Nollapäivähaavoittuvuus
Nollapäivähaavoittuvuus (engl. zero-day vulnerability/attack/threat, 0-day) tarkoittaa tietoturva-aukkoa, jolle ei ole olemassa korjausta, mutta haavoittuvuudelle on olemassa hyväksikäyttömenetelmä. Nollapäivän aukko syntyy, kun joko tietoturva-aukon löytäjä julkaisee tiedot samalla kun ilmoittaa aukosta ohjelman kehittäjille, ei ilmoita siitä ollenkaan, tai kun tietoturva-aukkoa ei paikata ilmoituksesta huolimatta.
Nimitys tulee siitä montako päivää haavoittuvuuden löytymisen jälkeen aukkoa hyödyntävä hyväksikäyttömenetelmä julkaistaan. Hyvillä aikeilla liikkuva hakkeri ilmoittaa tietoturva-aukosta ohjelman kehittäjälle ja tiedot siitä julkaistaan vasta kun paikkaus tai päivitys on saatavilla.[1]
Normaalisti ohjelman kehittäjä julkistaa tiedot aukosta samaan aikaan kuin korjauksen, jolloin krakkerit alkavat kehittää sitä hyödyntäviä murto-ohjelmia perustuen julkaistuun tietoon tai analysoimalla paikkatiedostoa. Se kuinka nopeasti murto-ohjelma julkaistaan, lasketaan päivissä. Jos haavoittuvuus on uusi, monet käyttäjät eivät ole ehtineet päivittää ja testata järjestelmiään ennen tietoturva-aukkoa hyödyntävän ohjelman julkaisua.
Tietoa ohjelmien haavoittuvuuksista julkaistaan mm. Bugtraq-sähköpostilistalla, jolla julkaistaan myös aukkoja hyödyntäviä ohjelmia. Listan perustaja Elias Levy eli Aleph One perusteli tätä sillä, että ohjelmien valmistajat eivät julkaisseet päivityksiä ohjelmiinsa, vaikka heille oli lähetetty tieto olemassa olevista bugeista. Sähköpostilistan osti vuonna 1999 SecurityFocus, jonka osti vuonna 2002 Symantec. Osa tilaajista protestoi tätä ja perusti uuden Full-Disclosure-listan.
Nollapäivän aukkoa hyödyntävä haittakoodi[muokkaa | muokkaa wikitekstiä]
Nollapäivän aukkoa hyödyntävä haittakoodi (zero-day exploit) on tietoturva-aukkoa hyväksikäyttävä koodi, joka julkaistaan samana päivänä kuin nollapäivän aukko. Julkaistu haittakoodi saattaa olla vain demonstraatio aukosta (proof of concept) tai haittaohjelma, joka hyödyntää tietoturva-aukkoa.