Luki dnia zerowego to luki w protokołach, oprogramowaniu i aplikacjach, które nie są jeszcze znane ogółowi społeczeństwa ani twórcom produktów, w których luki te występują. Ponieważ luka zero-day nie jest znana ani ogółowi społeczeństwa, ani twórcom produktów, łaty są niedostępne.
Według badań GPZ, połowa z 18 luk zero-day wykorzystanych przez hakerów w okresie pierwsza połowa 2022 r. przed udostępnieniem aktualizacji oprogramowania można było zapobiec, gdyby producenci oprogramowania przeprowadzili dokładniejsze testy i stworzyli bardziej kompleksowe łaty. Co zaskakujące, co najmniej cztery z tegorocznych luk zero-day były wariacjami z 2021 roku.
Ale czym dokładnie jest luka zero-day? Tego właśnie dowiesz się z tego poradnika. Jednak aby w pełni zrozumieć tę definicję, musimy najpierw zdefiniować kilka innych rzeczy.
Czym jest exploit zero-day?
Exploit zero-day to luka w zabezpieczeniach, która nie została publicznie ujawniona lub naprawiona. Termin ten odnosi się zarówno do samego exploita, jak i pakietu kodu, który zawiera exploit i powiązane z nim narzędzia.
Atakujący często wykorzystują exploity dnia zerowego do wdrażania złośliwego oprogramowania na systemach, które nie zostały załatane. Obrońcy mogą je również wykorzystywać do przeprowadzania testów penetracyjnych.
Podczas nauki o exploitach zero-day mogłeś usłyszeć terminy "luki zero-day", "exploity zero-day" lub "ataki zero-day". Terminy te mają zasadniczą różnicę:
- Sposób, w jaki hakerzy wykorzystują oprogramowanie jest znany jako "zero-day exploit".
- Usterka w Twoim systemie jest znana jako "luka zero-day".
- "Ataki zero-day" to działania hakerów, którzy wykorzystując lukę w zabezpieczeniach infiltrują Twój system.
Kiedy mówimy o lukach dnia zerowego, słowo "nieodkryte" jest kluczowe, ponieważ aby móc nazwać lukę "dniem zerowym", musi ona być nieznana projektantom systemu. Kiedy błąd bezpieczeństwa zostaje odkryty, a jego poprawka udostępniona, przestaje być "luką dnia zerowego".
Exploity zero-day mogą być wykorzystywane przez atakujących na różne sposoby, w tym:
- Wykorzystanie niezałatanych systemów (tj. bez zastosowania aktualizacji zabezpieczeń) do zainstalowania złośliwego oprogramowania lub zdalnego przejęcia kontroli nad komputerami;
- Prowadzenie kampanii phishingowych (tj. wysyłanie wiadomości e-mail, które mają na celu nakłonienie odbiorców do kliknięcia na linki lub załączniki) z wykorzystaniem złośliwych załączników lub linków prowadzących do exploitów związanych z hostingiem stron internetowych; lub
- Przeprowadzanie ataków typu denial-of-service (tj. zalewanie serwerów żądaniami, przez co legalne żądania nie mogą się przedostać).
Jakie unikalne cechy exploitów zero-day czynią je tak niebezpiecznymi?
Istnieją dwie kategorie podatności zero-day:
Nieodkryty: Producent oprogramowania nie dowiedział się jeszcze o błędzie. Ten typ jest niezwykle rzadki, ponieważ większość dużych firm posiada dedykowane zespoły pracujące w pełnym wymiarze czasu, aby znaleźć i naprawić błędy w oprogramowaniu, zanim odkryją je hakerzy lub złośliwi użytkownicy.
Niewykryta: Dziura została znaleziona i naprawiona przez twórcę oprogramowania - ale nikt jeszcze jej nie zgłosił, ponieważ nie zauważył niczego złego w swoim systemie. Ta luka może być bardzo cenna, jeśli chcesz przeprowadzić atak na czyjś system i nie chcesz, by wiedział, co się dzieje, dopóki nie zostanie to zrobione!
Exploity zero-day są szczególnie ryzykowne, ponieważ mają większe szanse powodzenia niż ataki na znane błędy. Kiedy luka jest upubliczniona w dniu zerowym, firmy wciąż muszą ją łatać, co sprawia, że atak jest możliwy.
Fakt, że niektóre wyrafinowane organizacje cyberprzestępcze strategicznie rozmieszczają exploity zero-day, sprawia, że są one znacznie bardziej ryzykowne. Firmy te zachowują exploity zero-day dla celów o wysokiej wartości, w tym agencji rządowych, instytucji finansowych i placówek służby zdrowia. Może to wydłużyć czas trwania ataku i zmniejszyć prawdopodobieństwo, że ofiara znajdzie lukę.
Użytkownicy muszą kontynuować aktualizację swoich systemów nawet po utworzeniu łatki. Jeśli tego nie zrobią, to dopóki system nie zostanie załatany, napastnicy nadal mogą wykorzystać exploit zero-day.
Jak rozpoznać lukę zero-day?
Najpopularniejszym sposobem na zidentyfikowanie luki zero-day jest użycie skanera takiego jak Nessus lub OpenVAS. Narzędzia te skanują komputer w poszukiwaniu luk przy użyciu sygnatur (znanych złych plików). Jeśli sygnatura pasuje, skaner może powiedzieć, z jakim plikiem jest zgodna.
Jednak ten rodzaj skanowania często pomija wiele luk, ponieważ sygnatury są tylko czasami dostępne lub aktualizowane na tyle często, aby wychwycić wszystkie nowe zagrożenia w miarę ich pojawiania się.
Inną metodą identyfikacji dni zerowych jest inżynieria wsteczna binariów oprogramowania (plików wykonywalnych). Metoda ta może być bardzo trudna, ale zazwyczaj nie jest potrzebna dla większości ludzi, ponieważ wiele darmowych skanerów online nie wymaga żadnej wiedzy technicznej ani doświadczenia, aby skutecznie z nich korzystać.
Przykłady podatności zero-day
Niektóre przykłady podatności zero-day obejmują:
Heartbleed - Ta luka, odkryta w 2014 roku, pozwoliła atakującym na wydobycie informacji z serwerów wykorzystujących biblioteki szyfrujące OpenSSL. Luka została wprowadzona w 2011 roku, ale odkryto ją dopiero 2 lata później, kiedy badacze stwierdzili, że niektóre wersje OpenSSL były podatne na bity serca wysyłane przez atakujących. Hakerzy mogli wówczas uzyskać klucze prywatne z serwerów korzystających z tej biblioteki szyfrującej, co pozwalało im na odszyfrowanie danych przesyłanych przez użytkowników.
Shellshock - Luka ta została odkryta w 2014 roku i umożliwiała atakującym uzyskanie dostępu do systemów z systemem operacyjnym podatnym na atak poprzez środowisko powłoki Bash. Shellshock dotyczy wszystkich dystrybucji Linuksa oraz systemu Mac OS X 10.4 i wcześniejszych wersji. Mimo, że dla tych systemów operacyjnych zostały wydane łatki, niektóre urządzenia nie zostały jeszcze załatane przed tym exploitem.
Equifax Data Breach (naruszenie danych) - Naruszenie danych Equifax było poważnym cyberatakiem w 2017 roku. Atak został przeprowadzony przez nieznaną grupę hakerów, którzy naruszyli stronę internetową firmy Equifax i ukradli około 145 milionów danych osobowych klientów, w tym numery ubezpieczenia społecznego i daty urodzenia.
Ransomware WannaCry - WannaCry to wirus typu ransomware, który celuje w systemy operacyjne Microsoft Windows; szyfruje pliki użytkowników i żąda zapłacenia okupu za pośrednictwem Bitcoin, aby je odszyfrować. Rozprzestrzenia się za pośrednictwem sieci przy użyciu EternalBlue. exploit dla systemu Windows wyciekł z NSA w kwietniu 2017 roku. Robak dotknął ponad 300 000 komputerów na całym świecie od czasu jego uwolnienia 12 maja 2017 r.
Ataki złośliwego oprogramowania na szpitale - Ataki złośliwego oprogramowania stały się w ostatnich latach coraz bardziej powszechne, ponieważ hakerzy obrali sobie za cel organizacje opieki zdrowotnej dla korzyści osobistych lub z powodów politycznych. Jeden z takich ataków polegał na uzyskaniu przez hakerów dostępu do dokumentacji pacjentów w Hollywood Presbyterian Medical Center poprzez e-maile phishingowe wysłane przez administrację szpitala.
Słowa końcowe
Luka zero-day to błąd w oprogramowaniu, który został zidentyfikowany, ale nie został jeszcze ujawniony producentowi oprogramowania. Jest to "zero dni" od bycia znanym, przynajmniej publicznie. Innymi słowy, jest to dziurawy exploit, o którym nikt nie wie - z wyjątkiem tego, kto odkrył go i zgłosił jako pierwszy.
- Jak skonfigurować DMARC? - 27 lutego 2023 r.
- Malware-as-a-Service (MaaS): Czym jest i jak mu zapobiegać? - 27 lutego 2023 r.
- Zrozumienie ograniczeń SPF w uwierzytelnianiu emaili - Luty 27, 2023
