Что такое атака с нулевым днем?
Атака нулевого дня (также называемая Day Zero) - это атака, которая использует потенциально серьезную уязвимость безопасности программного обеспечения, о которой поставщик или разработчик могут не знать. Разработчик программного обеспечения должен поспешно устранить уязвимость, как только она будет обнаружена, чтобы ограничить угрозу для пользователей программного обеспечения. Решение называется программным патчем. Атаки нулевого дня также могут быть использованы для атаки на Интернет вещей (IoT).
Атака нулевого дня получает свое название от количества дней, в течение которых разработчик программного обеспечения знал о проблеме.
Объяснение нулевой атаки
Атака нулевого дня может включать в себя вредоносное ПО, шпионское ПО или несанкционированный доступ к пользовательской информации. Пользователи могут защитить себя от атак «нулевого дня», настроив свое программное обеспечение, включая операционные системы, антивирусное программное обеспечение и интернет-браузеры, на автоматическое обновление и оперативную установку любых рекомендуемых обновлений, выходящих за пределы регулярно запланированных обновлений. Тем не менее, обновление антивирусного программного обеспечения не обязательно защитит пользователя от атаки нулевого дня, поскольку до тех пор, пока уязвимость программного обеспечения не станет общеизвестной, антивирусное программное обеспечение может не иметь возможности обнаружить ее. Хост-системы предотвращения вторжений также помогают защитить от атак нулевого дня, предотвращая вторжения и защищая данные.
Думайте об уязвимости нулевого дня как о незапертой автомобильной двери, которую владелец считает заблокированной, а вор обнаруживает, что она разблокирована. Вор может проникнуть незамеченным и украсть вещи из бардачка или багажника владельца автомобиля, которые могут быть не замечены до тех пор, пока дни не будут нанесены, а вора уже давно не будет.
Хотя уязвимости нулевого дня известны тем, что они используются преступными хакерами, они также могут использоваться государственными органами безопасности, которые хотят использовать их для слежки или атак. На самом деле, существует так много спроса на уязвимости нулевого дня со стороны государственных органов безопасности, что они помогают стимулировать рынок для покупки и продажи информации об этих уязвимостях и способах их использования.
Эксплойты нулевого дня могут быть раскрыты публично, раскрыты только поставщику программного обеспечения или проданы третьей стороне. Если они продаются, они могут быть проданы с исключительными правами или без них. Лучшее решение проблемы безопасности, с точки зрения ответственной за это компании-разработчика программного обеспечения, заключается в том, чтобы этический хакер или белая шляпа конфиденциально раскрыли эту уязвимость компании, чтобы ее можно было исправить до того, как криминальные хакеры ее обнаружат. Но в некоторых случаях более чем одна сторона должна устранить уязвимость, чтобы полностью устранить ее, поэтому полное раскрытие частной информации может оказаться невозможным.
На темном рынке информации нулевого дня криминальные хакеры обмениваются подробностями о том, как взломать уязвимое программное обеспечение для кражи ценной информации. На сером рынке исследователи и компании продают информацию военным, спецслужбам и правоохранительным органам. На белом рынке компании платят белым хакерам или исследователям безопасности за обнаружение и раскрытие уязвимостей программного обеспечения разработчикам, чтобы они могли исправить проблемы до того, как преступные хакеры их обнаружат.
В зависимости от покупателя, продавца и полезности информация нулевого дня может стоить от нескольких тысяч до нескольких сотен тысяч долларов, что делает участие в ней потенциально прибыльным рынком. До завершения транзакции продавец должен предоставить подтверждение концепции (PoC) для подтверждения существования эксплойта нулевого дня. Для тех, кто хочет обмениваться информацией нулевого дня незамеченными, сеть Tor допускает анонимные транзакции нулевого дня с использованием биткойнов.
Атаки нулевого дня могут представлять меньшую угрозу, чем кажется. У правительств могут быть более простые способы шпионить за своими гражданами, и нулевые дни могут быть не самым эффективным способом эксплуатации предприятий или частных лиц. Атака должна быть развернута стратегически и без ведома цели, чтобы иметь максимальный эффект. Развертывание атаки нулевого дня на миллионах компьютеров одновременно может выявить существование уязвимости и слишком быстро выпустить патч, чтобы злоумышленники могли достичь своей конечной цели.
Примеры атак нулевого дня
В апреле 2017 года Microsoft была проинформирована о нападении нулевого дня на ее программное обеспечение Microsoft Word. Злоумышленники использовали вредоносное ПО, называемое трояном Dridex banker, для использования уязвимой и незащищенной версии программного обеспечения. Троян позволяет злоумышленникам встраивать вредоносный код в документы Word, которые автоматически запускаются при открытии документов. Атака была обнаружена производителем антивирусов McAfee, который уведомил Microsoft о своем скомпрометированном программном обеспечении. Несмотря на то, что атака нулевого дня была обнаружена в апреле, с января уже были атакованы миллионы пользователей.
