Využívat

Exploit ( English využít zneužít ‚) je v elektronické zpracování dat využívat systematický způsob, zranitelnosti v rozvoji programu vznikl. Pomocí programových kódů jsou využívány bezpečnostní mezery a poruchy programů (nebo celých systémů), většinou za účelem získání přístupu ke zdrojům nebo k proniknutí do počítačových systémů nebo k jejich narušení. Zneužití nulového dne je zneužití bezpečnostní díry, pro kterou zatím není u výrobce komponenty k dispozici oprava.

Všeobecné

Využití je často jen vyvinuty a zdokumentovány odhalit mezeru zabezpečení. Cílem je umožnit výrobcům softwaru rychleji rozpoznat a odstranit bezpečnostní mezeru. Pouhý popis zneužití se často označuje jako zneužití.

Například exploity využívají výhody skutečnosti, že počítače s architekturou Von Neumann - téměř všechny domácí a kancelářské počítače - nerozlišují mezi programovým kódem a uživatelskými daty. Například v případě přetečení vyrovnávací paměti se kód útočníka zapíše do oblasti paměti, která není pro tento účel určena, což může manipulovat s prováděním aplikace. Další možností jsou útoky na formátovací řetězce , při nichž se nefiltrovaný vstup uživatele předává formátovacím funkcím, jako je printf(). Útočník může často spustit svůj vlastní kód, který mu například poskytne prostředí s právy zneužité aplikace.

klasifikace

Exploity se obvykle označují takto:

• Místní exploity
• Vzdálené zneužití
• DoS využívá
• Využití výkonu příkazu
• Využívá SQL injection
• Využití nulového dne

Aspekt typu útoku

Místní exploity

Místní zneužití lze aktivovat při otevření zdánlivě zcela neškodných souborů (např. Dokumentů Office ), pokud má aplikace přiřazená danému typu souboru bezpečnostní díru kvůli nesprávnému nebo nesprávnému zpracování souboru. Většinou se exploit (například v dokumentu PDF nebo jako makro v souboru Word nebo Excel) nejprve pokusí zneužít bezpečnostní díry v programu, který byl použit ke čtení souboru, aby se dosáhlo vyšší úrovně oprávnění a tak převést škodlivý kód na zatížení a spustit operační systém. Skutečná akce, kterou exploit provádí, je známá jako užitečné zatížení . U mnoha exploit frameworků (například Metasploit ) lze užitečné zatížení konfigurovat samostatně. Může však být také pevně zakotven v exploitu.

Vzdálené zneužití

Aktivní formou zneužití jsou útoky z internetu využívající manipulované datové pakety nebo speciální datové toky na slabá místa v síťovém softwaru. Takové exploity se někdy označují jako vzdálené exploity.

Využije se odmítnutí služby

První zneužití publikovaná pro známou bezpečnostní díru jsou obvykle takzvaná zneužití DoS , která přetížejí příslušnou aplikaci , ale nezahrnují provádění programového kódu třetí strany a žádnou eskalaci oprávnění .

Využití výkonu příkazu

Využití výkonu příkazu charakterizuje charakteristiku provádění programového kódu v cílovém systému, který může být útočníkem ovládán. Aby bylo možné takové zneužití úspěšně provést, musí programátor vědět o různých zvláštnostech alokace paměti cílové aplikace. Tyto znalosti získává prostřednictvím otevřených zdrojů programového kódu nebo pouhým testováním. Musí chytře umístit svůj kód, aby jej mohl spustit. Vykořisťování při provádění příkazů je obvykle velmi nebezpečné, protože příslušné aplikace mají obvykle značná práva v systému a kód útočníka je spuštěn právě s těmito právy.

Využívá SQL injection

SQL injection -Exploits jsou zvláštní druh zneužití a hlavně najít použití ve webových aplikacích, že SQL - databáze užití, protože jsou velmi snadno dostupné na internetu, ale je možné v zásadě pro každou aplikaci, která přistupuje k databázi SQL, přičemž nebezpečný. V tomto případě jsou požadavky vytvářeny v architektuře vrstev takovým způsobem, že nesprávně nebo nesprávně fungující prezentační vrstva vrací nebo zapisuje data, která by neměla zpřístupnit pro přístup pro čtení nebo zápis. Například položky ve přihlašovacím formuláři mohou být navrženy takovým způsobem, že se příslušná aplikace stále úspěšně přihlašuje k neplatnému uživateli nebo mohou být z databáze konkrétně vygenerována datová pole, aby např. B. na výstup hesla nebo e-mailové adresy všech registrovaných uživatelů. Pokud uživatelské vstupy v programových rozhraních nejsou dostatečně zkontrolovány na platnost (např. Že neobsahují žádné příkazy SQL nebo jejich části) a jsou filtrovány, může vzniknout mezera pro vložení SQL.

Příklady

• V říjnu 2014 bylo možné k síti Sony Playstation přistupovat pomocí mezery pro vkládání SQL, aby bylo možné číst údaje o zákaznících.
• Populární blogový systém a systém pro správu obsahu WordPress byl zasažen chybou zabezpečení injektáží SQL v analytickém doplňku Slimstat, jak objevil bezpečnostní expert Marc-Alexandre Montpas v únoru 2015. Tím bylo více než milion webů vystaveno riziku hackerství .

Časový interval aspektu

Zero-day exploit

Zneužití nulového dne je zneužití, které se používá před tím, než je patch k dispozici jako protiopatření. Vývojáři proto nemají čas („0 dní“, anglicky nultý den ) na zdokonalení softwaru, aby zneužití nebylo na ochranu uživatelů účinné. Pokud osoba zjistí bezpečnostní mezeru a nehlásí to výrobci softwaru, ale vyvine zneužití, aby ji zneužívala, je zranitelnost softwaru známá až dlouho po prvním útoku. Z hackerů jsou zneužití nultého dne s radostí drženy v tajnosti, aby je mohli zneužít na dlouho. Mimo veřejnost se zneužití nulového dne obchoduje mezi hackery nebo se nabízí výrobci za velké částky peněz. Ceny se od roku 2012 zvýšily zhruba desetkrát. Od té doby, co vládní orgány připravují útočné scénáře kybernetické války , se právní vláda a organizace soukromého sektoru snaží identifikovat exploity za účelem zabezpečení systémů vydáváním oprav - nebo být schopny poškodit nepřátelské systémy.

Jako preventivní opatření se odborníci snaží předem zjistit mezery v zabezpečení a identifikovat výrobce softwaru. To je v odborných kruzích někdy kritizováno, protože testeři někdy porušují zákony nebo pokyny výrobce.

Příklady

• Zero-day exploits jsou stále častější kvůli rostoucí složitosti softwaru a rostoucím cenám. V srpnu 2012 byl vydán exploit, který snadno vypnul správce zabezpečení Java . To umožnilo spuštění všech programů.
• Téměř všechny verze systému Windows byly v říjnu 2014 ovlivněny chybou zabezpečení nulového dne v dokumentech Microsoft Office .
• V listopadu 2014 se objevily náznaky, že BND kupuje zneužití nulového dne za účelem zachycení šifrování SSL . Funkční využití nulového dne pro široce používané programy, jako je Internet Explorer , Flash , Android nebo iOS, stojí až 100 000 USD. Předpokládá se, že v roce 2015 bylo na nákup (pod krycím názvem „Swop“) poskytnuto až 4,5 milionu eur.
• Pracovní skupina prezidia „Ochrana dat a bezpečnost IT“ Gesellschaft für Informatik kritizovala skutečnost, že BSI by měla shromažďovat zneužití nulového dne, ale nemusí je zveřejňovat. Pokud by to nebylo zveřejněno, německé společnosti a soukromé osoby by byly bez ochrany vystaveny IT útokům a společnostem by hrozily ztráty ve výši miliard eur.
• Google zveřejnil dokumentaci všech explozí nulového dne, které jsou veřejnosti známé od roku 2014.

Protiopatření

Ochrana paměti je často zmiňována jako protiopatření. To však není správné, protože zmrazené paměti lze číst pomocí různých programů. Podobně lze útok založený na stávajících funkcích detekovat pomocí systémů detekce narušení nebo mu také zabránit pomocí systémů prevence narušení ; Takový systém však nechrání ani proti zneužití systematické neznámé chyby v softwaru. Základním problémem je často nesprávné programování (např. Kvůli použití visících ukazatelů ) nebo, a to je ještě obtížnější objevit, systematická, obvykle velmi složitá chyba v architektuře programu nebo celého systému. Jediným řešením těchto problémů by bylo vyhnout se bezpečnostním mezerám způsobeným chybami zpracování během vývoje, což je u dnešních systémů prakticky nemožné. Spravovaný kód nabízí určitou ochranu; to účinně zabraňuje například přetečení vyrovnávací paměti . Toto je však jen částečné řešení celkového problému. Složité systémy, které sestavují různí výrobci a subdodavatelé, se skládají z mnoha vrstev hardwaru a softwaru, což ztěžuje nalezení slabých míst během vývoje. Proto hledání slabých míst obvykle pokračuje během provozu, dlouho po fázi beta. Toto hledání je existenčně důležité v extrémně kritických systémech, kde jde o lidské životy, např. B. v automobilech, vlacích, letadlech a lodích, které všechny obsahují software (většinou ve formě firmwaru ), na který lze v zásadě zaútočit.

Příklady

• Na konferenci Blackhat Conference 2014 byla zkoumána hackovatelnost 21 současných vozidel. Výsledek: Bluetooth vysílače, rádiové signály z centrálního zamykání , poplašné systémy , systémy sledování tlaku v pneumatikách , připojení k internetu a infotainment - aplikace jsou obzvláště ohroženy jako přístup; existuje riziko, že by auto mohlo být dálkově ovládáno hackery.

• Hackování Jeepu Cherokee ukázalo, že vyšetřování na hackerské konferenci na Blackhat Conference nebylo jen teoretické . Bezpečnostní experti Charlie Miller a Chris Valasek dokázali převzít kontrolu nad takovým džípem prostřednictvím slabého místa v systému infotainmentu přes internet. Na dálku bylo možné ovládat brzdy, akceleraci, zamykání dveří, klimatizaci a stěrače. V opačném směru bylo dokonce možné ovládat volant na dálku. Rovněž by mělo být možné určit přesnou polohu napadeného vozidla bez souhlasu vlastníka vozidla . Tento slabý bod byl nyní odstraněn aktualizací , kterou však musí nainstalovat majitel vozidla pomocí USB klíče nebo v servisu.

Viz také

• Cracker (zabezpečení počítače)
• Hackeři (počítačová bezpečnost)
• Přetečení zásobníku
• Shellcode
• Metasploit
• Černá díra

Individuální důkazy

1. ↑ Tatort Internet - PDF s časovanou bombou - Heise Security . Citováno 15. února 2013.
2. ↑ Využívání PDF pro Adobe Reader . Anonymní. Archivovány od originálu 6. ledna 2014. Informace: Odkaz na archiv byl automaticky vložen a dosud nebyl zkontrolován. Zkontrolujte prosím původní a archivovaný odkaz podle pokynů a poté toto oznámení odstraňte. Citováno 16. února 2013. @ 1@ 2Šablona: Webachiv / IABot / pastie.org
3. ↑ Celková virová analýza zneužití . Citováno 16. února 2013.
4. ^ Vložení SQL . PHP.net. Citováno 19. srpna 2011.
5. ↑ „Významné zvýšení útoků SQL Injection“. In: „Heise Security“. Získaný 14. ledna 2015 . 
6. ^ „Smrtící injekce“. In: „Heise Security“. Získaný 14. ledna 2015 . 
7. ↑ „Zranitelnost umožňuje přístup k údajům o zákaznících společnosti Sony“. In: „Golem.de“. Získaný 14. ledna 2015 . 
8. ↑ Björn Greif: „Více než milion webů WordPress ohrožených zranitelnostmi injekcí SQL“. In: „ZDNet“. 25. února 2015, zpřístupněno 18. listopadu 2015 . 
9. ↑ Zero-day exploit. (Již není k dispozici online.) V: „Viruslist.com“. Archivovány od originálu 2. února 2012 ; Citováno 18. listopadu 2011 . Info: Odkaz na archiv byl vložen automaticky a ještě nebyl zkontrolován. Zkontrolujte prosím původní a archivovaný odkaz podle pokynů a poté toto oznámení odstraňte. @ 1@ 2Šablona: Webachiv / IABot / www.viruslist.com 
10. ↑ Trh legitimní zranitelnosti (PDF; 289 kB) Nezávislí hodnotitelé zabezpečení, Charles Miller. Archivovány od originálu 24. března 2012. Informace: Odkaz na archiv byl vložen automaticky a dosud nebyl zkontrolován. Zkontrolujte prosím původní a archivovaný odkaz podle pokynů a poté toto oznámení odstraňte. Citováno 18. listopadu 2011. @ 1@ 2Šablona: Webachiv / IABot / securityevaluators.com
11. ↑ Patrick Beuth: Perfektní hack na iPhone stojí dva miliony dolarů , SPIEGEL online od 10. února 2018
12. ↑ Tom Simonite: Vítejte v Malware-Industrial Complex , MIT Technology Review, 13. února 2013
13. ↑ Metasploit rozdává odměny za exploity . Horký. Citováno 18. listopadu 2011.
14. ↑ Archive link ( Memento v originálu od 17. února 2013 do internetového archivu ) Info: archiv odkaz se automaticky vloží a dosud nebyl zkontrolován. Zkontrolujte prosím původní a archivovaný odkaz podle pokynů a poté toto oznámení odstraňte. @ 1@ 2Šablona: Webachiv / IABot / pastie.org
15. ↑ „Sopečná erupce na Javě - Java 0 Day exploit pod mikroskopem“. In: „Heise Security“. Získaný 14. ledna 2015 . 
16. ↑ „Analýza Java dne (CVE-2012 až 4681)“. In: „Imunitní produkty“. Citováno 7. února 2013 . 
17. ↑ „Zero-Day Gap ve Windows“. In: „Heise Security“. Citováno 24. října 2014 . 
18. ↑ „Poslech SSL: Kritika plánů BND na zneužití nulového dne“. In: „Heise Security“. Citováno 11. listopadu 2014 . 
19. ↑ „Zákon o bezpečnosti IT vytváří nejistotu“. In: „Společnost pro informatiku“. Citováno 19. listopadu 2014 . 
20. ↑ „0 dní ve volné přírodě“. In: Google Project Zero. Citováno 15. května 2019 . 
21. ↑ „Black Hat: Útoky na letadla, vlaky a automobily“. In: „Kaspersky lab daily“. Citováno 25. listopadu 2014 . 
22. ↑ „Hackerské útoky na automobily - dálkové ovládání přes notebook: S těmito modely automobilů se snadno manipuluje“. In: „Zaměření“. Citováno 4. prosince 2014 . 
23. ↑ Ronald Eikenberg: „Hackeři ovládají Jeep Cherokee na dálku“. In: „Heise Security“. 22. července 2015, přístup k 16. listopadu 2015 . 
24. ^ "Andy Greenberg": "Hackeři vzdáleně zabijí džíp na dálnici - se mnou v něm". In: „Wired.com“. 21. července 2015, zpřístupněno 16. listopadu 2015 .