5 maja 2021 7:23

Atak zero-dniowy

Co to jest atak zero-day?

Atak zero-day (nazywany również Day Zero) to atak wykorzystujący potencjalnie poważną lukę w zabezpieczeniach oprogramowania, o której producent lub programista może nie zdawać sobie sprawy. Twórca oprogramowania musi spieszyć się z usunięciem słabości, gdy tylko zostanie wykryta, aby ograniczyć zagrożenie dla użytkowników oprogramowania. Rozwiązanie to nosi nazwę poprawki oprogramowania. Ataki dnia zerowego mogą być również wykorzystywane do atakowania Internetu rzeczy (IoT).

Atak typu zero-day zawdzięcza swoją nazwę liczbie dni, przez które twórca oprogramowania wiedział o problemie.

Kluczowe wnioski

  • Atak zero-day to atak związany z oprogramowaniem, który wykorzystuje słabość, o której producent lub programista nie był świadomy.
  • Nazwa pochodzi od liczby dni, które twórca oprogramowania wiedział o problemie.
  • Rozwiązanie umożliwiające naprawienie ataku zero-day jest znane jako łatka do oprogramowania.
  • Atakom zero-day można zapobiec, choć nie zawsze, za pomocą oprogramowania antywirusowego i regularnych aktualizacji systemu.
  • Istnieją różne rynki ataków dnia zerowego, od legalnych po nielegalne. Obejmują one biały rynek, szary rynek i ciemny rynek.

Zrozumienie ataku zero-day

Atak typu zero-day może obejmować złośliwe oprogramowanie, oprogramowanie reklamowe, oprogramowanie szpiegowskie lub nieautoryzowany dostęp do informacji użytkownika. Użytkownicy mogą chronić się przed atakami typu zero-day, ustawiając swoje oprogramowanie – w tym systemy operacyjne, oprogramowanie antywirusowe i przeglądarki internetowe – tak, aby aktualizowało się automatycznie i niezwłocznie instalując wszelkie zalecane aktualizacje poza regularnie zaplanowanymi aktualizacjami.

To powiedziawszy, posiadanie zaktualizowanego oprogramowania antywirusowego niekoniecznie ochroni użytkownika przed atakiem typu zero-day, ponieważ dopóki luka w oprogramowaniu nie zostanie publicznie znana, oprogramowanie antywirusowe może nie mieć sposobu na jej wykrycie. Systemy zapobiegania włamaniom hosta pomagają również chronić przed atakami typu zero-day, zapobiegając włamaniom i chroniąc je oraz chroniąc dane.

Pomyśl o luce typu zero-day jako o niezamkniętych drzwiach samochodu, które według właściciela są zamknięte, ale złodziej odkrywa, że ​​są odblokowane. Złodziej może dostać się niezauważony i ukraść rzeczy z schowka właściciela samochodu, które mogą zostać zauważone dopiero po kilku dniach, gdy szkoda już została wyrządzona, a złodziej już dawno zniknął.

Chociaż luki typu zero-day są wykorzystywane przez hakerów przestępczych, mogą być również wykorzystywane przez rządowe agencje bezpieczeństwa, które chcą je wykorzystać do inwigilacji lub ataków. W rzeczywistości istnieje tak duże zapotrzebowanie na luki typu zero-day ze strony rządowych agencji bezpieczeństwa, że ​​pomagają one kierować rynkiem kupowania i sprzedawania informacji o tych lukach i sposobach ich wykorzystania.

Exploity typu zero-day mogą być ujawniane publicznie, ujawniane tylko sprzedawcy oprogramowania lub sprzedawane osobom trzecim. Jeśli zostaną sprzedane, mogą być sprzedawane z wyłącznymi prawami lub bez nich. Z punktu widzenia firmy programistycznej, która jest za nią odpowiedzialna, najlepszym rozwiązaniem problemu jest ujawnienie firmie przez etycznego hakera lub białego kapelusza luki w zabezpieczeniach, aby można ją było naprawić, zanim odkryją ją hakerzy. Jednak w niektórych przypadkach więcej niż jedna strona musi zająć się luką w zabezpieczeniach, aby w pełni ją rozwiązać, więc całkowite prywatne ujawnienie może być niemożliwe.

Rynki ataków zero-day

Na ciemnym rynku informacji typu zero-day hakerzy wymieniają się szczegółami dotyczącymi tego, jak przebić się przez wrażliwe oprogramowanie w celu kradzieży cennych informacji. W szarej strefie badacze i firmy sprzedają informacje siłom zbrojnym, agencjom wywiadowczym i organom ścigania. Na białym rynku firmy płacą hakerom lub badaczom bezpieczeństwa za wykrywanie i ujawnianie programistom luk w oprogramowaniu, aby mogli oni naprawić problemy, zanim hakerzy mogą je znaleźć.

W zależności od kupującego, sprzedającego i użyteczności, informacja zero-day może być warta od kilku do kilkuset tysięcy dolarów, co czyni z niej potencjalnie lukratywny rynek. Przed zakończeniem transakcji sprzedawca powinien dostarczyć proof-of-concept (PoC), aby potwierdzić istnienie exploita zero-day. Dla tych, którzy chcą wymieniać informacje dnia zerowego niezauważeni, sieć Tor umożliwia anonimowe przeprowadzanie transakcji dnia zerowego za pomocą Bitcoin.

Ataki dnia zerowego mogą być mniejszym zagrożeniem, niż się wydaje. Rządy mogą mieć łatwiejsze sposoby szpiegowania swoich obywateli, a dni zerowe mogą nie być najskuteczniejszym sposobem wykorzystywania przedsiębiorstw lub osób. Atak musi być przeprowadzony strategicznie i bez wiedzy celu, aby uzyskać maksymalny efekt. Uruchomienie ataku dnia zerowego na miliony komputerów jednocześnie może ujawnić istnienie luki i spowodować, że łatka zostanie opublikowana zbyt szybko, aby atakujący mogli osiągnąć swój ostateczny cel.

Przykład z prawdziwego świata

W kwietniu 2017 roku trojan bankowy Dridex, aby wykorzystać podatną na atak i niezałataną wersję oprogramowania. Trojan umożliwił atakującym osadzenie szkodliwego kodu w dokumentach programu Word, który był automatycznie uruchamiany po otwarciu tych dokumentów. Atak został wykryty przez dostawcę oprogramowania antywirusowego McAfee, który powiadomił firmę Microsoft o zaatakowanym oprogramowaniu. Chociaż atak dnia zerowego został wykryty w kwietniu, miliony użytkowników były już celem ataku od stycznia.