content/nb-no/images/repository/isc/2021/zero-day-exploit-1.jpg

Nulldag – mening og betydning

"Nulldag" er et vidt begrep som omfatter nylig oppdagede sårbarheter som hackere kan bruke til å angripe systemer. "Nulldag" betyr at forhandleren eller utvikleren nettopp har hørt om feilen slik at de har "null dager" på å utbedre den. Et nulldag-angrep skjer når hackere utnytter feilen før utviklerne har utbedrdet den.

Nulldag skrives av og til som 0-dag. Ordene sårbarhet, utnyttelse og angrep brukes vanligvis i forbindelse med nulldag, og det er nyttig for å forstå forskjellen:

  • En nulldag-sårbarhet er et svakt punkt i en programvare som oppdages av angripere før forhandleren har blitt klar over det. Siden forhandlerene ikke vet om dem, fins det ikke noe botemiddel for nulldag-problemer. Derfor lykkes angrep sannsynligvis.
  • En nulldag-utnyttelse er metoden hackere bruker til å angripe systemer med en uidentifisert sårbarhet.
  • Et nulldag-angrep er å bruke en nulldag-utnyttelse til å skade eller stjele data fra et system med en sårbarhet.

Hva er nulldag-angrep og hvordan fungerer de?

Programvaren har ofte svake punkter som hackere kan utnytte for å skape problemer. Programvareutviklere ser alltid etter sårbarheter å "utbedre" – dvs. utvikle en løsning de slipper i neste oppdatering.

Men av og til ser hackere eller ondsinnede aktører sårbarheten før utviklerne. Mens sårbarheten ennå er der, kan angripere skrive og ta i bruk en kode for å utnytte den. Dette er kjent som en utnyttelseskode.

Utnyttelseskoden kan føre til at programvarebrukerne blir ofre – f.eks. ved identitetstyveri eller andre former for datakriminalitet. Når angriperne ser et nulldag-problem, må de klare å nå det sårbare systemet. De gjør ofte dette med en sosialt manipulert e-post – dvs. en e-post eller annen melding som visstnok skal komme fra en kjent eller lovlydig korrespondent, men som er fra hackeren. Meldingen prøver å overbevise en bruker om å utføre en handling, f.eks. åpne en fil eller besøke en skadelig nettside. Da laster man ned angriperens skadeprogramvare, som infiltrerer brukerens files og stjeler konfidensielle data.

Når en sårbarhet blir kjent, prøver utviklerne å utbedre den for å stoppe angrepet. Men sårbarheter oppdages ofte ikke med én gang. Det kan ta dager, uker eller måneder før utviklerne finner sårbarheten som førte til angrepet. Og selv om en utbedring lanseres, tar ikke alle brukerne dem fort i bruk. I de senere årene har hackere vært raskere til å utnytte sårbarheten like etter oppdagelsen.

Utnyttelser kan selges på det mørke nettet for store pengesummer. Så snart en utnyttelse oppdages og utbedres, kalles det ikke lenger en nulldag-trussel.

Nulldag-angrep er spesielt farlige fordi bare angriperne selv vet om dem. Når de har infiltrert et nettverk, kan brukere enten angripe umiddelbart eller vente på det beste tidspunktet.

Hvem utfører nulldag-angrep?

Det fins ulike kategorier ondsinnede aktører som utfører nulldag-angrep, avhengig av motivene. For eksempel:

  • Datakriminelle– hackere med hovedsakelig økonomiske motiver
  • Hacktivister– hackere som motivert av en politisk eller sosial sak ønsker å angripe for å skape oppmerksomhet rundt saken
  • Industrispionasje– hackere som spionerer på selskaper for å skaffe informasjon om dem
  • Datakrigføring – land eller politiske aktører som spionerer på eller angriper et annet lands datainfrastruktur

Hva er målene for nulldag-utnyttelser?

Et nulldag-angrep kan utnytte sårbarheter i mange ulike systemer, inkludert:

  • Operativsystemer 
  • Nettlesere 
  • Kontorapplikasjoner
  • Komponenter med åpne kilde
  • Maskinvare og fastvare
  • Tingenes Internett (IoT) 

Derfor fins det er bredt spekter av mulige ofre:

  • Personer som bruker et sårbart system, f.eks. en nettleser eller et operativsystem. Hackere kan bruke sårbarheter for å kompromittere enheter og bygge store botnet
  • Personer med tilgang til verdifulle bedriftsdata, f.eks. åndsverk
  • Maskinvareenheter, fastvare og tingenes internett
  • Store bedrifter og organisasjoner
  • Offentlige etater
  • Politiske mål og/eller nasjonale sikkerhetstrusler

Det er nyttig å tenke med begrepene målrettede vs. ikke-målrettede nulldag-angrep:

  • Målrettede nulldag-angrep utføres mot mulige verdifulle mål – f.eks. store organisasjoner, offentlige etater og høyprofilerte personer.
  • Ikke-målrettede nulldag-angrep rettes vanligvis mot brukere av sårbare systemer, f.eks. et operativsystem eller en nettleser.

Selv når angripere ikke retter seg mot spesifikke personer, kan mange mennesker fortsatt påvirkes av nulldag-angrep, vanligvis som følgeskade. Ikke-målrettede angrep skal fange så mange brukere som mulig, slik at den gjennomsnittlige brukernes data kan påvirkes.

Hvordan finne nulldag-angrep

Siden sårbare nulldag-punkter kan ta flere former f.eks. – manglende datakryptering, manglende autorisasjon, ødelagte algoritmer, funksjonsfeil, problemer med passordsikkerhet osv. – kan de være utfordrende å oppdage. På grunn sårbarhetenes natur er detaljert informasjon om nulldag-utnyttelser kun tilgjengelig etter at disse er identifisert.

Organisasjoner som angripes av nulldag-utnyttelser, kan oppleve uventet trafikk eller mistenkelig skanning som aktivt kommer fra en kunde eller service. Her er noen teknikker for å oppdage nulldager:

  1. Bruk av eksisterende databaser med skadeprogramvare og hvordan de oppfører seg som referanse. Selv om disse databasene oppdateres veldig raskt og kan være nyttig som referansepunkt, er nulldag-utnyttelser nye og ukjente. Så det er en grense for hvor mye en eksisterende database kan fortelle.
  2. Alternativt ser noen teknikker etter egenskapene til nulldag-skadevare basert på hvordan de samhandler med målsystemet. Heller en å undersøke koden til innkommende filer ser denne teknikken på samhandlingene deres med eksisterende programvare og prøver å avgjøre om de kommer av skadelige handlinger.
  3. I økende grad brukes maskinlæring til å oppdage data fra tidligere registrerte utnyttelser. Dette for å opprette et grunnlag for trygg systemaktivitet basert på tidligere data og nåværende samhandlinger med systemet. Jo mer data som er tilgjengelig, jo påliteligere blir oppdagelsen.

Ofte brukes en hybrid av ulike oppdagelsessystemer.

Nulldag-trusler

Eksempler på nulldag-trusler

Noen nylige eksempler på nulldag-angrep omfatter:

2021: Chrome – nulldag-sårbarheter

I 2021 ble Google Chrome rammet av en rekke nulldag-trusler slik at Chrome kom med oppdateringer. Sårbarheten kom fra en feil i V8 JavaScript-maskinen brukt i nettleseren.

2020: Zoom

En sårbarhet ble funnet i den populære videokonferanseplattformen. Dette eksempelet på et nulldag-angrep omfattet hackere med fjerntilgang til en brukers PC om de brukte en eldre versjon av Windows. Om målet var en administrator, kunne hackeren helt ta over maskinen og gå inn på alle vedkommendes filer.

2020: Apple iOS

Apples iOS beskrives ofte som den sikreste av de viktigste smarttelefon-plattformene. Men i 2020 ble den ofre for minst to sett sårbare nulldag-punkter, inkludert en feil som lot angripere fjernskade iPhoner.

2019: Microsoft Windows, Eastern Europe

Dette angrepet fokuserte på utvidede lokale privilegier, en sårbar del av Microsoft Windows og utsatte myndighetsinstitusjoner i Øst-Europa. Nulldag-utnyttelsen misbrukte et lokalt privilegium i Microsoft Windows til å kjøre tilfeldig kode, installere applikasjoner og se og forandre data på komprimitterte applikasjoner. Da angrepet ble identifisert og rapportert til Microsoft Security Response Center, utviklet man et botemiddel og tok det i bruk.

2017: Microsoft Word

Denne nulldag-utnyttelsen kompromitterte personlige bankkonti. Ofrene var personer som uforvarende åpnet et skadelig Word-dokument. Dokumentet viste en oppfordring om å "laste ned fjerninnhold" og viste brukere et vindu som ba om ekstern tilgang fra et annet program. Da ofrene klikket "ja", installerte dokumentet skadeprogramvare på enhetene deres. Dette fant så akkreditivene til nettbanken.

Stuxnet

Et av de mest berømte eksemplene på et nulldag-angrep var Stuxnet. Denne skadelige dataormen ble oppdaget i 2010, men har røtter tilbake til 2005, og rammet produksjonsdatamaskiner som kjørte programvare for programmerbare logikkontrollere (PLC). Hovedmålet var Irans urananrikningsanlegg for å forpurre landets kjernefysiske program. Ormen infiserte PLC-ene gjennom sårbarhetene i Siemens Step7-programvare slik at PLC-ene utførte uventede kommandoer på samlebåndsmaskineri. Historien om Stuxnet ble til dokumentaren Zero Days.

Slik beskytter du deg mot nulldag-angrep

For nulldag-beskyttelse og for å beskytte datamaskinen og dataene dine er det svært viktig at både personer og organisasjoner følger beste praksiser for datasikkerhet. Dette inkluderer:

Hold all programvare og operativsystemer oppdatert. Dette fordi forhandlerne også tilbyr sikkerhetsutbedringer som dekker nylig identifiserte sårbarheter i nylanseringer. Holder du deg oppdatert, er du sikrest.

Bruk kun nødvendige applikasjoner. Jo mer programvare du har, jo flere mulige sårbarheter har du. Du kan redusere risikoen for nettverket ditt ved kun å bruke applikasjonene du trenger.

Bruk en brannmur. En brannmur spiller en viktig rolle i å beskytte systemet ditt mot nulldag-trusler. Du kan sikre maksimal beskyttelse ved å konfigurere den slik at kun nødvendige transaksjoner tillates.

Utdann brukere i organisasjoner. Mange nulldag-angrep utnytter menneskelige feil. Å lære ansatte og brukere gode sikkerhetsvaner bidrar til å beskytte dem på nett og beskytter organisasjoner mot nulldag-utnyttelse og andre digitale trusler.

Bruk en omfattende antivirusprogramvare. Kaspersky Total Security bidrar til å beskytte enhetene dine ved å blokkere kjente og ukjente trusler.

Relaterte artikler:

Hva er nulldag-angrep? Definisjoner og forklaring

Hva er nulldag og hva er sårbarheter, utnyttelser og angrep i forbindelse med nulldager? Lær om nulldager, inkludert oppdagelse og forhindring av dem.
Kaspersky Logo