O que é um ataque de dia zero?
Um ataque de dia zero (também conhecido como Dia Zero) é um ataque que explora uma fraqueza de segurança de software potencialmente grave da qual o fornecedor ou desenvolvedor pode desconhecer. O desenvolvedor do software deve se apressar para resolver a fraqueza assim que for descoberta, a fim de limitar a ameaça aos usuários do software. A solução é chamada de patch de software. Os ataques de dia zero também podem ser usados para atacar a Internet das Coisas (IoT).
Um ataque de dia zero recebe esse nome a partir do número de dias que o desenvolvedor de software conhece o problema.
Zero Day Attack Explained
Um ataque de dia zero pode envolver malware, spyware ou acesso não autorizado às informações do usuário. Os usuários podem se proteger contra ataques de dia zero, definindo seu software - incluindo sistemas operacionais, software antivírus e navegadores da Internet - para atualizar automaticamente e instalando imediatamente quaisquer atualizações recomendadas fora das atualizações agendadas regularmente. Dito isto, a atualização de um software antivírus não protegerá necessariamente um usuário de um ataque de dia zero, porque até que a vulnerabilidade seja conhecida publicamente, o software antivírus poderá não ter uma maneira de detectá-lo. Os sistemas de prevenção de intrusões de host também ajudam a proteger contra ataques de dia zero, prevenindo e defendendo contra invasões e protegendo dados.
Pense em uma vulnerabilidade de dia zero como uma porta de carro destrancada que o proprietário acha que está trancada, mas um ladrão descobre que está destrancada. O ladrão pode entrar sem ser detectado e roubar coisas do porta-luvas ou porta-malas do proprietário do carro, que só serão notados dias depois, quando o dano já estiver causado e o ladrão já estiver desaparecido.
Embora as vulnerabilidades do dia zero sejam conhecidas por serem exploradas por hackers criminais, elas também podem ser exploradas por agências de segurança do governo que desejam usá-las para vigilância ou ataques. De fato, existe tanta demanda por vulnerabilidades de dia zero das agências de segurança do governo que elas ajudam a impulsionar o mercado para a compra e venda de informações sobre essas vulnerabilidades e como explorá-las.
Explorações de zero dia podem ser divulgadas publicamente, divulgadas apenas ao fornecedor do software ou vendidas a terceiros. Se forem vendidos, podem ser vendidos com ou sem direitos exclusivos. A melhor solução para uma falha de segurança, na perspectiva da empresa de software responsável por ela, é que um hacker ético ou chapéu branco divulgue em particular a falha para a empresa, para que possa ser corrigido antes que os hackers criminosos a descubram. Mas, em alguns casos, mais de uma parte deve abordar a vulnerabilidade para resolvê-la completamente, para que uma divulgação privada completa possa ser impossível.
No mercado sombrio de informações de dia zero, hackers criminosos trocam detalhes sobre como romper software vulnerável para roubar informações valiosas. No mercado cinza, pesquisadores e empresas vendem informações para forças armadas, agências de inteligência e policiais. No mercado branco, as empresas pagam hackers de chapéu branco ou pesquisadores de segurança para detectar e divulgar vulnerabilidades de software aos desenvolvedores, para que possam corrigir problemas antes que os hackers criminosos os encontrem.
Dependendo do comprador, do vendedor e da utilidade, as informações de dia zero podem valer de alguns milhares a várias centenas de milhares de dólares, tornando-o um mercado potencialmente lucrativo para participar. Antes de uma transação ser concluída, o vendedor deve fornecer uma prova de conceito (PoC) para confirmar a existência da exploração de dia zero. Para aqueles que desejam trocar informações do dia zero sem serem detectadas, a rede Tor permite que transações do dia zero sejam conduzidas anonimamente usando o Bitcoin.
Os ataques de dia zero podem ser menos ameaçadores do que parecem. Os governos podem ter maneiras mais fáceis de espionar seus cidadãos e zero dias pode não ser a maneira mais eficaz de explorar empresas ou indivíduos. Um ataque deve ser implantado estrategicamente e sem o conhecimento do alvo para ter o máximo efeito. O desencadeamento de um ataque de dia zero em milhões de computadores ao mesmo tempo pode revelar a existência da vulnerabilidade e liberar um patch muito rapidamente para que os invasores alcancem seu objetivo final.
Exemplos de ataques de dia zero
Em abril de 2017, a Microsoft tomou conhecimento de um ataque de dia zero ao seu software Microsoft Word. Os atacantes usaram um malware chamado Dridex banker trojan para explorar uma versão vulnerável e sem patches do software. O cavalo de Troia permitiu que os atacantes incorporassem código malicioso nos documentos do Word, que são acionados automaticamente quando os documentos são abertos. O ataque foi descoberto pelo fornecedor de antivírus McAfee, que notificou a Microsoft de seu software comprometido. Embora o ataque de dia zero tenha sido desenterrado em abril, milhões de usuários já eram alvos desde janeiro.
