انواع مختلفی از آسیبپذیریهای امنیتی برای حملات سایبری وجود دارند. کسبوکارها از جهت رعایت قانون و برای ایمن نگه داشتن کارکنان، مشتریان و دادههای خود، مسئول محافظت از سازمانهای خود در برابر این حملات هستند. یکی از رایجترین این آسیبپذیریها، «آسیبپذیری روز صفر» است. اما بیایید ببینیم آسیبپذیری روز صفر چیست و چگونه هکرها از آن سوءاستفاده میکنند؟
مفهوم «روز صفر» و منظور از «آسیبپذیری روز صفر» چیست؟
برنامهها معمولا پس از انتشار دارای آسیبپذیری هستند. این آسیبپذیریها، اغلب نقصهای غیرعمدی یا حفرههایی در برنامههای نرمافزاری هستند. بهعنوان مثال، حفره امنیتی که به مجرمان سایبری اجازه میدهد به دادههای سازمان دسترسی پیدا کنند. برنامهنویسان نرمافزار همواره بهدنبال این آسیبپذیریها هستند تا بتوانند آنها را کشف کرده و تحلیل کنند و سپس یک وصله برای رفع آسیبپذیری ارائه دهند. وصلهها در نسخه بعدی نرمافزار منتشر میشوند. با این حال، همانطور که متوجه شدهاید، این فرایند زمانبر است، گاهیاوقات ممکن است روزها، هفتهها یا حتی ماهها طول بکشد، حتی زمانی که یک وصله روز صفر منتشر میشود، همه کاربران بهسرعت آن را پیادهسازی نمیکنند؛ بنابراین، هکرها در سراسر جهان به محض کشف آسیبپذیری و قبل از منتشر شدن وصله، میتوانند شروع به سوءاستفاده از آن کنند. به عبارت دیگر، توسعهدهندگان بهتازگی از وجود آسیبپذیری مطلع شدهاند و صفر روز فرصت دارند تا راهحلی برای مشکل پیدا کنند؛ از این رو چنین آسیبپذیریهایی «آسیبپذیری روز صفر» نامیده میشوند. در واقع یک «حمله روز صفر» زمانی اتفاق میافتد که هکرها قبل از اینکه توسعهدهندگان فرصتی برای رفع آن پیدا کنند، از این نقص سوءاستفاده میکنند.
واژههای آسیبپذیری، سوءاستفاده (اکسپلویت) و حمله، معمولا در کنار عبارت «روز صفر» استفاده میشوند و درک تفاوت بین آنها ضروری است.
- «آسیبپذیری روز صفر» یک آسیبپذیری نرمافزاری است که قبل از اینکه صاحب کسبوکار یا نرمافزار از آن آگاه شود، توسط مهاجمان کشف میشود. از این رو، فرصتی برای انتشار وصله برای آسیبپذیری کشفشده وجود ندارد و هیچ وصلهای برای آسیبپذیریهای روز صفر در دسترس نیست؛ این موضوع، احتمال موفقیت حملات را افزایش میدهد.
- «اکسپلویت روز صفر» روشی است که هکرها برای حمله به سیستمهایی با آسیبپذیری روز صفر، استفاده میکنند.
- «حمله روز صفر» استفاده از یک اکسپلویت روز صفر برای آسیب رساندن یا سرقت دادهها از یک سیستم دارای آسیبپذیری روز صفر است.
حمله روز صفر چیست و چگونه کار میکند؟
همانطور که اشاره کردیم، گاهیاوقات هکرها یا مهاجمان، آسیبپذیریهای برنامهها را قبل از توسعهدهندگان نرمافزار کشف میکنند. بنابراین، از فرصت استفاده کرده و کدی را برای سوءاستفاده از آن آسیبپذیری نوشته و پیادهسازی میکنند. این کد، بهعنوان «کد اکسپلویت» شناخته میشود. بهعنوان مثال، کد اکسپلویت، میتواند از طریق سرقت هویت یا سایر اشکال جرایم سایبری باعث قربانی شدن کاربران نرمافزار شود. پس از آنکه مهاجمان، آسیبپذیری روز صفر را شناسایی کردند، به راهی برای دسترسی به سیستم آسیبپذیر نیاز دارند. آنها اغلب این کار را از طریق یک ایمیل انجام میدهند. بهعنوان مثال، یک ایمیل یا هر پیامی را که بهظاهر از یک منبع شناختهشده یا قانونی است (اما در واقع از طرف یک مهاجم است) ارسال میکنند. این پیام سعی میکند کاربر را متقاعد کند که اقدامی مانند باز کردن یک فایل یا بازدید از یک وبسایت مخرب را انجام دهد. با انجام این کار، بدافزار دانلود شده و به فایلهای کاربر نفوذ کرده و دادههای محرمانه را میدزدد.
اکسپلویتها در دارکوب با مبالغ هنگفتی فروخته میشوند؛ با این حال، تا زمانی اعتبار دارند که توسعهدهندگان وصلهها را منتشر نکنند و تمام کاربران آن را پیادهسازی نکنند. هنگامی که یک آسیبپذیری کشف و رفع میشود، دیگر بهعنوان تهدید روز صفر شناخته نمیشود.
در سالهای اخیر، هکرها بلافاصله پس از کشف آسیبپذیری، در بهرهبرداری از آسیبپذیریها سریع عمل کردهاند. حملات روز صفر از خظرناکترین نوع حملات هستند، زیرا معمولا تنها افرادی که در مورد آنها میدانند، خود مهاجمان هستند. هنگامی که مهاجمان به یک شبکه نفوذ میکنند، میتوانند بلافاصله حمله کنند یا بنشینند و منتظر بهترین زمان برای انجام این کار بمانند.
چه کسانی حملات روز صفر را انجام میدهد؟
مهاجمانی که حملات روز صفر را انجام میدهند، بسته به انگیزه حمله، در دستههای مختلفی قرار میگیرند. برای مثال:
- مجرمان سایبری – هکرهایی که انگیزه آنها اغلب بهرهبرداری مالی است.
- هکتیویستها – هکرهایی با انگیزه سیاسی یا اجتماعی که میخواهند حملات رسانهای شوند تا توجه عموم را به هدف خود جلب کنند.
- جاسوسی شرکتی – هکرهایی که از شرکتها جاسوسی میکنند تا اطلاعاتی در مورد آنها بهدست آورند.
- جنگ سایبری – هدف این نوع مهاجمان، جاسوسی یا حمله به زیرساختهای سایبری یک کشور دیگر است.
هدفهای حملات روز صفر
یک حمله روز صفر میتواند از آسیبپذیریها در سیستمهای مختلف، از جمله موارد زیر استفاده کند:
- سیستمعاملها
- مرورگرهای وب
- برنامههای کاربردی آفیس
- اجزای منبع باز
- سختافزار
- اینترنت اشیاء (IoT)
بنابراین، طیف وسیعی از قربانیان احتمالی وجود دارد، برای مثال:
- افرادی که از یک سیستم آسیبپذیر مانند مرورگر یا سیستمعامل استفاده میکنند. هکرها میتوانند از آسیبپذیریهای امنیتی برای به خطر انداختن دستگاهها و ساخت باتنتهای بزرگ استفاده کنند.
- افرادی که به دادههای تجاری ارزشمند دسترسی دارند.
- شرکتها و سازمانهای بزرگ
- سازمانهای دولتی
حتی زمانی که مهاجمان افراد خاصی را هدف قرار نمیدهند، تعداد زیادی از افراد همچنان میتوانند تحت تأثیر حملات روز صفر قرار بگیرند. هدف از حملات غیرهدفمند، به دام انداختن هرچه بیشتر کاربران است.
نمونههایی از جدیدترین حملات روز صفر
Chrome
در سال 2021، گوگلکروم با یک سری تهدیدات روز صفر مواجه شد که باعث شد بهروزرسانیهایی را منتشر کند. این آسیبپذیری ناشی از یک نقص در موتور جاوااسکریپت V8 مورد استفاده در مرورگر وب بود.
Zoom
سال ۲۰۲۰، یک آسیبپذیری در پلتفرم ویدیو کنفرانس محبوب پیدا شد. در این حمله روز صفر، هکرها به کامپیوتر کاربر از راه دور در صورتی که از نسخه قدیمی ویندوز استفاده میکرد، دسترسی پیدا میکردند. هکر میتوانست به طور کامل دستگاه آنها را تصاحب کرده و به تمام فایلهای آنها دسترسی داشته باشد.
Apple iOS
iOS اپل، اغلب بهعنوان امنترین پلتفرم گوشیهای هوشمند شناخته میشود. با این حال، در سال 2020، حداقل قربانی دو مجموعه از آسیبپذیریهای روز صفر iOS شد، از جمله یک باگ روز صفر که باعث میشد آیفونها را از راه دور در معرض مهاجمان قرار گیرند.
چطور حملات روز صفر را شناسایی کنیم؟
از آنجایی که آسیبپذیریهای روز صفر میتوانند اشکال مختلفی مانند الگوریتمهای خراب، مشکلات امنیتی رمز عبور و غیره، داشته باشند، شناسایی آنها میتواند چالش برانگیز باشد. اطلاعات دقیق درباره اکسپلویتهای روز صفر نیز تنها پس از شناسایی اکسپلویت در دسترس است. سازمانهایی که توسط یک اکسپلویت روز صفر مورد حمله قرار میگیرند، ممکن است ترافیک غیرمنتظره یا فعالیت اسکن مشکوک ناشی از یک مشتری یا سرویس را مشاهده کنند. یکی از تکنیکهای شناسایی حملههای روز صفر به دنبال ویژگیهای بدافزار روز صفر بر اساس نحوه تعامل آنها با سیستم هدف است. این تکنیک بهجای بررسی کد فایلهای دریافتی، به تعاملات آنها با نرمافزارهای موجود نگاه میکند و سعی میکند تعیین کند که آیا آنها ناشی از اقدامات مخرب هستند یا خیر. همچنین، از یادگیری ماشین برای ایجاد یک خط مبنا برای رفتار سیستم بر اساس دادههای تعاملات گذشته و فعلی با برنامه، استفاده میشود. هرچه دادههای بیشتری در دسترس باشد، تشخیص قابل اعتمادتر میشود.
چگونه از کامپیوترها و دادههای حیاتی در برابر حملات روز صفر محافظت کنیم؟
برای محافظت در برابر حملات روز صفر و ایمن نگه داشتن کامپیوتر و دادههای مهم، رعایت روشهای تاییدشده امنیت سایبری برای افراد و سازمانها ضروری است. چندین استراتژی وجود دارند که میتوانند به شما در محافظت از کسبوکار خود در برابر حملات روز صفر کمک کند:
تمام نرمافزارها و سیستمعاملها را بهروز نگه دارید
این کار به این دلیل ضرورت دارد که وصلههای امنیتی برای پوشش آسیبپذیریهای تازه شناساییشده، در نسخههای جدید اضافه میشوند. بنابراین، تنها انتشار وصله توسط توسعهدهندگان کافی نیست و کاربران باید با بهروز نگه داشتن برنامهها، این وصلهها را اعمال کرده و امنیت خود را تضمین کنند. میتوانید بهروزرسانی خودکار برنامه را فعال کنید؛ در این صورت، برنامه شما بدون نیاز به مداخله دستی بهروز میشود.
تا حد امکان، از برنامههای ضروری استفاده کنید
هرچه نرمافزار بیشتری روی سیستم خود داشته باشید، آسیبپذیریهای احتمالی بیشتری خواهید داشت. بنابراین، تنها با نصب برنامههایی که به آنها نیاز دارید، میتوانید خطر را کاهش دهید.
از فایروال استفاده کنید
فایروال، نقش مهمی در محافظت از سیستم شما در برابر تهدیدات روز صفر ایفا میکند. شما میتوانید فایروال را به گونهای پیکربندی کنید که فقط ترافیک ضروری را مجاز کند و بدین صورت، از حداکثر محافظت اطمینان حاصل کنید.
به کارمندان سازمان خود آموزش دهید
بسیاری از حملات روز صفر بر روی خطای انسانی کاربران سرمایهگذاری میکنند. آموزش عادات ایمنی خوب به کارمندان و کاربران به حفظ امنیت آنلاین آنها کمک میکند و از سازمانها در برابر سوءاستفادههای روز صفر و سایر تهدیدات سایری محافظت میکند.
از نرمافزارهای آنتیویروس استفاده کنید
آنتیویروسها با مسدود کردن تهدیدات، به ایمن نگه داشتن دستگاههای شما کمک میکنند.
