Aká je pravdepodobnosť, že sa ma dotkne zero-day?

Pre bežných používateľov sa väčšina útokov zero-day zameriava na organizácie s vysokou hodnotou alebo konkrétnych jednotlivcov. Udalosti hromadného využívania (Log4Shell, ProxyShell) ovplyvňujú každého prostredníctvom softvéru v jeho živote, ale obrana sa opravuje, keď príde oprava. Pre cielené útoky konkrétne proti vám by ste museli byť vysokohodnotným cieľom s protivníkmi na štátnej úrovni.

Mám sa obávať Pegasa alebo podobného spywaru?

Ak ste novinár, aktivista, disident alebo politik, o ktorý má záujem nepriateľská vláda – áno, urobte preventívne opatrenia, ako je režim uzamknutia a prevádzková disciplína. Pre bežných používateľov v demokraciách je riziko dostatočne nízke na to, aby postačovala praktická obrana (udržiavajte zariadenia aktualizované, vyhýbajte sa podozrivým prepojeniam, používajte hardvér od veľkých dodávateľov s bezpečnostnými aktualizáciami).

Dokáže antivírus zachytiť zero-day útoky?

AV založené na podpisoch to zvyčajne nedokážu – neexistuje žiadny podpis pre neznámy útok. Behaviorálna EDR (CrowdStrike, Defender for Endpoint, SentinelOne) je efektívnejšia, pretože sa zameriava skôr na to, čo procesy robia, než na to, ako vyzerajú. Miera detekcie nie je dokonalá; dokonca aj sofistikované EDR postrádajú niektoré sofistikované zero-day exploity.

Prečo predajcovia neopravia všetky chyby pred odoslaním?

Zložitosť softvéru prevyšuje rozpočet auditu. Moderné operačné systémy majú stovky miliónov riadkov kódu. Komplexná analýza nie je možná; predajcovia nájdu chyby, ktoré uprednostňujú. Navyše, niektoré kategórie chýb (závodné podmienky, vedľajšie kanály) sú vlastné interakciám hardvéru a softvéru, ktoré žiadny audit nezachytí.

Existujú spôsoby, ako bojovať proti nulovým dňom na úrovni platformy?

Áno, konštrukčne. Pamäťovo bezpečné jazyky (Rust, Go) eliminujú triedy chýb. Hardvérové obmedzenia (CET, MTE, ARM Pointer Authentication) sťažujú využívanie. Sandboxing obmedzuje poškodenie. Trendom za posledných 15 rokov bolo progresívne otužovanie; na trende záleží viac ako na akomkoľvek konkrétnom nultom dni.

Vysvetlenie zraniteľností Zero-Day: Čo sa stane, kým sa objaví oprava

Nultý deň je zraniteľnosť, o ktorej predajca ešte nevie. Kým sa dodávateľ nedozvie a nemôže vydať opravu, každý systém, na ktorom je spustený zraniteľný kód, je odhalený. Zero-days poháňa útoky s najvyšším dosahom a multimiliónový trh s využitím brokerov. Pochopenie životného cyklu objasňuje, prečo sú niektoré útoky také zničujúce.

Celé telo článku je uvedené v angličtine nižšie.

A Zraniteľnosť zero-day je bezpečnostná chyba, o ktorej dotknutý dodávateľ nevie – „nula dní“ je počet dní, odkedy sa o tom dodávateľ dozvedel. Tento výraz niekedy špecificky znamená, že zraniteľnosť sa tiež aktívne využíva („nultý deň v divočine“), inokedy len obdobie pred existenciou opravy.

Životný cyklus

Discovery. Niekto – výskumník, útočník, spravodajská agentúra – nájde bug.
Rozhodnutie. Nálezca si vyberie, čo má urobiť: nahlásiť predajcovi (zodpovedné zverejnenie), predať sprostredkovateľovi exploitu, sám využiť exploit, sadnúť si naň.
Obdobie pred zverejnením. opraviť. Ak sa uchováva v súkromí, toto obdobie je neobmedzené.
Aktívne využívanie, ak je to vhodné. Útočníci využívajúci exploit proti skutočným cieľom. Môže sa to stať počas predbežného zverejnenia alebo po ňom.
Záplaty dodávateľa. Oprava je uvoľnená, často s priradeným CVE.
Disclosure. Výskumníci a predajca zverejňujú podrobnosti, čo umožňuje ostatným obrancom odhaliť a zmierniť Z20MaXXX1PLZ3PL3. exploitation. Teraz zverejnené detaily ho sprístupňujú menej sofistikovaným útočníkom; neopravené systémy sa hromadne stávajú cieľmi.

Obdobie pred zverejnením je nebezpečné. Predajca vie alebo nevie; výskumníci nemajú detekčné podpisy; obrancovia nemôžu prijať konkrétne opatrenia.

Koľko stoja nulové dni

Dva trhy:

Programy odmeňovania za chyby zaplatia 5 000 až 200 000 USD za typické kritické zraniteľnosti. Najvyššia úroveň (Apple Security Research, Google's Vulnerability Reward Program) zaplatí až 1 milión – 2 milióny dolárov za úplné zneužitie reťazca.
Exploit brokeri ako Zerodium, Crowdfense a skupina NSO Group pre výskum zaplatia 500 000 až 2,5 milióna dolárov za ekvivalenty Androidu v plnohodnotných prehliadačoch pre iOS a za najvýhodnejšie kategórie prehliadačov CEu pre iOS unikne.

Cena na šedom trhu za seriózne zero-days podstatne prevyšuje legitímne odmeny. Cenový rozdiel vytvára etickú dilemu pre výskumníkov, ktorí ich nájdu. Predaj maklérom znamená, že chyba sa naďalej využíva; nahlásenie predajcovi znamená, že sa to opraví. Rôzni výskumníci robia rôzne rozhodnutia z rôznych dôvodov.

Kto používa zero-days

Spravodajské agentúry národného štátu. NSA, GCHQ, FSB, MSS a ekvivalenty udržiavajú útočné kybernetické tímy, ktoré nakupujú alebo vyvíjajú zero-days. Únik Vault 7 odhalil súpravu nástrojov CIA TAO; Snowdenove odhalenia odhalili podobné v mierke NSA.
Komerční kyber-žoldnieri. Skupina NSO (Pegasus), Cellebrite, Cyt rox, Candiru – predávajú exploity vládnym klientom. Viaceré boli sankcionované vládou USA.
Ransomware groups. Na počiatočný prístup sa čoraz častejšie používajú nulové dni. Využitie Cl0p MOVEit v roku 2023 zasiahlo stovky organizácií.
Skupiny pre pokročilých pretrvávajúcich hrozieb (APT). Dlhotrvajúce tímy pridružené k národným štátom, ktoré predurčujú pozíciu využitím zero days na budúce použitie.

Stuxnet (2010) — Štyri Windows zero-days plus Siemens PLC exploity. Používa sa proti iránskemu jadrovému obohacovaniu.
Pegasus zero-click exploity iOS (viacnásobné, 2016 – 2024) – reťazce využívania iOS skupiny NSO Group, používané proti novinárom a aktivistom po celom svete.
ProxyLogon / ProxyShell (2021) — Zraniteľnosť servera Microsoft Exchange Server sa masovo zneužívala pred rozsiahlym nasadením opráv. kritická zraniteľnosť protokolovacej knižnice Java; rozšírené využitie za niekoľko dní.
MOVEit Transfer (2023) — Využitie skupiny Cl0p zasiahlo tisíce organizácií.
iOS Lockdown Mode spúšťajúce udalosti (2022-2025) zaviedol svoj popredný reťazec, ktorý zaviedol viacero náročných prepracovaných reťazcov Apple režim.

Zápasové okno race

Po odhalení a oprave nultého dňa často v priebehu niekoľkých hodín až dní nasleduje masové využívanie. Útočníci reverzne analyzujú opravu, identifikujú cestu k zraniteľnému kódu a vyvinú fungujúce exploity. Obrancovia, ktorí sa snažia o opravu, čelia asymetrii: útočníkom stačí nájsť neopravené systémy, obrancovia musia opraviť všetky systémy. ProxyShell prešiel od zverejnenia k masovému vykorisťovaniu v priebehu niekoľkých dní. Log4Shell bol využívaný skôr, ako sa o ňom dopočuli mnohí správcovia systému.

Čo môžu obrancovia urobiť

Všeobecná ochrana, ktorá znižuje dopad nultého dňa:

Sandboxing. sandboxer má obmedzené zobrazenie dokumentu proti dokumentu Sandboxer má obmedzené zobrazenie dosah.
Obrana do hĺbky. Žiadna jediná zraniteľnosť neposkytuje úplný prístup, ak je vrstvená architektúra správna.
Segmentácia siete. Kompromitovaný hostiteľ zasahuje do menšej časti siete. Pozrite si náš článok segmentácia.
Detekcia správania. Moderné EDR zachytáva škodlivé správanie aj bez špecifických podpisov.
Informačné kanály o hrozbách. narušenie.
Režim uzamknutia Apple a ekvivalenty. Pre vysokorizikových jednotlivcov (novinárov, aktivistov, vedúcich pracovníkov) zosilnenie na úrovni platformy deaktivuje vysoko rizikové funkcie.
Patch okamžite, keď sa objavia záplaty. XPLZ9 premenná.

Debata o sprístupnení informácií

Normy zodpovedného sprístupnenia informácií sú dobre zavedené, no na okrajoch sú sporné:

Google Project Zero používa 90-dňovú lehotu so 14-dňovým odkladom. Odhalenie sa deje bez ohľadu na to, či dodávateľ vykonal opravu alebo nie.
Niektorí výskumníci uprednostňujú kratšie časové harmonogramy (60 dní) alebo dlhšie (180 dní) v závislosti od závažnosti.
Koordinované zverejnenie (dodávateľ + výskumník + následné dotknuté strany) trvá dlhšie, ale znižuje vedľajšie škody. ktorí opakovane nereagujú na správy.

Etika sa líši v závislosti od kontextu. Spoločná norma: predajcovia by mali okamžite opraviť slabé miesta; výskumníci by im mali dať šancu; širšia komunita by mala vedieť, až bude záplata existovať.

Často kladené otázky

Aká je pravdepodobnosť, že sa ma dotkne zero-day?: Pre bežných používateľov sa väčšina útokov zero-day zameriava na organizácie s vysokou hodnotou alebo konkrétnych jednotlivcov. Udalosti hromadného využívania (Log4Shell, ProxyShell) ovplyvňujú každého prostredníctvom softvéru v jeho živote, ale obrana sa opravuje, keď príde oprava. Pre cielené útoky konkrétne proti vám by ste museli byť vysokohodnotným cieľom s protivníkmi na štátnej úrovni.
Mám sa obávať Pegasa alebo podobného spywaru?: Ak ste novinár, aktivista, disident alebo politik, o ktorý má záujem nepriateľská vláda – áno, urobte preventívne opatrenia, ako je režim uzamknutia a prevádzková disciplína. Pre bežných používateľov v demokraciách je riziko dostatočne nízke na to, aby postačovala praktická obrana (udržiavajte zariadenia aktualizované, vyhýbajte sa podozrivým prepojeniam, používajte hardvér od veľkých dodávateľov s bezpečnostnými aktualizáciami).
Dokáže antivírus zachytiť zero-day útoky?: AV založené na podpisoch to zvyčajne nedokážu – neexistuje žiadny podpis pre neznámy útok. Behaviorálna EDR (CrowdStrike, Defender for Endpoint, SentinelOne) je efektívnejšia, pretože sa zameriava skôr na to, čo procesy robia, než na to, ako vyzerajú. Miera detekcie nie je dokonalá; dokonca aj sofistikované EDR postrádajú niektoré sofistikované zero-day exploity.
Prečo predajcovia neopravia všetky chyby pred odoslaním?: Zložitosť softvéru prevyšuje rozpočet auditu. Moderné operačné systémy majú stovky miliónov riadkov kódu. Komplexná analýza nie je možná; predajcovia nájdu chyby, ktoré uprednostňujú. Navyše, niektoré kategórie chýb (závodné podmienky, vedľajšie kanály) sú vlastné interakciám hardvéru a softvéru, ktoré žiadny audit nezachytí.
Existujú spôsoby, ako bojovať proti nulovým dňom na úrovni platformy?: Áno, konštrukčne. Pamäťovo bezpečné jazyky (Rust, Go) eliminujú triedy chýb. Hardvérové obmedzenia (CET, MTE, ARM Pointer Authentication) sťažujú využívanie. Sandboxing obmedzuje poškodenie. Trendom za posledných 15 rokov bolo progresívne otužovanie; na trende záleží viac ako na akomkoľvek konkrétnom nultom dni.