Możesz nie zastanawiać się dwa razy nad oprogramowaniem, które używasz do obsługi komputerów i urządzeń, ale za interfejsem kryje się bardzo złożony kod, który mógł zająć duży zespołowi programistów lata pisania i doskonalenia. Mimo ich najlepszych starań, deweloperzy mogą przeoczyć wady w oprogramowaniu. Podczas gdy niektóre wady wpływają tylko na doświadczenie użytkownika, inne są znacznie poważniejsze.
Luka zero-day to każda luka w oprogramowaniu, którą mogą wykorzystać hakerzy i która nie ma jeszcze poprawek. Deweloperzy mogą nie wiedzieć o jej istnieniu, pracują nad rozwiązaniem problemu lub ignorują ją. Jak można sobie wyobrazić, taka luka może prowadzić do poważnego naruszenia bezpieczeństwa cybernetycznego.
Dlaczego nazywa się go zero-day?
Wielu ludzi chce wiedzieć, dlaczego eksperci nazywają ten typ eksploitu komputerowego luką zero-day, a nie inaczej. Przyznajemy, że w nazwie tkwi odrobina sarkazmu. W świecie komputerowym mówi się o ataku zero-day—ponieważ twórcy oprogramowania mają zero dni na reakcję po tym, jak hakerzy to wykorzystają. To trochę jak zamykanie stodoły po tym, jak wilk już wszedł. Oczywiście można zapobiec przyszłym atakom, ale to niewielkie pocieszenie dla brakujących owiec.
Po ujawnieniu luki zero-day, nie jest już ona luką zero-day—po prostu staje się luką. Zazwyczaj producenci pracują w nocy, aby wydać poprawkę naprawiającą problem jak najszybciej.
Jak odkrywane są błędy zero-day?
Z producentami pracującymi na pełnych obrotach, aby zminimalizować luki, zauważysz, że aktualizacje oprogramowania pojawiają się dość regularnie. Czasami aktualizacje zabezpieczeń wydawane są tego samego dnia, co debiut oprogramowania. Podczas gdy deweloperzy lubią znajdować luki w zabezpieczeniach wewnętrznie, nie mają również nic przeciwko pewnej zewnętrznej pomocy.
Hakerzy białego kapelusza
White hat hacker to archaiczne określenie etycznego hakera. Firmy zatrudniają takich specjalistów, aby poprawić bezpieczeństwo sieci. Identyfikowanie potencjalnych błędów zero-day może być częścią pracy.
Hakerzy szarego kapelusza
Hakerzy grey hat są jak white hats, ale nie działają oficjalnie. Tacy hakerzy mogą próbować znaleźć błędy zero-day, aby zdobyć pracę w firmie, zyskać rozgłos lub po prostu dla zabawy. Haker typu grey hat nigdy nie wykorzystuje wykrytych przez siebie wad. Przykładem jest sytuacja, kiedy haker wykorzystał lukę w platformie kryptowalutowej Poly Network, by zabrać tokeny warte 600 milionów dolarów, zanim zwrócił całą sumę.
Konkursy
Wiele firm software'owych organizuje wydarzenia dla hakerów i płaci im gotówkę i nagrody za znalezienie luk. Tutaj hakerzy znajdują wady w systemach operacyjnych, przeglądarkach internetowych i aplikacjach na urządzenia mobilne oraz komputery. Jednym z niedawnych przykładów jest sytuacja, kiedy dwóch holenderskich specjalistów ds. bezpieczeństwa wygrało 200 000 dolarów za odkrycie zera-day w Zoomie na Pwn2Own.
Badacze
Badacze z firm zajmujących się cyberbezpieczeństwem, takich jak Malwarebytes, poszukują exploitów w ramach swojej pracy. Gdy badacze znajdą exploit przed cyberprzestępcami, zwykle zgłaszają go producentom, zanim opublikują informacje. Dając producentom przewagę na starcie, badacze mogą zmniejszyć szanse na to, że hakerzy uruchomią ataki zero-day.
Jak odkrywane są ataki zero-day?
Użytkownik oprogramowania orientuje się, że jest celem ataku zero-day, gdy jego system zachowuje się w nietypowy sposób lub gdy haker wykorzystuje exploit do instalowania groźnego malware jak ransomware. Badacze mogą również odkryć atak zero-day po jego wystąpieniu. Na przykład, po ataku Stuxnet sponsorowanym przez państwo na Iran, badacze na całym świecie zdali sobie sprawę, że był to atak robaka zero-day. Czasami atak zero-day jest rozpoznawany przez producenta po zgłoszeniu przez klienta nietypowej aktywności.
Czy ataki zero-day są częste?
Ataki zero-day jak uderzenie robaka Stuxnet mają konkretne cele i nie wpływają na zwykłych użytkowników komputerów. Tymczasem renomowane firmy jak Microsoft, Apple i Google, zwykle naprawiają zero-days tak szybko, jak to możliwe, aby chronić swoją reputację i swoich użytkowników. Często poprawka jest gotowa, zanim przeciętny użytkownik zostanie dotknięty. Niemniej jednak zero-day nie powinny być lekceważone, ponieważ ich wpływ może być poważnie szkodliwy.
Jak dochodzi do ataku zero-day?
- Identyfikacja: Hakerzy znajdują niezgłoszone luki w oprogramowaniu dzięki testom lub poszukiwanom na czarnym rynku w ciemnych zaułkach Internetu jak Dark Web.
- Tworzenie: Szantażyści tworzą zestawy, skrypty lub procesy, które mogą wykorzystywać nowo odkryte luki.
- Inteligencja: Atakujący mają już wybrany cel lub używają narzędzi jak boty, sondowanie czy skanery, aby znaleźć dochodowe cele z podatnymi systemami.
- Planowanie: Hakerzy oceniają siłę i słabości swojego celu, zanim przeprowadzą atak. Mogą wykorzystać inżynierię społeczną, szpiegów lub inne taktyki, aby infiltrować system.
- Wykonanie: Po przygotowaniu wszystkiego, atakujący wdrażają swoje złośliwe oprogramowanie i wykorzystują lukę.
Jak złagodzić ataki zero-day?
Zatrzymanie atakujących przed wykorzystaniem nieznanych luk, aby włamać się do twojego systemu, jest niewątpliwie wyzwaniem. Ważne jest, aby zamykać wektory zagrożeń, które aktorzy zagrożeń mogą wykorzystać do infiltracji twojej sieci, używając warstw ochrony i bezpiecznych praktyk. Oto kilka wskazówek, które mogą pomóc w wykrywaniu i zapobieganiu nieznanym zagrożeniom:
- Nie używaj starego oprogramowania. Hakerzy mogą łatwiej tworzyć exploity dla oprogramowania, które nie jest już wspierane przez dostawcę.
- Używaj zaawansowanych narzędzi antywirusowych, które zawierają uczenie maszynowe, wykrywanie zachowań i łagodzenie exploitów. Takie funkcje mogą pomóc w powstrzymaniu zagrożeń o nieznanych sygnaturach.
- W firmach:
- Szkol pracowników w identyfikowaniu ataków inżynierii społecznej, takich jak spear-phishing, których hakerzy mogą używać jako wektora ataku.
- Wprowadzaj rozwiązania Endpoint Detection and Response (EDR) do monitorowania i zabezpieczania swoich punktów końcowych.
- Zwiększ bezpieczeństwo sieci za pomocą zapór ogniowych, prywatnych VPN i IPsec.
- Segmentuj swoje sieci za pomocą solidnych kontrol dostępu do sieci.
Aktualności o zero-day
- Log4j zero-day „Log4Shell” pojawia się akurat, by popsuć Ci weekend.
- Luka w Windows Installer staje się aktywnie wykorzystywanym zero-day.
- Aktualizuj teraz! FatPipe VPN zero-day aktywnie wykorzystywany
- Aktualizuj teraz! Microsoft łata aktywnie wykorzystywane zero-days i inne usterki
- Google łata lukę zero-day oraz inne w Androidzie.
- Aktualizuj teraz! Apache łata lukę zero-day w HTTP Server
- Aktualizuj teraz! Google Chrome naprawia dwa zero-days w naturze
- Apple wydaje pilną aktualizację: Zainstaluj, ale nie panikuj
- HiveNightmare zero-day umożliwia uzyskanie dostępu SYSTEM na Windows 10 i 11
- PrintNightmare 0-day może być użyty do przejęcia kontrolerów domeny Windows
- Microsoft łata siedem zero-day, w tym dwa cele PuzzleMaker, Google naprawia poważną lukę w Androidzie
- Odkrycie zero-day w Zoom czyni rozmowy bezpieczniejszymi, a hakerzy bogatsi o 200 000 USD.