Zero Day Attacks: Χαρακτηριστικά και Αντιμετώπιση

Ποτέ πριν οι δικτυακές επιθέσεις δεν ήταν τόσο εύκολες όσο σήμερα, καθόσον κυκλοφορούν πλέον εργαλεία τα οποία τις έχουν αυτοματοποιήσει και απλοποιήσει.

Θεωρείται πλέον δεδομένο ότι οι παροχές υπηρεσιών μέσω διαδικτύου αυξάνονται με ραγδαίους ρυθμούς τόσο ποσοτικά (όλο και περισσότεροι χρήστες χρησιμοποιούν on line υπηρεσίες) όσο και ποιοτικά (αυξάνεται και βελτιώνεται η γκάμα υπηρεσιών που προσφέρονται μέσα από το διαδίκτυο).

Θα πρέπει να τονιστεί όμως στο σημείο αυτό το γεγονός ότι η δραματική αυτή αύξηση συνοδεύεται και από ανάλογη αύξηση των απειλών που σχετίζονται με την ασφάλεια των πληροφοριακών συστημάτων και δικτύων.

Προκειμένου να πραγματοποιήσει κάποιος μία επίθεση, δεν χρειάζεται πλέον να έχει άριστες γνώσεις πληροφορικής και δικτύων ή να ειδικεύεται σε κάποιου είδους επιθέσεις (web ή network hacking). Το μόνο που χρειάζεται είναι να αφιερώσει αρκετό χρόνο για να εξοικειωθεί με τα εργαλεία επιθέσεων που μοιράζονται ελεύθερα στο διαδίκτυο και στη συνέχεια μπορεί να πειραματιστεί πάνω σε πραγματικούς στόχους-χρήστες του internet. Πέραν των εργαλείων που αναφέραμε παραπάνω, για τη διεξαγωγή δικτυακών επιθέσεων μπορούν να χρησιμοποιηθούν και οι πλατφόρμες penetration testing, μετά από κάποιες τροποποιήσεις. Το ιδιαίτερο χαρακτηριστικό που έχουν αυτές οι πλατφόρμες είναι και εδώ η ευκολία στη χρήση τους (user friendly platforms).
Το νέο λοιπόν χαρακτηριστικό των δικτυακών επιθέσεων είναι η αυτοματοποίησή τους μέσα από κατάλληλα εργαλεία και ειδικά διαμορφωμένες πλατφόρμες. Αυτοματοποίηση, η οποία τις καθιστά αρκετά προσιτές σε χρήστες οι οποίοι δεν χρειάζεται πλέον να έχουν τις γνώσεις που είχαν στο παρελθόν. Οι γνώσεις αλλά και τα εργαλεία που χρειάζεται κάποιος για να πραγματοποιήσει οποιαδήποτε δικτυακή επίθεση σήμερα, διατίθενται δωρεάν στο διαδίκτυο. Υπάρχουν σε κυκλοφορία ακόμα και videos τα οποία καθοδηγούν βήμα βήμα τον επίδοξο hacker στο πώς να διεξάγει τις επιθέσεις του. Έτσι, ανάλογα με το χρόνο που θα διαθέσει, μπορεί σε σχετικά μικρό χρονικό διάστημα να είναι σε θέση να διεξάγει δικτυακές επιθέσεις με ιδιαίτερα υψηλές πιθανότητες επιτυχίας.

Zero Day Attacks
Η σημερινή κατάσταση στα δίκτυα πληροφοριών, έτσι όπως έχει διαμορφωθεί δίνει τη δυνατότητα στους κακόβουλους χρήστες να διεξάγουν επιθέσεις ακόμα και με εργαλεία ιδιαίτερα περιορισμένης χρονικής διάρκειας. Οι επιθέσεις αυτού του είδους συνήθως ονομάζονται Zero Day ή Zero Hour Attacks. Ουσιαστικά, με τις zero day επιθέσεις, ο επιτιθέμενος προσπαθεί να εκμεταλλευτεί συγκεκριμένα κενά ασφαλείας σε εφαρμογές ηλεκτρονικών υπολογιστών, τα οποία προέρχονται από λάθη των σχεδιαστών που δημιούργησαν τις εφαρμογές. Πολλές είναι επίσης οι φορές που οι σχεδιαστές δεν γνωρίζουν καν αυτά τα κενά ασφαλείας στις εφαρμογές τους, μέχρι και την πραγματοποίηση των zero day επιθέσεων.
Θα μπορούσαμε να πούμε ότι ο κύκλος που ακολουθείται στις zero day επιθέσεις είναι ο εξής:

Οι σχεδιαστές μίας συγκεκριμένης εταιρείας δημιουργούν μία εφαρμογή και στη συνέχεια τη διαθέτουν στην αγορά.
Οι επιτιθέμενοι αναλύουν την εφαρμογή και εντοπίζουν συγκεκριμένα κενά ασφαλείας τα οποία έχει.
Στη συνέχεια δημιουργούν ειδικά κακόβουλα λογισμικά, μέσω των οποίων εκμεταλλεύονται τα κενά ασφαλείας της εφαρμογής και αποκτούν πρόσβαση στους ηλεκτρονικούς υπολογιστές αυτών που την χρησιμοποιούν.
Όταν οι επιθέσεις εξαπλώνονται προσβάλλοντας όλο και περισσότερους ηλεκτρονικούς υπολογιστές και η συγκεκριμένη τεχνική επίθεσης γίνει ευρέως γνωστή, ενεργοποιούνται οι δημιουργοί της εφαρμογής, εντοπίζουν το κενό ασφαλείας και το διορθώνουν, τροποποιώντας συνήθως τον κώδικα γραφής της.
Στη συνέχεια διανέμουν το νέο κώδικα (κατά κανόνα μέσω updates) στους χρήστες της εφαρμογής και η συγκεκριμένη επίθεση αναχαιτίζεται.
Κατόπιν οι επιτιθέμενοι αναλύουν εκ νέου την εφαρμογή ή άλλες διαφορετικές εφαρμογές και μόλις βρουν κενά ασφαλείας, φτιάχνουν νέα κακόβουλα λογισμικά και ο κύκλος ξεκινά πάλι.

Οι επιθέσεις αυτού του είδους ονομάστηκαν zero day λόγω του περιορισμένου χρόνου ζωής τους. Πραγματοποιούνται δηλαδή μέχρι οι σχεδιαστές να διανέμουν το νέο κώδικα που τις αντιμετωπίζει. Υπάρχουν όμως και περιπτώσεις όπου οι εταιρείες είτε αργούν να εντοπίσουν το πρόβλημα είτε αργούν να δημιουργήσουν τα αντιμετρά, με αποτέλεσμα οι επιθέσεις αυτές να συνεχίζουν αμείωτες. Για παράδειγμα, υπάρχει εταιρεία λογισμικού η οποία μετά από 7 έτη κατάφερε να τροποποιήσει τον κώδικά της, προκειμένου να αντιμετωπίσει τέτοιου είδους επίθεση. Αξίζει να αναφερθεί στο σημείο αυτό ότι αν στους υπολογιστές που έχουν ήδη προσβληθεί, οι επιτιθέμενοι έχουν εγκαταστήσει και άλλα κακόβουλα λογισμικά (όπως για παράδειγμα backdoors) συνεχίζουν να έχουν πρόσβαση σε αυτούς, ακόμα και μετά την εγκατάσταση του νέου κώδικα.
Τα προγράμματα στα οποία πραγματοποιούνται συνήθως οι zero day attacks είναι σε πρώτη φάση οι browsers, καθόσον χρησιμοποιούνται καθολικά και συνεχώς. Συνεπώς ακόμα και για λίγες ώρες να μπορέσουν οι επιτιθέμενοι να κρατήσουν μία επίθεση, μπορούν να προσβάλουν ιδιαίτερα μεγάλο αριθμό υπολογιστών. Πέραν των browsers οι επιτιθέμενοι μπορούν να διεξάγουν επιθέσεις συνδυάζοντας και τεχνικές κοινωνικής μηχανικής (social engineering). Αποστέλλουν για παράδειγμα μαζικά -μέσω email – συγκεκριμένα αρχεία (π.χ. PDF), τα οποία προσβάλλουν τις εφαρμογές που τα ανοίγουν. Αυτού του είδους οι επιθέσεις δίνουν συνήθως τη δυνατότητα στους επιτιθέμενους να αποκτήσουν πρόσβαση στους ηλεκτρονικούς υπολογιστές των θυμάτων τους και να τους αποσπάσουν προσωπικά στοιχεία (όπως αριθμούς πιστωτικών καρτών passwords και άλλα), τα οποία στη συνέχεια εκμεταλλεύονται αναλόγως.
Κρίνεται σκόπιμο να αναφερθεί ότι η δημιουργία των εργαλείων για τη διεξαγωγή μίας zero day επίθεσης είναι κάτι το ιδιαίτερα δύσκολο, καθόσον απαιτούνται ειδικές γνώσεις προκειμένου κάποιος να αναλύσει μία εφαρμογή, να βρει τα κενά ασφαλείας της και στη συνέχεια να δημιουργήσει ένα λογισμικό που να τα εκμεταλλεύεται. Αυτό που όμως κάνει τις zero day επιθέσεις τόσο δημοφιλείς, είναι το ότι οι δημιουργοί των εργαλείων αυτών τα διαθέτουν δωρεάν στο διαδίκτυο και έχουν πλέον την τάση να τα απλοποιούν, ώστε να μπορούν να τα χρησιμοποιούν όλο και περισσότεροι χρήστες. Έτσι η πλειοψηφία των επιτιθέμενων «κατεβάζει» τα συγκεκριμένα εργαλεία έτοιμα από το διαδίκτυο και στη συνέχεια με απλοποιημένες διαδικασίες τα χρησιμοποιεί για να διεξάγει επιθέσεις.
Τα κίνητρα τα οποία οδηγούν τους δημιουργούς τέτοιων κακόβουλων λογισμικών να τα διανέμουν δωρεάν, ποικίλουν. Ξεκινούν από την απόκτηση φήμης και μπορούν να φθάσουν μέχρι τη βιομηχανική κατασκοπία και την τρομοκρατία. Για παράδειγμα, η ομάδα anonymous διανέμει τα εύκολα στη χρήση hacking εργαλεία της, με σκοπό όλο και περισσότεροι χρήστες να τα χρησιμοποιούν. Αυτό καθιστά τις denial of service επιθέσεις των anonymous πιο αποτελεσματικές, καθόσον πραγματοποιούνται ταυτόχρονα από πολλούς χρήστες. Έτσι η συγκεκριμένη ομάδα αποκτά φήμη και μεγιστοποιεί τα αποτελέσματα των επιθέσεών της, οι οποίες έχουν αποκτήσει πλέον μαζικό χαρακτήρα.

Αντιμετώπιση
Για τον περιορισμό και την αντιμετώπιση αυτού του είδους επιθέσεων, απαιτείται μία πολυδιάστατη προσέγγιση. Σε εταιρικό επίπεδο οι σχεδιαστές των κάθε είδους εφαρμογών θα πρέπει να υιοθετήσουν ένα μοντέλο σχεδίασης, στο οποίο το ζήτημα της ασφάλειας θα παίζει σημαντικό ρόλο και δεν θα μπαίνει σε δεύτερη μοίρα περιοριζόμενο στα βασικά. Επίσης, πριν μία εταιρεία διαθέσει στην αγορά μία εφαρμογή, θα πρέπει να την έχει δοκιμάσει επισταμένα προκειμένου να διαπιστώσει κατά πόσον υπάρχουν κενά ασφαλείας σε αυτή. Εταιρείες και Οργανισμοί οι οποίοι θα αγοράσουν μία εφαρμογή, θα πρέπει να απαιτούν από τους δημιουργούς της να έχει δοκιμαστεί και να συνοδεύεται με δεδομένα, από τα οποία θα προκύπτει ότι είναι ασφαλής σε ένα ικανοποιητικό επίπεδο. Επίσης σε περίπτωση όπου διαπιστωθεί από την εταιρεία – δημιουργό ότι μία εφαρμογή της έχει στοχοποιηθεί από zero day επιθέσεις, θα πρέπει το συντομότερο δυνατό να αναπτύξει τον κώδικα αντιμετώπισης των επιθέσεων και στη συνέχεια να το διανείμει άμεσα στους χρήστες της εφαρμογής, χωρίς καμία φυσικά οικονομική επιβάρυνση.
Σε επίπεδο χρηστών, πέραν της προσοχής που πρέπει να δείχνουν ώστε να μην πέσουν θύματα τεχνικών κοινωνικής μηχανικής (π.χ. να μην «ανοίγουν» άγνωστα emails, να μην «τρέχουν» εφαρμογές που δεν γνωρίζουν κ.ά.), θα πρέπει να εκτελούν τα επίσημα updates των εφαρμογών που χρησιμοποιούν, να είναι ιδιαίτερα προσεκτικοί στον έλεγχο των broswers και να μην αφήνουν να εκτελεστεί κάποιο πρόγραμμα στον υπολογιστή τους, αν δεν γνωρίζουν την προέλευσή του. Καλό είναι επίσης να «σαρώνουν» μέσω του προγράμματος προστασίας (antivirus) που χρησιμοποιούν τον υπολογιστή τους όσο το δυνατό συχνότερα. Σε περίπτωση που διαπιστώσουν ή έχουν υποψία ότι έχουν πέσει θύματα τέτοιου είδους επιθέσεως, προκειμένου να είναι σίγουροι ότι θα αποκλείσουν την περαιτέρω πρόσβαση των επιτιθέμενων στα αρχεία και δεδομένα τους, θα πρέπει να αναδιαμορφώσουν το λειτουργικό σύστημα του υπολογιστή τους (το γνωστό σε όλους μας format) και να αλλάξουν τους κωδικούς πρόσβασης όλων των εφαρμογών που χρησιμοποιούν, μετά φυσικά από την αναδιαμόρφωση. Επισημαίνεται εδώ, ότι ακόμα και τα backup αρχεία που έχουν διατηρήσει οι χρήστες πριν το format, θα πρέπει να σαρωθούν από το antivirus πρόγραμμά τους, ώστε να διαπιστωθεί ότι δεν έχουν μολυνθεί.
Οι παραπάνω προτάσεις αποτελούν μία μικρή βάση πάνω στην οποία θα μπορούσε να διαμορφωθεί ένα σχετικά ασφαλές περιβάλλον – είτε σε επίπεδο απλών χρηστών είτε σε εταιρικό επίπεδο. Μέτρα σαν τα παραπάνω, ναι μεν είναι εύκολο να εφαρμοστούν και, κυρίως, για τους μεν χρήστες δεν στοιχίζουν καθόλου, ενώ για τις εταιρείες στοιχίζουν ελάχιστα, πλην όμως δεν μπορούν να παρέχουν ασφάλεια σε υψηλό επίπεδο. Για τη διαμόρφωση υψηλού επιπέδου ασφαλείας απαιτούνται πιο εξειδικευμένα μέσα και κατά περίπτωση έρευνα.
Αυτό που φαίνεται να λείπει από τον κόσμο των δικτύων σήμερα, είναι η καλλιέργεια μίας γενικότερης «κουλτούρας» ασφαλείας, μέσω της οποίας θα διαμορφωθεί ένα minimum επίπεδο ασφαλείας για όλους τους χρήστες. Μόνο και μόνο αυτό θα μπορούσε να μειώσει την αποτελεσματικότητα τέτοιου είδους επιθέσεων σε πάρα πολύ μεγάλο βαθμό και να αντιμετωπίσει το μαζικό πλέον χαρακτήρα που έχουν λάβει ακόμα και στη χώρα μας. Η δημιουργία μιας τέτοιας νοοτροπίας ασφαλείας στο διαδίκτυο, συνιστά μία από τις μεγαλύτερες προκλήσεις του συνόλου των ανθρώπων που σχετίζονται με αυτό, ενώ από πολλούς χαρακτηρίζεται ως το σημαντικότερο και αποδοτικότερο μέτρο που θα μπορούσε να προτείνει κανείς. Άλλωστε, σε τελική ανάλυση το πιο αδύνατο σημείο του διαδικτύου είναι ο ίδιος ο άνθρωπος.

Του Παναγιώτη Κικίλια
Ελληνική Αστυνομία,
Ειδικός Συνεργάτης ΙΤ Security Professional

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Zero Day Attacks: Χαρακτηριστικά και Αντιμετώπιση

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Mobile Payments: Ακόμα μία πρόκληση για την Ασφάλεια Πληροφοριών

Κυβερνοπόλεμος : Χαρακτηριστικά – Στόχοι – Άμυνα

Zero Day Attacks: Χαρακτηριστικά και Αντιμετώπιση