Betydning og definition på Nul dage
'Nul dage' er et bredt udtryk, der beskriver sikkerhedssårbarheder, man netop har fundet, og som hackerne kan bruge til at angribe systemerne med. Udtrykket 'Nul dage' henviser til, at sælgeren eller udvikleren netop er blevet klar over fejlen - som betyder, at de har 'Nul dage' til at rette den. Der sker nul-dages angreb, når hackerne udnytter fejlen, før udviklerne har chancen for at løse den.
Nul dage skrives også som 0-dage. Man bruger ofte ord, som sårbarhed, udnyttelse og angreb sammen med Nul dage, og det er nyttigt at forstå forskellen:
- En Nul dages sårbarhed er en softwaresårbarhed, angriberne finder, før leverandøren bliver opmærksom på den. Eftersom leverandøren ikke ved noget om det, er der ingen programrettelser til Nul dages sårbarheder, så angrebene lykkes ofte.
- En Nul dages udnyttelse er når hackerne bruger til at angribe systemet via en tidligere u-identificeret sårbarhed.
- Ved et Nul dages angreb, bruger man en Nul dages udnyttelse til at beskadige eller stjæle data fra et system, der er ramt af en sårbarhed.
Hvad er Nul dages angreb, og hvordan fungerer de?
Softwares har ofte sikkerhedssårbarheder, som hackerne bruger til at skabe kaos med. Softwareudviklere holder altid øje med sårbarheder, som de kan 'lappe' - altså udvikle en løsning til, som de sender ud med en ny opdatering.
Nogle gange, opdager hackerne eller de ondsindede aktører sårbarheden, før softwareudviklerne gør det. Så længe, at sårbarheden stadig er åben, kan angriberne skrive og implementere ny kode, som de kan udnytte. Det kaldes udnyttelseskode (exploit code).
Koden medfører fx, at man går efter softwarens brugere - og fx udsætter dem for identitetstyveri eller andre former for cyberkriminalitet. Når angribere først har identificeret en Nul dages sårbarhed, skal de ind i det sårbare system. De gør dette ofte gennem en socialt konstrueret e-mail - altså en mail eller anden form for besked, der angiveligt kommer fra en kendt eller legitim afsender, men som reelt kommer fra angriberen. Meddelelsen prøver at overbevise brugeren om at udføre en handling, der kan være at åbne en fil eller besøge en ondsindet hjemmeside. Dermed downloader man angriberens malware, der infiltrerer brugerens filer og stjæler fortrolige oplysninger.
Når en sårbarhed først bliver kendt, forsøger udviklerne at løse den, så de kan stoppe angrebet. Imidlertid opdager man sjældent sikkerhedssårbarheder omgående. Det kan faktisk både tage flere dage, uger eller endda måneder, før udviklerne finder den sårbarhed, der skabte angrebet. Og selv når der kommer en 'Nul-dages opdatering', er det ikke alle brugerne, som implementerer den straks. I de senere år, har hackerne været rigtigt hurtige til at udnytte sårbarhederne, så snart de finder dem.
Man sælger dem for store summer, på det mørke internet. Når udnyttelsen først er fundet og løst, kaldes den ikke længere en Nul dages trussel.
Nul-dages angreb er ekstra farlige, fordi de eneste, der kender til dem, er angriberne selv. Når de kriminelle først har infiltreret et netværk, kan de dels angribe med det samme eller sidde og vente på det mest fordelagtige tidspunkt til at gøre det på.
Hvem udfører Nul dages angreb?
Ondsindede aktører, der udfører Nul dages angreb, kommer i flere forskellige kategorier, som afhænger af deres motivation. For eksempel:
- Cyberkriminelle – hackere, hvis motivation typisk er økonomisk gevinst
- Hacktivister – hackere, der drives af en politisk eller social sag, og som ønsker, at angrebene er synlige, så de kan få fokus på deres sag
- Virksomhedsspionage – - hackere, der udspionerer virksomheder for at finde oplysninger om dem
- Cyberkrig – lande eller politiske aktører, der udspionerer eller angriber et andet lands cyber-infrastruktur
Hvem udgår mål for Nul dages udnyttelser?
Et Nul dages hack udnytter typisk sårbarhederne i flere forskellige systemer, som fx:
- Operativsystemer
- Webbrowsere
- Office applikationer
- Open-source komponenter
- Hardware og firmware
- Tingenes Internet (IoT)
Derfor er der en bred vifte af potentielle ofre:
- Enkeltpersoner, som benytter et sårbart system, der kan være en browser eller et operativsystem. Her kan hackerne bruge sikkerhedssårbarhederne til at kompromittere enhederne og oprette store botnets
- Enkeltpersoner, der har adgang til værdifulde forretningsdata, som fx udgør intellektuel ejendom
- Hardwareenheder, firmware og tingenes internet (IoT)
- Større virksomheder og organisationer
- Offentlige myndigheder
- Politiske mål og/eller nationale sikkerhedstrusler
Det kan være godt at skelne mellem målrettede versus ikke-målrettede Nul dages angreb:
- Målrettede Nul dages angreb sker mod potentielt værdifulde mål - som større organisationer, offentlige myndigheder eller kendte personer.
- Ikke-målrettede Nul dages angreb rammer typisk brugere af sårbare systemer, som fx operativsystemer eller browsere.
Selv når angribere ikke går efter bestemte personer, kan mange stadig blive påvirket af Nul dages angreb, der rammer dem indirekte. Ikke-målrettede går efter så mange brugere som muligt. Derfor påvirker de evt. også den typiske brugers data.
Sådan identificerer du et Nul dages angreb
Fordi Nul dages sårbarheder findes i flere formater - som manglende datakryptering, manglende autorisationer, brudte algoritmer, fejl, problemer med adgangskodens sikkerhed osv. - kan de være meget svære at opdage. Når det gælder den slags sårbarheder, kan man først identificere detaljerede oplysninger om den Nul dages udnyttelse efter selve hændelsen.
Organisationer, der bliver angrebet via en Nul dages udnyttelse, oplever fx uventet trafik eller mistænkelig scanningsaktivitet, der stammer fra en klient eller tjeneste. Nogle teknikker, der finder Nul dages hændelser, er:
- Brug af eksisterende malwaredatabaser referenceadfærd. Selvom databaserne opdateres hurtigt og kan bruges som referencepunkter, er selve definitionen af Nul dages udnyttelser både ny og ukendt. Der er mao. grænser for, hvor meget en eksisterende database kan hjælpe en.
- Andre teknikker kigger efter Nul dages malwarens egenskaber, baseret på, hvordan den interagerer med det målrettede system. I stedet for at tjekke koden i de indgående filer, kigger teknikken på de interaktioner, der findes med eksisterende software, og prøver at afgøre, om de skyldes ondsindede handlinger.
- Man bruger også mere og mere maskinindlæring til at registrere data fra tidligere udnyttelser, så man kan lave en baseline, som beskriver sikker systemadfærd. Den baseres så på data fra tidligere og nuværende interaktioner med systemet. Jo flere data der er tilgængelige, jo mere pålidelig bliver registreringen.
Man bruger typisk en hybrid af de forskellige detektionssystemer.
Eksempler på Nul dages angreb
De seneste eksempler på Nul dages angreb omfatter fx:
2021: Chrome Nul dages sårbarhed
I 2021, så Googles Chrome en række Nul dages trusler, der fik Chrome til at udsende flere opdateringer. Sårbarheden kom fra en fejl i V8 JavaScript-motoren, der bruges i selve browseren.
2020: Zoom
Her fandt man en sårbarhed i den populære platform til videomøder. Dette tilfælde af et Nul dages angreb, involverede hackere, der opnåede fjernadgang via en brugers pc, hvis denne brugte en ældre version af Windows. Hvis målet så var en administrator, kunne hackeren overtage maskine fuldstændigt og få adgang til alle filerne.
2020: Apple iOS
Apples iOS beskrives ofte som den sikreste af alle de største smartphone-platforme. Men i 2020, blev iOs offer for mindst to Nul dages sårbarheder, inkl. en Nul dages fejl, der lod angriberne kompromittere iPhones udefra.
2019: Microsoft Windows, Østeuropa
Angreb fokuserede på de lokale eskaleringsrettigheder, som er en sårbar del af Microsoft Windows og gik efter Østeuropas offentlige institutioner. Nul dages udnyttelsen misbrugte en lokal sårbarhed i Microsoft Windows til at køre vilkårlig kode, installere apps samt se og ændre dataene i de kompromitterede applikationer. Da angrebet blev identificeret og meldt til Microsoft Security Response Center, udviklede man hurtigt en opdatering, som blev sendt ud.
2017: Microsoft Word
Denne Nul dages udnyttelse kompromitterede personlige bankkonti. Ofre var helt almindelige mennesker, der uforvarende åbnede et ondsindet Word-dokument. Dokumentet var forsynet med 'indlæs fjernindhold'-prompt, der viste brugerne et pop op-vindue, som bad om ekstern adgang, via et andet program. Når ofrene så klikkede "ja", installerede dokumentet malware på enheden, som registrerede bankoplysninger ifm. brugerens login.
Stuxnet
Stuxnet er et af de mest berømte eksempler på et Nul-dages angreb. Man fandt den ondsindede computerorm i 2010, men den havde rødder, der gik helt tilbage til 2005. Den påvirkede produktionscomputere, der kørte en programmerbar logic controller (PLC). Dens primære mål var Irans uranberigende anlæg, hvor man forsøgte at forstyrre landets atomprogram. Ormen inficerede PLC'erne via sårbarheder i Siemens Step7-software, og fik PLC'erne til at udføre uventede kommandoer på samlebåndets maskiner. Historien om Stuxnet blev efterfølgende filmatiseret som en dokumentar, der hed Zero Days.
Sådan beskytter du dig mod et Nul dages angreb
Når det handler om Nul dages beskyttelse og om at beskytte computere og data, er det vigtigt for enkeltpersoner, såvel som organisationer, at følge bedste praksis, inden for cybersikkerhed. Det omfatter:
Hold al software og alle operativsystemer opdaterede. Leverandørerne udsender løbende sikkerhedsrettelser, som løser nyligt identificerede sårbarheder i deres udgivelser. Når du holder dig opdateret, er du altid mere sikker.
Brug kun de vigtigste applikationer. Jo mere software du har, jo flere potentielle sårbarheder får du. Du kan reducere risikoen i netværket, ved kun at bruge de applikationer, du virkelig skal bruge.
Brug en firewall. Firewallen spiller en vigtig rolle, når du vil beskytte dit system mod Nul dages trusler. Du opnår maksimal beskyttelse ved at konfigurere den, så den kun tillader de nødvendige transaktioner.
Uddan organisationens brugere. Mange Nul dages angreb udnytter menneskelige fejl. Når man uddanner medarbejdere og brugere i gode sikkerhedsvaner, hjælper det med at sikre dem på nettet og beskytter organisationen mod Nul dages udnyttelser og andre digitale trusler.
Brug en omfattende antivirus- og softwareløsning. Kaspersky Total Security hjælper med at beskytte dine enheder, ved at blokere kendte og ukendte trusler.
Relaterede artikler: