TigerTeam - suomalainen tietoturvablogi

Nollapäivä ja zero-day, mitä ne ovat?

Kirjoitti Juha-Matti Laurio 4. tammikuuta 2011 3 kommenttia

Seurasitpa sitten suomenkielisiä tai kansainvälisiä it-uutisia olet hyvin todennäköisesti törmännyt termiin zero-day (tai zero day). Juuri joulun alla saatiin vahvistus Internet Explorerin paikkaamattomasta CSS-haavoittuvuudesta, joka on tyypillinen esimerkki nollapäivätyyppisestä haavoittuvuudesta. Loppuvuoden aikana nollapäiväaukkoja on ollut useasti Flashissa ja Adobe Readerissa ja niitä on myös hyödynnetty.

Suomen kielessä käyttöön ovat vakiintuneet pääasiassa termit nollapäivähaavoittuvuus (tai -aukko) ja zero-day-haavoittuvuus.

Nollapäivä tarkoittaa sitä, että haavoittuvuuden julkitulon ja hyödyntämisen väliin mahtuu nolla vuorokautta.

Hyödyntäminen todentaa haavoittuvuuden olemassaolon ja esimerkiksi sen, että toimiva verkkomato on pystytty kehittämään.

Käytännössä hyökkäysten alkamisen ja haavoittuvuuden julkitulon väli on siis kirjaimellisesti nolla päivää.

Nollapäivään ei korjausta saatavilla

Nollapäivähaavoittuuvuudelle on ominaista myös se, ettei siihen ole valmistajan korjauspäivitystä saatavilla.

Termi Zero Day on myös ZERT-ryhmittymän nimen innoittaja (Zeroday Emergency Response Team), ZDNetin tietoturvablogi, osa Zero Day Initiative -haavoittuvuusjulkistusohjelman nimeä ja ei-tietoturvamaailmassa mm. elokuva ja hip hop-albumi. ZERT on tietoturva-ammattilaisten ryhmä, joka julkaisi vuonna 2007 tilapäiskorjauksen Windowsin kohdistimienkäsittelyä koskevaan nollapäivähaavoittuvuuteen ennen virallisen korjauspäivityksen julkaisua.

Myöhemmin tällaisia epävirallisia korjauspäivityksiä on nähty aina silloin tällöin muihinkin nollapäivähaavoitttuvuuksiin, mutta hyvin harvinaista niiden julkaiseminen kuitenkin on.

Kirjoitus aloittaa termit tutuksi -tyyppisen kirjoitussarjan, joka tutustuttaa tietoturva-alan – erityisesti haavoittuvuuksiin liittyviin – termeihin ja lyhenteisiin.

Tagit: hyökkäyskoodi, tietoturvallisuus, tietoturvatermit Delicious Kommentoi (3 kommenttia)

3 kommenttia

Tilaa tämän blogimerkinnän kommentit RSS-syötteenä
  1. Ari Takanen, 16. Helmikuuta 2011

    Haavoittuvuuksien julkaisulla ei ole mitään tekemistä nollapäivähaavoittuvuuksien kanssa. Useat nollapäivähaavoittuvuudet voivat olla useita päiviäkin julkisessa tiedossa ennenkuin niihin on korjaus saatavilla. Nollapäivähaavoittuvuudet ovat usein hyväksikäytön jälkeenkin vielä pitkään tuntemattomia, ja yleensä mitkään tietoturvatuotteet eivät niitä sen vuoksi havaitse. Nollapäivähaavoittuvuuksia kaupataan tietorikolliseten kesken, ja ovatpa jotkin tietoturvafirmatkin sekaantuneet tuohon bisnekseen. Nollapäivähaavoittuvuuttä käyttää hyväksi nollapäivähyökkäysohjelmat. Myöskään nollapäivähyökkäys ei vanhene käytössä vaan sitä voi käyttää uudelleen ja uudelleen, kunnes se "vuotaa" valmistajien ja/tai tietoturvatuotefirmojen tietoon, jonka jälkeen se on ihan tavallinen tunnettu haavoittuvuus. Nollapäivähaavoittuvuuksia etsitään Fuzzereilla, eli Sotkijoilla. ;) Lisätietoja: www.codenomicon.com/unknown/

  2. Juha-Matti Laurio, 23. Helmikuuta 2011

    Kiitos kommentista. Olemme kuitenkin hieman eri mieltä haavoittuvuuksien julkaisuun liittyen. Nollapäivähaavoittuvuuksia julkaistaan myös esim. postituslistoilla tieten tahtoen, joten kaikki nollapäiväaukot eivät ole vain hiljaisesti verkkorikollisten käytössä, vaan niiden olemassaolo halutaan julkistaa. Tarkoitamme siis sitä, että aina nollapäiväaukkojen olemassaoloa ja hyväksikäyttöä ei haluta pitää salassa. On totta, että tietoturvatuotteiden (mm. virustorjunta) varaan ei kannata liikaa tuudittautua nollapäivähaavoittuvuuden hyväksikäytön alettua. Ikävä tosiasia on tuo toteamasi fakta, että nollapäivähaavoittuvuutta voidaan käyttää uudelleen ja uudelleen pitkäänkin.

  3. Pekka Sillanpää, 24. Helmikuuta 2011

    Oleellista tässä on, että haavoittuvuutta hyödynnetään ennen kuin pätsi on olemassa. Juha-Matti viitannee julkitulolla siihen, onko haavoittuvuus tullut julki kehittäjälle ja ns. yleiseen tietoon. Rikollisten tiedossa se on voinut olla pitkään tätä ennenkin. Fuzzaus on yksi tapa löytää entuudestaan tuntemattomia haavoittuvuuksia, mutta onko kyseessä nollapäivähaavoittuvuus, jos sille ei ole nollapäivähyökkäystä olemassa? :)

Kirjoita kommentti