روز صفر اصطلاح گستردهای است که آسیبپذیریهای امنیتی که هکرها میتوانند از آنها برای حمله به سیستمها استفاده کنند را توصیف میکند. اصطلاح “روز صفر” به این واقعیت اشاره دارد که هکرها زود از فروشنده یا توسعهدهنده از نقص ایمنی مطلع شده اند و صفر روز برای رفع آن زماندارند. یک حمله روز صفر زمانی اتفاق میافتد که هکرها قبل از اینکه توسعهدهندگان فرصتی برای رفع نقص موجود پیدا کنند، از این سوء نقص استفاده میکنند.
نرمافزار اغلب دارای آسیبپذیریهای امنیتی است که هکرها میتوانند از آنها برای مقاصد خود استفاده کنند. توسعهدهندگان نرمافزار همیشه در جستجوی اینگونه آسیبپذیریهای نرم افزار خود هستند تا برای بهبود آن راهحلی را در بهروزرسانی جدید خود منتشر کنند.
بااینحال، گاهی اوقات هکرها یا عوامل مخرب این آسیبپذیری را قبل از توسعهدهندگان نرمافزار تشخیص میدهند. درحالیکه این آسیبپذیری هنوز باز و ناشناس است، مهاجمان میتوانند کدی را نوشته و پیادهسازی کنند تا از آن به نفع خود بهرهبرداری کنند. به این کد اکسپلویت گفته میشود.
کد اکسپلویت میتواند از طریق سرقت هویت و یا سایر جرائم سایبری قربانیان خود را مورد تهدید قرار دهد. هنگامیکه مهاجمان آسیبپذیری روز صفر را شناسایی کردند، به راهی برای دسترسی به دستگاه آسیبپذیر هدف نیاز دارند. آنها اغلب این کار را از طریق یک ایمیل مهندسیشده اجتماعی انجام میدهند.
بهعنوانمثال، در قالب ارسال یک ایمیل یا شکل دیگری از پیام که ظاهراً از طرف یک فرد یا شخصیت حقوقی شناختهشده است. در این شیوه محتوای پیام سعی میکند کاربر را متقاعد کند که اقدامی مانند باز کردن یک فایل یا بازدید از یک وبسایت مخرب را انجام دهد. با انجام این کار، بدافزار مهاجم دانلود شده و میتواند به فایلهای کاربر نفوذ کرده و دادههای محرمانه را بدزدد.
هنگامیکه یک آسیبپذیری شناخته میشود، توسعهدهندگان سعی میکنند آن را اصلاح کنند تا حمله را متوقف کنند. بااینحال، آسیبپذیریهای امنیتی اغلب بلافاصله کشف نمیشوند. گاهی اوقات ممکن است روزها، هفتهها یا حتی ماهها طول بکشد تا توسعهدهندگان آسیبپذیری را که منجر به حمله شده است شناسایی کنند.
حتی زمانی که یک وصله روز منتشر میشود، همه کاربران بهسرعت آن را اجرا نمیکنند. در سالهای اخیر، هکرها در بهرهبرداری از آسیبپذیریها بلافاصله پس از کشف سرعت عمل بهتری داشتهاند.
هنگامیکه یک اکسپلویت کشف و اصلاح شد، دیگر بهعنوان تهدید روز صفر شناخته نمیشود.
حملات روز صفر به این دلیل خطرناک هستند که تنها افرادی که از آنها آگاهی دارند خود مهاجمان هستند. وقتی مجرمان به شبکه نفوذ کردند میتوانند بلافاصله حمله را آغاز نموده و یا منتظر بهترین زمان برای انجام کار باشند.
آسیبپذیری روز صفر به خلأ در نرمافزار گفته میشود که تولیدکننده و توسعهدهنده نرمافزار از آن اطلاعی نداشته و ابتدا توسط هکرها شناسایی میشود. ازآنجاییکه د ر بدو امر توسعهدهندگان از این آسیبپذیری مطلع نیستند. هیچ وصلهای برای آسیبپذیریهای روز صفر وجود ندارد. به همین علت احتمال موفقیت این حملات بسیار زیاد است.
روشی که هکرها برای حمله به سیستمهایی با آسیبپذیری شناختهنشده استفاده میکنند.
زمانی که هکرها با استفاده از یک اکسپلویت روز صفر برای حمله استفاده میکنند یک حمله روز صفر اتفاق افتاده است.
اهداف برای بهرهبرداریهای روز صفر چه هستند؟
سیستمهای عامل
مرورگرهای وب
برنامههای کاربردی آفیس
اجزای منبع باز
سختافزار و سیستمعامل
اینترنت اشیا (IoT)
افرادی که از یک سیستم آسیبپذیر مانند مرورگر یا سیستمعامل استفاده میکنند، هکرها میتوانند از آسیبپذیریهای امنیتی برای رسیدن به اهداف خود استفاده کنند.
افرادی که داراییها تجاری ارزشمند در اختیاردارند.
سختافزار و سیستمعاملهای متصل به اینترنت اشیا
شرکتها و سازمانهای بزرگ
سازمانهای دولتی
اهداف سیاسی و/یا تهدیدات امنیت ملی
حملات هدفمند روز صفر علیه اهداف بالقوه ارزشمند – مانند سازمانهای بزرگ، سازمانهای دولتی، یا افراد با مشخصات بالا، انجام میشوند.
حملات غیر هدفمند روز صفر معمولاً علیه کاربران سامانههای آسیبپذیر مانند سیستمعامل یا مرورگر انجام میشود.
حتی زمانی که مهاجمان افراد خاصی را هدف قرار نمیدهند، تعداد زیادی از افراد همچنان میتوانند تحت تأثیر حملات روز صفر قرار بگیرند، معمولاً بهعنوان آسیب جانبی. هدف حملات غیر هدف جذب هر چه بیشتر کاربران است. مجرمان با افزایش تعداد و دامنه افراد درگیر حملات دادههای ارزشمندتری را به دست بیاورند.
تأمینکنندگان نرمافزار مرتباً در حال بهروزرسانی چالشهای امنیتی نرمافزار خود در قالب ایجاد وصلههای جدید هستند، استفاده از آخرین بهروزرسانی منتشرشده توسط شرکت سازنده ایمنی شمارا در مقابل حملات بیشتر میکند
.
به دلیل اینکه حملات روز صفر از طریق آسیبپذیریهای درون نرمافزاری صورت میگیرند هر چه تعداد نرمافزارهای نصبشده روی دستگاهها بیشتر باشد ریسک درگیر شدن در این حملات نیز افزایش پیدا میکند
فایروال نقش بسیار مهم و پررنگی در محافظت از رایانهها و سایر دستگاههای آسیبپذیر بهواسطه محدود کردن تعاملات میان نرمافزارها در مقابل تهدیدات روز صفر بازی میکند
اگرچه بهظاهر کاربران در مقابل اینگونه تهدیدات نقش پررنگی ندارند و آسیبپذیری از درون نرمافزار نشاءت میگیرد همانطور که پیشتر نیز توضیح داده شد راه ورد هکر به درون شبکه و نصب بدافزار از طریق کاربران ایجاد میشود بنابراین برگزاری دورههای کاربردی آموزشی امنیت سایبری برای کاربران و کارکنان سازمانها بسیار ضروری است.
ازآنجاکه حملات روز صفر اشکال مختلف و متفاوتی دارند اطلاعات دقیق درباره اکسپلویت ها تنها پس از شناسایی در دسترس است، اما روشهایی وجود دارند که بتوان این نوع حملات رو مورد شناسایی قرارداد. ترافیک غیرمنتظره از برخی منابع و یا رفتار مشکوک یک کاربر میتواند ما را در جهت شناسایی حملات روز صفر هدایت کند.
استفاده از پایگاه دادههای موجود بدافزار و نحوه رفتار آنها بهعنوان مرجع، این پایگاههای داده از تجربیات حملات پیشین بهروزرسانی میشوند تا به سایر کاربران اطلاعرسانی نمایند. اما ازآنجاکه ماهیت حملات روز صفر در نو بودن و بهرهبرداری از آسیبپذیریهای تازه است باعث محدودیت عملکرد در اینگونه پایگاه اطلاعاتی میشود.
در روش دیگر، برخی از تکنیکها به دنبال ویژگیهای بدافزار روز صفر بر اساس نحوه تعامل آنها با سیستم هدف هستند. این تکنیک بهجای بررسی کد فایلهای دریافتی، به تعاملات آنها با نرمافزارهای موجود نگاه میکند و سعی میکند تعیین کند که آیا آنها ناشی از اقدامات مخرب هستند یا خیر.
یادگیری ماشینی Machine Learning بهطور فزایندهای، از طریق شناسایی رفتار دادههای اکسپلویت قبلی و تعاملات سیستم و بررسی تطبیقی لحظهای تعاملات درصدد است که هر نوع تغییر رفتاری را در اسرع وقت شناسایی نماید
