Zero day: Allt om zero-day-exploits och -attacker

Namnet zero-day kommer från hur länge utvecklaren har känt till att problemet funnits. Det är en referens till att utvecklaren precis har fått reda på att buggen existerar och snabbt måste få till en lösning på problemet, helst igår. Utvecklaren har “zero days” på sig att fixa problemet.

Vad gäller zero-day-uttrycket så kan det syfta till olika saker. En zero-day-sårbarhet innebär att det finns en bugg i mjukvaran och att en hackare har upptäckt den innan utvecklaren har gjort det. Det finns alltså ingen patch ute som kan lösa problemet och det finns en stor risk för att hackaren lyckas med de attacker som hen utför.

Zero-day-exploits syftar till metoden som hackarna använder för att utnyttja sårbarheten i systemet. Oftast skriver hackarna en kod som gör att de kan installera “bakvägar”, lägga in skadlig programvara eller stjäla privat eller känslig information. För att koden ska kunna utnyttja buggen i mjukvaran behöver koden läggas till på enheten på något sätt. Ofta skickar hackarna ett mejl till sina offer där det finns en länk med den skadlig programvaran. När offret klickar på länken så laddas koden ner på datorn och den skadliga programvaran kan installeras.

Zero-day-attacker är själva attackerna. Hackare utnyttjar sårbarheterna och buggarna för att skriva om och lägga till kod, och det gör det möjligt för hackarna att få tillgång till enheten eller lägga till skadlig programvara.

Vad är ett sårbarhetsfönster?

Ett sårbarhetsfönster är tiden som det tar från att buggen eller sårbarheten uppstår i systemet tills dess att en patch eller lösning distribueras som gör det omöjligt att utnyttja den. Det kan exempelvis vara genom att ta bort åtkomst för hackaren att komma åt sårbarheten, lansera en säkerhetslösning som gör att buggen inte längre kan utnyttjas, eller genom att på något annat sätt stoppa hackaren.

Detta är ofta en kamp mot klockan då det är viktigt att en lösning kommer så fort som möjligt så att hackaren inte kan göra mer skada än den redan gjort.

Vilka som blir attackerade vid sådana här zero-day-attacker kan se väldigt olika ut. Eftersom zero-day-attacker kan utnyttja sårbarheter i väldigt många system, som webbläsare, operativsystem, hårdvara och mycket mer, finns det väldigt många möjliga måltavlor. Det kan vara stora företag, små företag, politiska aktörer, myndigheter och många fler.

Oftast delas attackerna in i två kategorier – zero-day-attacker med en måltavla och zero-day-attacker utan måltavla. En attack mot en specifik måltavla är oftast riktat mot uppsatta personer, organisationer, myndigheter eller mot stat och regering. Måltavlor som potentiellt kan vara väldigt lukrativa med andra ord. För attacker som inte är riktade mot en speciell måltavla är det vanligt att attackera webbläsare eller operativsystem för att få tillgång till privatpersoner enheter. Målet där kan vara bankinformation eller andra privata uppgifter.

Eftersom att zero-day-attacker kan se väldigt olika ut kan de vara väldigt svåra att upptäcka. Buggen kan innefatta trasiga algoritmer, problem med datakryptering, problem med säkerheten vid lösenordshantering eller något annat. Eftersom sårbarheten kan se så olika ut beroende på program eller mjukvara kan det vara svårt att veta hur man ska upptäcka den. Information om sårbarheterna blir egentligen bara tillgängligt efter att de har upptäckts och det är svårt att veta något om dem innan dess.

För privatpersoner är det oftast inte möjligt att upptäcka sårbarheterna eftersom att de inte har de resurser som krävs för att skanna programvaran. För större företag är det dock möjligt att upptäcka zero-day-sårbarheter genom att använda information om olika skadliga programvaror för att se om det är något som kan komma åt systemet. De kan också kolla hur aktiviteten kring systemet ser ut och om något ser ut att komma från hackare. En nyare metod är även att använda maskininlärning för att jämföra och se hur tidigare attacker har genomförts.

Stuxnet

Stuxnet var en “datormask” som använde sårbarheter inom Windows för att rikta in sig på SCADA-system. Masken användas för att komma åt Irans kärnvapenprogram och förstörde en femtedel av Irans kärnkraftscentrifuger.

Dridex

Dridex var en skadlig programvara som några hackare utvecklade efter att de hittat sårbarheter i Microsoft Word. De gömde programvaran i en bifogad fil till MS Word. När användare ladda ner Word aktiverades Dridex trojan också. Målet var att få tillgång till bankuppgifter och trojanen spreds till miljontals användare världen över.

Firefox zero day

Under Firefox zero day hittade hackare en sårbarhet i Firefox som gjorde det möjligt att utveckla och placera en kod i Firefox minne. Den gjorde så att hackarna kunde logga in och köra en kod i alla enheter som hade Firefox som webbläsare. Utvecklarna kom snabbt med en patch, men hackarna lyckades utnyttja flera användare.

Google Chrome zero day

2021 var inget bra år för Google Chrome då de var tvungna att släppa hela tre olika akuta patchar efter att hackare utnyttjat sårbarheter i systemet flera gånger. De kunde bland annat fjärrstyra skadliga program på användarens enheter via en annan enhet.

Eftersom sårbarheterna i systemet kan leda till väldigt lukrativa attacker för hackarna eller väldigt stora förluster för utvecklarna, så har det vuxit fram många marknader där information om olika systems sårbarheter säljs. Svarta marknader säljer och byter information om sårbarheter till kriminella och hackare och målet är att utnyttja sårbarheterna för egen vinning. På gråa marknader säljs informationen ofta till militärer, underrättelsebyråer och andra typer av myndigheter. Oftast vill aktörerna här få reda på information om andra makter. Det finns också vita marknader och det är till för att sälja informationen till utvecklarna istället, så att informationen inte hamnar i fel händer och utvecklarna har möjlighet att fixa felen.

Vilken enhet som helst kan falla offer för en zero-day-attack och det innebär att även enheter inom företag kan bli det. För att undvika att hemligstämplad företagsinformation läcker är det en bra idé att samtliga företagsenheter är krypterade. Det är också viktigt att hela tiden hålla koll på och övervaka aktiviteten inom företaget. När attacken är skedd är det redan för sent, så det är viktigt att arbeta preventivt.

För att vara skyddad mot zero-day-attacker är det viktigt att alltid använda programvaror med de senaste uppdateringarna installerade. Uppdateringarna kommer oftast med säkerhetslösningar om det uppstått några säkerhetsproblem. Utan dessa kan det finns risk för skadliga attacker. Håll dig alltid informerad om vad som pågår inom datasäkerhet och se till att ha den senaste informationen om hur hackare går tillväga. Undvik också att trycka på länkar i mejl som du inte litar på.

Det säkraste sättet att hålla sig skyddad mot zero-day-attacker är dock att skaffa ett VPN. Ett VPN krypterar all din onlinetrafik och blockerar nätfiskesajter. Dessutom har NordVPN Threat Protection som skyddar dig mot annonser, spårare och skadlig programvara. Funktionen kan även skanna dina nedladdningar och ta bort filer med skadlig programvara innan du ens hunnit öppna dem.