Zero Day säkerhetsbristen
Programvara har ofta säkerhetsbrister som hackers kan utnyttja. Programutvecklare letar ständigt efter sårbarheter att ”lappa” – det vill säga utveckla en lösning som de släpper i en ny uppdatering.
Men ibland upptäcker hackare eller skadliga aktörer sårbarheten före programutvecklarna. Medan sårbarheten fortfarande är öppen kan angripare skriva och implementera kod för att dra nytta av den. Detta kallas exploateringskod.
Exploateringskoden kan leda till att användare av programvaran blir offer – exempelvis genom identitetsstöld eller andra former av cyberbrott. När angripare identifierar en zero-day sårbarhet behöver de ett sätt att nå det sårbara systemet. De gör detta ofta genom ett välkonstruerat e-postmeddelande – det vill säga ett meddelande som tros vara från en känd eller legitimerad korrespondent men faktiskt är från en angripare. Med meddelandet försöker angriparen övertyga en användaren att utföra en åtgärd som att öppna en fil eller besöka en skadlig webbplats. Genom att göra detta laddas angriparens skadliga programvara ner. Den skadliga programvaran använder sedan angriparen för att t.ex. stjäla filer eller andra cyberbrott.
När en sårbarhet blir känd försöker utvecklarna att lappa den för att stoppa attacken. Men säkerhetsbrister upptäcks ofta inte direkt. Det kan ibland ta dagar, veckor eller till och med månader innan utvecklare identifierar sårbarheten som ledde till attacken. Och även när en zero-day patch släpps, är inte alla användare snabba att implementera den. På senare år har hackare varit snabbare på att utnyttja sårbarheter snart efter upptäckt.
När en exploateringskod upptäcks och lappas, kallas den inte längre för en zero day-hot. Zero day-attacker är särskilt farliga eftersom de enda personerna som känner till dem är angriparna själva. När de har infiltrerat ett nätverk kan brottslingar antingen attackera omedelbart eller sitta och vänta på den mest fördelaktiga tiden att göra det.
Vilka mjuk- och hårdvaror utsätts för zero-day exploatering?
En zero-day hack kan utnyttja sårbarheter i olika system, inklusive:
- Operativsystem
- Webbläsare
- Office-applikationer
- Open-source-komponenter
- Maskinvara och firmware
- Internet of Things (IoT)
Många utsätts för Zero Day-attacker
Eftersom attacker kan ske över ett så pass brett spektrum är den utsatta gruppen stor:
- Individer som använder ett sårbart system, som en webbläsare eller ett operativsystem.
- Individer med tillgång till värdefulla företagsdata, som immateriella rättigheter.
- Maskinvaruenheter, firmware och Internet of Things
- Stora företag och organisationer
- Myndigheter
- Politiker
- Försvarsmakter
Zero Day attacker kan delas in i typen riktade och breda:
Riktade zero-day attacker genomförs mot specifika mål – som stora organisationer, myndigheter eller högprofilerade personer.
Breda zero-day attacker utsätter vanligtvis användare av sårbara system, som ett operativsystem eller en webbläsare.
Zero day attacker är svåra försvara sig mot
Eftersom zero day-sårbarheter kan uppstå på många olika ställen – som vid kryptering, autorisering, i algoritmer, buggar, problem med lösenordsäkerhet och så vidare – kan de vara utmanande att upptäcka. Zero day-sårbarheter upptäcks ofta först i samband med en attack och det går därför inte att skydda sig med virusskydd eftersom dessa behöver veta vad de letar efter.
Ett sätt att skydda sig mot zero day-attacker är att använda CDR (Content Disarm and Reconstruction). CDR passar väl i sammanhanget eftersom varje fil “saneras” för skadlig mjukvara oavsett hur den ser ut. Ett virusprogram letar efter skadlig mjukvara, CDR-metoden plockar “isär” varje fil och gör den harmlös.
