Zeroday Açıklıkları ve Çözümler
Sıfırıncı Gün Açıklıkları – Zeroday
Zeroday (Sıfırıncı gün açıklıkları) daha önceden bilinmeyen veya tespit edilmemiş ancak ciddi saldırılara yol açacak zafiyetler barındıran yazılım veya donanım kusurlarıdır. Zeroday açıklıkları çoğunlukla saldırı gerçekleşene kadar tespit edilmesi zor olan zafiyetlerdir.
Zeroday saldırısı ise geliştiricilerin bir yama veya düzeltme yayınlamaya fırsat bulamadan saldırganın zafiyeti istismar etmesi ve zararlı yazılımı yaymasıyla gerçekleşir. Bu nedenle bu zafiyet sıfırıncı gün açıklığı (zeroday) olarak isimlendirilmiştir.
Zeroday saldırısına neden olan etmenler:
– Yazılımcıların geliştirdikleri uygulamanın bir zafiyet barındırdığının farkında olmadan uygulamayı kullanıma geçirmeleri
– Saldırganın zafiyeti geliştiriciden önce saptaması veya geliştiricinin bir düzeltme üretmesine fırsat vermeden istismar etmesi
– Zafiyet hala istismar edilmeye açık ve ulaşılabilir iken saldırganın istismar kodunu yazıp uygulaması
Yama yazılıp kullanıma alındıktan sonra açıklık artık zeroday olarak adlandırılmaktan çıkmaktadır. Zeroday açıklıklarının tespit edilme süreci bazen aylar hatta yıllar almaktadır.
Zeroday Açıklıklarını Saptamak için Çözümler
Sandbox
Türkçede Kum havuzu olarak adlandırılan Sandbox sıkı kontrol ve izin mekanizmaları uygulanarak ayrık ve kısıtlı olarak dizayn edilmiş, programın üzerinde çalıştığı sisteme herhangi bir hasar vermeden veya zararlı yazılım bulaştırmadan denenebildiği ortamdır.
Sandbox içerisinde bir program çalıştırıldığında normal bir sistem üzerinde çalışıyormuş gibi işlevleri yerine getirir; ancak uygulamanın oluşturmak veya değiştirmek istediği herhangi bir şey program çalışmayı durdurduğunda kaybedilmektedir, yani saklanmamaktadır. Sandbox sistemler aynı zamanda belirli zararlı yazılım tehditlerini analiz etmek ve öğrenmek için de kullanılmaktadır. Zeroday saldırılarını denetleyip önleme için geliştirilmiş bazı Sandbox ürünleri işlemci düzeyinde denetim yaparak atak vektörlerinin daha işlenmeye başlamadan sona erdirilmesini sağlamaktadır. İşletim sistemi düzeyinde denetleme sağlayan sandbox ürünleri ise dosya davranışlarını ve linkleri inceleyerek şüpheli aktiviteleri tespit etmeye çalışmaktadır.
Zeroday Açıklıklarını Tespit için Yöntemler
Bilgisayar sistemlerinin hemen hemen her platformda uygulama alanı bulması ile birlikte bilgi teknolojileri gün geçtikçe karmaşıklaşmakta ve bu nedenle siber saldırı olasılığı da artmaktadır. Birçok kurum IDS/IPS, güvenlik açığı tarama araçları, anti-malware ve antivirüs gibi imza-tabanlı güvenlik araçlarıyla bilinen tehditleri denetlemeye çalışmaktadır, ancak Zeroday gibi içerdeki bir yazılımcının yanlışlıkla zafiyetli olarak geliştirdiği bir uygulamanın arzettiği tehlike çoğu zaman bu geleneksel yöntemlerle tespit edilememektedir. Birçok kurum bu ilk elden gelebilecek tehdidi algılayıp yanıt verecek bir donanıma sahip değildir. Zeroday açıklıkların tespit edilip önlenmesi sürecinde sadece olay kayıtlarının değil işleyişin analizi de büyük öneme sahiptir. Uzmanlar Zeroday açıklıklarının saptanmasında en kullanışlı yöntemin sistemdeki anormal davranışların tanımlanıp yöneticilerin hızlı bir şekilde alarma geçirilmesini sağlayan davranış bazlı(behavior-based) analiz araçları olduğunu vurgulamaktadırlar. Davranış bazlı analiz araçlarında Hidden Markov Modeli ve istemci bir honeypot sistemi kullanılmaktadır.
Bazı ürünler ise Zeroday açıklığını tespit etmek için beyaz listede olmayan portlardan giden yetkisiz internet trafiği için kural oluşturmaktadır. Bir diğer yöntem ise alıcı IP adresi bilinmeyen tek bir kaynakla ile iletişim gibi bir etkileşim için alarm oluşturulmasıdır.