حمله روز صفر حمله‌ای است که از یک ضعف امنیتی نرم افزاری بالقوه جدی که ممکن است فروشنده یا توسعه دهنده نرم افزار از آن بی اطلاع باشد، سوء استفاده می‌کند. توسعه دهنده نرم افزار باید به محض کشف این ضعف عجله کند تا تهدید را برای کاربران نرم افزار محدود کند. راه حل به نام وصله نرم‌افزاری (Patch) است. از حملات روز صفر نیز می‌توان برای حمله به اینترنت اشیا (IoT) استفاده کرد.

حمله روز صفر نام خود را از تعداد روزهایی که توسعه‌دهنده نرم‌افزار از این مشکل آگاه است، گرفته شده است.

موضوع‌های کلیدی

  • حمله روز صفر یک حمله مرتبط با نرم افزار است که از نقطه ضعفی استفاده می‌کند که فروشنده یا توسعه دهنده از آن بی اطلاع بوده است.
  • این نام از تعداد روزهایی گرفته شده است که یک توسعه‌دهنده نرم‌افزار از این مشکل مطلع بوده است.
  • راه حل رفع حمله روز صفر به عنوان “وصله نرم افزاری” شناخته می‌شود.
  • از حملات روز صفر می‌توان جلوگیری کرد، البته نه همیشه، از طریق نرم افزار آنتی ویروس و به روز رسانی منظم سیستم.
  • بازارهای مختلفی برای حملات روز صفر وجود دارد که از قانونی تا غیرقانونی را شامل می‌شود. آنها شامل بازار سفید، بازار خاکستری و بازار تاریک هستند.

 

درک حمله روز صفر

یک حمله روز صفر می‌تواند شامل بدافزار، ابزارهای تبلیغاتی مزاحم، جاسوس‌افزار یا دسترسی غیرمجاز به اطلاعات کاربر باشد. کاربران می‌توانند با تنظیم نرم‌افزارشان – از جمله سیستم‌عامل‌ها، نرم‌افزار آنتی‌ویروس و مرورگرهای اینترنتی – برای به‌روزرسانی خودکار و با نصب سریع هر به‌روزرسانی توصیه‌ شده خارج از به‌روزرسانی‌های برنامه‌ریزی‌شده، از خود در برابر حملات روز صفر محافظت کنند.

همانطور که گفته شد، داشتن نرم افزار آنتی ویروس به روز شده لزوما از کاربر در برابر حمله روز صفر محافظت نمی‌کند، زیرا تا زمانی که آسیب پذیری نرم‌افزار به طور عمومی شناخته نشود، نرم افزار آنتی ویروس ممکن است راهی برای شناسایی آن نداشته باشد. سیستم‌های پیشگیری از نفوذ میزبان نیز با جلوگیری و دفاع در برابر نفوذ و محافظت از داده‌ها به محافظت در برابر حملات روز صفر کمک می‌کند.

یک آسیب‌پذیری روز صفر را به‌عنوان درب باز شده یک ماشین در نظر بگیرید که مالک فکر می‌کند قفل است اما دزد کشف می‌کند که قفل آن باز است. دزد می‌تواند به طور ناشناخته وارد داشبورد یا صندوق عقب صاحب خودرو شود که ممکن است تا چند روز بعد که آسیب انجام شده باشد و دزد مدت هاست که رفته است، متوجه آنها نشوید.

در حالی که آسیب‌پذیری‌های روز صفر به دلیل سوء استفاده توسط هکرهای خلاف‌کار شناخته شده‌اند، اما می‌توانند توسط سازمان‌های امنیتی دولتی که می‌خواهند از آن‌ها برای نظارت یا حملات استفاده کنند نیز مورد سوء استفاده قرار گیرند. در واقع، تقاضای زیادی برای آسیب‌پذیری‌های روز صفر از سوی آژانس‌های امنیتی دولتی وجود دارد که به هدایت بازار برای خرید و فروش اطلاعات مربوط به این آسیب‌پذیری‌ها و نحوه بهره‌برداری از آنها کمک می‌کنند.

سوء استفاده‌های روز صفر ممکن است به صورت عمومی افشا شوند یا فقط برای فروشنده نرم افزار افشا شوند و یا به شخص ثالث فروخته شوند. در صورت فروش، می‌توان آنها را با یا بدون حقوق انحصاری فروخت. بهترین راه حل برای یک نقص امنیتی، از دیدگاه شرکت نرم افزاری که مسئول آن است، این است که یک هکر اخلاقی یا به اصطلاح “کلاه سفید” به طور خصوصی این نقص را برای شرکت فاش کند تا قبل از اینکه هکرها آن را کشف کنند، رفع شود. اما در برخی موارد، بیش از یک طرف باید این آسیب‌پذیری را برطرف کنند تا بتوانند به طور کامل آن را برطرف کنند، بنابراین ممکن است افشای خصوصی کامل غیرممکن باشد.

 

بازارهایی برای حملات روز صفر

در بازار تاریک (Dark web) اطلاعات روز صفر، هکرهای خلافکار جزئیاتی را مبادله می‌کنند که چگونه از نرم افزارهای آسیب پذیر برای سرقت اطلاعات ارزشمند عبور کنند. در بازار خاکستری، محققان و شرکت‌ها اطلاعات را به ارتش، سازمان‌های اطلاعاتی و مجری قانون می‌فروشند. در بازار سفید، شرکت‌ها به هکرهای کلاه سفید یا محققان امنیتی پول می‌دهند تا آسیب‌پذیری‌های نرم‌افزار را شناسایی و برای توسعه‌دهندگان افشا کنند تا بتوانند مشکلات را قبل از اینکه هکرهای تبهکار پیدا کنند، برطرف کنند.

بسته به خریدار، فروشنده و سودمندی، اطلاعات روز صفر ممکن است چند هزار تا چند صد هزار دلار ارزش داشته باشد و آن را به یک بازار بالقوه پرسود برای شرکت در آن تبدیل کند. قبل از تکمیل تراکنش، فروشنده باید یک اثبات مفهوم (PoC) برای تایید وجود بهره برداری روز صفر ارائه دهد. برای کسانی که می‌خواهند اطلاعات روز صفر را بدون شناسایی رد و بدل کنند، شبکه Tor اجازه می‌دهد تا تراکنش‌های روز صفر به صورت ناشناس با استفاده از بیت کوین انجام شود.

حملات روز صفر ممکن است گاهی کمتر از آن چیزی که به نظر می‌رسد تهدید باشند. دولت‌ها ممکن است راه‌های آسان‌تری برای جاسوسی از شهروندان خود داشته باشند و روز صفر ممکن است موثرترین راه برای بهره برداری از مشاغل یا افراد نباشد. یک حمله باید به صورت استراتژیک و بدون اطلاع هدف مستقر شود تا حداکثر اثر را داشته باشد. انجام یک حمله روز صفر بر روی میلیون‌ها رایانه می‌تواند وجود این آسیب‌پذیری را آشکار کند و باعث شود که مهاجمان نتوانند به هدف نهایی خود دست یابند و سرانجام وصله‌ای خیلی سریع منتشر شود.

 

نمونه‌های دنیای واقعی

در سال2017، مایکروسافت از حمله روز صفر به نرم افزار Microsoft Word خود مطلع شد. مهاجمان از بدافزاری به نام Dridex banker trojan برای سوء استفاده از یک نسخه آسیب پذیر و بدون وصله نرم افزار استفاده کردند. تروجان به مهاجمان اجازه می‌داد تا کدهای مخرب را در اسناد Word جاسازی کنند که به طور خودکار با باز شدن اسناد فعال می‌شد. این حمله توسط فروشنده آنتی ویروس McAfee کشف شد که مایکروسافت را از نرم افزار در معرض خطر خود مطلع کرد. اگرچه حمله روز صفر در ماه آوریل کشف شد، میلیون‌ها کاربر قبلاً از ژانویه مورد هدف قرار گرفته بودند.

در یک مثال جدیدتر، مرورگر وب کروم گوگل در معرض چندین حمله و سوء استفاده قرار گرفته است. تنها در سال 2022، گوگل از کاربران کروم خواست که مرورگرهای خود را حداقل در چهار مورد جداگانه به روز کنند و به یک سری حملات روز صفر اشاره کرد.

 

چرا به آن حمله روز صفر می‌گویند؟

اصطلاح “روز صفر” (یا 0 روز) برای یک سوء استفاده یا هک نرم افزار استفاده می‌شود که به این واقعیت اشاره دارد که توسعه دهنده یا خالق برنامه در معرض خطر به تازگی از آن آگاه شده است – بنابراین آنها به معنای واقعی کلمه صفر روز برای رفع آن وقت دارند.

 

حملات Zero-Day چگونه رفع می‌شوند؟

هنگامی که یک توسعه‌دهنده از حمله روز صفر مطلع می‌شود، معمولاً اکسپلویت به‌سرعت شناسایی و از طریق یک وصله نرم‌افزاری یا ارتقاء آن برطرف می‌شود.

 

معروف ترین حمله روز صفر چه بود؟

در حالی که نمونه‌های برجسته بسیاری از نمونه‌های روز صفر وجود دارد، بسیاری به هک Sony Pictures در سال 2014 اشاره می‌کنند که از یک آسیب‌پذیری ناشناخته برای نصب بدافزار استفاده می‌کرد و سپس برای حذف یا آسیب رساندن به فایل‌های مرتبط با فیلم‌های جدید استفاده می‌شد و میلیون‌ها دلار را به همراه داشت. در موضوع صدمات وارده و شهرت آسیب دیده به دلیل عدم امنیت آشکار سونی، بسیاری بر این باورند که این حمله توسط ماموران کره شمالی در واکنش به انتشار فیلم «مصاحبه» انجام شد.