Czym jest atak zero-day?

Atak, który wykorzystuje lukę w oprogramowaniu, zanim twórca oprogramowania ma szansę ją naprawić, nazywany jest atakiem zero-day.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Również dla Windows, iOS, Android, Chromebook i Dla biznesu

Być może nie myślisz dwa razy o oprogramowaniu, którego używasz do uruchamiania komputerów i urządzeń, ale za interfejsem kryje się bardzo złożony kod, którego napisanie i dopracowanie mogło zająć lata dużemu zespołowi programistów. Pomimo ich najlepszych starań, programiści mogą przeoczyć wady oprogramowania. Podczas gdy niektóre wady wpływają jedynie na komfort użytkowania, inne są znacznie poważniejsze.  

Luka zero-day to każda luka w oprogramowaniu, którą mogą wykorzystać hakerzy, a która nie ma jeszcze łatki. Twórcy oprogramowania mogą albo nie wiedzieć o słabości, opracowują dla niej poprawkę, albo ją ignorują. Jak można sobie wyobrazić, taka luka może skutkować krytycznym naruszeniem cyberbezpieczeństwa.

Dlaczego nazywa się to zero-day?

Wiele osób chce wiedzieć, dlaczego eksperci nazywają ten rodzaj exploita komputerowego luką zero-day, a nie czymkolwiek innym. Trzeba przyznać, że za tą nazwą kryje się odrobina sarkazmu. Ludzie w świecie komputerów nazywają to atakiem zero -day - ponieważ twórcy oprogramowania mają zero dni na reakcję po tym, jak hakerzy go wykorzystają. To trochę tak, jakby zamknąć drzwi stodoły po tym, jak wilk już wszedł do środka. Jasne, można zapobiec przyszłym atakom, ale to niewielka pociecha dla zaginionej owcy.  

Po upublicznieniu luki zero-day nie jest to już luka zero-day - to po prostu luka. Zazwyczaj producenci pracują w pocie czoła, aby opracować łatkę naprawiającą słabość, gdy tylko się o niej dowiedzą.

Jak wykrywane są błędy zero-day?

Ponieważ producenci pracują w nadgodzinach, aby zminimalizować luki w zabezpieczeniach, aktualizacje oprogramowania będą pojawiać się dość regularnie. Czasami aktualizacje zabezpieczeń pojawiają się nawet tego samego dnia, w którym debiutuje oprogramowanie. Chociaż programiści lubią znajdować luki w zabezpieczeniach wewnętrznie, nie mają też nic przeciwko pomocy z zewnątrz. 

Hakerzy w białych kapeluszach

White hat hacker to archaiczne określenie etycznego hakera. Firmy zatrudniają takich specjalistów w celu zwiększenia bezpieczeństwa sieci. Identyfikacja potencjalnych błędów zero-day może być częścią ich pracy.

Hakerzy w szarych kapeluszach

Hakerzy typu grey hat są podobni do białych kapeluszy, z tą różnicą, że nie pracują oficjalnie. Tacy hakerzy mogą próbować znaleźć błędy dnia zerowego w nadziei na zdobycie pracy w firmie, zdobycie rozgłosu lub po prostu dla rozrywki. Haker w szarym kapeluszu nigdy nie wykorzystuje odkrytych błędów. Przykładem jest sytuacja, w której haker wykorzystał lukę w platformie kryptowalutowej Poly Network, aby przejąć tokeny o wartości 600 milionów dolarów, a następnie zwrócić tę kwotę.

Konkursy

Wiele firm programistycznych organizuje wydarzenia hakerskie i płaci hakerom gotówkę i nagrody za znalezienie exploitów. Tutaj hakerzy znajdują luki w systemach operacyjnych, przeglądarkach internetowych i aplikacjach na urządzenia mobilne i komputery. Niedawnym tego przykładem jest sytuacja, w której dwóch holenderskich specjalistów ds. bezpieczeństwa zgarnęło 200 000 dolarów za odkrycie Zoom zero-day na Pwn2Own.

Badacze

Badacze z firm zajmujących się cyberbezpieczeństwem, takich jak Malwarebytes , szukają exploitów w ramach swojej pracy. Gdy badacze znajdą exploit przed cyberprzestępcami, zwykle zgłaszają go producentom przed upublicznieniem. Dając producentom przewagę, badacze mogą zminimalizować szanse hakerów na przeprowadzenie ataków typu zero-day.

Jak wykrywane są ataki zero-day?

Użytkownik oprogramowania zdaje sobie sprawę, że jest celem ataku zero-day, gdy jego system zachowuje się nietypowo lub gdy haker wykorzystuje exploit do upuszczenia groźnego złośliwego oprogramowania, takiego jak ransomware. Badacze mogą również odkryć atak zero-day po jakimś wydarzeniu. Na przykład, po sponsorowanym przez państwo ataku Stuxnet na Iran, badacze na całym świecie zdali sobie sprawę, że był to atak robaka zero-day. Czasami atak zero-day jest rozpoznawany przez producenta po tym, jak klient zgłasza nietypową aktywność.

Czy ataki zero-day są powszechne?

Ataki typu zero-day, takie jak atak robaka Stuxnet, mają określone cele i nie wpływają na zwykłych użytkowników komputerów. Tymczasem renomowane firmy, takie jak Microsoft, Apple i Google, zwykle naprawiają ataki typu zero-day tak szybko, jak to możliwe, aby chronić swoją reputację i użytkowników. Często zdarza się, że poprawka pojawia się zanim przeciętny użytkownik zostanie nią dotknięty. Mimo to, zero-days nie powinny być lekceważone, ponieważ ich wpływ może być poważnie szkodliwy.

Jak dochodzi do ataku zero-day?

  • Identyfikacja: Hakerzy znajdują niezgłoszone luki w oprogramowaniu poprzez testowanie lub zakupy na czarnych rynkach w podziemiach Internetu, takich jak Dark Web.
  • Tworzenie: Aktorzy zagrożeń tworzą zestawy, skrypty lub procesy, które mogą wykorzystywać nowo znalezione luki w zabezpieczeniach.
  • Inteligencja: Atakujący mają już upatrzony cel lub używają narzędzi takich jak boty, sondy lub skanery, aby znaleźć opłacalne cele z systemami, które można wykorzystać.
  • Planowanie: Hakerzy oceniają siłę i słabości swojego celu przed rozpoczęciem ataku. Mogą wykorzystywać inżynierię społeczną, szpiegów lub inną taktykę, aby przeniknąć do systemu.  
  • Wykonanie: Mając wszystko na miejscu, atakujący wdrażają swoje złośliwe oprogramowanie i wykorzystują lukę w zabezpieczeniach.

Jak złagodzić ataki zero-day

Powstrzymanie atakujących przed wykorzystaniem nieznanych luk w zabezpieczeniach w celu włamania się do systemu jest niewątpliwie wyzwaniem. Kluczowe znaczenie ma zamknięcie wektorów zagrożeń, które mogą zostać wykorzystane do infiltracji sieci za pomocą warstw zabezpieczeń i bezpieczniejszych praktyk. Oto kilka wskazówek, które mogą pomóc w wykrywaniu i zapobieganiu nieznanym zagrożeniom:

  • Nie używaj starego oprogramowania. Hakerzy mogą łatwiej tworzyć exploity dla oprogramowania, którego producent już nie wspiera.
  • Korzystaj z zaawansowanych narzędzi antywirusowych z funkcjami uczenia maszynowego, wykrywania behawioralnego i ograniczania exploitów. Takie funkcje mogą pomóc narzędziom cyberbezpieczeństwa powstrzymać zagrożenia o nieznanych sygnaturach.
  • W spółkach:
    • Przeszkol pracowników w zakresie identyfikacji ataków socjotechnicznych, takich jak spear-phishing, które hakerzy mogą wykorzystać jako wektor ataku.
    • Zastosuj rozwiązania Endpoint Detection and Response (EDR) do monitorowania i zabezpieczania punktów końcowych.
    • Zwiększ bezpieczeństwo sieci dzięki zaporom sieciowym, prywatnym sieciom VPN i protokołowi IPsec.
    • Segmentuj swoje sieci za pomocą solidnych mechanizmów kontroli dostępu do sieci.

Wiadomości na temat dni zerowych