Badacze bezpieczeństwa z Google'owskiego "Project Zero" zakończyli swoje statystyki dotyczące aktywnie wykorzystywanych podatności zero-day. Wniosek: w 2021 roku nastąpił ogromny wzrost znanych zero-day. Wynika to nie tylko ze wzrostu liczby ataków, ale także z faktu, że są one teraz łatwiejsze do wykrycia.
Luki w zabezpieczeniach dnia zerowego
Termin "zero day" odnosi się do luk w zabezpieczeniach, które mają "zero dni" pomiędzy ich odkryciem a pierwszym atakiem.
Jeśli luka w zabezpieczeniach zostanie odkryta przez użytkowników lub badaczy bezpieczeństwa, zazwyczaj najpierw informują oni dostawcę oprogramowania. Dostawca oprogramowania ma wtedy trochę czasu na opracowanie łaty lub aktualizacji. Czas ten jest zwykle odczekany, zanim luka zostanie podana do wiadomości publicznej. Wielu badaczy bezpieczeństwa współpracuje bezpośrednio z dostawcami oprogramowania, a następnie daje im z góry określony czas po odkryciu luki bezpieczeństwa na podjęcie niezbędnych działań. Dopiero wtedy podają informację do publicznej wiadomości.
Ponadto istnieje możliwość, że atakujący jako pierwsi odkryją takie luki w zabezpieczeniach. Oczywiście natychmiast wykorzystują lukę w ramach "ataku zero-day". Ataki te są szczególnie trudne do zwalczenia, ponieważ są trudne do wykrycia.
Projekt Zero
Projekt Zero" to grupa badaczy bezpieczeństwa z Google, którzy m.in. współpracują z firmami i ostrzegają je o możliwych lukach bezpieczeństwa typu zero-day. Ponadto, Project Zero od 2014 roku corocznie ocenia aktywnie wykorzystywane luki bezpieczeństwa. Celem jest wykorzystanie tej oceny do identyfikacji trendów w branży IT, a także atakujących i wyciągnięcie wniosków, jak chronić bezpieczeństwo IT.
Zero Days w 2021 r.
W roku 2021 Project Zero odnotował rekordową liczbę znanych i aktywnie wykorzystywanych dni zerowych. Wartość ta dla 2021 roku wyniosła 58, podczas gdy w ostatnich latach było to najczęściej nieco ponad 20.
W "Project Zero" przyjrzano się również możliwym przyczynom takiego rozwoju sytuacji. Zdaniem badaczy, nie mamy do czynienia jedynie ze wzrostem liczby ataków zero-day. Raczej wykorzystanie takich luk jest obecnie lepiej rozpoznawane przez badaczy bezpieczeństwa. Ponadto dotknięci nimi producenci upubliczniają teraz więcej wykorzystanych zero-day.
Badacze zespołu podkreślili również, że większość ataków zero-day była zaskakująco prosta. Ponieważ zero-day to najbardziej zaawansowana ze wszystkich metod ataku, spodziewali się czegoś innego. Zamiast tego około dwie trzecie opierało się po prostu na błędach pamięciowych (kategorie takie jak use-after-free, out-of-bounds accesses, buffer and integer overflows). Od dawna wiadomo, że są one problematyczne.
"Imponującym dziełem sztuki" były natomiast luki o nazwie Forcedentry, które zostały wykorzystane w trojanie Pegasus od producenta NSO. Jest to jednak rzadki wyjątek. Przeciętnie branża IT wciąż zbytnio ułatwia atakującym życie.
Chcesz uzyskać poradę w zakresie bezpieczeństwa i ochrony danych? Nasz zespół ekspertów z chęcią Ci pomoże!