Zero day útoky na vzestupu

Ekosystém počítačového zločinu se neustále rozrůstá. Sofistikované prostředky, které byly v minulosti dostupné pouze několika skupinám, má nyní k dispozici mnohem větší množství útočníků.
Zero day útoky na vzestupu

Platí to i pro útoky typu zero day, tedy zneužití bezpečnostních zranitelností, pro něž výrobce dosud neuvolnil opravu. Obranu zde proto nemůže zajistit samotná politika aktualizací, nasazování bezpečnostních záplat a správy systémů. Anthony Giandomenico a Val Saengphaibul z laboratoří FortiGuard Labs společnosti Fortinet upozorňují ve své analýze na to, jak se změnila situace se zero day exploity za posledních cca 15 let.

Původně se databáze těchto zranitelností i způsobů jejich zneužití dostávaly do rukou výrobcům a několika specializovaným firmám. Kromě toho je měly k dispozici pouze ty nejpokročilejší skupiny (potenciálních) útočníků, zpravidla propojené s vládními institucemi. Tyto skupiny používaly zero day exploity pouze na pečlivě volené cíle, nikoliv plošně. Uživatelé i většina firem nemusela související ohrožení vnímat jako příliš silné.

To všechno se ale změnilo. Nyní se prodejem zero day zranitelností živí celá řada lidí. Stále více dodavatelů má programy odměn pro ty, kdo najdou bezpečnostní chyby v jejich softwaru (Google, Apple, Facebook, v omezenější míře i Microsoft). Za testování svých systémů zvnějšku je ochoten platit dokonce i Pentagon. Existuje také celá řada firem, které se na tento obchod přímo specializují. A to se pohybujeme stále na legálním trhu.

Existuje ale šedá zóna různých zprostředkovatelů (brokerů), kteří exploity vykupují a dále prodávají, přičemž totožnost autora ponechávají v anonymitě. Na rozdíl od předcházejícího typu obchodu zde transakce už často nebývají výhradní, informace se může dostat do rukou různým skupinám, vládám totalitních států, podvodníkům/organizovanému zločinu a třeba i teroristům. A pak je zde vysloveně černý trh, kde si prodávající nemůže dělat žádné iluze – jeho objev bude využit nikoliv k posílení bezpečnosti, ale pro kriminální činnost.

Když hacknou hackery

V současnosti ovšem nejsou v bezpečí ani exploity prodané legitimně působícím firmám. Při známé kauze Hacking Team došlo k úniku informací o zero day zranitelnostech i prostředcích, které firma dodávala policejním složkám po celém světě. Během několika dní se tyto nástroje, především spyware, začaly šířit masově. Firma Hacking Team navíc (logicky bez publicity) obnovila činnost pod jiným jménem. Jsou nyní její databáze ve větším bezpečí? O tom můžeme samozřejmě polemizovat. Podobných případů, kdy se exploity původně shromažďované legitimně působících organizací dostanou do volného oběhu, může existovat mnohem více, pouze se o nich neví.

V této situaci by alespoň větší podniky s dostatečnými rozpočty na zabezpečení IT měly tomuto typu hrozeb předcházet. Ochrana před útoky zero day přitom vyžaduje nejen tradiční bezpečnostní nástroje, ale i pokročilá řešení typu ATP (Advanced Threat Protection). Ta zahrnují např. systémy senzorů, behaviorální analýzu a spouštění podezřelých aktivit v testovacím režimu (sandbox). Tyto nástroje dávají správcům sítě přehled nad celou infrastrukturou, umožňují rychlé aktualizace i proti novým hrozbám a dále podporují např. segmentaci sítě a rychlou izolaci bodů, kde bylo detekováno ohrožení. Vhodným příkladem řešení ATP jsou firewally nové generace (NGFW) a systémy IPS společnosti Fortinet.

Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.

Další článek: Mobilní Mapy.cz prošly velkým redesignem. Zmizel i oblíbený Batůžek

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů