Šta je Zero-Day? [What-is]

Šta je Zero-Day ranjivost, a šta Zero-Day pretnja? Kako se odvija napad? Kako se zaštititi?

Šta je Zero-Day? [What-is]

Pojam Zero-Day može da se odnosi na dve stvari, Zero-day ranjivost i Zero-day pretnju.

Zero-day ranjivost je bezbednosni propust u softveru, na primer u browseru, aplikaciji ili operativnom sistemu, koji je još uvek nepoznat proizvođaču tog softvera ili proizvođačima antivirusa.

Zero-day pretnja je pretnja koja eksploatiše takvu, do tog trenutka nepoznatu, bezbednosnu ranjivost.

Termin zero-day treba da ukaže na to da developeri imaju "nula dana" da isprave propust, odnosno da u datom trenutku developeri nisu svesni da postoji ranjivost ili pretnja.

Napadači mogu da iskoriste zero-day ranjivost koristeći različite pravce napada. Često napad ide preko web browsera, zbog njihove popularnosti. Takođe, napadači šalju email poruke sa atačmentom kada žele da eksploatišu ranjivosti softvera koje se tiču atačmenta. Zero-day pretnja se još naziva i zero-hour napad i day-zero napad.

Zero-day napade obično vrše poznate hakerske grupe. Zero-day napad eksploatiše ranjivost koja nije poznata ni developerima ni korisnicima. Kada napadači otkriju ranjivost, naprave crva (worm) ili virus koji će eksploatisati tu ranjivost i napraviti štetu. Napad može biti u formi virusa, crva, trojanca ili nekog drugog malvera. Oni se mogu kupiti, prodati i razmenjivati.

Nekada se zero-day napadi dogode iako su developeri znali za ranjivost, ali jednostavno nisu imali vremena da naprave zakrpu. Ponekad developeri odlažu objavljivanje zakrpe zato što čekaju da skupe nekoliko zakrpa i da ih objave u paketu ukoliko procene da konkretna ranjivost ne predstavlja ekstremnu opasnost. Treba imati na umu da je ovo rizična strategija koja može "pozvati" zero-day napad.

Zero-day napad se dešava u određenom vremenskom okviru koji se naziva prozor ranjivosti. Prozor ranjivosti traje od prve eksploatacije ranjivosti pa sve do trenutka kada se pretnja stavi pod kontrolu. Napadači dizajniraju maliciozni softver, odnosno malver tako da eksploatiše uobičajene vrste fajlova, kompromituje sistem i krade vredne podatke. Napadi se pažljivo implementiraju tako da naprave maksimalnu štetu, obično u okviru jednog dana. Prozor ranjivosti može biti otvoren na jedno kratko vreme, ali i na više godina! Na primer, 2008. godine Microsoft je otkrio ranjivost Internet Explorera koja je zarazila nekoliko verzija Windowsa koje su puštene 2001. godine. Nije poznato kada su napadači otkrili ranjivost, ali je jasno da je prozor ranjivosti mogao biti otvoren čak 7 godina!

Generalno posmatrano, ranjivost mogu otkriti hakeri, kompanije koje se bave bezbednošću, istraživači, sami vendori ili korisnici. Ako ranjivost otkriju zlonamerni hakeri, probaće da to drže u tajnosti što je moguće duže.

Dobri momci vs. loši momci

Ako ranjivost otkriju "dobri momci" (kompanije iz oblasti bezbednosti ili vendori) praksa je da se to drži u tajnosti dok se ne napravi zakrpa. U nekim slučajevima, odmah se informiše javnost jer se problem može izbeći, npr. kada treba izbeći posećivanje određenog sajta ili kada treba izbeći otvaranje određenih atačmenta. Ako ranjivost otkrije korisnik, može se desiti da će je javno objaviti. U tom slučaju kreće trka, dobri protiv loših momaka, a pitanje glasi: Da li će dobri momci napraviti zakrpu pre nego što hakeri osmisle način da eksploatišu ranjivost?

Godina 2010. je poznata kao godina zero-day ranjivosti za browsere. Pogođeni napadima su bili Adobe proizvodi (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows XP i mnogi drugi.

Napadi na Microsoft

Zero-day napadi koji ciljaju Microsoft softver često se događaju neposredno nakon što Microsoft izbaci zakrpe. S obzirom na to da Microsoft izbacuje zakrpe jednom mesečno (drugog utorka u mesecu, što je poznato kao "utorak za zakrpe"), sajber-kriminalci su uvideli da mogu da eksploatišu tu činjenicu tako što će napadati dan posle objave zakrpa. Takvu strategiju napadača stručnjaci nazivaju "zero-day sreda". Ovi napadi otkrivaju Microsoftu nove ranjivosti, ali ako nisu u pitanju ekstremno opasne ranjivosti, proći će mesec dana pre nego što kompanija objavi zakrpe za njih. I tako u krug. Više od trećine zero-day ranjivosti u 2014. pripisuje se proizvodima vezanim za Microsoft.

Zero day statistika

Symantecov izveštaj o pretnjama na internetu (ISTR) iz 2016. godine pokazao je da je broj otkrivenih zero-day ranjivosti uvećao se više od dva puta, tačnije porastao za 125 procenata u odnosu na prethodnu godinu. Drugim rečima, svake nedelje otkrivena je u proseku jedna zero-day ranjivost. U izveštaju su opisani sledeći trendovi:

  • Otkrivene su 54 zero-day ranjivosti, dok je u prethodnoj godini otkriveno 24 zero-day ranjivosti.
  • Čak četiri od pet najviše eksploatisanih ranjivosti bile su za Adobe Flash.
  • Softverskim kompanijama je u proseku bio potreban 1 dan da izbace zakrpe, za razliku od 2014. godine kada im je za to bilo potrebno u proseku 59 dana.

PROČITAJTE: Symantec Internet Security Threat Report 2016

Zero-day statistika

Kako se tačno eksploatiše zero-day ranjivost?

Postoji nekoliko načina za eksploatisanje zero-day ranjivosti. U većini slučajeva, napadači koriste kôd za eksploatisanje zero-day ranjivosti, pomoću kog zaobilaze odbranu i ubacuju virus ili neki drugi malver u računar ili uređaj. Takođe, koriste se email i slična sredstva kako bi se korisnici obmanuli da posete web stranicu koju su kreirali hakeri. Kada se stranica poseti, maliciozni kôd se neopaženo pokreće. Pojednostavljeno rečeno, napadači dobijaju pristup vašem sistemu, a vi toga niste svesni.

Koraci koje napadači prave kod zero-day napada obično uključuje sledeće faze:

  • Traženje ranjivosti. Napadači proučavaju kôd tražeći ranjivosti. U nekim slučajevima, informacije o zero-day ranjivosti hakeri mogu prodati ili kupiti.
  • Ranjivost je pronađena. Napadači su pronašli "rupu" u bezbednosnom sistemu koja je nepoznata developerima konkretne aplikacije.
  • Kreiranje kôda za eksploataciju.
  • Infiltracija. Napadači zaobilaze odbranu bez znanja developera.
  • Lansiranje napada. Naoružani kôdom za eksploataciju, napadači ubacuju virus ili malver.

Zero-day napad se dešava zbog postojanja prozora ranjivosti koji postoji od trenutka otkrivanja pretnje do izbacivanja zakrpa. Zakrpa odnosno "popravka kôda" se nekad objavi u roku od nekoliko sati, ali nekad to može da potraje mnogo duže.

Kako otkriti zero-day napad?

Tehnike detekcije uključuju sledeće:

  • Tehnika zasnovana na statistici. Ovo je pristup otkrivanja napada u realnom vremenu koji se zasniva na profilima napada koji su se ranije događali, a koji su napravljeni na osnovu istorijskih podataka.
  • Tehnika zasnovana na potpisu. Tehnika je zasnovana na "potpisima" koji su ostali od poznatih napada.
  • Tehnika zasnovana na ponašanju. Ovaj model bazira se na analizi interakcije eksploatacije sa metom napada.
  • Hibridna tehnika. Kao što joj i ime kaže, ova tehnika je mešavina različitih pristupa.

Kako sprečiti zero-day napad?

Kako se zaštititi od Zero-day pretnji

Možete preduzeti proaktivne i reaktivne bezbednosne mere. Evo nekoliko saveta koji vam mogu pomoći da zaštitite organizaciju od bezbednosnih rizika povezanih sa zero-day ranjivostima:

  1. Koristite najbolje bezbednosne softvere. Oni moraju da budu u stanju da štite od različitih pretnji, a ne samo od poznatih.
  2. Redovno ažurirajte softver.
  3. Koristitu najnoviju verziju browsera. Oni su omiljena meta zero-day napada i zbog toga je bitno da se redovno ažuriraju (ažuriranje je uglavnom automatsko, ali povedite računa).
  4. Uspostavite sistem bezbednosti zasnovan na najboljim rešenjima iz prakse. Svi zaposleni treba da budu upoznati sa tim.

Šta je zero-day tržište?

To je mesto gde se kupuju i prodaju informacije o zero-day ranjivostima i načinima za njihovu eksploataciju. Ovo tržište trenutno cveta. Pošto su zero-day ranjivosti i eksploatacije u suštini retka pojava, ovi kôdovi su od izuzetne vrednosti ne samo za sajber-kriminalce, nego i za državne obaveštajne agencije.

U nekim slučajevima, tzv. etički hakeri odn. "dobri momci" otkriju ranjivost i brzo prijave developeru kako bi se napravila zakrpa. Često to rade iz altruizma, a ponekad za to dobiju finansijsku kompenzaciju. Postoji i druga, mračnija strana zero-day tržišta, odnosno hakeri koji otkriju ranjivost i prodaju kôd za eksploataciju. U pitanju je veliki biznis. Kôdovi se prema jednom članku iz magazina Forbes prodaju po ceni od $5.000 do $250.000.

Zero-day tržište ima 3 dela:

  • Crno, "podzemno" tržište. Ovde hakeri trguju eksploatacionim kôdom.
  • Belo tržište. Istraživači i hakeri za novac vendorima otkrivaju informacije o ranjivosti.
  • Sivo tržište. Ovde hakeri prodaju informacije o ranjivosti i načinima eksploatacije vojsci, obaveštajnim agencijama i organima reda i zakona koji to koriste za nadzor (prisluškivanje).

Zaključak

Nažalost, zero-day napadi neće skorije prestati. Očekuje se i njihovo povećanje jer zero-day tržište raste, a sajber-kriminalci su sve smeliji. Tome treba dodati i činjenicu da developeri ponekad ne žele da javno objave da postoji ranjivost. Razlozi za to su razni, a jedan od njih je i da se očuva reputacija kompanije. To je štetno za developere, korisnike i čitavu industriju jer podstiče pojavu novih napadača koji žele da iskoriste zero-day ranjivosti.

Organizacije moraju biti stalno na oprezu zato što hakeri stalno unapređuju taktike i metode napada. Za borbu protiv zero-day napada potrebna je stalna edukacija i primena najnovijih tehnika odbrane. Zero-day ranjivosti nisu samo briga industrije, one su briga svih nas kao krajnjih korisnika.

Edukacija, priprema i brza reakcija na zero-day ranjivosti mora da bude briga svih zaposlenih u kompaniji - od top menadžmenta, članova upravnog odbora, IT stručnjaka do svih ostalih zaposlenih.