Què és un atac de dia zero?
Un atac de zero dies (també anomenat Day Zero) és un atac que explota una debilitat de seguretat del programari potencialment greu que el venedor o desenvolupador pot ignorar. El desenvolupador de programari s’ha d’afanyar a resoldre la debilitat tan aviat com es descobreix per tal de limitar l’amenaça als usuaris de programari. La solució s’anomena pegat de programari. Els atacs del dia zero també es poden utilitzar per atacar la Internet de les coses (IoT).
Un atac de zero dies rep el seu nom a partir del nombre de dies que el desenvolupador de programari ha conegut sobre el problema.
S'ha explicat un atac a Zero Day
Un atac de zero dies pot implicar programari maliciós, programari espia o accés no autoritzat a la informació de l’usuari. Els usuaris poden protegir-se contra atacs de zero dies mitjançant la configuració del seu programari (inclosos sistemes operatius, programari antivirus i navegadors d’Internet) per actualitzar-se automàticament i instal·lant de forma ràpida qualsevol actualització recomanada fora de les actualitzacions programades regularment. Dit això, tenir un programari antivirus actualitzat no necessàriament protegirà un usuari contra un atac de zero dies, ja que fins que no es conegui públicament la vulnerabilitat del programari, és possible que el programari antivirus no tingui la manera de detectar-lo. Els sistemes de prevenció d’intrusions d’amfitrió també ajuden a protegir-se dels atacs de zero dies mitjançant la prevenció i defensa contra intrusions i la protecció de dades.
Penseu en una vulnerabilitat d’un dia zero com una porta del cotxe desbloquejat que el propietari creu que està bloquejat, però un lladre descobreix que està desbloquejat. El lladre pot entrar sense detectar i robar coses del compartiment de guants o del maleter del propietari del cotxe que no es podran notar fins dies després quan el dany ja està fet i el lladre ja fa temps que no.
Si bé les vulnerabilitats del dia zero són conegudes per ser explotades per pirates informàtics criminals, també les poden aprofitar les agències de seguretat governamentals que volen utilitzar-les per a vigilància o atacs. De fet, hi ha tanta demanda de vulnerabilitats del dia zero per part de les agències de seguretat del govern que ajuden a impulsar el mercat per comprar i vendre informació sobre aquestes vulnerabilitats i com explotar-les.
Les explotacions del dia zero poden ser publicades, publicades només al venedor de programari o venudes a tercers. Si es venen, es poden vendre amb o sense drets exclusius. La millor solució per a un defecte de seguretat, des de la perspectiva de l’empresa de programari responsable d’aquest, és que un pirata informàtic ètic o un barret blanc divulgui el defecte a l’empresa perquè pugui solucionar-se abans que els hackers criminals el descobreixin. Però, en alguns casos, més d’una part ha d’afrontar la vulnerabilitat per resoldre-la plenament, de manera que una revelació privada completa pugui ser impossible.
Al mercat fosc de la informació del dia zero, els pirates informàtics intercanvien detalls sobre com es poden produir programes vulnerables per robar informació valuosa. Al mercat gris, investigadors i empreses venen informació a militars, agències d’intel·ligència i agents de la llei. Al mercat blanc, les empreses paguen pirates informàtics o investigadors en seguretat de barrets blancs per detectar i revelar les vulnerabilitats del programari als desenvolupadors perquè puguin solucionar problemes abans que els hackers criminals els trobin.
Depenent del comprador, del venedor i de la utilitat, la informació del dia zero pot valer d’entre uns quants milers i diversos centenars de milers de dòlars, cosa que el converteix en un mercat potencialment lucratiu per participar-hi. -de-concepte (PoC) per confirmar l'existència de l'explotació d'un dia zero. Per a aquells que vulguin intercanviar informació de dia zero sense ser detectats, la xarxa Tor permet realitzar transaccions de zero dies de manera anònima mitjançant Bitcoin.
Els atacs del dia zero poden ser menys una amenaça del que semblen. És possible que els governs tinguin maneres més fàcils d’espionar els seus ciutadans i, possiblement, zero dies no siguin la manera més eficaç d’explotar empreses o individus. S'ha de desplegar un atac estratègicament i sense que el objectiu tingui l'efecte màxim. Si es produeix un atac de zero dies a milions d’ordinadors alhora, es pot revelar l’existència de la vulnerabilitat i obtenir un pegat alliberat massa ràpidament per als atacants per assolir el seu objectiu final.
Exemples d’atacs de dia Zero
A l’abril del 2017, Microsoft es va fer conscient d’un atac de zero dies al seu programari Microsoft Word. Els atacants van utilitzar un programari maliciós anomenat trojan del banquer Dridex per explotar una versió vulnerable i no aplicada del programari. El troià va permetre als atacants incrustar codi maliciós en documents de Word que s'activen automàticament quan s'obren els documents. L'atac va ser descobert pel venedor antivirus McAfee, que va notificar a Microsoft el seu programari compromès. Tot i que l’abril del dia zero es va desenterrar a l’abril, des de gener ja s’havien apuntat milions d’usuaris.
