آسیب پذیری روز صفر: کابوسی برای سازمان ها

روز صفر به چه معناست؟

عبارت «روز صفر» یا “Zero-Day” مفهومی گسترده‌ است که جدیدترین آسیب‌پذیری‌های امنیتی کشف شده را معرفی می‌کند و از سوی هکرها و مهاجمان سایبری برای حمله استفاده می‌شود. اصطلاح روز صفر به این واقعیت اشاره دارد که توسعه دهنده به تازگی از این نقص مطلع شده است و مهلت صفر روزه برای رفع این آسیب‌پذیری در اختیار دارد.

حمله روز صفر زمانی اتفاق می‌افتد که هکرها، پیش از اینکه توسعه‌دهندگان فرصتی برای رفع آسیب‌پذیری‌ پیدا کنند، از آن سوء استفاده کنند.

عبارات آسیب‌پذیری، اکسپلویت (برنامه‌ها و کدهایی که به وسیله مهاجم برای حمله به کار می‌رود) و حمله را می‌توان در کنار روز صفر به کار برد. برای آشنایی بیشتر با این مفاهیم در ادامه به بررسی و توصیف هر یک از آنها می‌پردازیم:‌

  • آسیب‌پذیری روز صفر: آسیب‌پذیری نرم‌افزاری که به وسیله هکرها و مهاجمان و پیش از توسعه دهنده کشف می‌شود، آسیب‌پذیری روز صفر نام دارد. به علت عدم آگاهی تولیدکننده و توسعه دهنده از وجود این نقایص، هیچ راهکار و یا وصله امنیتی نیز برای آن موجود نیست که این موضوع موفقیت حمله را تضمین می‌کند.
  • اکسپلویت روز صفر: روشی است که هکرها برای نفوذ و حمله به سیستم‌هایی با آسیب‌پذیری ناشناس استفاده می‌کنند.
  • حمله روز صفر: اگر مهاجم از یک اکسپلویت روز صفر برای صدمه زدن و یا حتی سرقت اطلاعات حساس یک سیستم آسیب‌پذیر استفاده کند، یک حمله روز صفر را اجرا کرده است.

چگونه از آسیب پذیری‌های روز صفر بهره برداری می‌شود؟

هر نرم‌افزاری ممکن است دارای یک یا چند آسیب‌پذیری باشد که به وسیله مهاجمان در حملات به کار گرفته شود. توسعه‌دهندگان نرم‌افزار همیشه به دنبال وصله‌ کردن این آسیب‌پذیری‌ها هستند تا بهترین راهکار را برای مقابله با خطرات و حملات احتمالی ارائه کنند. این راهکارها معمولا در قالب به روزرسانی‌های جدید به مشتریان و کاربران عرضه می‌شود.

برخی اوقات اما هکرها و عاملان بدافزاری پیش از توسعه‌دهندگان و تولیدکنندگان از یک آسیب‌پذیری آگاه می‌شوند. در این حالت آسیب‌پذیری در دسترس بوده و مهاجمان می‌توانند کدهای مورد نظر خود را برای بهره‌برداری از این قبیل آسیب‌پذیری‌ها بنویسند؛ این کدها را کدهای اکسپلویت می‌نامیم.

کد اکسپلویت برای مثال می‌تواند در سرقت هویت و یا دیگر انواع جرایم سایبری مورد استفاده قرار گیرد. زمانی که مهاجمان، آسیب‌پذیری روز صفر را شناسایی کردند، به راهی برای دسترسی به سیستم آسیب‌پذیر نیاز دارند. 

مهندسی اجتماعی که روشی روانشناسی است و از طریق ابزارهایی مانند ایمیل و پیامک صورت می‌گیرد، بهترین روش برای دسترسی مهاجمان به سیستم قربانیان می‌باشد. از طریق مهندسی اجتماعی می‌توان قربانی را قانع کرد تا فایل و یا لینک مخرب ارسالی را باز کند که با انجام این کار، بدافزار دانلود شده، به سیستم نفوذ کرده و داده‌های محرمانه را سرقت می‌کند.

مقاله مرتبط: مهندسی اجتماعی، تکنیک ها و راهکارها

چرا رفع آسیب پذیری‌های روز صفر زمان بر است؟

شرکت‌ها و توسعه‌دهندگان پس از آگاهی و شناخت این نوع آسیب‌پذیری‌ها، به سرعت نسبت به رفع آنها اقدام می‌کنند اما دو مانع اصلی در شناسایی و رفع این آسیب‌پذیری‌ها وجود دارد:

  1. آسیب‌پذیری‌های امنیتی اغلب بلافاصله کشف نمی‌شوند. گاهی اوقات ممکن است روزها، هفته‌ها یا حتی ماه‌ها طول بکشد تا توسعه دهندگان آسیب پذیری را که منجر به حمله شده است شناسایی کنند.
  2. حتی زمانی که وصله‌ها و یا به‌روزرسانی‌ها منتشر می‌شوند، همه کاربران به سرعت نسبت به نصب و استفاده از آنها اقدام نمی‌کنند که این امر خود به طولانی‌تر شدن حملات و آسیب‌های بیشتر منجر می‌شود.

اکسپلویت‌ها از طریق دارک وب (شبکه تاریک)‌ با قیمت‌های هنگفتی به فروش می‌رسند. اما باید اضافه کرد که در صورت شناخت و رفع یک آسیب‌پذیری، دیگر به عنوان تهدید روز صفر شناخته نمی‌شود.

خطر حملات روز صفر

این نوع حملات به این خاطر بسیار خطرناک هستند که تنها هکرها و عاملان تهدید در مورد آنها اطلاع دارند. وقتی مهاجم با استفاده از این آسیب‌پذیری‌‌ها به سیستمی نفوذ می‌کند، می‌تواند به سرعت حمله را ترتیب داده و یا منتظر بهترین زمان ممکن برای حمله باشد.

چه کسانی هدف حملات روز صفر هستند؟

سیستم‌های مختلفی می‌توانند هدف اینگونه حملات قرار گیرند از جمله:

  • سیستم‌های عامل
  • مرورگرهای وب
  • برنامه‌های آفیس
  • مولفه‌های منبع باز
  • سفت‌افزارها و سخت‌افزارها
  • دستگاه‌های اینترنت اشیاء

در نتیجه، طیف وسیعی از قربانیان احتمالی وجود دارد:

  • افرادی که دارای سیستم‌های آسیب‌پذیر نظیر سیستم عامل و یا مرورگر هستند و هکرها به هدف نفوذ و ساخت بات‌‌نت‌های عظیم از آنها استفاده می‌کنند.
  • افرادی که به داده‌های با ارزش سازمانی دسترسی دارند.
  • کسب‌وکارها و سازمان‌های بزرگ
  • سازمان‌های دولتی
  • اهداف سیاسی و یا تهدیدات امنیت ملی

همچنین باید اشاره کرد که این قبیل حملات به دو دسته هدفمند و غیر هدفمند نیز تقسیم‌بندی می‌شوند:

  • حملات هدفمند روز صفر علیه اهداف بسیار با ارزشی رخ می‌دهد که عایدی و یا هدف خاصی را در مهاجم تامین می‌کند. این اهداف می‌توانند سازمان‌های بزرگ، سازمان‌های دولتی و یا افراد عالی رتبه در سطح جامعه باشند.
  • حملات غیر هدفمند نیز معمولا علیه کاربران سیستم‌های آسیب‌پذیر مانند سیستم عامل و مرورگر انجام می‌شود.

روش‌های شناسایی حملات روز صفر

از آنجایی که آسیب‌پذیری‌های روز صفر می‌توانند اشکال مختلفی از جمله رمزگذاری داده‌های مفقود شده، عدم احراز هویت، الگوریتم‌های تخریب شده، باگ‌ها، مشکلات امنیت رمز عبور و غیره داشته باشند، شناسایی آنها بسیار چالش‌برانگیز خواهد بود. با توجه به ماهیت این نوع از آسیب‌پذیری‌ها، اطلاعات دقیق در این خصوص تنها پس از شناسایی اکسپلویت و آسیب‌پذیری قابل ارائه و بحث می‌باشد.

سازمان‌هایی که هدف این حملات قرار می‌گیرند، ممکن است ترافیک ناخواسته و یا فعالیت‌های مشکوکی را در شبکه خود مشاهده کنند که از یک کاربر و یا یک سرویس نشات می‌گیرد. در ادامه به توصیف برخی از تکنیک‌های شناسایی می‌پردازیم:‌

  • استفاده از پایگاه‌ داده‌های بدافزاری موجود و نحوه رفتار آنها به عنوان مرجع اولین تکنیک است، چرا که پایگاه‌های داده به سرعت به روز شده و یک مرجع خوب مطالعاتی به حساب می‌آیند. البته با توجه به اینکه اکسپلویت‌های روز صفر جدید و ناشناخته هستند، در اطلاعات به دست آمده از پایگاه داده محدودیت وجود دارد.
  • برخی از روش‌ها نیز ویژگی‌ بدافزارهای روز صفر را که در حملات به کار می‌روند مطالعه می‌کند. به جای بررسی کد فایل‌های وارد شده به سیستم، به تعاملات آنها با برنامه‌های موجود توجه کرده و سعی می‌کند تا نتایجی از عملکرد بدافزار مشاهده کند.
  • از machine learning نیز به طور فزاینده‌ای برای شناسایی داده‌های مربوط به اکسپلویت‌های ثبت‌ شده قبلی برای ایجاد یک خط پایه برای رفتار سیستم سالم (بر اساس مطالعه اکسپلویت‌های ثبت شده قبلی) استفاده می‌شود. هرچه داده‌های بیشتری در دسترس باشد، تشخیص قابل اعتمادتر می‌شود.

اغلب ترکیبی از روش‌های فوق استفاده می‌شود.

مثال‌هایی از حملات روز صفر

۲۰۲۱- آسیب‌پذیری روز صفر کروم) آسیب‌پذیری ناشی از یک اشکال در موتور جاوا اسکریپت V8 مورد استفاده در مرورگر وب (لینک به روزرسانی کروم)

۲۰۲۰- آسیب‌پذیری برنامه زوم) هکرها با استفاده از آسیب‌پذیری روز صفر برنامه زوم و از راه‌ دور اقدام به کنترل رایانه‌های شخصی کاربرانی می‌کردند که از نسخه‌های قدیمی ویندوز استفاده می‌کردند. اگر قربانی یک ادمین بود، در این صورت مهاجم به تمام فایل‌ها و کل قابلیت‌های دستگاه دسترسی پیدا می‌کرد.

۲۰۲۰- آسیب‌پذیری Apple iOS) در سال ۲۰۲۰ دو آسیب‌پذیری روز صفر در محصولات این شرکت یافت شد که به مهاجمان اجازه می‌داد تا از راه دور به کنترل دستگاه‌های آیفون بپردازند.

چگونه از سیستم‌های خود در برابر حملات روز صفر محافظت کنیم؟

لازم است که به جهت محافظت از سیستم مورد استفاده و داده‌ها، افراد و سازمان‌ها بهترین تجربیات و راهکارهای امنیتی را در پیش بگیرند. در زیر به برخی از این موارد امنیتی پرداخته‌ایم:

  • سیستم‌عامل و تمام نرم‌افزارهای مورد استفاده خود را به روز نگه دارید. توسعه دهندگان وصله‌های امنیتی را برای پوشش آسیب‌پذیری‌های تازه شناسایی‌شده در نسخه‌های جدید اضافه می‌کنند. امنیت را می‌توان با به‌روز نگه داشتن تضمین کرد.
  • تنها از برنامه‌های ضروری استفاده کنید. هرچه نرم افزارهای بیشتری استفاده کنید، آسیب‌پذیری‌های احتمالی بیشتری نیز خواهید داشت. برای کاهش خطرات در شبکه خود تنها از برنامه‌های ضروری استفاده کنید.
  • از یک فایروال استفاده کنید. دیوار آتش یا فایروال نقش بسیار مهمی در مقابل تهدیدات روز صفر ایفا می‌کند. با تنظیم دیوار آتش تنها به تعاملات ضروری اجازه انجام شدن می‌دهید.
  • به کارکنان سازمان‌ها آموزش دهید. بسیاری از حملات روز صفر به خطاهای انسانی وابسته‌اند. آموزش کاربران و کارمندان می‌تواند عادت‌های خوب امنیتی را در آنها ایجاد کرده و سازمان‌ها را در برابر تهدیدات دیجیتال ایمن کند.
  • از یک راهکار امنیتی جامع مانند ضدبدافزارها استفاده کنید. محصولات امنیتی پادویش که برای مصارف خانگی و سازمانی تهیه شده‌اند می‌توانند بهترین و به‌روزترین راهکار محافظتی را با توجه به تمام موارد مذکور فراهم کرده و به شما در تامین امنیت، مسدود کردن انواع حملات و شناسایی آسیب‌پذیری‌های روز صفر کمک شایانی کنند.