər. Bir hesabata görə 2006-cı ildə zəiflik pəncərəsi 28 gün davam etmişdir.

Sıfır-gün müdafiəsi, sıfır-gün təhlükələrinə qarşı müdafiə metodudur. Bu hücumlar ümumilikdə hamıya məlum olmadıqda ondan müdafiə olunmaq çətindir. Sıfır-gün hücumları təhlükəsiz şəbəkələrə qarşı daha səmərəlidir və uzun müddət gizli qala bilir. Ona görədə bu cür təhlükəsiz sistemlərdə istifadəçilər təhlükələrdən xəbərdar olmalı və daha təhlükəsiz hesablama vərdişlərinə yiyələnməlidirlər. Yaddaş korlanmasına qarşı bir sıra vasitələr istifadə olunur. Müasir Əməliyyat Sistemlərində (OS X, Windows Vista, Solaris, Linux, Unix, and Unix-əsaslı mühitlərdə) bu müdafiə vasitələri mövcuddur. Amma Windows XP-də yaddaş korlanmasına qarşı daha az müdafiə metodları var və əvvəlki versiyalarında daha azdır. Zaman ötdükcə bütün ƏS təhlükəsizlik tədbirlərini dahada gücləndirir. Sıfır-gün yaddaş korlanmasına qarşı masaüstü və server proqram təminatı vardır.

Səhvən təqdim olunmuşdur ki, hər hansi yeni kodun virus olub-olmadığını müəyyənləşdirmək mümkün deyil və belə bir yanaşma problemin həll olunma ehtimlanı azaldır. Amma bəzi situasiyalarda proqramın zərərli olub olmadığına görə kateqoriyalara bölmək zərurəti olmur. O yetərlidir ki çox az proqram təhlükəsiz taninsin və eyni zamanda həm təhlükəli həm də təhlükəsiz proqramlar silinsin. Sonar texnologiyası təhlükəsiz proqram təminatını müəyyənləşdirmək üçün xüsusi alqoritm istifadə edir. Yeni quraşdlrılan proqram bu kriteriyaları ödəmirsə o təhlükəli virus hesab olunur.

Sıfır-gün qurdlar hücum zamanı kompüter mütəxəssisləri tərəfindən bilinmədiyindən üstünlüyə malik olur. Yaxin tarix sifir-gün qurdlarin artığını göstərir. Yaxşı dizayn olunmuş qurdlar dəqiqələr (hətta saniyələr) içində yayıla və İnternet global şəbəkəsinə dağıdıcı zədələr verə bilər.

Sıfır-gün açığına aid məlumatların istifadəsinə və toplanmasına dair fərqli ideologiyalar mövcuddur. Bir çox antivirus satıcılar zəifliklərin xarakterini daha yaxşı başa düşmək və onlarin fiziki şəxslər, kompüter qurdlar və viruslar tərəfindən istismarını anlamaq üçün sıfır-gün zəiflikləri üzrə tədqiqat həyata keçirir. Alternativ olaraq, bəzi satıcılar tədqiqat potensialının çoxaltmaq üçün bəzi proqram açığlarını alır. Belə bir proqram nümunəsi TippingPoint-dir. Bu proqram açığlarının alınması ve satışı dünyanın əksər yerlərində qanunsuz deyil baxmayaraq ki, açıqlanması üsulu üzərində bir çox mubahisə var. 

Ən formal proqramları Rain Forest puppy açıqlama və ya təhlükəsizlik zəifliyi Hesabatı və cavabı üçün OIS Təlimatları qaydalarini izləyir. Ümumiyyətlə bu qaydalar satıcılara bildirmədən zəifliklərin ictimayi açıqlanması və adekvat vaxt dəmədən bir patch istehsal olmasi qadağandir.

Sıfır-gün virusları əvvəlcədən bilinən amma hələ də qarşısı alna bilinməyən zərərli  proqramlardır digər sözlə onlara uyğun antiviruslar yazılmamışdır.

Adətən antivirus proqram təminati zərərli proqram təminatini müəyyənləşdirmək üçün elektron imzalardan istifadə edir. Bu metod effektiv ola biler amma əgər əvvəlcədən əldə olunmuş nümunələr yoxdursa və istifadeçilərə göndərilməmişdirsə həmin zərəli proqramlardan qorunmaq qeyri mümkün hala gəlir. Məhz buna görə bu həll metodu sıfır-gün hücumlarına qarşı effektiv deyil Müasir antivirus proqram təminati hələ də elektron imzalardan istifade edir amma eyni zamanda başqa növ analizlərdən də istifadə edir.

Kod analizdə faylın maşın kodu analiz olunur ki, nə isə şübhəli görsənirmi yoxsa yox? Adətən zərərli proqram təminati özünəməxsus xarakteristik davranışı var və adını çəkdiyimiz metod bunu müəyyənləşdirməyə çalışır.

Yararli olmasina baxmayaraq bəzi məhdudiyyətlər mövcuddur. Kodun hansı hissəsinde təhlükə mövcud olduğunun müəyyənləşdirmək elədə asan deyil. Başqa bir məhdudiyyət vaxtın və imkanların məhdudiyyətli olmasıdır. Həmişə daha çox effektivlik üçün daha çox vaxt tələb olunur.

Sadaladığımız məhdudiyyətlərin öhdəsindən gəlmək üçün kodun ancaq şübhəli hissələrini ayrıca icra etmək və müşahidə etmək lazımdır.

Antivirus proqram sənayesində rəqabət

[redaktə | mənbəni redaktə et]

Ümumiyyətlə, müdafiə sənayəsində elektron-imza əsaslı müdafiə bütün antivirus satıcıları tərəfindən eyni dərəcədə effektiv qəbul edilir. Əgər zərərli proqram təminatını fərqləndirən elektron-imza mövcuddursa hər məhsul onu üzə çıxarmalıdır, amma bəzi antivirus satıcıları digərlərindən daha tez viruslardan xəbərdar olurlar və öz müştərilərinin elektron-imza bazalarını yeniləyirlər.

  1. Guo, Mingyu; Wang, Guanhua; Hata, Hideaki; Babar, Muhammad Ali. "Sıfır gün istismarları üçün bazarları maksimuma çatdıran gəlir". Autonomous Agents and Multi-Agent Systems (ingilis). 35 (2). 2021-07-01: 36. arXiv:2006.14184. doi:10.1007/s10458-021-09522-w. ISSN 1387-2532.
  2. Compare: "Sıfır Gün Zəifliyi nədir?". pctools. Symantec. 2017-07-04 tarixində arxivləşdirilib. İstifadə tarixi: 2016-01-20. Sıfır gün zəifliyi satıcıya məlum olmayan proqram təminatında istismar edilə bilən səhvə aiddir. Satıcı xəbərdar olub onu düzəltməyə tələsməzdən əvvəl bu təhlükəsizlik boşluğundan krakerlər istifadə edə bilər – bu istismara sıfır gün hücumu deyilir.
  3. Zetter, Kim. "Hacker Lexicon: Sıfır Günü nədir?". Wired (magazine). 2014-11-11. 2022-11-30 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-20.
  4. ""Zero Day" termini haradan gəlir - mmmm". 2018-01-31. 2018-01-31 tarixində arxivləşdirilib. İstifadə tarixi: 2021-09-05.
  5. "Problemlərə səbəb olan Flash Zəiflikləri". ESET. 2016-03-04 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-03-04.
  6. "SANS sıfır gün Web-əsaslı hücumlarda artım görür". Computerworld. 2008-12-22 tarixində orijinalından arxivləşdirilib.
  7. "E-mail Qalıq Risklərin Qiymətləndirilməsi" (PDF). Avinti, Inc. səh. 2. 2020-08-19 tarixində arxivləşdirilib (PDF). İstifadə tarixi: 2023-01-20.

Xarici keçidlər

[redaktə | mənbəni redaktə et]