Co to jest atak zero dni?
Atak zero-day (zwany również Day Zero) to atak wykorzystujący potencjalnie poważne słabości bezpieczeństwa oprogramowania, o których producent lub programista może nie wiedzieć. Twórca oprogramowania musi spieszyć się z usunięciem słabości, gdy tylko zostanie wykryta, aby ograniczyć zagrożenie dla użytkowników oprogramowania. Rozwiązanie nazywa się łatką oprogramowania. Ataki zero-day mogą być również wykorzystywane do atakowania Internetu przedmiotów (IoT).
Atak „zero-day” pochodzi od liczby dni, w których programista wiedział o problemie.
Wyjaśnienie ataku zerowego
Atak typu zero-day może obejmować złośliwe oprogramowanie, oprogramowanie szpiegujące lub nieautoryzowany dostęp do informacji użytkownika. Użytkownicy mogą zabezpieczyć się przed atakami zero-day, ustawiając swoje oprogramowanie - w tym systemy operacyjne, oprogramowanie antywirusowe i przeglądarki internetowe - na aktualizację automatyczną i niezwłocznie instalując wszelkie zalecane aktualizacje poza regularnie zaplanowanymi aktualizacjami. To powiedziawszy, posiadanie zaktualizowanego oprogramowania antywirusowego niekoniecznie chroni użytkownika przed atakiem zero-day, ponieważ dopóki luka w oprogramowaniu nie zostanie publicznie znana, oprogramowanie antywirusowe może nie mieć możliwości jej wykrycia. Systemy zapobiegania włamaniom hosta pomagają również chronić przed atakami zero-day, zapobiegając włamaniom i je chroniąc oraz chroniąc dane.
Pomyśl o wrażliwości na zero dni jako o otwartych drzwiach samochodu, które według właściciela są zamknięte, ale złodziej odkrywa. Złodziej może dostać się w niewykrywalny sposób i ukraść przedmioty z schowka lub bagażnika właściciela samochodu, które mogą nie zostać zauważone dopiero po kilku dniach, gdy szkody już zostaną wyrządzone, a złodzieja już dawno nie ma.
Luki zero-day znane są z tego, że są wykorzystywane przez hakerów kryminalnych, ale mogą być również wykorzystywane przez rządowe agencje bezpieczeństwa, które chcą wykorzystać je do inwigilacji lub ataków. W rzeczywistości istnieje tak duże zapotrzebowanie na luki w zerowych atakach ze strony rządowych agencji bezpieczeństwa, że pomagają one napędzać rynek w zakresie kupowania i sprzedawania informacji o tych lukach i sposobów ich wykorzystania.
Exploity zero-dniowe mogą być ujawniane publicznie, ujawniane wyłącznie dostawcy oprogramowania lub sprzedawane stronom trzecim. Jeśli są sprzedawane, mogą być sprzedawane z wyłącznymi prawami lub bez nich. Najlepszym rozwiązaniem luki w zabezpieczeniach, z punktu widzenia odpowiedzialnego za nią producenta oprogramowania, jest etyczny haker lub biały kapelusz, który prywatnie ujawni lukę firmie, aby można ją było naprawić, zanim wykryją ją hakerzy kryminalni. Jednak w niektórych przypadkach więcej niż jedna strona musi usunąć lukę, aby ją w pełni rozwiązać, więc całkowite ujawnienie może być niemożliwe.
Na ciemnym rynku informacji zero-day hakerzy kryminalni wymieniają szczegółowe informacje o tym, jak przebić się przez wrażliwe oprogramowanie, aby ukraść cenne informacje. Na szarym rynku badacze i firmy sprzedają informacje do wojska, agencji wywiadowczych i organów ścigania. Na białym rynku firmy płacą białym hakerom lub badaczom bezpieczeństwa w celu wykrycia i ujawnienia luk w zabezpieczeniach oprogramowania dla programistów, aby mogli naprawić problemy, zanim hakerzy przestępcy je znajdą.
W zależności od kupującego, sprzedającego i przydatności, informacja o zerowym dniu może być warta kilka tysięcy do kilkuset tysięcy dolarów, co czyni potencjalnie intratnym rynkiem udział. Przed sfinalizowaniem transakcji sprzedawca powinien przedstawić dowód -of-concept (PoC) w celu potwierdzenia istnienia exploita zero-day. Dla tych, którzy chcą wymienić niewykryte informacje o zerowym dniu, sieć Tor pozwala na anonimowe przeprowadzanie transakcji z zerowym dniem za pomocą Bitcoin.
Ataki w dzień zero mogą stanowić mniejsze zagrożenie, niż się wydaje. Rządy mogą mieć łatwiejsze sposoby szpiegowania swoich obywateli, a zero dni może nie być najskuteczniejszym sposobem wykorzystywania przedsiębiorstw lub osób fizycznych. Atak musi być rozmieszczony strategicznie i bez wiedzy celu, aby uzyskać maksymalny efekt. Wykonanie ataku zero-dniowego na miliony komputerów jednocześnie może ujawnić istnienie luki i uzyskać łatkę zbyt szybko wydaną, aby atakujący osiągnęli swój ostateczny cel.
Przykłady ataków Zero Day
W kwietniu 2017 r. Microsoft został poinformowany o ataku zero-dniowym na swoje oprogramowanie Microsoft Word. Atakujący wykorzystali złośliwe oprogramowanie o nazwie trojan bankowy Dridex, aby wykorzystać wrażliwą i niezałataną wersję oprogramowania. Trojan pozwalał atakującym na osadzanie złośliwego kodu w dokumentach Word, które są automatycznie uruchamiane po otwarciu dokumentów. Atak został wykryty przez dostawcę oprogramowania antywirusowego McAfee, który powiadomił Microsoft o zainfekowanym oprogramowaniu. Chociaż atak zerowy został odkryty w kwietniu, miliony użytkowników były już celem od stycznia.
