Softvérové ​​spoločnosti ako Microsoft, Adobe a Apple neustále pracujú na odstránení chýb vo svojich programoch, niekedy však nie sú prvými, ktorí odhalia chyby zabezpečenia.

Kybernetickí zločinci niekedy nájdu tieto chyby ako prvé, a keď tak urobia, môžu zneužiť chyby zabezpečenia softvéru na svoj vlastný finančný zisk na úkor bežných používateľov počítačov.

Útok na chybu softvéru, ku ktorému dôjde skôr, ako vývojári softvéru stihli vyvinúť opravu chyby, sa často nazýva zneužitie nulového dňa. Pojem „nultý deň“ označuje, že vývojári mali na odstránenie tejto chyby nula dní.

Môže tiež odkazovať na útoky, ktoré sa vyskytnú v ten istý deň (nultý deň), kedy je zverejnená chyba zabezpečenia. Niektoré zneužitia nulového dňa sú v skutočnosti prvým náznakom toho, že súvisiaca zraniteľnosť vôbec existuje.

Zneužitie nulového dňa je obzvlášť hrozivé, pretože môže infikovať vašu počítačovú sieť aj v prípade, že ste pri aktualizácii softvéru postupovali skutočne usilovne.

Ako vyzerajú exploity nulového dňa

Využitie nulového dňa má všetky tvary a veľkosti, zvyčajne však slúži na jediný účel: na dodanie malvéru k nič netušiacim obetiam. Najnebezpečnejšie varianty využívania nulového dňa uľahčujú sťahovanie súborov po príchode, pri ktorých stačí prejsť na zneužitá webová stránka alebo kliknutie na otrávený webový odkaz môže mať za následok plnohodnotný útok škodlivého softvéru na váš server systém. Takéto útoky využívajú chyby zabezpečenia v softvéri webového prehľadávača alebo v doplnkoch prehľadávača tretích strán.

Je však známe, že útočníci v nultý deň zneužívajú zraniteľné miesta v aplikácii Microsoft Word, PowerPoint a Excel, v rámci rôznych produktov Adobe, ako sú Reader a Flash Player, a v ďalších programov. Chyby v takomto softvéri môžu viesť k cielené útoky na spoločnosti a vládne agentúry.

Kybernetickí zločinci môžu napríklad posielať falošné e-mailové správy obsahujúce infikované dokumenty Word, aby zamestnancov oklamali sťahovaním malvérových balíkov. Zdá sa, že tieto falošné e-mailové správy často pochádzajú od známych kontaktov, a preto je ich filtrovanie obzvlášť ťažké.

Zločinci nie sú jedinými hackermi, ktorí využívajú činy nultého dňa. Stuxnet, počítačový červ, ktorý sabotoval iránsky jadrový program v roku 2010, obsahoval štyri nikdy predtým nevidené zneužitia nulového dňa. Americké a izraelské vládne agentúry sú podozrivé z vytvorenia Stuxnetu.

Priemysel nulových dní

Prípady zraniteľnosti nulového dňa sa za posledné desaťročie dramaticky zvýšili, čo odzrkadľuje rýchly nárast globálne používanie internetu - najmä na mobilných zariadeniach - a rýchlosť, s akou softvérové ​​spoločnosti chrlia nové programov.

Relatívne málo z týchto hlásených slabých miest však viedlo k útokom kybernetických zločincov. Prieskum spoločnosti Microsoft zistil, že iba 1 percento bezpečnostných incidentov v prvom polroku 2011 bolo výsledkom zneužitia nulového dňa.

Prečo sa viac bezpečnostných chýb nulového dňa nepremení na kybernetické útoky? Dôvodom môže byť to, že zločinci nie sú jediní, ktorí hľadajú tieto chyby. Softvérové ​​spoločnosti nielen aktívne vyhľadávajú bezpečnostné diery vo svojich produktoch, ale aj často dostávať správy o bezpečnostných nedostatkoch od svojich používateľov a od výskumných pracovníkov v oblasti bezpečnosti (tiež známy ako „biely klobúk“) hackermi).

Takéto postupy podnecujú to, čo niektorí technologickí odborníci označujú ako odvetvie nulových dní - rastúce podnikanie v bezpečnostnom sektore.

Vedci v oblasti bezpečnosti teoreticky dodržiavajú súbor postupov známych ako „etické zverejňovanie“. Inými slovami, namiesto toho predaja informácií o bezpečnostných nedostatkoch tomu, kto ponúkne najvyššiu cenu, ponúkajú ich zadarmo - softvér spoločnosti.

Ale nie všetci vedci sa cítia nútení dodržiavať tento čestný systém. Niektorí sa rozhodli zverejniť informácie o bezpečnostných chybách, aby prinútili neposlušné softvérové ​​spoločnosti vydať opravu. Iní predávajú svoj výskum spoločnostiam tretích strán - postup známy ako „lov na odměny“.

Spoločnosti loviace odmeny alebo využívajúce sprostredkovateľov slúžia ako sprostredkovatelia a uľahčujú peňažné transakcie medzi hackermi a softvérovými spoločnosťami alebo webmi, ktoré hacknú. Sprostredkovateľ platí hackerovi informácie o chybách softvéru, ktoré následne predáva spoločnosti postihnutej chybou.

V posledných rokoch mnoho spoločností - vrátane Facebooku„Microsoft, Yahoo!, Google a PayPal - taktiež spustili vlastné programy odmien, ktoré vystríhajú sprostredkovateľov spolu kompenzáciou priateľských hackerov za odovzdanie informácií o potenciálne škodlivom zabezpečení nedostatky.

Naposledy sa Facebook a Microsoft spojili s cieľom sponzorovať HackerOne program, ktorý ponúka hackerom až 5 000 dolárov za užitočné informácie o zraniteľnostiach nultého dňa. Google teraz tiež platí za zraniteľné miesta v softvérových balíčkoch otvoreného zdroja, ktoré nepatria žiadnej spoločnosti, ale pomáhajú prevádzkovať internet.

Mnohé z týchto spoločností tiež sponzorujú bezpečnostné inštruktáže a hackerské konferencie - napríklad Black Hat, DEFCON a Pwn2Own - na ktorom sa vedci stretávajú, aby diskutovali o aktuálnych bezpečnostných stratégiách a našli populárne bezpečnostné chyby softvér.

Zatiaľ čo mnoho softvérových spoločností a populárnych webových stránok je ochotných platiť za výhradné práva na informácie o serveri ich vlastných bezpečnostných dier pre nulový deň, existuje aj prekvitajúci čierny trh s informáciami o týchto kritických nedostatky.

Exploit brokeri často predávajú softvérové ​​zraniteľnosti pochybným zákazníkom - kybernetickým zločineckým organizáciám na podpätku a rovnako často aj vládnym spravodajským agentúram s hlbokými vreckami.

Zatiaľ čo žiadna americká vládna agentúra nezaznamenala tvrdenie, že nakupuje informácie o nula dní, špekuluje sa, že obranné doláre sa už vynakladajú na získanie hodnotného nulového dňa využíva.

Chránite sa pred útokmi nultého dňa

Kvôli samotnej povahe zneužitia nulového dňa nemôže byť žiadna sieť stopercentne bezpečná pred takýmito zraniteľnosťami. Existujú však opatrenia, ktoré môžete urobiť, aby ste zabránili škodlivým účinkom takéhoto útoku.

Pre jednotlivcov je bezpodmienečný prístup k počítačovej bezpečnosti nevyhnutný. Nikdy neklikajte na podozrivé odkazy obsiahnuté v e-mailoch, okamžitých správach, príspevkoch na Facebooku alebo Twitteri alebo pri prehľadávaní webu. Pri sťahovaní e-mailových príloh alebo online obsahu buďte vždy opatrní, aj keď sa zdá, že pochádza z dôveryhodného zdroja. Nikdy neotvárajte prílohu e-mailu z neznámeho zdroja.

Podniky a ďalšie organizácie môžu tiež dodržiavať určité bezpečnostné postupy, aby zaistili bezpečnosť svojich sietí pred útokmi nultého dňa. Použite virtuálne siete LAN na ochranu jednotlivých prenosov a implementáciu systému detekcie vniknutia - napríklad stavového firewallu - na odradenie útočníkov nulového dňa.

Ak vaša sieť nepoužíva riadenie prístupu, mali by ste zvážiť zavedenie tejto funkcie zabezpečenia na lepšie riadenie toho, ktoré počítače majú prístup do vašej siete. Zablokovanie bezdrôtových prístupových bodov a použitie modernej bezpečnostnej schémy, napríklad Wi-Fi Protected Access alebo WPA2, môže nakoniec pomôcť zabrániť bezdrôtovým útokom.

Sledujte Elizabeth Palermo na Twitteri @techEpalermo, Facebook & Google+. Postupujte podľa Tomovho sprievodcu @tomsguide Sme tiež na Facebook & Google+.