0-day atak luka exploit
2018.03.18  

W informacjach o cyberatakach często pojawia się oznaczenie 0-day. Kiedy mówimy o atakach tego typu? Dlaczego podatności 0-day są niebezpieczne?

Dzisiaj trochę teorii. Nawet poruszając się pewnie w wirtualnym świecie, nie musimy znać wszystkich niuansów nim rządzących. W naszych artykułach staramy się przybliżać problemy internetu w sposób prosty, niekoniecznie okraszony fachowym słownictwem.

Podatność 0-day

Podatność 0-day, to podatność (czyli inaczej luka albo furtka), która nie jest znana producentowi oprogramowania, użytkownikom ani badaczom. Siedzi sobie spokojnie w aplikacji, wtyczce czy innego rodzaju programie i czeka na odkrycie.

Nie zawsze taka podatność jest wykryta, niektóre istnieją latami i pozostają w ukryciu. Luka, której nikt nie odkrył nie jest niebezpieczna. Jeśli nikt o niej nie wie, nie można jej sposób wykorzystać. Teraz wszystko zależy od tego, kto odkryje ją pierwszy. Ten dobry czy ten zły.

White hat, black hat

Wśród osób zajmujących się wyszukiwaniem dziur w oprogramowaniach różnych producentów, istnieją dwie grupy. Pierwsza zajmuje się bezpieczeństwem w sieci, często zawodowo. Są to, na przykład, specjaliści pracujący w firmach zajmujących się tworzeniem oprogramowania. Nazywa się ich umownie „white hat”. To ci dobrzy.

Do white hat należą też liczni amatorzy, często z ogromną wiedzą informatyczną, dla których jest to swojego rodzaju hobby. Dla nich firmy producenckie przygotowują między innymi konkursy (z niebagatelnymi nagrodami), ponieważ skuteczność takich „amatorów” bywa naprawdę wysoka.

W opozycji do „white hats” stoją oczywiście „black hats” – ci źli, czyli cyberprzestępcy. Oni także, posiadając wiedzę i umiejętności informatyczne, poszukują dziur w aplikacjach. Ale przyświeca im nieco innym cel.

Znaleziono lukę i co dalej

Dla społeczności white hat dobrym zwyczajem, a właściwie przykazaniem etycznym, jest poinformowanie w pierwszej kolejności producenta feralnego oprogramowania. Najczęściej też, informacja o podatności zostaje upubliczniona dopiero wtedy, gdy producent przygotuje aktualizację łatającą dziurę. W praktyce embargo informacyjne bywa łamane. Tak było w opisywanym przez nas przypadku grupy Project Zero i problemów z procesorami.

Czasem informacja jest upubliczniana równocześnie z poinformowaniem producenta. Jeśli luka jest dobrze zdefiniowana i opisana, wtedy od informacji do wydania łatki mija kilka dni.

Dla black hats nowo odkryta podatność, to źródło zysku. Informacja jest po prostu sprzedawana innym przestępcom, którzy wykorzystują ją do przygotowania ataku. Wtedy mamy do czynienia z dziurą czy też podatnością typu 0-day. Konsekwentnie, atak z jej wykorzystaniem, to atak typu 0-day.

Czy wszyscy jesteśmy narażeni?

Zanim podatność zostanie odkryta przez white hats a producent zacznie przygotowywać łatkę, może wydarzyć się wiele rzeczy. Najgorszy scenariusz, to oczywiście ten, gdy luka zostaje odkryta, bo wykonano atak z jej użyciem.

Jest oczywiste, że nie każda luka może być wykorzystana przez przestępców. Na przykład wtedy, gdy dostęp wymaga od użytkownika specjalnych przywilejów. Ale, jeśli jest to możliwe, taki atak jest często skuteczny a bywa również długofalowy. Zdarza się, że luka jest wykorzystywana miesiącami, zanim atak zostanie odkryty i w następstwie producent przygotuje łatkę.

Czy każdy z nas jest narażony? Niekoniecznie. Dobrej klasy program antywirusowy, potrafi wykryć exploity 0-day (czyli złośliwe programy) i skutecznie je zablokować. Również firewall poradzi sobie z większością takich przypadków. Chcielibyśmy powiedzieć, że w 100%, jednak nie jest tak dobrze. Ale lepiej być zabezpieczonym na 95% sytuacji, niż wcale. Poza tym, stare przykazania dotyczące cyberbezpieczeństwa, mogą nas uchronić przed takimi niespodziankami: nie otwieraj podejrzanych wiadomości, nie klikaj w linki od nieznanych Ci nadawców.

 

 

 

Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas