Pode não pensar duas vezes sobre o software que utiliza para executar os seus computadores e dispositivos, mas por trás da interface está um código altamente complexo que pode ter levado anos a ser escrito e afinado por uma grande equipa de programadores. Apesar dos seus melhores esforços, os programadores podem não detetar falhas no software. Embora algumas falhas afectem apenas a experiência do utilizador, outras são muito mais graves.
Uma falha de dia zero é qualquer vulnerabilidade de software explorável por hackers que ainda não tem uma correção. Os programadores de software podem não conhecer a falha, estar a desenvolver uma correção para a mesma ou ignorá-la. Como pode imaginar, uma vulnerabilidade deste tipo pode resultar numa violação crítica da cibersegurança.
Porque é que se chama dia zero?
Muitas pessoas querem saber porque é que os especialistas chamam a este tipo de exploração informática uma vulnerabilidade de dia zero e não outra coisa qualquer. É certo que há um pouco de sarcasmo por detrás do nome. As pessoas no mundo da informática referem-se a isto como um ataque de dia zero - porque os criadores de software têm zero dias para responder depois de os piratas informáticos terem tirado partido dele. É mais ou menos como fechar a porta do celeiro depois de o lobo já ter entrado. Claro que se pode evitar futuros ataques, mas isso não é muito reconfortante para a ovelha desaparecida.
Depois de a vulnerabilidade de dia zero ser tornada pública, deixa de ser uma falha de dia zero - é apenas uma vulnerabilidade. Normalmente, os fabricantes fazem um grande esforço para desenvolver uma correção para corrigir a falha assim que têm conhecimento da mesma.
Como é que os erros de dia zero são descobertos?
Com os fabricantes a trabalharem horas extraordinárias para minimizar as vulnerabilidades, notará que o seu software é atualizado com bastante regularidade. Por vezes, as actualizações de segurança são mesmo lançadas no mesmo dia em que o software é lançado. Embora os programadores gostem de encontrar falhas de segurança internamente, também não se importam com alguma ajuda externa.
Hackers de chapéu branco
Hacker de chapéu branco é um termo arcaico para um hacker ético. As empresas contratam estes especialistas para melhorar a segurança da rede. A identificação de potenciais erros de dia zero pode fazer parte do trabalho.
Hackers de chapéu cinzento
Os hackers de chapéu cinzento são como os de chapéu branco, exceto que não estão a trabalhar numa capacidade oficial. Estes hackers podem tentar encontrar erros de dia zero na esperança de conseguir um emprego na empresa, ganhar notoriedade ou apenas por entretenimento. Um hacker de chapéu cinzento nunca tira partido das falhas que descobre. Um exemplo é o caso de um pirata informático que explorou uma vulnerabilidade na plataforma de criptomoeda Poly Network para se apoderar de tokens no valor de 600 milhões de dólares antes de os devolver.
Concursos
Muitas empresas de software organizam eventos de pirataria informática e pagam aos piratas informáticos dinheiro e prémios por encontrarem falhas. Aqui, os hackers encontram falhas em sistemas operativos, navegadores Web e aplicações para dispositivos móveis e computadores. Um exemplo recente foi quando dois especialistas de segurança holandeses levaram para casa 200 000 dólares por uma descoberta de um dia zero no Zoom no Pwn2Own.
Investigadores
Os investigadores de empresas de cibersegurança, como Malwarebytes , procuram exploits como parte do seu trabalho. Quando os investigadores encontram uma exploração antes dos cibercriminosos, normalmente comunicam-na aos fabricantes antes de a tornarem pública. Ao darem um avanço aos fabricantes, os investigadores podem minimizar as hipóteses de os piratas informáticos lançarem ataques de dia zero.
Como é que os ataques de dia zero são descobertos?
Um utilizador de software apercebe-se de que é alvo de um ataque de dia zero quando o seu sistema se comporta de forma invulgar ou quando um hacker utiliza a exploração para lançar malware ameaçador, como ransomware. Os investigadores também podem descobrir um ataque de dia zero após um evento. Por exemplo, após o ataque Stuxnet patrocinado pelo Estado ao Irão, os investigadores de todo o mundo aperceberam-se de que se tratava de um ataque de worm de dia zero. Por vezes, um ataque de dia zero é reconhecido por um fabricante depois de um cliente comunicar uma atividade invulgar.
Os ataques de dia zero são comuns?
Os ataques de dia zero, como o ataque do worm Stuxnet, têm alvos específicos e não afectam os utilizadores normais de computadores. Entretanto, empresas conceituadas como a Microsoft, a Apple e a Google, normalmente corrigem os ataques de dia zero o mais rapidamente possível para proteger a sua reputação e os seus utilizadores. Muitas vezes, a correção é feita antes de o utilizador comum ser afetado. Ainda assim, os zero-days não devem ser encarados com ligeireza porque o seu impacto pode ser seriamente prejudicial.
Como é que um ataque de dia zero acontece?
- Identificação: Os piratas informáticos descobrem vulnerabilidades não comunicadas no software através de testes ou comprando em mercados negros no submundo da Internet, como a Dark Web.
- Criação: Os actores da ameaça criam kits, scripts ou processos que podem explorar as vulnerabilidades recentemente encontradas.
- Inteligência: Os atacantes já têm um alvo em mente ou utilizam ferramentas como bots, sondagens ou scanners para encontrar alvos lucrativos com sistemas exploráveis.
- Planeamento: Os piratas informáticos avaliam a força e as fraquezas do seu alvo antes de lançarem um ataque. Podem utilizar engenharia social, espiões ou qualquer outra tática para se infiltrarem num sistema.
- Execução: Com tudo pronto, os atacantes implantam o seu software malicioso e exploram a vulnerabilidade.
Como atenuar os ataques de dia zero
Impedir que os atacantes explorem vulnerabilidades desconhecidas para violar o seu sistema é, sem dúvida, um desafio. É fundamental fechar os vectores de ameaça que um agente de ameaça pode utilizar para se infiltrar na sua rede com camadas de proteção e práticas mais seguras. Eis algumas sugestões que podem ajudá-lo a detetar e prevenir ameaças desconhecidas:
- Não utilize software antigo. Os piratas informáticos podem criar mais facilmente exploits para software que o fornecedor já não suporta.
- Utilize ferramentas antivírus avançadas que incluem aprendizagem automática, deteção comportamental e atenuação de exploits. Estas funcionalidades podem ajudar as suas ferramentas de cibersegurança a impedir ameaças com assinaturas desconhecidas.
- Nas empresas:
- Formar os funcionários para identificar ataques de engenharia social, como o spear-phishing, que os hackers podem utilizar como vetor de ataque.
- Adotar soluções de Deteção e Resposta de Pontos Finais (EDR) para monitorizar e proteger os seus pontos finais.
- Melhorar a segurança da rede com firewalls, VPNs privadas e IPsec.
- Segmente as suas redes com controlos robustos de acesso à rede.
Notícias sobre os dias zero
- O dia zero do Log4j "Log4Shell" chega mesmo a tempo de arruinar o seu fim de semana
- A vulnerabilidade Windows Installer torna-se um dia zero ativamente explorado
- Corrigir agora! FatPipe VPN zero-day ativamente explorado
- Corrigir agora! A Microsoft tapa ativamente os zero-days explorados e outras actualizações
- Google corrige vulnerabilidade de dia zero, e outras, no Android
- Corrigir agora! Apache corrige vulnerabilidade de dia zero no servidor HTTP
- Atualização imediata! O Google Chrome corrige dois zero-days in-the-wild
- A Apple lança uma atualização de emergência: correção, mas não entre em pânico
- O dia zero HiveNightmare permite que qualquer pessoa seja um SISTEMA no Windows 10 e 11
- O PrintNightmare 0-day pode ser utilizado para controlar os controladores de domínio Windows
- A Microsoft corrige sete zero-days, incluindo dois alvos do PuzzleMaker, a Google corrige uma falha grave Android
- A descoberta do dia zero do Zoom torna as chamadas mais seguras e os hackers 200 000 dólares mais ricos