Zero-day

Thuật ngữ zero-day được nhắc tới khá nhiều nhưng không phải ai cũng hiểu được zero-day là gì. Dưới đây mình sẽ giới thiệu những kiến thức cơ bản về zero-day.

1. Zero-day là gì?

Lỗ hổng zero-day (hay 0-day) là những lỗ hổng bảo mật phần mềm hoặc phần cứng chưa được phát hiện bởi chủ sở hữu, đây cũng là đặc điểm lớn nhất để phân biệt với một lỗ hổng bảo mật thông thường. 0-day chỉ số ngày mà nhà phát triển phát hiện ra một lỗ hổng bảo mật. Chúng có thể tồn tại trong: Website, ứng dụng mobile, hệ thống mạng, phần mềm, phần cứng máy tính…

Kẻ tấn công sẽ tận dụng lỗ hổng này để đánh cắp hoặc thay đổi dữ liệu. Những cuộc tấn công khai thác lỗ hổng zero-day gọi là zero-day exploit hoặc zero-day attack. Thậm chí, ngay cả khi đã được phát hiện, kẻ tấn công vẫn có thể tiếp tục khai thác lỗ hổng zero-day.

Sau khi phát hiện ra lỗ hổng zero-day, nhà cung cấp sẽ tung ra bản vá bảo mật ngay. Tuy nhiên, người dùng thường không cập nhật phần mềm ngay lập tức. Điều này khiến zero-day trở thành lỗ hổng rất nguy hiểm, có thể gây thiệt hại nghiêm trọng cho người dùng.

Khi được công bố rộng rãi ra công chúng, lỗ hổng 0-day sẽ trở thành lỗ hổng n-day.

Lỗ hổng zero-day được coi như hàng hóa giá trị đối với những kẻ tấn công, các công ty phát triển phần mềm, các cơ quan tình báo cấp quốc gia. Thị trường mua bán lỗ hổng zero-day hết sức đông vui, nhộn nhịp, có ba nơi có thể giao dịch:

• Black market, nơi những kẻ tấn công trao đổi lỗ hổng zero-day nhằm đánh cắp thông tin quan trọng của người dùng như: Mật khẩu, số thẻ tín dụng...
• White market, bao gồm các chương trình bug bounty (Săn lỗ hổng lấy thưởng). Các tập đoàn lớn như Facebook, Google, Microsoft... đều tổ chức các chương trình này. Các lỗ hổng sau khi được phát hiện sẽ được thông báo trực tiếp tới các công ty sản xuất phần mềm. Sau khi kiểm duyệt thành công, các lỗ hổng này có thể được trả tới hàng chục ngàn đô.
• Gray market, nơi nhà nghiên cứu bảo mật bán các đoạn mã khai thác zero-day cho quân đội hoặc các cơ quan tình báo để phục vụ hoạt động an ninh quốc gia. Các tổ chức này sẵn sàng bỏ ra hàng trăm ngàn đô để sở hữu lỗ hổng ảnh hưởng tới các nền tảng phổ biến, như hệ điều hành Windows hay iOS.

2. Zero-day hoạt động như thế nào?

Một cuộc tấn công phải được triển khai một cách chiến lược và bí mật để có hiệu quả tối đa. Nếu thực hiện một cuộc tấn công cùng lúc hàng triệu máy tính có thể tiết lộ sự tồn tại của lỗ hổng và khiến cho đối phương phát hành bản vá quá nhanh.

Tuổi thọ trung bình của một lỗ hổng zero-day là 348 ngày trước khi nó được phát hiện và vá lại, nhiều lỗ hổng thậm chí còn sống thọ hơn thế.

Cuộc tấn công zero-day có thể gây ảnh hưởng theo các cách khác nhau, bao gồm: Mất tiền bạc, lãng phí thời gian, ảnh hưởng xấu đến thương hiệu của doanh nghiệp, tổ chức. Các cuộc tấn công zero-day phụ thuộc vào một số yếu tố:

• Sự chủ động về bảo mật của nhà phát triển ứng dụng.
• Phản ứng nhanh của nhà phát triển nếu có sự cố xảy ra.
• Sự chủ động về bảo mật của người dùng.
• Phản ứng nhanh của người dùng nếu có sự cố xảy ra.

Cả nhà phát triển lẫn người dùng nên chủ động bảo vệ ứng dụng của họ. Hãy thực hiện các biện pháp để ngăn chặn sự khai thác zero-day ngay cả khi chưa có bản vá bảo mật cho các lỗ hổng. Nếu các bên liên quan không chủ động bảo vệ chính mình thì rất dễ dàng để đánh giá tác động của lỗ hổng zero-day, đó chính là toàn bộ hệ thống. Tự động hóa giúp kẻ tấn công nhanh chóng mở rộng cuộc tấn công.

3. Tại sao zero-day lại nguy hiểm?

Khi kẻ xấu tìm ra một lỗ hổng bảo mật trước người bảo vệ sản phẩm, người sử dụng hoặc các nhà nghiên cứu lỗ hổng, thì mọi thứ có thể trở nên tồi tệ rất nhanh. Khi chưa có bản vá thì điều duy nhất hạn chế kẻ tấn công là mức độ sâu và rộng mà lỗ hổng cho phép khai thác. Với zero-day, sự tự động hoá được áp dụng, bởi chúng tương tự nhau trên những đối tượng tấn công có cùng một lỗ hổng.

Do chưa được phát hiện nên chẳng có bản vá hay phần mềm nào chống lại lỗ hổng zero-day nên tỷ lệ thành công, mức độ ảnh hưởng của các cuộc tấn công này cao hơn nhiều những loại khác. Khi cuộc tấn công zero-day diễn ra, nó có nguy cơ ảnh hưởng tới hàng triệu người dùng, tùy thuộc vào độ phổ biến của sản phẩm chứa lỗ hổng.

Lỗ hổng phần mềm, dù là zero-day hay đã được công bố, luôn tạo ra những rủi ro bảo mật nghiêm trọng cho người dùng, cho dù bạn là người dùng máy tính thông thường hay là quản trị viên cho một hệ thống phần mềm.

Zero-day không phải là mối lo ngại chính đối với phần lớn người dùng, mà nó là mối đe dọa đối với nhà cung cấp phần mềm/dịch vụ.

4. Các biện pháp chống lại zero-day

Có rất nhiều biện pháp, dưới đây mình chỉ liệt kê một số biện pháp phổ biến nhất:

Đối với người dùng

• Cài đặt cập nhật tự động cho các phần mềm, bao gồm: Hệ điều hành, phần mềm diệt virus và trình duyệt internet. Không sử dụng phần mềm và hệ điều hành không có bản quyền, bởi sẽ rất khó khăn trong quá trình cập nhật.
• Sử dụng phần mềm chống virus có công nghệ bảo vệ dựa trên hành vi. Khi virus nhiễm vào máy tính, phần mềm diệt virus sẽ theo dõi và phân tích những hành vi tiếp theo của nó. Nếu virus thực hiện những hành vi bất thường và nghi ngờ như: Ghi lại các thao tác trên bàn phím, tải xuống các thông tin đăng nhập, giải nén mã độc… Ngay khi phát hiện các hành vi này, phần mềm diệt virus sẽ cách ly và chạy chương trình chống virus để ngăn ngừa lỗ hổng zero-day.
• Sử dụng phần mềm quét lỗ hổng bảo mật. Đây được coi là lớp phòng thủ thứ hai, các ứng dụng này giúp bạn sớm phát hiện lỗ hổng bảo mật và đưa ra những khuyến cáo để giải quyết chúng.
• Backup dữ liệu, nó sẽ bảo vệ dữ liệu của bạn ngay cả khi bị virus xâm nhập.

Đối với doanh nghiệp:

• Với các doanh nghiệp phát triển phần mềm, phần cứng việc ứng dụng tồn tại lỗ hổng zero-day để kẻ xấu khai thác là một điểm yếu chí mạng. Những công cụ quét lỗ hổng tự động hay quy trình kiểm duyệt sản phẩm là chưa đủ, do kẻ tấn công luôn linh hoạt và phát hiện ra những lỗ hổng mới nhanh hơn. Khi đó, một chương trình bug bounty sẽ giải quyết vấn đề. Doanh nghiệp chỉ trả tiền khi có lỗ hổng zero-day được tìm thấy, giúp tiết kiệm chi phí và tối ưu hiệu quả đầu tư bảo mật.
• Với các doanh nghiệp sử dụng phần mềm, phần cứng nên trang bị hệ thống giám sát bảo mật theo thời gian thực, hệ thống IDS (Intrusion detection system - Hệ thống phát hiện xâm nhập) và IPS (Intrusion prevention system - Hệ thống ngăn chặn xâm nhập) có thể giúp bảo vệ doanh nghiệp trước các cuộc tấn công một cách hiệu quả.

Thank you for reading!!!