VietNetwork.Vn

Tội phạm mạng sử dụng lỗ hổng zero-day để đột nhập vào máy tính và mạng. Việc khai thác Zero-day dường như đang gia tăng, nhưng có thực sự là như vậy? Và bạn có thể tự vệ? Chúng tôi xem xét các chi tiết.


1. Các lỗ hổng trong Zero-Day

Lỗ hổng zero-day là một lỗi trong một phần mềm. Tất nhiên, tất cả các phần mềm phức tạp đều có lỗi, vậy tại sao zero-day lại được đặt một cái tên đặc biệt? Lỗi zero-day là một lỗi đã được phát hiện bởi tội phạm mạng nhưng các tác giả và người sử dụng phần mềm vẫn chưa biết về nó. Và quan trọng nhất, zero-day là một lỗi làm phát sinh lỗ hổng có thể khai thác.

Những yếu tố này kết hợp với nhau khiến zero-day trở thành vũ khí nguy hiểm trong tay tội phạm mạng. Họ biết về một lỗ hổng mà không ai khác biết. Điều này có nghĩa là họ có thể khai thác lỗ hổng bảo mật đó một cách bất chấp, làm ảnh hưởng đến bất kỳ máy tính nào chạy phần mềm đó. Và bởi vì không ai khác biết về zero-day, sẽ không có bản sửa lỗi hoặc bản vá cho phần mềm dễ bị tấn công.

Vì vậy, trong khoảng thời gian ngắn giữa lần khai thác đầu tiên diễn ra — và bị phát hiện — và các nhà xuất bản phần mềm phản hồi bằng các bản sửa lỗi, tội phạm mạng có thể khai thác lỗ hổng bảo mật đó mà không bị kiểm soát. Điều gì đó công khai như một cuộc tấn công bằng ransomware là không thể chấp nhận được, nhưng nếu thỏa hiệp là một trong những cuộc giám sát bí mật thì có thể sẽ mất một thời gian rất dài trước khi ngày 0 được phát hiện. Vụ tấn công SolarWinds khét tiếng là một ví dụ điển hình.

2. Zero-Days đã tìm thấy khoảnh khắc của họ

Zero-days không phải là mới. Nhưng điều đặc biệt đáng báo động là sự gia tăng đáng kể số ngày 0 được phát hiện. Hơn gấp đôi đã được tìm thấy vào năm 2021 so với năm 2020. Các con số cuối cùng vẫn đang được đối chiếu cho năm 2021 — xét cho cùng thì chúng ta vẫn còn vài tháng nữa —- nhưng các dấu hiệu cho thấy khoảng 60 đến 70 lỗ hổng zero-day sẽ đã được phát hiện vào cuối năm.

Zero-days có giá trị đối với tội phạm mạng như một phương tiện xâm nhập trái phép vào máy tính và mạng. Họ có thể kiếm tiền từ chúng bằng cách thực hiện các cuộc tấn công ransomware và tống tiền nạn nhân.

Nhưng Zero-day tự nó có một giá trị. Chúng là hàng hóa có thể bán được và có thể trị giá những khoản tiền khổng lồ đối với những người phát hiện ra chúng. Giá trị thị trường chợ đen của đúng loại khai thác zero-day có thể dễ dàng lên tới hàng trăm nghìn đô la, và một số ví dụ đã vượt quá 1 triệu đô la. Các nhà môi giới zero-day sẽ mua và bán các khoản khai thác zero-day.

Các lỗ hổng zero-day rất khó phát hiện. Tại một thời điểm, chúng chỉ được tìm thấy và sử dụng bởi các nhóm tin tặc có nguồn lực tốt và có kỹ năng cao, chẳng hạn như các nhóm đe dọa liên tục nâng cao  (APT) do nhà nước bảo trợ. Việc tạo ra nhiều thiết bị không ngày được vũ khí hóa trong quá khứ là do APTs ở Nga và Trung Quốc.

Tất nhiên, với đủ kiến thức và sự cống hiến, bất kỳ hacker hoặc lập trình viên đủ thành tựu nào cũng có thể tìm thấy zero-day. Tin tặc mũ trắng là một trong những người mua tốt, những người cố gắng tìm ra chúng trước tội phạm mạng. Họ gửi phát hiện của mình cho nhà phần mềm liên quan, người sẽ làm việc với nhà nghiên cứu bảo mật, người đã tìm ra vấn đề để giải quyết vấn đề.

Các bản vá bảo mật mới được tạo, thử nghiệm và cung cấp. Chúng được triển khai dưới dạng bản cập nhật bảo mật. Ngày 0 chỉ được công bố sau khi tất cả các biện pháp khắc phục được thực hiện. Vào thời điểm nó được công khai, bản sửa lỗi đã được đưa ra ngoài tự nhiên. Ngày 0 đã bị vô hiệu hóa.

Ngày số không đôi khi được sử dụng trong các sản phẩm. Sản phẩm do thám gây tranh cãi Pegasus của Tập đoàn NSO được các chính phủ sử dụng để chống khủng bố và duy trì an ninh quốc gia. Nó có thể tự cài đặt trên các thiết bị di động với ít hoặc không có sự tương tác từ người dùng. Một vụ bê bối đã nổ ra vào năm 2018 khi Pegasus được cho là được sử dụng bởi một số quốc gia có thẩm quyền để thực hiện giám sát chống lại công dân của chính mình. Các nhà bất đồng chính kiến, các nhà hoạt động và các nhà báo đã bị nhắm mục tiêu.

Gần đây nhất là vào tháng 9 năm 2021, một zero-day ảnh hưởng đến Apple iOS, macOS và watchOS — đang được Pegasus khai thác — đã được Phòng thí nghiệm Citizen của Đại học Toronto phát hiện và phân tích. Apple đã phát hành một loạt bản vá vào ngày 13 tháng 9 năm 2021.

3. Tại sao lại xảy ra đột biến trong Zero-Days?

Bản vá khẩn cấp thường là dấu hiệu đầu tiên mà người dùng nhận được rằng lỗ hổng zero-day đã được phát hiện. Các nhà cung cấp phần mềm có lịch trình về thời điểm các bản vá bảo mật, sửa lỗi và nâng cấp sẽ được phát hành. Nhưng vì lỗ hổng zero-day phải được vá càng sớm càng tốt, nên việc chờ đợi bản vá tiếp theo theo lịch trình không phải là một lựa chọn. Đó là các bản vá khẩn cấp ngoài chu kỳ xử lý các lỗ hổng zero-day.

Nếu bạn cảm thấy gần đây bạn đã nhìn thấy những thứ đó nhiều hơn, đó là bởi vì bạn đã có. Tất cả các hệ điều hành chính, nhiều ứng dụng như trình duyệt, ứng dụng điện thoại thông minh và hệ điều hành điện thoại thông minh đều đã nhận được các bản vá khẩn cấp vào năm 2021.

Có một số lý do cho sự gia tăng. Về mặt tích cực, các nhà cung cấp phần mềm nổi tiếng đã thực hiện các chính sách và quy trình tốt hơn để làm việc với các nhà nghiên cứu bảo mật, những người tiếp cận họ với bằng chứng về lỗ hổng zero-day. Nhà nghiên cứu bảo mật sẽ dễ dàng báo cáo những khiếm khuyết này hơn và các lỗ hổng được xem xét một cách nghiêm túc. Điều quan trọng là người báo cáo vấn đề được đối xử một cách chuyên nghiệp.

Có nhiều minh bạch hơn nữa. Hiện cả Apple và Android đều bổ sung thêm chi tiết cho các bản tin bảo mật, bao gồm việc liệu sự cố có phải là zero-day hay không và liệu có khả năng lỗ hổng đã bị khai thác hay không.

Có lẽ vì bảo mật đang được công nhận là một chức năng quan trọng của doanh nghiệp - và đang được xử lý như vậy bằng ngân sách và tài nguyên - các cuộc tấn công phải thông minh hơn để xâm nhập vào các mạng được bảo vệ. Chúng tôi biết rằng không phải tất cả các lỗ hổng zero-day đều được khai thác. Đếm tất cả các lỗ hổng bảo mật zero-day không giống như đếm các lỗ hổng zero-day đã được phát hiện và vá trước khi tội phạm mạng phát hiện ra chúng.

Tuy nhiên, các nhóm hack mạnh mẽ, có tổ chức và được tài trợ tốt — nhiều người trong số họ là APT — đang làm việc toàn diện để cố gắng phát hiện ra các lỗ hổng zero-day. Họ hoặc bán chúng, hoặc họ tự khai thác chúng. Thông thường, một nhóm sẽ bán không ngày sau khi họ tự vắt sữa, vì nó sắp hết thời hạn sử dụng.

Bởi vì một số công ty không áp dụng các bản vá bảo mật và cập nhật kịp thời, zero-day có thể tận hưởng tuổi thọ dài hơn mặc dù các bản vá chống lại nó đã có sẵn.

Các ước tính cho thấy rằng một phần ba số lần khai thác zero-day được sử dụng cho ransomware. Các khoản tiền chuộc lớn có thể dễ dàng trả cho 0 ngày mới để tội phạm mạng sử dụng trong các đợt tấn công tiếp theo của chúng. Các băng đảng ransomware kiếm tiền, những người sáng tạo zero-day kiếm tiền và cứ thế xoay vòng vòng.

Một trường phái tư tưởng khác nói rằng các nhóm tội phạm mạng luôn cố gắng tìm cách khám phá ra không ngày nào, chúng ta chỉ thấy những con số cao hơn vì có hệ thống phát hiện tốt hơn đang hoạt động. Trung tâm Tình báo Đe dọa của Microsoft và Nhóm Phân tích Đe dọa của Google cùng với những người khác có các kỹ năng và nguồn lực cạnh tranh với khả năng của các cơ quan tình báo trong việc phát hiện các mối đe dọa trong lĩnh vực này.

Với việc di chuyển từ tại chỗ sang đám mây, các loại nhóm giám sát này sẽ dễ dàng hơn trong việc xác định các hành vi độc hại tiềm ẩn của nhiều khách hàng cùng một lúc. Điều đó thật đáng khích lệ. Chúng ta có thể ngày càng tốt hơn trong việc tìm kiếm chúng, và đó là lý do tại sao chúng ta thấy ngày càng nhiều không và sớm hơn trong vòng đời của chúng.

Các tác giả phần mềm có trở nên cẩu thả hơn không? Chất lượng mã có giảm không? Nếu có bất cứ điều gì, nó sẽ tăng lên với việc áp dụng các đường ống CI / CD, kiểm tra đơn vị tự động và nhận thức rõ hơn rằng bảo mật phải được lên kế hoạch ngay từ đầu chứ không phải suy nghĩ sau.

Các thư viện và bộ công cụ mã nguồn mở được sử dụng trong hầu hết các dự án phát triển không tầm thường. Điều này có thể dẫn đến các lỗ hổng được đưa vào dự án. Có một số sáng kiến đang được tiến hành để cố gắng giải quyết vấn đề lỗ hổng bảo mật trong phần mềm nguồn mở và xác minh tính toàn vẹn của nội dung phần mềm đã tải xuống.

4. Cách bảo vệ bản thân

Phần mềm bảo vệ điểm cuối có thể giúp chống lại các cuộc tấn công zero-day. Ngay cả trước khi cuộc tấn công zero-day được đặc trưng và các chữ ký chống vi-rút và chống phần mềm độc hại được cập nhật và gửi đi, hành vi bất thường hoặc đáng lo ngại của phần mềm tấn công có thể kích hoạt các quy trình phát hiện kinh nghiệm trong phần mềm bảo vệ điểm cuối hàng đầu thị trường, bẫy và cách ly cuộc tấn công phần mềm.

Giữ cho tất cả phần mềm và hệ điều hành được cập nhật và được vá. Hãy nhớ vá các thiết bị mạng, bao gồm cả bộ định tuyến và thiết bị chuyển mạch.

Giảm bề mặt tấn công của bạn. Chỉ cài đặt các gói phần mềm được yêu cầu và kiểm tra số lượng phần mềm nguồn mở mà bạn sử dụng. Cân nhắc ưu tiên các ứng dụng nguồn mở đã đăng ký các chương trình xác minh và ký giả, chẳng hạn như sáng kiến Nguồn mở an toàn.

Không cần phải nói, hãy sử dụng tường lửa và sử dụng bộ bảo mật cổng của nó nếu nó có.

Nếu bạn là quản trị viên mạng, hãy giới hạn phần mềm mà người dùng có thể cài đặt trên các máy công ty của họ. Giáo dục nhân viên của bạn. Nhiều cuộc tấn công zero-day khai thác một khoảnh khắc thiếu chú ý của con người. cung cấp các buổi đào tạo nâng cao nhận thức về an ninh mạng, đồng thời cập nhật và lặp lại chúng thường xuyên.