حمله روز صفر چیست؟ آیا دفاعی در برابر آن وجود دارد؟

حمله روز صفر چیست؟ آیا دفاعی در برابر آن وجود دارد؟

حمله روز صفر چیست؟ آیا دفاعی در برابر آن وجود دارد؟

در میان انواع تهدیدات امنیتی و طیف گسترده‌ای از مکانیزم‌های مورد استفاده در حملات، این حملات روز – صفر (Zero day) هستند که نه ‌تنها از قدرت تخریب بالایی برخورداراند، بلکه بیشترین فشار روانی را به شرکت‌های سازنده محصولات سخت‌افزاری یا نرم‌افزاری وارد می‌کنند.

ساده‌ترین راه توصیف حمله روز – صفر تجزیه کردن آن به مؤلفه‌ها و اجزاء مختلف است. در این نوع حمله شمارش از روز- صفر آغاز می‌شود و به تعداد روزهایی که آسیب‌پذیری در یک بخش از نرم‌افزار یا سخت‌افزار شناخته شده و هنوز هیچ وصله‌ای از سوی توسعه‌دهندگان دستگاه یا نرم‌افزار که اکسپلویت روی آن انجام گرفته عرضه نشده باشد، شمارش ادامه پیدا می‌کند. یک روز- صفر به صورت یک تهدید ناشناخته تشخیص داده می‌شود، به دلیل این‌که هیچ وصله‌ای در زمان بروز آن وجود ندارد. روز – صفر به عنوان یکی از بزرگ‌ترین معضلات در بحث امنیت اینترنت به‌شمار می‌رود. خاری در دل امنیت که دفاع مستقیم در برابر آن به سختی امکان‌پذیر است. البته با استفاده از ابزارها و تکنیک‌های آماده شده از بروز این حملات می‌توان تا حدودی ممانعت به عمل آورد. همان‌گونه که در دنیای صنعت زمان حرف اول را می‌زند، در امنیت شبکه نیز این زمان است که حرف اول را می‌زند. در زمان بروز حمله روز – صفر تمامی ساعات یک روز برای شناسایی و متوقف کردن یک حمله سازمان‌یافته توسط هکرها کافی به نظر نمی‌رسد. هرچند ممکن است قدرت هکرها  محدود باشد، اما تخمین‌ها نشان می‌دهند، هنوز هم ارزش بازار فعلی حملات روز – صفر در جهان در حدود سه میلیارد دلار است.

خرید سرور

متاسفانه، در وهله اول عاملی که باعث می‌شود حملات روز – صفر تا به این حد سودآورد باشند، مهارت بسیار بالای هکرها در گذشتن و عبور از روترهای دفاعی، نرم‌افزارهای آنتی‌ویروس‌ و دیوارهای شخصی است. اگر مردم تصور نمی‌کردند سرمایه‌گذاری از طریق کارت‌‌های به سرقت رفته، حساب‌های بانکی هک شده، ارتباطات بی‌سیم ربوده شده قابل بازگشت است، حاضر به پرداخت دهها یا صدها هزار دلار برای کشف هر مشکل نبودند.

یک دفاع مشکل

اما یک خبر خوب، خوشبختانه هنوز هم مردمی در اقصی نقاط جهان وجود دارند که کار خود را به درستی انجام می‌دهند. در دنیای حرفه‌ای شکار باگ‌ها، دو سازمان وجود دارند که یک سر و گردن بالاتر از دیگر شرکت‌ها هستند.

Zero Day Initiative

 گروه اول مستقل بوده و توسط شرکت TippingPoint یا از طریق کمک‌های مالی تأمین اعتبار و حمایت می‌شود. در این سازمان محققان اطلاعات انحصاری درباره آسیب‌پذیری‌های وصله نشده که شناسایی کرده‌اند را ارائه می‌دهند. در ادامه، سازمان اقدام به بررسی اصالت اخلاقی محقق و مسائل مالی مربوطه می‌کند و صحت این مشکل را در آزمایشگاه امنیتی خود مورد بررسی قرار می‌دهد و پولی را در خصوص این کشف به محقق پرداخت می‌کند. اگر محقق در ادامه اقدام به شناسایی و کشف آسیب‌پذیری‌های بیشتر یا ارائه اطلاعات بیشتر کند، اضافه بر دستمزد مبلغی را در یک برنامه زمانی منظم به عنوان پاداش دریافت می‌کند. بعد از آن‌که توافق نهایی با محقق به دست آمد، ZDA به طور همزمان به توسعه فیلترهای حفاظتی پیشگیری از نفوذ IPS ( سرنام Intrusion Prevention System) پرداخته و به سازندگان اطلاع می‌دهد که محصول آن‌ها آلوده بوده تا اقدامات لازم برای طراحی وصله‌های لازم برای محصولشان را اعمال کنند. البته این سازمان جزییات فنی شناسایی شده در رابطه با یک آسیب‌پذیری را با دیگر سازندگان امنیتی به اشتراک قرار می‌دهد. همچنین برای پیشگیری از هرگونه سوء استفاده مادامی‌که شرکت سازنده وصله‌های لازم را برای محصول خود ارائه نکند، اطلاع‌رسانی عمومی را بدون ارائه هرگونه جزییاتی انجام می‌دهد.

Google Project Zero

Project Zero نام یک تیم از تحلیل‌گران امنیتی به رهبری کریس ایون بوده که در گوگل مستقر هستند. کریس ایوان شخصی است که رهبری تیم امنیتی مرورگر کروم را بر عهده دارد. وظیفه این تیم پیدا کردن اکسپلویت‌های روز- صفر است. این پروژه در 15 جولای 2015 میلادی رسما آغاز به کار کرد. بعد از آن‌که یک تعداد رخنه و آسیب‌پذیری در محصولاتی که توسط کاربران نهایی مورد استفاده قرار گرفتند و همچنین آسیب‌پذیری‌های بحرانی همچون Heartbleed شناسایی شدند، گوگل را بر آن داشت تا یک تیم تمام وقت برای پیدا کردن این‌گونه  آسیب‌پذیری‌ها تشکیل دهد. این تیم نه فقط آسیب‌پذیری‌های احتمالی در محصولات گوگل بلکه در دیگر نرم‌افزارها را نیز مورد بررسی قرار می‌دهند. باگ‌هایی که توسط این تیم شناسایی شوند به سازندگان گزارش داده شده و فقط یک تصویر کلی و عمومی بعد از آن‌که وصله موردنظر عرضه شد یا اگر بعد از 90 روز از شناسایی هیچ‌گونه وصله‌ای برای محصول از طرف شرکت سازنده عرضه نشد، منتشر می‌شود. از دستاوردهای بزرگ این تیم می‌توان به رخنه امنیتی شناسایی شده در ویندوز 8.1 اشاره کرد که NtApphelpCacheControl نام داشت. این رخنه به یک کاربر عادی اجازه می‌دهد تا یک سطح مجوز مدیریتی را به دست آورد. مایکروسافت بلافاصله وجود این رخنه را تأیید کرد اما در بازه زمانی 90 روزه هیچ‌گونه اقدامی برای اصلاح رخنه یاد شده انجام نداد، در نتیجه تیم شناسایی کننده این باگ در تاریخ 29 دسامبر 2014 اقدام به اطلاع‌رسانی عمومی کرد. این اطلاع‌رسانی عمومی واکنش مایکروسافت را به همراه داشت که اعلام کرد در حال کار روی این مشکل است.

خرید سرور

هر دو شرکت بر انجمن امنیت شبکه به عنوان یک راهکار برای گرد هم آوردن اطلاعات مفید و مشارکت اطلاعاتی درباره باگ‌‌های روز- صفر کشف شده تایکد دارند. همچنین این انجمن می‌تواند اطلاع‌رسانی به طراحان نرم‌افزار و سازندگان سخت‌افزار که این مخاطره محصولات آن‌ها را تهدید می‌کند، قبل از آن‌که تبدیل به یک مشکل خارج از کنترل شود، را صورت دهد. اما خبر بد برای ما این است که این مخاطره خارج از کنترل بوده و دقیقا همان چیزی است که اکسپلویت‌ها برای آن طراحی شده‌‌اند. در نتیجه هیچ روشی برای پیش‌بینی این‌که هک بزرگ بعدی قرار است به چه قسمتی ضربه وارد کند نداریم. اپل نیز مورد حمله روز- صفر قرار گرفته است. در تاریخ 21 آوریل سایت دیجیتال ترندز به نقل از سایت فوربس نوشت اکسپلویت Rootipe که توسط متخصصان امنیتی شناسایی شده است همچنان یک مشکل امنیتی برای OS X به شمار می‌رود. پاتریک والدر، کارشناس امنیتی اعلام کرده است اپل باید وصله لازم برای آسیب‌پذیری که به نام Rootpie نامیده می‌شود را عرضه کند. Emil Kvarnhammar در تاریخ 9 آوریل در وبلاگ خود نوشت اپل به صورت ریشه‌ای این مشکل را با عرضه OS X 10.10.3 حل کرده است، اما والدر کشف کرد تمامی ماشین‌های مک همچنان در معرض این آسیب‌پذیری قرار دارند. به طور مختصر و کوتاه Rootpipe به یک هکر که دسترسی محلی به یک محصول مک را دارد اجازه می‌دهد تا مجوز دسترسی به ریشه را به دست آورده که به او اجازه می‌دهد کنترل کامل ماشین را بدون نیاز به هیچ‌گونه تصدیق هویت اضافی در اختیار بگیرد. متن کامل این خبر را از این آدرس مشاهده کنید.

بهترین دفاع

در حال حاضر، بهترین روش برای اجتناب و جلوگیری از حمله روز- صفر و باقی ماندن در یک حالت استوار و ثابت هوشیاری است. البته  دنبال کردن مراحل ساده‌ای که در ادامه به آن‌ها اشاره خواهیم کرد، هر چند به طور قاطع در برابر تهدید روز – صفر شما را ایمن نمی‌کنند؛ اما حداقل می‌توانید امکان اجرای این حمله را با کندی همراه سازید.

اول از همه اطمینان حاصل کنید نرم‌افزار آنتی‌ویروس شما به‌روز باشد و جدیدترین تعاریف و امضاء مربوط به ویروس‌ها را در خود جای داده باشد. آنتی‌ویروس می‌تواند از هر سازنده ثالتی همچون کسپرسکی یا سیمانتک باشد، اما همه راه‌ها به Windows Update در سیستم‌عامل ویندوز مایکروسافت ختم می‌شوند. این بخشی است که متخصصان امنیت اینترنت آن‌ را چند لایه کاهشی می‌نامند، که در آن عمل انباشته کردن سبک‌های مختلف از مکانسیم‌های دفاعی روی یکدیگر، یک پوشش چند لایه ایجاد کرده قبل از آن‌که روز- صفر بتواند از روی آن‌ها پرش کند و تبدیل به یک خطر واقعی شود.

در ادامه این موضوع، هرگز فراموش نکنید سفت‌افزار فریم‌ویر روتر خانگی خود را به‌روز نگه دارید؛ عدم توجه به این نکته یکی از رایج‌ترین اشتباهاتی که مصرف‌کنندگان مرتکب می‌شوند.

رم‌ویر روتر همان سیستم‌عامل دستگاه روتر است که فعالیت‌های روتر را تنظیم و مدیریت می‌کند. زمانی‌که یک روتر آلوده شود نه تنها امکان باز کردن سایت‌های معتبر و اصلی را ندارید، بلکه اطلاعات ورودی شما نیز به سرقت می‌رود. در صورتی‌که روتر شما مورد یک حمله هکری قرار گرفت به سایت روتر خود مراجعه کرده و اقدامات لازم برای پاک‌سازی و بازگرداندن آن به تنظیمات اولیه کارخانه را انجام دهید.  تجهیزات شبکه همچنان یکی از با ارزش‌ترین اهداف هکرهایی به شمار می‌رود که به دنبال حمله روز- صفر هستند.

سرور مجازی

گام بعدی  که هرگز نمی‌توانید درباره آن به اندازه کافی محتاط باشید در ارتباط با دانلودها، ضمیمه‌های ایمیل یا لینک‌هایی است که در ظاهر خطرناک به نظر نمی‌رسند. مگر زمانی‌که دانلود یک فایل از یک منبع کاملا معتبر انجام شود. همیشه از صحت منبع مورد استفاده قبل از آن‌که به آن فرصت انتقال محتوایی به خارج از سرور و انتقال آن‌ محتوا به شبکه خانگی خود را بدهید، مطمئن شوید.

سرانجام، مطلع باشید هر چند منابع رسمی برای ردیابی روز- صفر از آوریل سال گذشته فقط در وبلاگ BeyondTrust اطلاع‌رسانی می‌کنند، اما تمرکز روی بولتن‌هایی که در ارتباط با تهدیدات و تحولات به وجود آمده در فضای امنیتی منتشر شده و به لطف شبکه‌های مجازی و Google New دسترسی به آن‌ها خیلی ساده‌تر از قبل شده است، کمک کننده است. Setup alerts هرگونه خبری فوری که روی اینترنت با عنوان zero-day منتشر شود را به همراه اخبار شرکت‌هایی همچون  RSASecurity@ و VirusBulletin@  و ادارات  US-CERT@  را رصد می‌کند که این راهکار نیز می‌تواند راهگشا باشد.

چرخه کامل

آیا ما برای همیشه محکوم به یک زندگی سخت از دست هکرها و ظرفیت به ظاهر بی پایان آن‌ها برای حرص و طمع هستیم؟

در پایان، روز صفر در ارتباط با مهندسان یا برنامه‌نویسانی که زمان کافی برای پروژه شما وقت نگذاشته‌اند نیست، تا آن‌جا که به هکرها مربوط می‌شود، آن‌ها به اندازه کل زمان جهان وقت کافی برای سودآوری و عبور از سیستم‌های حفاظتی دارند. این یک بازی کامل موش و گربه است، هر دو طرف در یک سمت قرار دارند و هیچ یک نمی‌توانند ادعا کند که از طرف دیگر یک قدم جلوتر است، بلکه این جایزه است که از هر دو طرف جلوتر است. از آن‌جا که بانک‌ها هنوز هم به حیات خود ادامه می‌دهند، سارقان نیز وجود دارند. تا زمانی‌که پول روی اینترنت قرار داشته باشد؛ هکرها نیز وجود خواهند داشت. در حالی که یک طرف از برش الماس برای شکستن نقاط امن استفاده می‌کند، طرف دیگر، از حملات روز – صفر که با نشستن روی یک صندلی کامپیوتری و سرقت آسان پول‌ها انجام می‌شود استفاده می‌کند.

هر چند ممکن است یک سیستم کامل وجود نداشته باشد، در حال حاضر بهترین کاری که می‌توانیم انجام دهیم فعال نگه‌داشتن سازمان‌هایی است که بهترین قفل‌ها و قوی‌ترین درها را برای ما طراحی می‌کنند.