Sıfır günden etkilenme olasılığım nedir?

Sıradan kullanıcılar için, sıfır gün saldırılarının çoğu yüksek değerli kuruluşları veya belirli kişileri hedef alır. Kitlesel istismar olayları (Log4Shell, ProxyShell) hayatlarındaki yazılım aracılığıyla herkesi etkiliyor ancak çözüm geldiğinde savunma yama yapıyor. Özellikle size yönelik hedefli saldırılar için, eyalet düzeyindeki düşmanlar arasında yüksek değerli bir hedef olmanız gerekir.

Pegasus veya benzeri casus yazılımlardan endişelenmeli miyim?

Eğer bir gazeteci, aktivist, muhalif veya düşman bir hükümetin çıkarı olan bir politikacıysanız, evet, Kilitleme Modu ve operasyonel disiplin gibi önlemleri alın. Demokrasilerdeki sıradan kullanıcılar için risk, pratik savunmaların (cihazları güncel tutmak, şüpheli bağlantılardan kaçınmak, güvenlik güncellemeleriyle büyük satıcı donanımlarını kullanmak) yeterli olmasını sağlayacak kadar düşüktür.

Antivirüs sıfır gün saldırılarını yakalayabilir mi?

İmza tabanlı AV genellikle bunu yapamaz; bilinmeyen bir saldırının imzası yoktur. Davranışsal EDR (CrowdStrike, Defender for Endpoint, SentinelOne) daha etkilidir çünkü süreçlerin neye benzediğinden ziyade ne yaptığına bakar. Tespit oranı mükemmel değil; Gelişmiş EDR bile bazı karmaşık sıfır gün açıklarını kaçırıyor.

Satıcılar neden teslimattan önce tüm hataları düzeltmiyor?

Yazılımın karmaşıklığı denetim bütçesini aşıyor. Modern işletim sistemlerinde yüz milyonlarca satır kod bulunur. Kapsamlı bir analiz imkansızdır; Satıcılar bulmaya öncelik verdikleri hataları bulurlar. Ayrıca bazı hata kategorileri (yarış koşulları, yan kanallar), hiçbir denetimin yakalayamadığı donanım ve yazılım etkileşimlerinin doğasında vardır.

Platform düzeyinde sıfır günlerle mücadele etmenin yolları var mı?

Evet, yapısal olarak. Bellek açısından güvenli diller (Rust, Go) hata sınıflarını ortadan kaldırır. Donanım azaltımları (CET, MTE, ARM İşaretçi Kimlik Doğrulaması) kötüye kullanımı zorlaştırır. Korumalı alana alma hasarı sınırlar. Geçtiğimiz 15 yıldaki eğilim, giderek sertleşme yönündeydi; trend herhangi bir sıfır günden daha önemli.

Sıfır Gün Güvenlik Açıkları Açıklandı: Bir Yama Ortaya Çıkmadan Önce Ne Olur?

Sıfır gün, satıcının henüz bilmediği bir güvenlik açığıdır. Satıcı bunu öğrenene ve bir yama yayınlayana kadar, güvenlik açığı bulunan kodu çalıştıran her sistem açığa çıkar. Sıfır günler, hem en yüksek etkili saldırılara hem de milyonlarca dolarlık istismar komisyoncuları pazarına güç sağlar. Yaşam döngüsünü anlamak, bazı saldırıların neden bu kadar yıkıcı olduğunu açıklığa kavuşturur.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

A sıfır gün güvenlik açığı, etkilenen satıcının bilmediği bir güvenlik kusurudur; "sıfır gün", satıcının farkına vardığı andan itibaren geçen gün sayısıdır. Bu terim bazen spesifik olarak güvenlik açığından aktif olarak yararlanıldığı anlamına gelir ("vahşi ortamda sıfır gün"), diğer zamanlarda ise sadece bir yamanın ortaya çıkmasından önceki dönem.

Yaşam döngüsü

Keşif. Birisi (bir araştırmacı, bir saldırgan, bir istihbarat teşkilatı) bug.
Decision. Bulucu ne yapacağını seçer: satıcıya rapor verin (sorumlu açıklama), bir istismar komisyoncusuna satış yapın, istismarı kendisi kullanın, üzerinde durun.
Ön ifşa süresi. Bildirilirse, satıcının bir düzeltme geliştirmek için süresi vardır (genellikle 90 gün, bazen müzakere edilir). Gizli tutulması halinde bu sürenin sonu açıktır.
Varsa aktif istismar. Saldırganların istismarı gerçek hedeflere karşı kullanması. Açıklama öncesi veya sonrasında meydana gelebilir.
Satıcı yamaları. Düzeltme, genellikle bir CVE atanmış olarak yayımlanır.
Açıklama. Araştırmacılar ve satıcı ayrıntılar yayınlayarak diğer savunucuların tespit etmesine ve etkisini azaltmasına olanak tanır.
Kitlesel istismar. Artık halka açık olan ayrıntılar, daha az karmaşık saldırganların da erişebilmesini sağlıyor; Yama uygulanmamış sistemler topluca hedef haline gelir.

Ön ifşa dönemi tehlikeli olanıdır. Satıcı biliyor ya da bilmiyor; araştırmacıların tespit imzaları yok; savunucular belirli hafifletici önlemleri alamaz.

Sıfır günlerin değeri ne kadardır

İki pazar:

Hata ödül programları tipik kritik güvenlik açıkları için 5 bin ila 200 bin dolar öder. Üst düzey (Apple Güvenlik Araştırması, Google'ın Güvenlik Açığı Ödül Programı), tam zincir açıklarından yararlanmalar için 1 milyon ila 2 milyon dolara kadar ödeme yapıyor.
Zerodium, Crowdfense ve NSO Group'un araştırma kolu gibi istismar komisyoncuları, en değerli kategoriler (iOS tam zincirli RCE, Android eşdeğerleri, tarayıcı) için 500 bin ila 2,5 milyon dolar ödüyor sanal alandan kaçar.

Ciddi sıfır günlerin gri piyasa fiyatı, yasal ödülleri önemli ölçüde aşıyor. Fiyat farkı, bunları bulan araştırmacılar için etik bir ikilem yaratıyor. Komisyonculara satış yapmak, hatanın istismar edilmeye devam etmesi anlamına gelir; Satıcıya rapor vermek, sorunun çözüleceği anlamına gelir. Farklı araştırmacılar farklı nedenlerle farklı seçimler yaparlar.

Sıfır günleri kim kullanır

Ulus devlet istihbarat teşkilatları. NSA, GCHQ, FSB, MSS ve eşdeğerleri, sıfır günleri satın alan veya geliştiren saldırgan siber ekipleri korur. Vault 7 sızıntısı CIA'in TAO araç setini ortaya çıkardı; Snowden'ın açıklamaları NSA ölçeğinde de benzer şekilde ortaya çıktı.
Ticari siber paralı askerler. NSO Grubu (Pegasus), Cellebrite, Cyt rox, Candiru — devlet müşterilerine açıklardan yararlanıyor. Birçoğu ABD hükümeti tarafından onaylandı.
Ransomware grupları. İlk erişim için giderek daha fazla sıfır gün kullanılıyor. 2023 Cl0p MOVEit istismarı yüzlerce kuruluşu etkiledi.
Gelişmiş kalıcı tehdit (APT) grupları. Gelecekte kullanmak üzere sıfır günleri kullanarak ön konumlandırma yapan, uzun süredir faaliyet gösteren ulus devlete bağlı ekipler.

Büyük sıfır gün olaylar

Stuxnet (2010) — Dört Windows sıfır gün artı Siemens PLC açıklarından yararlanma. İran'ın nükleer zenginleştirmesine karşı kullanıldı.
Pegasus sıfır tıklamalı iOS istismarları (çoklu, 2016-2024) — NSO Group'un dünya çapında gazetecilere ve aktivistlere karşı kullanılan iOS istismar zincirleri.
SolarWinds (2020) — Aşağıdakileri içeren tedarik zinciri saldırısı: derleme hattında sıfır gün.
ProxyLogon / ProxyShell (2021) — Yamalar geniş çapta dağıtılmadan önce Microsoft Exchange Server güvenlik açıklarından toplu olarak yararlanıldı.
Log4Shell (2021) — Kritik Java günlük kitaplığı güvenlik açığı; birkaç gün içinde yaygın bir şekilde istismar edildi.
MOVEit Transfer (2023) — Cl0p grubunun istismarı binlerce kuruluşu etkiledi.
iOS Kilitleme Modu olayları tetikliyor (2022-2025) — birden fazla gelişmiş zincir bulundu ve bu da Apple'ın güçlendirilmiş mode.

Yama penceresi yarışı

Sıfırıncı gün ortaya çıkarıldıktan ve yamalandıktan sonra, kitlesel sömürü genellikle birkaç saat içinde gerçekleşir. Saldırganlar yamaya tersine mühendislik uygular, savunmasız kod yolunu belirler ve çalışan güvenlik açıkları geliştirir. Yama uygulamak için yarışan savunmacılar asimetriyle karşı karşıya: Saldırganların yalnızca yama uygulanmamış sistemleri bulması gerekiyor, savunmacıların ise tüm sistemlere yama uygulaması gerekiyor.

Yamalı kitlesel sömürüye açık olan aralık daralıyor. ProxyShell birkaç gün içinde ifşa olmaktan kitlesel sömürüye geçti. Log4Shell, pek çok sistem yöneticisinin bunu duymasından önce istismar ediliyordu.

Savunucuların yapabilecekleri

Sıfır gün etkisini azaltan genel savunmalar:

Sandboxing. Sandbox'taki bir bileşene (tarayıcı, belge görüntüleyici) karşı başarılı bir istismar bile sınırlı erişim.
Derinlemesine savunma. Katmanlı mimari sağlamsa hiçbir güvenlik açığı tam erişim sağlamaz.
Ağ bölümleme. Güvenliği ihlal edilmiş bir ana bilgisayar, ağın daha az kısmına ulaşır. segmentasyon makalemize bakın.
Davranışsal algılama. Modern EDR, belirli imzalar olmadan bile kötü niyetli davranışları yakalar.
Tehdit istihbaratı beslemeleri. Güvenliği ihlal göstergeleri yayınlandığında, kuruluşlar daha önceki tehditleri tespit edebilir. izinsiz giriş.
Apple Kilitleme Modu ve eşdeğerleri. Yüksek riskli bireyler için (gazeteciler, aktivistler, yöneticiler), platform düzeyinde sağlamlaştırma yüksek riskli özellikleri devre dışı bırakır.
Yamalar geldiğinde hemen yama yapın. Yamasız maruz kalma penceresini azaltmak en büyük çözümdür değişken.

İfşaat tartışması

Sorumlu ifşa normları köklüdür ancak bazı noktalarda ihtilaflıdır:

Google Project Zero, 14 günlük ek süre ile 90 günlük bir son tarih kullanır. Açıklama, satıcının yama uygulayıp uygulamamasından bağımsız olarak gerçekleşir.
Bazı araştırmacılar, önem derecesine bağlı olarak daha kısa zaman dilimlerini (60 gün) veya daha uzun (180 gün) tercih ederler.
Koordineli açıklama (satıcı + araştırmacı + etkilenen alt taraflar) daha uzun sürer ancak ikincil hasarı azaltır.
Uyarı olmadan "kesin açıklama" bazen, konuyu sürekli olarak ele almayan satıcılara karşı kullanılır. raporlar.

Etik değerler bağlama göre farklılık gösterir. Paylaşılan norm: Satıcılar güvenlik açıklarını derhal düzeltmelidir; araştırmacılar onlara bir şans vermeli; yama yayınlandıktan sonra daha geniş bir topluluğun bunu bilmesi gerekir.

Sık sorulan sorular

Sıfır günden etkilenme olasılığım nedir?: Sıradan kullanıcılar için, sıfır gün saldırılarının çoğu yüksek değerli kuruluşları veya belirli kişileri hedef alır. Kitlesel istismar olayları (Log4Shell, ProxyShell) hayatlarındaki yazılım aracılığıyla herkesi etkiliyor ancak çözüm geldiğinde savunma yama yapıyor. Özellikle size yönelik hedefli saldırılar için, eyalet düzeyindeki düşmanlar arasında yüksek değerli bir hedef olmanız gerekir.
Pegasus veya benzeri casus yazılımlardan endişelenmeli miyim?: Eğer bir gazeteci, aktivist, muhalif veya düşman bir hükümetin çıkarı olan bir politikacıysanız, evet, Kilitleme Modu ve operasyonel disiplin gibi önlemleri alın. Demokrasilerdeki sıradan kullanıcılar için risk, pratik savunmaların (cihazları güncel tutmak, şüpheli bağlantılardan kaçınmak, güvenlik güncellemeleriyle büyük satıcı donanımlarını kullanmak) yeterli olmasını sağlayacak kadar düşüktür.
Antivirüs sıfır gün saldırılarını yakalayabilir mi?: İmza tabanlı AV genellikle bunu yapamaz; bilinmeyen bir saldırının imzası yoktur. Davranışsal EDR (CrowdStrike, Defender for Endpoint, SentinelOne) daha etkilidir çünkü süreçlerin neye benzediğinden ziyade ne yaptığına bakar. Tespit oranı mükemmel değil; Gelişmiş EDR bile bazı karmaşık sıfır gün açıklarını kaçırıyor.
Satıcılar neden teslimattan önce tüm hataları düzeltmiyor?: Yazılımın karmaşıklığı denetim bütçesini aşıyor. Modern işletim sistemlerinde yüz milyonlarca satır kod bulunur. Kapsamlı bir analiz imkansızdır; Satıcılar bulmaya öncelik verdikleri hataları bulurlar. Ayrıca bazı hata kategorileri (yarış koşulları, yan kanallar), hiçbir denetimin yakalayamadığı donanım ve yazılım etkileşimlerinin doğasında vardır.
Platform düzeyinde sıfır günlerle mücadele etmenin yolları var mı?: Evet, yapısal olarak. Bellek açısından güvenli diller (Rust, Go) hata sınıflarını ortadan kaldırır. Donanım azaltımları (CET, MTE, ARM İşaretçi Kimlik Doğrulaması) kötüye kullanımı zorlaştırır. Korumalı alana alma hasarı sınırlar. Geçtiğimiz 15 yıldaki eğilim, giderek sertleşme yönündeydi; trend herhangi bir sıfır günden daha önemli.