Příchod hackerů: nulté dny

Lukáš Erben 5. 8. 2014

0-day nebo také Zero day útok je pojem, s nímž jsme vás již v našem seriálu seznamovali. Jedná se o využití doposud neznámé (nebo neopravené) slabiny – nejčastěji v operačním systému, aplikaci, API či prohlížeči. Tyto zranitelnosti jsou dnes samostatnou bezpečnostní „komoditou“, kterou rády nakupují některé státy.

Zero day zranitelnosti a jejich využívání přitom stály na samotném počátku „hackování“. Jejich historie spadá krátce do období před druhou světovou válkou – do doby vzniku legendárních elektromechanických šifrovacích přístrojů Enigma, jejichž příběh a pochopitelně též příběh jejich prolamování jsme popsali v několika dílech předchozího seriálu „Úsvit Hackerů“, proto nebudeme připomínat ani rekapitulovat (to můžete udělat sami jejich přečtením).

Postačí jen připomenout, že vůbec poprvé se Enigmu, o níž se kryptoanalytici na „západě“ domnívali, že je prakticky nerozlousknutelná, podařilo prolomit polským matematikům a kryptoanalytikům vedeným Marianem Rejewskim. Ti objevili slabiny stroje i chyby, které Němci při používání Enigmy dělali a s pomocí materiálů získaných od Francouzů se jim dařilo dekódovat šifry Enigmy až do roku 1939, kdy byly přístroje používané Němci modernizovány (s trochou nadsázky lze říci, že šlo o jakousi „záplatu“).

Následoval válečný hon na kočku a myš, při němž Britové (Alan Turing, Gordon Welchman a Harold Keen) a později i Američané, na základě informací, které jim předali lidé z Rejewského týmu, opakovaně prolamují Enigmu, aby následně museli čelit německým záplatám. Enigma byla zkrátka a dobře první sérií Zero-day „hackerských“ útoků prováděných spojenci a záplat aplikovaných Němci.

Nultý? Klidně stý, nebo tisící…

Bezpečnostní díry a slabiny informačních a počítačových systémů byly zpočátku považovány spíše za zajímavý předmět studia, než za něco, co by mělo být urychleně řešeno a napravováno. Jednu z prvních objevil v roce 1965 W.D. Mathews na MIT, když přišel na to že na IBM 7094 lze zobrazit obsah souboru s heslem, pokud je spuštěno současně několik instancí textového editoru.

0-day zranitelností byly svým způsobem i triky, které na přelomu 60. a 70. let prováděli na telefonních ústřednách phreakeři – ať už pomocí legendárních píšťalek Captain Crunch nebo modrých krabiček, jejichž výrobou se zabývali mimo jiné i Stevové Jobs a Wozniak (i o všech těchto příbězích jsme v našem seriálu již psali). Totéž platí pro hackování elektronického bankovnictví v německé terminálové počítačové službě Bildschirmtext, jíž na sebe v první polovině 80. let upoutala velkou pozornost organizace německých Hackerů Chaos Computer Club vedená Wau Hollandem.

0-day útoky měly zpočátku společnou jednu zvláštnost – slabiny, které zneužívaly, nebyly tak docela neznámé. Často se jednalo o dobře známé chyby nebo bezpečnostní díry, které ovšem v dobách před příchodem malware a kybernetického zločinu prostě nikdo neřešil. Jak zásadní problém může „nezáplatování“ bezpečnostních děr být, ukázal poprvé červ Roberta Tappana Morrise, když během krátké doby napadl v roce 1988 na síti Arpanet údajně až šest tisíc unixových systémů.

Praxe vydávání záplat a informování o bezpečnostních dírách se postupně rozšířila v devadesátých letech, s tím, jak rostl počet virů, červů a trojských koní, podíl počítačů připojených k internetu i nezbytná snaha výrobců operačních systémů a aplikací těmto hrozbám čelit. S vydáváním oficiálních záplat a zveřejňováním chyb, které opravují a děr, které ucpávají, ale fenomén 0-day útoků paradoxně posílil.

Není nad (ne)známou zranitelnost

Zveřejnění nově objevené bezpečnostní díry či slabiny je stejně užitečnou informací pro důsledné správce či uživatele i pro útočníky. Prakticky vždy se totiž najde dost velké procento uživatelů a adminů, kteří potřebnou záplatu nenainstalují nebo chybné nastavení nezmění. Dokonce i v případě, kdy je záplata dána k dispozici několik týdnů před zveřejněním chyby, kterou opravuje, zůstává pro útočníky dostatek nechráněných obětí.

Existují tak vlastně dva typy 0-day útoků. Ty „skutečné“, které využívají díru či slabinu, která je známa jen útočníkům, a „následné“, jež využívají toho, že ne všichni si zveřejněné aktualizace a záplaty ihned nainstalují. Jak efektivní může být „následný“ 0-day útok, už v roce 2001 předvedl červ Code Red, když útočil na zranitelnost v Microsoft IIS web serveru, pro niž byla oprava k dispozici již déle než měsíc. Během pouhých několika dnů se mu podařilo napadnout několik set tisíc systémů.

Schéma životního cyklu Zero Day útoků (Symantec)

Situace se ale za posledních více než deset let zásadně nezměnila – zprávy a analýzy 0-day útoků opakovaně konstatují, že zveřejněné chyby a slabiny útočníci běžně zneužívají týdny či měsíce po jejich publikaci (a opravě) – a někdy i déle (plné, nebo téměř plné odstranění známé díry, tedy doba, než si drtivá většina uživatelů nainstaluje potřebnou záplatu či opravu, trvá podle některých zdrojů až 10 měsíců).

V případě „skutečných“ 0-day, tedy těch, které využívají doposud neznámé díry a slabiny pak statistiky, které zveřejnil například Symantec, ukazují, že v letech 2008–11 byla průměrná doba, po kterou probíhal 0-day útok, aniž by byl odhalen, neuvěřitelných 312 dnů (maximum pak bylo přes dva a půl roku). Naprostým extrémem pak byl pochopitelně Stuxnet, který využíval pět různých 0-day slabin (ten byl ale podle všeho, jak jsme již v seriálu zmínili, vytvořen vládními agenturami jako kybernetická zbraň).

Opravdové 0-day: jen pro VIP cíle

Případ Stuxnetu, ale i další studie 0-day útoků ovšem ukazují, že dosud neznámé bezpečnostní díry obvykle nejsou používány pro masové či frontální útoky malware, ale jsou vyhrazeny pro zásahy pečlivě vybraných cílů (často v oblasti průmyslové a klasické špionáže nebo kybernetické války).

Studie Symantec Research Labs, která analyzovala spustitelné soubory posbírané na 11 milionech počítačů po celém světě mezi let 2008 a 2012 konstatuje, že z celkem 18 0-day útoků, které byly v v onom období studovány, cílilo 15 na méně než 102 z jedenácti milionů PC a osm dokonce na tři nebo méně cílů (zbývající tři slabiny pak připadaly na Stuxnet a Conflicker). Studie také zmínila to, o čem jsme již hovořili – že počet útoků prudce vzrůstá poté, co je zranitelnost zveřejněna (a to až sto tisíckrát) a objeví se nové typy malware, které se jí rychle snaží zneužít.

Varianty malware využívající 0-day zranitelnosti před a po jejich zveřejnění. (Symantec Research Labs)

0-day: horké zboží za miliony

Hledání zranitelností a děr typu 0-day se pro některé hackery a bezpečnostní experty stalo výnosným byznysem. Jeden z takových příběhů, v němž jsou hlavními postavami italští hackeři L. Auriemma a D. Ferrante provozující na Maltě společnost ReVuln, popsaly v minulém roce New York Times.

Za odhalené významné 0-day chyby jsou podle článku společnosti jako Microsoft či Apple ochotny zaplatit desetitisíce či statisíce dolarů, nicméně mnohem lepší nabídky v poslední době dostává ReVuln od nejrůznějších vládních organizací. Článek uvádí, že mezi nejlukrativnější zákazníky v této oblasti patří nejen USA, Izrael, Velká Británie a Rusko, ale také Indie a Brazílie a v menší míře též země Středního východu či Severní Korea, Malajsie či Singapur.

Při obchodování údajně pomáhají brokeři a obchody mohou být uzavírány buď jednorázově, nebo za poplatek za každý měsíc, kdy bezpečnostní díra není nikým jiným odhalena a zveřejněna. Vůbec nejcennější jsou podle autorů slabiny v mobilním operačním systému Apple iOS – jedna z nich byla údajně prodána za půl milionu dolarů, tedy asi deset milionů korun (Apple je jednou z mála společností, které zranitelnosti „nevykupují“, naopak program a pravidla i cenové stropy pro jejich nákup mají například Google a Microsoft).

O aktivitách ReVuln se přitom vědělo již půl roku před vydáním článku NYT. Ve zprávě ICS-CERT z přelomu roku 2012/13 se uvádí: „Bezpečnostní startup ReVuln sídlící na Maltě tvrdí, že má k dispozici řadu zranitelností zejména v oblasti software pro řízení výroby, nicméně preferuje prodej těchto informací vládám a dalším platícím zákazníkům namísto jejich sdělení příslušným výrobcům software.“

Fenomén 0-day se prostě stal samostatnou oblastí bezpečnostního byznysu. Nakolik morální, správné a přijatelné to je, asi nemá smysl hodnotit. Až na vás ale příště vyskočí to otravné upozornění na možnost aktualizace operačního systému, aplikací nebo prohlížeče, nebude už možná tak snadné jej ignorovat.

Odkazy

Našli jste v článku chybu?
Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

DigiZone.cz: CME: Rumunsko výrazně posiluje

CME: Rumunsko výrazně posiluje

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?

Podnikatel.cz: Od baletu k požární ochraně. A jiné rarity

Od baletu k požární ochraně. A jiné rarity

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

DigiZone.cz: Android TV: s jakým pracuje rozlišením?

Android TV: s jakým pracuje rozlišením?

Podnikatel.cz: Co vše musíte udělat, než vypukne EET?

Co vše musíte udělat, než vypukne EET?

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého

DigiZone.cz: Sázka na e-sporty stanici Prima vychází

Sázka na e-sporty stanici Prima vychází

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Vitalia.cz: Tohle je Břicháč Tom, co zhubnul 27 kg

Tohle je Břicháč Tom, co zhubnul 27 kg

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

DigiZone.cz: Sat novinky: pátý kanál maďarské televize

Sat novinky: pátý kanál maďarské televize

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?