什么是零日网络攻击?

如果你关注网络安全问题，你会经常听到一个术语，那就是零日攻击或零日漏洞。这个名字听起来很可怕，也应该如此。它指定了黑客在网络或产品中发现的可被利用的漏洞，而负责保护系统的其他人不知道这些漏洞。

如果微软得知Windows系统存在漏洞，该公司将开始寻找改变程序代码或打补丁的方法来消除问题。与此同时，它可能会公布该漏洞，以便用户可以确定他们是否存在风险，并采取其他适当的行动来建立其他防御，直到问题得到修补。在发现问题并通知用户之前，黑客可以利用该漏洞。在这种情况下，这个特定的术语意味着辩护人没有任何时间来开发解决方案。

这里有一个非技术性的例子:假设你们工厂的许多电器柜和重要设备都是用Whizzo Lock公司的组合挂锁锁住的。那家公司有很好的声誉，或者至少你是这么认为的，所以你相信那些锁是有效的保护。

但假设某个有犯罪倾向的聪明人开始研究这些锁，甚至买了同样的模型并进行解剖。为了便于说明，他惊奇地发现，所有这些锁除了正常的组合外，还有一个内置的主组合。奇才的设计使公司的服务人员可以使用这个秘密组合来打开任何锁。用户并不知道这一功能，因此也不会试图进行防御，因为该公司只让非常精选的一组人知道它。这类似于具有硬编码的用户名和密码的PLC，这些用户名和密码已内置到设备中，但未包含在文档中，实际上是用于服务的特殊“后门”。

或者，作为第二种可能性，假设犯罪分析人员查看一组锁，并发现序列号实际上给出了组合，如果您知道如何解码它。所以如果有人想要撬开它，就能打开锁并读取数字，他可以把数字放入计算器，然后乘以秘密因子，就能得到密码。同样，出于显而易见的原因，该公司没有告诉公众这一点。这类似于具有硬编码密码的服务器，该密码可以从MAC地址派生出来。

第三种可能是，也许他发现了机械上的弱点。在查看了内部结构后，他发现，当表盘设置为39时，用撬棍撬开锁不会太麻烦。这不是故意的;这只是制造商没有意识到的一个小设计缺陷。这类似于编程缺陷或硬件特性，允许黑客入侵或以其他方式造成破坏。

还有其他攻击载体，严格来说不是零日攻击，但可以完成任务。第四种可能是，也许用户公司购买的锁的所有组合都是一样的，这样工人就不必记住多个组合了。罪犯看着eBay，然后买了一件该公司出售的剩余设备，锁还在，然后通过这种方式得到了组合。这类似于出售使用过的plc或其他编程、数据和密码完好无损的设备。不幸的是，这是一种非常普遍的做法。

所有这些都代表了在各种类型的工业网络硬件和设备或用户实践中发现的特定弱点。如果罪犯知道他们，但用户不知道，这实际上是一个零日的情况。

这就引出了一个与安全性相关的更大的问题，我们已经在其他上下文中讨论过了。正如Matt Luallen在7月份关于移动计算问题的封面故事中所讨论的那样，所有的防御措施都需要一定程度的信任。如果这种信任失败了，这种防御措施就不能提供它应该提供的保护。如果足够多的防御措施失败，坏人就会控制网络。当措施因为零日漏洞而失败时，你不知道他是如何通过你的防御的。让您感到些许安慰的是，一旦在其他人被黑客攻击后发现了这些问题，用户可以采取适当的措施，或者至少他们应该在遭受同样的命运之前采取适当的措施。不幸的是，已发现但未修复的漏洞继续提供攻击载体。

彼得·韦兰德是一名内容经理控制工程．联络他的地址是pwelander@cfemedia.com

本文最初发表于2012年8月控制工程问题。

在线

阅读下面关于网络安全的更多信息。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。