Nollapäivän hyökkäys

Mikä on nollapäivän hyökkäys?

Nollapäivän hyökkäys (tunnetaan myös nimellä Day Zero) on hyökkäys, joka hyödyntää mahdollisesti vakavaa ohjelmiston tietoturvaheikkoutta, josta toimittaja tai kehittäjä ei ehkä ole tietoinen. Ohjelmiston kehittäjän on ryhdyttävä korjaamaan heikkous heti sen havaittuaan rajoittaakseen ohjelmiston käyttäjiin kohdistuvaa uhkaa. Ratkaisua kutsutaan ohjelmistokorjaukseksi. Nollapäivähyökkäyksiä voidaan käyttää myös esineiden internetiin (IoT) hyökkäämiseen.

Nollapäivän hyökkäys on saanut nimensä päivien lukumäärästä, jonka ohjelmistokehittäjä on tiennyt ongelmasta.

Nollapäivän hyökkäyksen ymmärtäminen

Nollapäivän hyökkäys voi sisältää haittaohjelmia, mainosohjelmia,. vakoiluohjelmia tai luvatonta pääsyä käyttäjätietoihin. Käyttäjät voivat suojautua nollapäivähyökkäyksiä vastaan asettamalla ohjelmistonsa, mukaan lukien käyttöjärjestelmät, virustorjuntaohjelmistot ja Internet-selaimet, päivittämään automaattisesti ja asentamalla välittömästi kaikki suositellut päivitykset säännöllisesti ajoitettujen päivitysten ulkopuolella.

Virustorjuntaohjelmiston päivitys ei kuitenkaan välttämättä suojaa käyttäjää nollapäivän hyökkäyksiltä, koska ennen kuin ohjelmiston haavoittuvuus on julkisesti tiedossa, virustorjuntaohjelmistolla ei välttämättä ole tapaa havaita sitä. Isännän tunkeutumisen estojärjestelmät auttavat myös suojaamaan nollapäivähyökkäyksiä vastaan estämällä ja puolustamalla tunkeutumista ja suojaamalla tietoja.

Ajattele nollapäivän haavoittuvuutta lukitsemattomana auton ovena, jonka omistaja luulee olevan lukossa, mutta varas huomaa olevan lukitsematon. Varas voi tunkeutua sisään huomaamatta ja varastaa auton omistajan hansikaslokerosta tai tavaratilasta tavaroita, jotka voidaan huomata vasta päiviä myöhemmin, kun vahinko on jo tapahtunut ja varas on kauan poissa.

Vaikka nollapäivän haavoittuvuudet tunnetaan rikollisten hakkereiden hyödyntämisestä, niitä voivat hyödyntää myös valtion turvallisuusvirastot, jotka haluavat käyttää niitä valvontaan tai hyökkäyksiin. Itse asiassa nollapäivän haavoittuvuuksille on niin paljon kysyntää valtion turvallisuusvirastoilta, että ne auttavat ohjaamaan markkinoita ostamaan ja myymään tietoa näistä haavoittuvuuksista ja niiden hyödyntämisestä.

Nollapäivän hyväksikäyttö voidaan paljastaa julkisesti, paljastaa vain ohjelmiston toimittajalle tai myydä kolmannelle osapuolelle. Jos ne myydään, ne voidaan myydä yksinoikeuksilla tai ilman. Paras ratkaisu tietoturvavirheeseen siitä vastaavan ohjelmistoyrityksen näkökulmasta on, että eettinen hakkeri tai valkoinen hattu paljastaa puutteen yksityisesti yritykselle, jotta se voidaan korjata ennen kuin rikolliset hakkerit löytävät sen. Mutta joissakin tapauksissa useamman kuin yhden osapuolen on puututtava haavoittuvuuteen ratkaistakseen se kokonaan, joten täydellinen yksityinen paljastaminen voi olla mahdotonta.

Markkinat nollapäivän hyökkäyksille

Nollapäivän tiedon pimeillä markkinoilla rikolliset hakkerit vaihtavat tietoja siitä, kuinka he voivat murtautua haavoittuvien ohjelmistojen läpi varastaakseen arvokasta tietoa. Harmailla markkinoilla tutkijat ja yritykset myyvät tietoa armeijalle, tiedustelupalveluille ja lainvalvontaviranomaisille. Valkoisilla markkinoilla yritykset maksavat valkohattu-hakkereille tai tietoturvatutkijoille ohjelmistohaavoittuvuuksien havaitsemisesta ja paljastamisesta kehittäjille, jotta he voivat korjata ongelmat ennen kuin rikolliset hakkerit löytävät ne.

Ostajasta, myyjästä ja hyödyllisyydestä riippuen nollapäivän tiedot voivat olla arvoltaan muutamasta tuhannesta useisiin satoihin tuhansiin dollareihin, mikä tekee siitä mahdollisesti kannattavan markkinan osallistumiselle. Ennen kuin kauppa voidaan suorittaa, myyjän tulee toimittaa proof-of-concept (PoC) vahvistaakseen nollapäivän hyväksikäytön olemassaolon. Niille, jotka haluavat vaihtaa nollapäivän tietoja huomaamatta, Tor-verkko mahdollistaa nollapäivän tapahtumien suorittamisen anonyymisti Bitcoinin avulla.

Nollapäivän hyökkäykset voivat olla pienempi uhka kuin miltä ne kuulostaa. Hallituksella voi olla helpompia tapoja vakoilla kansalaisiaan, ja nollapäivät eivät välttämättä ole tehokkain tapa hyödyntää yrityksiä tai yksilöitä. Hyökkäys on suoritettava strategisesti ja ilman kohteen tietämättä, jotta se olisi mahdollisimman tehokas. Nollapäivän hyökkäyksen vapauttaminen miljooniin tietokoneisiin kerralla voi paljastaa haavoittuvuuden ja saada korjaustiedoston vapautumaan liian nopeasti, jotta hyökkääjät voivat saavuttaa lopullisen tavoitteensa.

Esimerkki tosimaailmasta

Huhtikuussa 2017 Microsoft sai tiedon nollapäivän hyökkäyksestä sen Microsoft Word -ohjelmistoa vastaan. Hyökkääjät käyttivät haittaohjelmaa nimeltä Dridex banker troijalainen hyödyntääkseen ohjelmiston haavoittuvaa ja korjaamatonta versiota. Troijalainen antoi hyökkääjille mahdollisuuden upottaa haitallista koodia Word-asiakirjoihin, jotka käynnistyivät automaattisesti, kun asiakirjat avattiin. Hyökkäyksen havaitsi virustorjuntatoimittaja McAfee, joka ilmoitti Microsoftille vaarantuneesta ohjelmistostaan. Vaikka nollapäivän hyökkäys paljastui huhtikuussa, miljoonat käyttäjät olivat jo tammikuun jälkeen.

Kohokohdat

• Ratkaisu nollapäivän hyökkäyksen korjaamiseen tunnetaan ohjelmistokorjauksena.

• Nollapäivän hyökkäykset voidaan estää, joskaan ei aina, virustorjuntaohjelmistolla ja säännöllisillä järjestelmäpäivityksillä.

• Nimi tulee siitä, kuinka monta päivää ohjelmistokehittäjä on tiennyt ongelmasta.

• Nollapäivähyökkäyksille on olemassa erilaisia markkinoita, jotka vaihtelevat laillisista laittomiin. Niihin kuuluvat valkoiset markkinat, harmaat markkinat ja pimeät markkinat.

• Nollapäivän hyökkäys on ohjelmistoon liittyvä hyökkäys, joka hyödyntää heikkoutta, josta myyjä tai kehittäjä ei ollut tietoinen.