بررسی آسیب پذیری zero-day

یکی از اصطلاحات حفره‌های امنیتی، آسیب پذیری روز صفر یا zero-day می‌باشد. در واقع این نوع آسیب‌پذیری، روشی از حمله یا نفوذ از طریق یکی از حفره‌های موجود در نرم‌افزارها یا برنامه‌های کاربردی می‌باشد که از دید طراحان و توسعه‌دهندگان آن مخفی مانده است. مهاجمان بدون اعلام به شرکت سازنده نرم افزار و پیش از شناسایی این آسیب‌پذیری و مشکل امنیتی توسط برنامه نویسان، آن را کشف کرده و برای حمله و یا نفوذ به سیستم‌های کاربران از آن استفاده می‌کنند و یا روش های استفاده از این حفره (poc , exploit) توسط نفوذگران در سطح عمومی منتشر می شود.

به این خاطر به آن آسیب پذیری روز صفرم می‌گویند زیرا یک روز قبل از دانستن حفره توسط برنامه‌نویسان و توسعه‌دهندگان، هکرها از آن باخبر شده و از آن سوء استفاده می‌کنند. یعنی برنامه‌نویسان هیچ فرصتی برای ارسال تعمیر و ابزار اصلاحی نمی‌یابند!

مقابله با خطرات 0day

این روزها انتشار poc های 0day تبدیل به یک روند مشخص در دنیای امنیت شده است . در واقع پس از پیدا شدن مشکل امنیتی شخص پیدا کننده آن می بایست بر اساس روند حرفه ای گزارشی را از مشکل یافت شده به شرکت صاحب نرم افزار ارائه کند و منتظر تماس های بعدی و هماهنگی های لازم بماند تا شرکت تولید کننده نرم افزار وقت بررسی بیشتر و اصلاح نرم افزار خود را پیدا کند . در مراحل بعد شرکت تولید کننده نرم افزار دست به انتشار یک بسته اصلاحیه می زند که امروزه با نام Patch یا update معروف گردیده است . این نرم افزار کوچک که توسط شرکت تولید کننده نرم افزار تولید شده است به اصلاح مشکل گزارش شده کمک می کند .
اما اگر در این بین شخصی بدون هماهنگی های قبلی دست به انتشار اطلاعات و چگونگی استفاده از نقاط ضعف یک نرم افزار عمومی را بزند . شرکت تولید کننده نرم افزار نیاز به یک زمان حداقل دو هفته ای برای تولید اصلاحیه را دارد . و در این زمان تمام سیستم هایی که از نرم افزار مورد نظر استفاده می کنند اسیب پذیر می باشند و راهی برای نفوذ به آنها باز گذاشته می شود .

بیشترین میزان انتشار 0day ها مربوط به نرم افزار هایی معرفی مانند,Adobe acrobat , adobe flash palyer , microsoft office می باشند . با روند تغییر حملات به سمت client side یا همان چیزی که کاربران به صورت روزانه به ان سر کار دارند باعث شده تا برای انتشار بد افزارها رقابتی سنگین در بازار سیاه نفوذگران شکل گیرد در حال حاظر 0day بسته نرم افزاری microsoft office هزاران دلار در بازار سیاه معامله می شوند .

RSAAPTGraphic[1]

کاربرد استفاده از 0day چگونه است ؟

بیشتر 0day ها به سه صورت اصلی یافت می شوند :

1- انتشار 0day در بازار سیاه و استفاده ان به وسیله افراد سود جو .
در این روش نفوذگران و خرابکاران اینترنتی پس از خرید این نقاط آسیب پذیری قادر هستند تا کامپیوتر های بسیاری را به ویروس ها و بد افزار ها (spyware,Malware ها) آلوده کنند . پس از آلوده شدن هزاران کامپیوتر گنگهای خرابکار اینترنتی کنترل هزاران کامپیوتر را بدست می گیرند و قادرند از انها در حملات DDOS یا تولید spam (نامه های تبلیغاتی) استفاده کنند . حتی در برخی موارد با بدست آوردن اطلاعات کاربران دست به دزدی از حساب افراد می زنند(مانند بد افزار zeus) . در واقع هدف اصلی استفاده این گروه ها از 0day ها بدست آوردن پول می باشد .

این دسته از 0day ها معمولا در نرم افزارهای که در برنامه تحت وب کاربرد دارند بیشتر یافت می شوند و مورد علاقه تبهکاران انلاین می باشند. از جمله این مشکلات امنیتی می توان به برنامه هایی مانند . Microsoft Office , Adobe flash player , Adobe air ,Microsoft internet explorer , FireFox , Adobe acrobar reader , Java virtual machine اشاره کرد . امروزه در بیشتر کامپیوتر های متصل به اینترنت که جهت وبگردی و کارهای روزمره توسط کاربران مورد استفاده قرار می گیرند حداقل یکی از این برنامه ها موجود می باشند . پس خرید یک 0day در این نرم افزار ها ،فرصتی طلایی برای تبه کاران اینترنتی محسوب می شود تا در کمترین زمان ممکن سیستم های بیشتری را به ویروس ها آلوده کنند و پول بیشتری به دست آورند .

2- استفاده از 0day ها به صورت رسمی برای حملات Penetration test یا Targeted attack .
امروزه با گسترش بازار 0day ها می توان بسته های نرم افرای که توسط شرکت های امنیتی تولید شده اند را پیدا کرد که در خود چندین ضعف امنیتی به صورت 0day را جای داده اند .بیشتر این 0day ها در سرویس های تحت شبکه مانند mail server ها یا سرویس های دیگر که در شبکه مورد استفاده قرار می گیرند در این بسته ها موجود می باشند . سرویس هایی مانند بانک های اطلاعاتی mssql , oracle یا حتی سریس دهنده های وب مانند iis یا apache .

متخصصین امنیت با پرداخت هزینه های بالا و به صورت رسمی این 0day ها را خریداری کرده و در انجام پروژهای تست نفوذپذیری (Penetration test) از آنها استفاده می کنند . از معروف ترین پکیج های مورد استفاده این دسته می توان به بسته هایی اشاره کرد به بر اساس نرم افزار canavas کار می کنند . canavas یک فریم ورک ازمون تست نفوذپذیری می باشد که مانند Metasploit کار می کند . از نام دار ترین بسته های 0day می توان به Vulndisco،DSquare’s D2 Exploitation Pack ،Argeniss Ultimate 0day Exploits اشاره کرد که همگی تحت فریم ورک canavas مورد استفاده قرار می گیرند .

3- در موارد بسیار معدودی محققان امنیت جهت بدست آوردن کردیت یا از روی بی تجربگی دست به انتشار یک 0day می زنند .smile icon

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.