Sıfır-gün açığı nedir? Zero-day (Sıfır-gün) açığı hakkında

Google Chrome güncellemesiyle gündeme gelen sıfır-gün zayıflığının ne olduğu merak ediliyor. Peki, sıfır-gün açığı nedir? İşte sıfır-gün açığı hakkında...

SIFIR-GÜN AÇIĞI NEDİR?

Zeroday (sıfırıncı gün açıkları) daha önceden bilinmeyen veya tespit edilmemiş ancak ciddi saldırılara yol açan zafiyetler barındıran yazlılım veya donanım kusurlarıdır. Zeroday açıkları çoğunlukla saldırı gerçekleşene kadar tespit edilmesi çok zor olan zafiyetlerdir.

Sıfır-gün (0-gün veya sıfır-saat veya sıfır-gün açığı olarak da bilinir) genellikle bir yazılımda bir zayıflığın keşfedildiği gün, çok uzun zamandan beri o açıklığın blackhatler tarafından bulunup kullanıldığının ortaya çıkmış olmasıdır. Ayrıca zayıflık ortaya çıktıktan sonra geliştirici tarafından bir güncelleme sunulamadan önce faydalanılan bir zayıflıktır.

Sıfır-gün saldırıları genellikle güvenlik açıklarının genel kullanıma açıklandığı tarihten önce veya günümüzde bilgisayar korsanları tarafından denenir. Bazen de geliştiricinin açığın farkında olduğu veya düzeltilmiş halini hazırlamadan önce denenir. Sıfır-gün saldırıları ciddi bir tehdittir.

SALDIRI YÖNÜ

Kötü amaçlı yazılım yazarları sıfır-gün açıkları için birkaç farklı saldırı yönünden yararlanabilir. Bazen kullanıcılar sahte internet sitelerini ziyaret ettiğinde, sitedeki kötü amaçlı kod internet tarayıcılarındaki güvenlik açıklarından yararlanabilir. İnternet tarayıcıları, yaygın dağıtım ve kullanımları nedeniyle suçlular için özel bir hedeftir. Siber suçlular, eki açan uygulamadaki zayıf noktaları sömüren kötü amaçlı e-posta eklerini SMTP yoluyla da gönderebilirler. US-CERT gibi veritabanlarında giderek artan oranlarda göründükleri gibi, yaygın dosya türlerinden yararlanan saldırılar çok sayıda ve sık görülür. Suçlular, saldırıya uğramış sistemlerden gizli verileri çalmak için bu dosya türü istismarlardan yararlanarak kötü amaçlı yazılım üretebilirler.

GÜVENLİK AÇIĞI PENCERESİ

Bir yazılım kullanımının ilk kez aktif hale gelmesinden güvenlik açığı bulunan sistemlerin sayısının küçülmesine kadar geçen süre, Güvenlik Açığı Penceresi (WoV) olarak bilinir. Her yazılım güvenlik açığı için zaman çizelgesi aşağıdaki ana olaylarla tanımlanır:

t0: Güvenlik açığı keşfedildi.

t1a: Bir güvenlik düzeltme eki yayınlanır (ör. Yazılım satıcısı tarafından).

t1b: Bir exploit aktif hale gelir.

t2: En savunmasız sistemler düzeltmeyi uygular.

Normal güvenlik açıkları için, t1b - t1a> 0'dır. Bu, yazılım satıcısının güvenlik açığının farkında olduğunu (zaman t ≥ t0) ve herhangi bir bilgisayar korsanının çalıştırılabilir bir uygulama (t1b) hazırlamadan önce bir güvenlik düzeltme paketi (t1a) yayımlama zamanı geldiğini ima eder. Sıfır gün açıkları için, bir yama hazır olmadan önce exploitin faal hale gelmesi için t1b - t1a ≤ 0 olması gerekir.

Bilinen güvenlik açıklarını açıklamayarak bir yazılım satıcısı, t1b'ye erişmeden önce t2'ye ulaşmayı umar, böylece herhangi bir istismarı önler. Bununla birlikte, satıcının, bilgisayar korsanlarının kendi başına güvenlik açıklarını bulamayacakları konusunda hiçbir garantisi yoktur. Ayrıca, güvenlik yamaları temel güvenlik açıklarını ortaya çıkarmak için analiz edilebilir ve otomatik olarak çalışma açıkları üretir, böylece her zaman t0 <= t1a ve <= t1b olacaktır.

Uygulamada WoV boyutu; sistemler, satıcılar ve bireysel güvenlik açıkları arasında değişir. Genellikle gün olarak ölçülür ve 2006'dan bir rapora göre ortalama 28 günde tamamlanır.