מה הסיכוי שאהיה מושפע מיום אפס?

עבור משתמשים רגילים, רוב ההתקפות של יום אפס מכוונות לארגונים בעלי ערך גבוה או לאנשים ספציפיים. אירועי ניצול המוני (Log4Shell, ProxyShell) משפיעים על כולם דרך התוכנה בחייהם, אך ההגנה מתקנת כאשר התיקון מגיע. עבור התקפות ממוקדות נגדך במיוחד, תצטרך להיות יעד בעל ערך גבוה עם יריבים ברמת המדינה.

האם עלי לדאוג לגבי פגסוס או תוכנות ריגול דומות?

אם אתה עיתונאי, אקטיביסט, מתנגד או פוליטיקאי שמעניין בממשלה עוינת - כן, נקוט באמצעי זהירות כמו מצב נעילה ומשמעת מבצעית. עבור משתמשים רגילים במדינות דמוקרטיות, הסיכון נמוך מספיק כדי שההגנות המעשיות (לשמור מכשירים מעודכנים, להימנע מקישורים חשודים, להשתמש בחומרה של ספקים גדולים עם עדכוני אבטחה) יספיקו.

האם אנטי וירוס יכול לתפוס התקפות ביום אפס?

AV מבוסס חתימה בדרך כלל לא יכול - אין חתימה להתקפה לא ידועה. EDR התנהגותי (CrowdStrike, Defender for Endpoint, SentinelOne) יעיל יותר מכיוון שהוא בוחן מה עושים תהליכים ולא איך הם נראים. שיעור הזיהוי אינו מושלם; אפילו EDR מתוחכם מפספס כמה מעללי אפס מתוחכמים.

מדוע הספקים לא מתקנים את כל הבאגים לפני המשלוח?

מורכבות התוכנה עולה על תקציב הביקורת. למערכות הפעלה מודרניות יש מאות מיליוני שורות קוד. ניתוח מקיף הוא בלתי אפשרי; הספקים מוצאים את הבאגים שהם מעדיפים למצוא. בנוסף, כמה קטגוריות באגים (תנאי מירוץ, ערוצים צדדיים) טבועות באינטראקציות חומרה ותוכנה שאף ביקורת לא תופסת.

האם יש דרכים להילחם בימי אפס ברמת הפלטפורמה?

כן, מבחינה מבנית. שפות בטוחות בזיכרון (Rust, Go) מבטלות כיתות של באגים. הפחתות חומרה (CET, MTE, ARM Pointer Authentication) מקשות על הניצול. ארגז חול מגביל את הנזק. המגמה ב-15 השנים האחרונות הייתה התקשות מתקדמת; המגמה חשובה יותר מכל יום אפס ספציפי.

הסבר על פגיעויות ביום אפס: מה קורה לפני שקיים תיקון

יום אפס הוא פגיעות שהספק עדיין לא יודע עליה. עד שהספק ידע ויוכל להוציא תיקון, כל מערכת שמריצה את הקוד הפגיע חשופה. אפס ימים מפעילים הן את ההתקפות בעלות ההשפעה הגבוהה ביותר והן שוק של מיליוני דולרים של מתווכים מנצלים. הבנת מחזור החיים מבהירה מדוע חלק מההתקפות הן כה הרסניות.

גוף המאמר המלא מסופק באנגלית להלן.

A Zero-day vulnerability הוא ליקוי אבטחה שהספק המושפע אינו יודע עליו - "אפס ימים" הוא מספר הימים מאז שהספק נודע לו. המונח לפעמים אומר ספציפית שהפגיעות גם מנוצלת באופן פעיל ("יום אפס בטבע"), פעמים אחרות רק התקופה שלפני קיים תיקון.

מחזור החיים

Discovery. מישהו - חוקר, תוקף, סוכנות מודיעין bug.
Decision. המוצא בוחר מה לעשות: לדווח לספק (גילוי נאות), למכור למתווך ניצול, להשתמש בניצול בעצמם, לשבת עליו.
תקופת חשיפה מוקדמת. אם דיווחו על ספק, לפעמים 0 ימים פיתחו. לתקן. אם נשמר פרטי, תקופה זו היא פתוחה.
ניצול פעיל, אם רלוונטי. תוקפים המשתמשים בניצול נגד מטרות אמיתיות. עשוי לקרות במהלך חשיפה מוקדמת או לאחר מכן.
תיקוני ספקים. תיקון משוחרר, לעתים קרובות עם CVE שהוקצה.
Disclosure. חוקרים וספקים מפרסמים פרטים, ומאפשרים למגנים אחרים לזהות ולמגנים אחרים mitigate.
Mass exploitation. פרטים ציבוריים כעת הופכים אותו לנגיש לתוקפים פחות מתוחכמים; מערכות לא מתוקנות הופכות למטרות בהמוניהן.

תקופת החשיפה המוקדמת היא המסוכנת. הספק יודע או לא יודע; לחוקרים אין חתימות זיהוי; מגינים לא יכולים לקחת הקלות ספציפיות.

כמה שווה אפס-ימים

Tשני שווקים:

תוכניות פרס באגים משלמות $5K-$200K עבור פגיעויות קריטיות טיפוסיות. ברמה העליונה (Apple Security Research, Google's Vulnerability Reward Program) משלמים עד $1M-2M עבור ניצול שרשרת מלאה.
Exploit brokers כמו Zerodium, Crowdfense, וזרוע המחקר של NSO Group משלמים $500K-$2.5M עבור הקטגוריות המלאות של אנדרואיד בעלות ערך מלא של דפדפן CE, אנדרואיד בשווי מלא. escapes.

מחיר השוק האפור לימי אפס רציניים עולה באופן משמעותי על תרומות לגיטימיות. פער המחירים יוצר דילמה אתית לחוקרים שמוצאים אותם. מכירה לברוקרים פירושה שהבאג נשאר מנוצל; דיווח לספק אומר שזה יתוקן. חוקרים שונים עושים בחירות שונות מסיבות שונות.

מי משתמש ב-zero-days

Nation-state Intelligence Agencys. NSA, GCHQ, FSB, MSS ומקבילות שומרים על צוותי סייבר התקפיים שקונים או מפתחים ימים אפס. הדלפת Vault 7 חשפה את ערכת הכלים TAO של ה-CIA; הגילויים של סנודן חשפו דומה בקנה מידה של NSA.
שכירי חרב סייבר מסחריים. NSO Group (Pegasus), Cellebrite, Cyt rox, Candiru - מוכרים מעללים ללקוחות ממשלתיים. מספר סנקציות קיבלו סנקציות על ידי ממשלת ארה"ב.
Ransomware groups. משתמש יותר ויותר באפס ימים לגישה ראשונית. ניצול 2023 Cl0p MOVEit פגע במאות ארגונים.
Advanced Consistent Things (APT) קבוצות. צוותים ארוכי טווח המזוהים עם מדינת לאום שמתמקמים מראש על ידי ניצול אפס ימים לשימוש עתידי.

Stuxnet (2010) — ארבעה ימי אפס של Windows פלוס ניצול של Siemens PLC. נעשה שימוש נגד העשרה גרעינית איראנית.
Pegasus ניצול iOS בלחיצה אפסית (מרובה, 2016-2024) — רשתות ניצול iOS של קבוצת NSO, בשימוש נגד עיתונאים ופעילים ברחבי העולם. (2020) — התקפת שרשרת האספקה הכוללת אפס ימים בפיתוח.
ProxyLogon / ProxyShell (2021) — נקודות תורפה של Microsoft Exchange Server נוצלו בהמוניהם לפני פריסה נרחבת של תיקונים.Log4XXShell (2021) - פגיעות קריטית של ספריית רישום Java; ניצול נרחב תוך ימים.
MOVEit Transfer (2023) — הניצול של קבוצת Cl0p פגע באלפי ארגונים.
iOS מצב נעילה מפעיל אירועים (2022-2025 - 2022-2025 מובילים את רשתותיו של אפל ל-XPLZ4 כל כך מצא מצב מוקשח.

מירוץ חלון התיקון

לאחר חשיפה ותיקון של יום אפס, ניצול המוני מתרחש לעתים קרובות תוך שעות לימים. התוקפים מהנדסים לאחור את התיקון, מזהים את נתיב הקוד הפגיע ומפתחים ניצול עבודה. מגינים הדוהרים לתיקון מתמודדים עם הא-סימטריה: התוקפים צריכים רק למצוא מערכות לא מתוקנות, מגינים צריכים לתקן את כל המערכות.

חלון הניצול שנחשף-מתוקן להמונים הצטמצם. ProxyShell עברה מחשיפה לניצול המוני תוך ימים. Log4Shell נוצל לפני שמנהלי מערכת רבים שמעו על זה.

מה מגינים יכולים לעשות

הגנות כלליות שמפחיתות את ההשפעה של אפס יום:

Sandboxing.XPLZcomponentX יש ניצול מוצלח של מסמכים נגד דפדפן (דפדפן) reach.
Defense in depth. אף פגיעות אחת לא נותנת גישה מלאה אם ארכיטקטורת השכבות היא תקינה.
פילוח רשת. מארח שנפגע מגיע פחות מהרשת. ראה את מאמר הפילוח של .
זיהוי התנהגות. EDR מודרני לוכד התנהגות זדונית גם ללא חתימות ספציפיות.
Tעדכוני אינטליגנציה של איומים. מתפרסמים מצידים של פשרה קודמים של ארגונים. חדירה.
מצב נעילה של אפל ושווה ערך. עבור אנשים בסיכון גבוה (עיתונאים, פעילים, מנהלים), הקשחה ברמת הפלטפורמה משביתה תכונות בסיכון גבוה. הוא המשתנה הגדול ביותר.

ויכוח הגילוי

נורמות גילוי אחראיות מבוססות היטב אך שנויות במחלוקת בשוליים:

Google Project Zero משתמש ב-90 ימים של דד-ליין. חשיפה מתרחשת בין אם הספק תיקן ובין אם לא.
חלק מהחוקרים מעדיפים לוחות זמנים קצרים יותר (60 ימים) או ארוכים יותר (180 ימים) בהתאם לחומרה.
גילוי נאות (ספק + חוקר + גורמים מושפעים במורד הזרם) לוקח זמן רב יותר אך מפחית נזקים נלווים103"XPLZ"XPLZ103"XPLZ"XPLZ103"XPLZ"XPLZ103"XPLZ"XPLZ"XPLZ"XPLZ103"XXlos חשיפה. לעתים נעשה שימוש ללא אזהרה נגד ספקים אשר נכשלים שוב ושוב בדיווחים.

הנורמה המשותפת: ספקים צריכים לתקן נקודות תורפה באופן מיידי; חוקרים צריכים לתת להם הזדמנות; הקהילה הרחבה יותר צריכה לדעת לאחר שהתיקון קיים.

שאלות נפוצות

מה הסיכוי שאהיה מושפע מיום אפס?: עבור משתמשים רגילים, רוב ההתקפות של יום אפס מכוונות לארגונים בעלי ערך גבוה או לאנשים ספציפיים. אירועי ניצול המוני (Log4Shell, ProxyShell) משפיעים על כולם דרך התוכנה בחייהם, אך ההגנה מתקנת כאשר התיקון מגיע. עבור התקפות ממוקדות נגדך במיוחד, תצטרך להיות יעד בעל ערך גבוה עם יריבים ברמת המדינה.
האם עלי לדאוג לגבי פגסוס או תוכנות ריגול דומות?: אם אתה עיתונאי, אקטיביסט, מתנגד או פוליטיקאי שמעניין בממשלה עוינת - כן, נקוט באמצעי זהירות כמו מצב נעילה ומשמעת מבצעית. עבור משתמשים רגילים במדינות דמוקרטיות, הסיכון נמוך מספיק כדי שההגנות המעשיות (לשמור מכשירים מעודכנים, להימנע מקישורים חשודים, להשתמש בחומרה של ספקים גדולים עם עדכוני אבטחה) יספיקו.
האם אנטי וירוס יכול לתפוס התקפות ביום אפס?: AV מבוסס חתימה בדרך כלל לא יכול - אין חתימה להתקפה לא ידועה. EDR התנהגותי (CrowdStrike, Defender for Endpoint, SentinelOne) יעיל יותר מכיוון שהוא בוחן מה עושים תהליכים ולא איך הם נראים. שיעור הזיהוי אינו מושלם; אפילו EDR מתוחכם מפספס כמה מעללי אפס מתוחכמים.
מדוע הספקים לא מתקנים את כל הבאגים לפני המשלוח?: מורכבות התוכנה עולה על תקציב הביקורת. למערכות הפעלה מודרניות יש מאות מיליוני שורות קוד. ניתוח מקיף הוא בלתי אפשרי; הספקים מוצאים את הבאגים שהם מעדיפים למצוא. בנוסף, כמה קטגוריות באגים (תנאי מירוץ, ערוצים צדדיים) טבועות באינטראקציות חומרה ותוכנה שאף ביקורת לא תופסת.
האם יש דרכים להילחם בימי אפס ברמת הפלטפורמה?: כן, מבחינה מבנית. שפות בטוחות בזיכרון (Rust, Go) מבטלות כיתות של באגים. הפחתות חומרה (CET, MTE, ARM Pointer Authentication) מקשות על הניצול. ארגז חול מגביל את הנזק. המגמה ב-15 השנים האחרונות הייתה התקשות מתקדמת; המגמה חשובה יותר מכל יום אפס ספציפי.