Day0since disclosureno patch yetvendor unaware → exploitation possible

शून्य-दिन की कमजोरियाँ

11 मिनट पढ़ासुरक्षा

शून्य-दिन एक भेद्यता है जिसके बारे में विक्रेता को अभी तक पता नहीं है। जब तक विक्रेता को पता नहीं चलता और वह पैच जारी नहीं कर सकता, तब तक असुरक्षित कोड चलाने वाला प्रत्येक सिस्टम उजागर हो जाता है। शून्य-दिनों में उच्चतम प्रभाव वाले हमलों और शोषण करने वाले दलालों के बहु-मिलियन डॉलर के बाज़ार दोनों की शक्ति होती है। जीवनचक्र को समझने से स्पष्ट होता है कि कुछ हमले इतने विनाशकारी क्यों होते हैं।

संपूर्ण लेख का मुख्य भाग नीचे अंग्रेजी में दिया गया है।

A शून्य-दिन भेद्यता एक सुरक्षा दोष है जिसके बारे में प्रभावित विक्रेता को पता नहीं है - "शून्य दिन" विक्रेता को जागरूक होने के बाद से दिनों की संख्या है। शब्द का कभी-कभी विशेष रूप से मतलब होता है कि भेद्यता का भी सक्रिय रूप से शोषण किया जा रहा है ("जंगली में शून्य दिन"), कभी-कभी पैच मौजूद होने से ठीक पहले की अवधि। bug.

  • Decision. खोजकर्ता चुनता है कि क्या करना है: विक्रेता को रिपोर्ट करें (जिम्मेदार प्रकटीकरण), एक शोषण दलाल को बेचें, स्वयं शोषण का उपयोग करें, उस पर बैठें।
  • पूर्व-प्रकटीकरण अवधि। यदि निजी रखा जाए, तो यह अवधि ओपन-एंडेड है।
  • सक्रिय शोषण, यदि लागू हो। हमलावर वास्तविक लक्ष्यों के विरुद्ध शोषण का उपयोग कर रहे हैं। पूर्व-प्रकटीकरण के दौरान या उसके बाद हो सकता है।
  • वेंडर पैच। शोषण. अब-सार्वजनिक विवरण इसे कम परिष्कृत हमलावरों के लिए सुलभ बनाता है; अप्रकाशित सिस्टम सामूहिक रूप से लक्ष्य बन जाते हैं।

    • प्रकटीकरण पूर्व अवधि खतरनाक होती है। विक्रेता जानता है या नहीं; शोधकर्ताओं के पास पहचान संबंधी हस्ताक्षर नहीं हैं; रक्षक विशिष्ट शमन नहीं कर सकते। टॉप-टियर (Apple सिक्योरिटी रिसर्च, Google का वल्नरेबिलिटी रिवार्ड प्रोग्राम) पूरी श्रृंखला के लिए $1M-2M तक का भुगतान करते हैं।

  • एक्सप्लॉइट ब्रोकर जैसे Zerodium, Crowdfense और NSO ग्रुप की रिसर्च शाखा सबसे मूल्यवान श्रेणियों के लिए $500K-$2.5M का भुगतान करती है - iOS फुल-चेन RCE, एंड्रॉइड समकक्ष, ब्राउज़र सैंडबॉक्स पलायन.

    • गंभीर शून्य-दिनों के लिए ग्रे-मार्केट कीमत वैध इनाम से काफी अधिक है। कीमत का अंतर उन्हें खोजने वाले शोधकर्ताओं के लिए एक नैतिक दुविधा पैदा करता है। दलालों को बेचने का मतलब है कि बग का फायदा उठाया जाता है; विक्रेता को रिपोर्ट करने का मतलब है कि यह ठीक हो गया है। अलग-अलग शोधकर्ता अलग-अलग कारणों से अलग-अलग विकल्प चुनते हैं।

    शून्य-दिनों का उपयोग कौन करता है

    • राष्ट्र-राज्य खुफिया एजेंसियां। वॉल्ट 7 लीक से CIA के TAO टूलकिट का पता चला; स्नोडेन के खुलासे से एनएसए पैमाने पर समान खुलासा हुआ।
    • वाणिज्यिक साइबर-भाड़े के सैनिक। एकाधिक को अमेरिकी सरकार द्वारा स्वीकृत किया गया है। 2023 सीएल0पी MOVEit शोषण ने सैकड़ों संगठनों को प्रभावित किया।
    • उन्नत निरंतर खतरा (APT) समूह। घटनाएँ
      • Stuxnet (2010) - चार विंडोज़ शून्य-दिन प्लस सीमेंस पीएलसी शोषण। ईरानी परमाणु संवर्धन के खिलाफ उपयोग किया जाता है। बिल्ड पाइपलाइन। दिनों में व्यापक शोषण। मोड। हमलावर पैच को रिवर्स-इंजीनियर करते हैं, कमजोर कोड पथ की पहचान करते हैं, और कार्यशील कारनामे विकसित करते हैं। पैच करने के लिए दौड़ रहे रक्षकों को विषमता का सामना करना पड़ता है: हमलावरों को केवल अप्रकाशित सिस्टम ढूंढने की आवश्यकता होती है, रक्षकों को सभी सिस्टम को पैच करने की आवश्यकता होती है।

        प्रकट-पैच-टू-मास-शोषण विंडो सिकुड़ रही है। ProxyShell कुछ ही दिनों में प्रकटीकरण से बड़े पैमाने पर शोषण तक पहुंच गया। कई सिस्टम एडमिन के सुनने से पहले ही Log4Shell का शोषण किया जा रहा था।

        रक्षक क्या कर सकते हैं पहुंच.

      • गहराई में रक्षा। हमारा विभाजन लेख देखें.
      • व्यवहार का पता लगाना। घुसपैठ.
      • Apple लॉकडाउन मोड और समकक्ष। चर। प्रकटीकरण होता है चाहे विक्रेता ने पैच किया हो या नहीं। पता रिपोर्ट.

      नैतिकता संदर्भ के अनुसार भिन्न होती है। साझा मानदंड: विक्रेताओं को कमजोरियों को तुरंत ठीक करना चाहिए; शोधकर्ताओं को उन्हें एक मौका देना चाहिए; पैच मौजूद होने के बाद व्यापक समुदाय को पता होना चाहिए।

    अक्सर पूछे जाने वाले प्रश्नों

    शून्य-दिन से मेरे प्रभावित होने की कितनी संभावना है?
    सामान्य उपयोगकर्ताओं के लिए, अधिकांश शून्य-दिन के हमले उच्च-मूल्य वाले संगठनों या विशिष्ट व्यक्तियों को लक्षित करते हैं। सामूहिक शोषण की घटनाएँ (Log4Shell, ProxyShell) सॉफ़्टवेयर के माध्यम से हर किसी को उनके जीवन में प्रभावित करती हैं, लेकिन सुधार आने पर बचाव में कमी आ जाती है। विशेष रूप से आपके विरुद्ध लक्षित हमलों के लिए, आपको राज्य-स्तरीय विरोधियों के साथ एक उच्च-मूल्य वाला लक्ष्य बनना होगा।
    क्या मुझे पेगासस या इसी तरह के स्पाइवेयर के बारे में चिंता करनी चाहिए?
    यदि आप एक पत्रकार, कार्यकर्ता, असंतुष्ट, या शत्रुतापूर्ण सरकार के हित में राजनेता हैं - हाँ, लॉकडाउन मोड और परिचालन अनुशासन जैसी सावधानियां बरतें। लोकतंत्रों में सामान्य उपयोगकर्ताओं के लिए, जोखिम इतना कम है कि व्यावहारिक बचाव (डिवाइस को अपडेट रखें, संदिग्ध लिंक से बचें, सुरक्षा अपडेट के साथ प्रमुख-विक्रेता हार्डवेयर का उपयोग करें) पर्याप्त हैं।
    क्या एंटीवायरस शून्य-दिन के हमलों को पकड़ सकता है?
    हस्ताक्षर-आधारित एवी आमतौर पर ऐसा नहीं कर सकता - किसी अज्ञात हमले के लिए कोई हस्ताक्षर नहीं है। व्यवहारिक ईडीआर (क्राउडस्ट्राइक, एंडपॉइंट के लिए डिफेंडर, सेंटिनलवन) अधिक प्रभावी है क्योंकि यह इस बात पर गौर करता है कि प्रक्रियाएं क्या करती हैं बजाय इसके कि वे कैसी दिखती हैं। पता लगाने की दर सही नहीं है; यहां तक ​​कि परिष्कृत ईडीआर में भी कुछ परिष्कृत शून्य-दिन के कारनामे छूट जाते हैं।
    विक्रेता शिपिंग से पहले सभी बग ठीक क्यों नहीं करते?
    सॉफ़्टवेयर जटिलता ऑडिट बजट से आगे निकल जाती है। आधुनिक ऑपरेटिंग सिस्टम में कोड की करोड़ों लाइनें होती हैं। व्यापक विश्लेषण असंभव है; विक्रेता उन बगों को ढूंढते हैं जिन्हें ढूंढना वे प्राथमिकता देते हैं। साथ ही, कुछ बग श्रेणियां (दौड़ की स्थिति, साइड चैनल) हार्डवेयर और सॉफ्टवेयर इंटरैक्शन में अंतर्निहित हैं जिन्हें कोई ऑडिट नहीं पकड़ पाता है।
    क्या प्लेटफ़ॉर्म स्तर पर शून्य-दिवस से लड़ने के कोई तरीके हैं?
    हाँ, संरचनात्मक रूप से। मेमोरी-सुरक्षित भाषाएँ (रस्ट, गो) बग के वर्गों को खत्म करती हैं। हार्डवेयर शमन (सीईटी, एमटीई, एआरएम पॉइंटर प्रमाणीकरण) शोषण को कठिन बनाते हैं। सैंडबॉक्सिंग क्षति को सीमित करती है। पिछले 15 वर्षों में प्रवृत्ति प्रगतिशील रूप से सख्त रही है; प्रवृत्ति किसी भी विशिष्ट शून्य-दिन से अधिक मायने रखती है।
    शून्य-दिवस की कमजोरियाँ समझाई गईं: पैच के अस्तित्व में आने से पहले क्या होता है