Các cuộc tấn công zero-day xảy ra khi những kẻ xấu tiến lên phía trước những kẻ tốt, tấn công chúng ta bằng những lỗ hổng mà chúng ta chưa từng biết. Chúng là những gì xảy ra khi chúng ta không có thời gian để chuẩn bị cho phòng thủ của chúng ta.
Phần mềm dễ bị tổn thương
Phần mềm không hoàn hảo. Trình duyệt mà bạn đang đọc trong đó - cho dù đó là Chrome, Firefox, Internet Explorer hay bất kỳ thứ gì khác - đều được bảo đảm có lỗi trong đó. Một phần mềm phức tạp như vậy được viết bởi con người và có những vấn đề mà chúng ta chưa biết. Nhiều trong số các lỗi này không nguy hiểm - có thể chúng khiến trang web hoạt động không đúng hoặc trình duyệt của bạn bị lỗi. Tuy nhiên, một số lỗi là lỗ hổng bảo mật. Kẻ tấn công biết về lỗi có thể tạo ra một khai thác sử dụng lỗi trong phần mềm để truy cập vào hệ thống của bạn.
Tất nhiên, một số phần mềm dễ bị tổn thương hơn những phần mềm khác. Ví dụ, Java đã có một dòng lỗ hổng không bao giờ kết thúc cho phép các trang web sử dụng trình cắm Java để thoát khỏi hộp cát Java và có toàn quyền truy cập vào máy của bạn. Việc khai thác quản lý để thỏa hiệp công nghệ hộp cát của Google Chrome hiếm hơn nhiều, mặc dù thậm chí Chrome không có ngày nào.
Tiết lộ có trách nhiệm
Đôi khi, một lỗ hổng được phát hiện bởi những kẻ tốt. Hoặc là nhà phát triển phát hiện ra lỗ hổng bảo mật hoặc hacker “mũ trắng” phát hiện lỗ hổng và tiết lộ nó một cách có trách nhiệm, có thể thông qua một cái gì đó như Pwn2Own hoặc chương trình tiền thưởng lỗi của Google, thưởng cho các hacker để phát hiện lỗ hổng và tiết lộ chúng một cách có trách nhiệm. Các nhà phát triển sửa lỗi và phát hành một bản vá cho nó.
Những người độc hại sau này có thể cố gắng khai thác lỗ hổng sau khi nó được tiết lộ và vá, nhưng mọi người đã có thời gian chuẩn bị.
Một số người không vá phần mềm của họ một cách kịp thời, vì vậy những cuộc tấn công này vẫn có thể nguy hiểm. Tuy nhiên, nếu một cuộc tấn công nhắm vào một phần mềm sử dụng lỗ hổng đã biết thì đã có bản vá sẵn có, đó không phải là một cuộc tấn công “zero-day”.
Tấn công Zero-Day
Đôi khi, một lỗ hổng được phát hiện bởi những kẻ xấu. Những người phát hiện ra lỗ hổng có thể bán nó cho những người và tổ chức khác đang tìm kiếm lợi nhuận (đây là doanh nghiệp lớn - đây không chỉ là thanh thiếu niên trong tầng hầm cố gây rối với bạn nữa, đây là tội phạm có tổ chức đang hoạt động) hoặc sử dụng nó. Lỗ hổng này có thể đã được nhà phát triển biết đến, nhưng nhà phát triển có thể chưa sửa được kịp thời.
Trong trường hợp này, không phải nhà phát triển hay người sử dụng phần mềm đều cảnh báo trước rằng phần mềm của họ là dễ bị tổn thương. Mọi người chỉ biết rằng phần mềm là dễ bị tổn thương khi nó đã bị tấn công, thường bằng cách kiểm tra tấn công và tìm hiểu lỗi mà nó khai thác.
Đây là một cuộc tấn công zero-day - nó có nghĩa là các nhà phát triển đã có 0 ngày để giải quyết vấn đề trước khi nó đã bị khai thác trong tự nhiên. Tuy nhiên, những kẻ xấu đã biết về nó đủ lâu để khai thác một sự khai thác và bắt đầu tấn công. Phần mềm vẫn dễ bị tấn công cho đến khi một bản vá được phát hành và được người dùng áp dụng, có thể mất vài ngày.
Cách bảo vệ bản thân
Số ngày không đáng sợ vì chúng tôi không có bất kỳ thông báo trước nào về họ. Chúng tôi không thể ngăn chặn các cuộc tấn công zero-day bằng cách giữ phần mềm của chúng tôi được vá. Theo định nghĩa, không có bản vá nào có sẵn cho một cuộc tấn công zero-day.
Vậy chúng ta có thể làm gì để bảo vệ mình khỏi những lần khai thác zero-day?
- Tránh phần mềm dễ bị tổn thương: Chúng tôi không biết chắc chắn rằng sẽ có một lỗ hổng khác trong 0 ngày trong Java trong tương lai, nhưng lịch sử lâu dài của Java về các cuộc tấn công zero-day có nghĩa là sẽ có khả năng xảy ra. (Trên thực tế, Java hiện đang bị tấn công bởi một số cuộc tấn công zero-day chưa được vá.) Gỡ cài đặt Java (hoặc vô hiệu hóa trình cắm nếu bạn cần cài đặt Java) và bạn ít có nguy cơ bị tấn công zero-day. Trình đọc PDF và Trình phát Flash của Adobe cũng trước đây có khá nhiều cuộc tấn công zero-day, mặc dù chúng đã được cải thiện gần đây.
- Giảm bề mặt tấn công của bạn: Các phần mềm ít hơn bạn có dễ bị tấn công zero-day, thì càng tốt. Đây là lý do tại sao bạn nên gỡ cài đặt các plugin trình duyệt mà bạn không sử dụng và tránh phải có phần mềm máy chủ không cần thiết được hiển thị trực tiếp trên Internet. Ngay cả khi phần mềm máy chủ được vá hoàn toàn, một cuộc tấn công zero-day cuối cùng cũng có thể xảy ra.
- Chạy Antivirus: Antiviruses có thể giúp chống lại các cuộc tấn công zero-day. Một cuộc tấn công cố gắng cài đặt phần mềm độc hại trên máy tính của bạn có thể tìm thấy cài đặt phần mềm độc hại bị hư hại do vi-rút. Một chẩn đoán của virus (phát hiện hoạt động đáng ngờ) cũng có thể chặn một cuộc tấn công zero-day. Các trình diệt vi rút sau đó có thể được cập nhật để bảo vệ chống lại cuộc tấn công zero-day sớm hơn bản vá có sẵn cho chính phần mềm dễ bị tổn thương đó. Đây là lý do tại sao nó thông minh để sử dụng một phần mềm diệt virus trên Windows, cho dù bạn có cẩn thận đến mức nào.
- Cập nhật phần mềm của bạn: Cập nhật phần mềm của bạn thường xuyên sẽ không bảo vệ bạn trước 0 ngày, nhưng nó sẽ đảm bảo bạn có bản sửa lỗi càng sớm càng tốt sau khi phát hành. Đây cũng là lý do tại sao điều quan trọng là giảm bề mặt tấn công của bạn và loại bỏ phần mềm có khả năng dễ bị tấn công mà bạn không sử dụng - ít phần mềm bạn cần phải đảm bảo được cập nhật.
Chúng tôi đã giải thích về việc khai thác zero day là gì, nhưng lỗ hổng bảo mật vĩnh viễn và chưa được vá là gì? Xem liệu bạn có thể tìm ra câu trả lời trong phần Câu đố Geek của chúng tôi không!
