ZERO DAY trước đó được biết đến là một lỗ hổng phần mềm chưa từng được biết đến và chưa từng được vá. Lỗ hổng này chỉ lộ ra khi được quét liên tục bởi các cá nhân và tổ chức có chủ đich. Vì vậy, khi Zero day được phát hiện bởi các hacker, nó trở nên quý giá và được mua bán với giá trị khủng khiếp trên các Darknet. Đây là mối đe dọa nguy hiểm cho mọi người dùng với nguy cơ đánh mất các dữ liệu quý giá.
Sự khác nhau giữa một lỗ hổng bảo mật thông thường và một lỗ hổng zero-day nằm ở chỗ: Lỗ hổng Zero-day là những lỗ hổng chưa được biết tới bởi đối tượng sở hữu hoặc cung cấp sản phẩm chứa lỗ hổng. Trong thuật ngữ bảo mật máy tính, ngày mà bên cung cấp sản phẩm chứa lỗ hổng biết tới sự tồn tại của lỗ hổng đó, gọi là “ngày 0”. Đó là lý do thuật ngữ lỗ hổng Zero-day [0-day] ra đời. Thông thường ngay sau khi phát hiện ra lỗ hổng 0-day, bên cung cấp sản phẩm sẽ tung ra bản vá bảo mật cho lỗ hổng này để người dùng được bảo mật tốt hơn. Tuy nhiên trên thực tế, người dùng ít khi cập nhật phiên bản mới của phần mềm ngay lập tức. Điều đó khiến cho Zero-day được biết đến là những lỗ hổng rất nguy hiểm, có thể gây thiệt hại nghiêm trọng cho doanh nghiệp và người dùng. Một khi được công bố rộng rãi ra công chúng, lỗ hổng 0-day trở thành lỗ hổng n-day.
Để ngăn ngừa hiểm họa từ zero day, NX Series của Fireeye có thể phát hiện ra sự xâm nhập, chặn kẻ tấn công và cảnh báo cho người quản lý về sự xâm nhập. PX Series của Fireeye giúp đóng băng thời gian và cô lập các nội dung bị đánh cắp từ ngay giai đoạn đầu của cuộc tấn công. Sau khi phát hiện và “sơ cứu”, Fireeye sẽ đề xuất vá lỗ hổng ZERO DAY chỉ trong 24h và đảm bảo an toàn cho mọi người dùng trong hệ thống. Với Fireeye, Zero day chỉ là một cái tên!
Phân tích một lỗ hổng Zero-day[Nguồn: Fireeye, Inc.]VNCS chính thức phân phối và phát triển sản phẩm & dịch vụ FireEye tại thị trường Việt Nam. Với đội ngũ chuyên gia dày dặn kinh nghiệm, chúng tôi sẽ mang đến cho khách hàng sự tư vấn phù hợp nhất, giải pháp hiệu quả nhất và phong cách làm việc chuyên nghiệp nhất.
Thuật ngữ zero-day được nhắc tới khá nhiều nhưng không phải ai cũng hiểu được zero-day là gì. Dưới đây mình sẽ giới thiệu những kiến thức cơ bản về zero-day.
1. Zero-day là gì?
Lỗ hổng zero-day [hay 0-day] là những lỗ hổng bảo mật phần mềm hoặc phần cứng chưa được phát hiện bởi chủ sở hữu, đây cũng là đặc điểm lớn nhất để phân biệt với một lỗ hổng bảo mật thông thường. 0-day chỉ số ngày mà nhà phát triển phát hiện ra một lỗ hổng bảo mật. Chúng có thể tồn tại trong: Website, ứng dụng mobile, hệ thống mạng, phần mềm, phần cứng máy tính…
Kẻ tấn công sẽ tận dụng lỗ hổng này để đánh cắp hoặc thay đổi dữ liệu. Những cuộc tấn công khai thác lỗ hổng zero-day gọi là zero-day exploit hoặc zero-day attack. Thậm chí, ngay cả khi đã được phát hiện, kẻ tấn công vẫn có thể tiếp tục khai thác lỗ hổng zero-day.
Sau khi phát hiện ra lỗ hổng zero-day, nhà cung cấp sẽ tung ra bản vá bảo mật ngay. Tuy nhiên, người dùng thường không cập nhật phần mềm ngay lập tức. Điều này khiến zero-day trở thành lỗ hổng rất nguy hiểm, có thể gây thiệt hại nghiêm trọng cho người dùng.
Khi được công bố rộng rãi ra công chúng, lỗ hổng 0-day sẽ trở thành lỗ hổng n-day.
Lỗ hổng zero-day được coi như hàng hóa giá trị đối với những kẻ tấn công, các công ty phát triển phần mềm, các cơ quan tình báo cấp quốc gia. Thị trường mua bán lỗ hổng zero-day hết sức đông vui, nhộn nhịp, có ba nơi có thể giao dịch:
- Black market, nơi những kẻ tấn công trao đổi lỗ hổng zero-day nhằm đánh cắp thông tin quan trọng của người dùng như: Mật khẩu, số thẻ tín dụng...
- White market, bao gồm các chương trình bug bounty [Săn lỗ hổng lấy thưởng]. Các tập đoàn lớn như Facebook, Google, Microsoft... đều tổ chức các chương trình này. Các lỗ hổng sau khi được phát hiện sẽ được thông báo trực tiếp tới các công ty sản xuất phần mềm. Sau khi kiểm duyệt thành công, các lỗ hổng này có thể được trả tới hàng chục ngàn đô.
- Gray market, nơi nhà nghiên cứu bảo mật bán các đoạn mã khai thác zero-day cho quân đội hoặc các cơ quan tình báo để phục vụ hoạt động an ninh quốc gia. Các tổ chức này sẵn sàng bỏ ra hàng trăm ngàn đô để sở hữu lỗ hổng ảnh hưởng tới các nền tảng phổ biến, như hệ điều hành Windows hay iOS.
2. Zero-day hoạt động như thế nào?
Một cuộc tấn công phải được triển khai một cách chiến lược và bí mật để có hiệu quả tối đa. Nếu thực hiện một cuộc tấn công cùng lúc hàng triệu máy tính có thể tiết lộ sự tồn tại của lỗ hổng và khiến cho đối phương phát hành bản vá quá nhanh.
Tuổi thọ trung bình của một lỗ hổng zero-day là 348 ngày trước khi nó được phát hiện và vá lại, nhiều lỗ hổng thậm chí còn sống thọ hơn thế.
Cuộc tấn công zero-day có thể gây ảnh hưởng theo các cách khác nhau, bao gồm: Mất tiền bạc, lãng phí thời gian, ảnh hưởng xấu đến thương hiệu của doanh nghiệp, tổ chức. Các cuộc tấn công zero-day phụ thuộc vào một số yếu tố:
- Sự chủ động về bảo mật của nhà phát triển ứng dụng.
- Phản ứng nhanh của nhà phát triển nếu có sự cố xảy ra.
- Sự chủ động về bảo mật của người dùng.
- Phản ứng nhanh của người dùng nếu có sự cố xảy ra.
Cả nhà phát triển lẫn người dùng nên chủ động bảo vệ ứng dụng của họ. Hãy thực hiện các biện pháp để ngăn chặn sự khai thác zero-day ngay cả khi chưa có bản vá bảo mật cho các lỗ hổng. Nếu các bên liên quan không chủ động bảo vệ chính mình thì rất dễ dàng để đánh giá tác động của lỗ hổng zero-day, đó chính là toàn bộ hệ thống. Tự động hóa giúp kẻ tấn công nhanh chóng mở rộng cuộc tấn công.
3. Tại sao zero-day lại nguy hiểm?
Khi kẻ xấu tìm ra một lỗ hổng bảo mật trước người bảo vệ sản phẩm, người sử dụng hoặc các nhà nghiên cứu lỗ hổng, thì mọi thứ có thể trở nên tồi tệ rất nhanh. Khi chưa có bản vá thì điều duy nhất hạn chế kẻ tấn công là mức độ sâu và rộng mà lỗ hổng cho phép khai thác. Với zero-day, sự tự động hoá được áp dụng, bởi chúng tương tự nhau trên những đối tượng tấn công có cùng một lỗ hổng.
Do chưa được phát hiện nên chẳng có bản vá hay phần mềm nào chống lại lỗ hổng zero-day nên tỷ lệ thành công, mức độ ảnh hưởng của các cuộc tấn công này cao hơn nhiều những loại khác. Khi cuộc tấn công zero-day diễn ra, nó có nguy cơ ảnh hưởng tới hàng triệu người dùng, tùy thuộc vào độ phổ biến của sản phẩm chứa lỗ hổng.
Lỗ hổng phần mềm, dù là zero-day hay đã được công bố, luôn tạo ra những rủi ro bảo mật nghiêm trọng cho người dùng, cho dù bạn là người dùng máy tính thông thường hay là quản trị viên cho một hệ thống phần mềm.
Zero-day không phải là mối lo ngại chính đối với phần lớn người dùng, mà nó là mối đe dọa đối với nhà cung cấp phần mềm/dịch vụ.