Så fungerar zero day-attacker – okända sårbarheter blir öppningar för attacker

Vad är dag noll?

En sårbarhet blir en zero day om leverantören av systemet där sårbarheten finns ännu inte har levererat en patch till drabbade användare. Namnet uppstod i den digitala piratkopieringsvärlden: om en ”pirat” kunde sprida en olovlig kopia av en film eller ett musikalbum samma dag som den lanserades – eller ännu tidigare – kallades det för ”zero day”.

Ordet har lånats in i it-säkerhet och beskriver ett scenario där en angripare har lyckats hamna steget före en programleverantör. Angriparen genomför attacker som utnyttjar en sårbarhet innan de goda grabbarna och tjejerna på it-säkerheten hinner agera. Och så snart ett program för en dagnollattack sprids i det kriminella ekosystemet – ibland säljs sådana program för höga belopp – tickar klockan för programleverantören som måste utveckla och distribuera en patch som täpper till sårbarheten.

Dagnollsårbarhet, attackverktyg – attack

Det finns tre ord – sårbarhet, attackmetod (exploit) och attack – som ofta nämns i samband med zero day. De beskriver faserna i dagnollsårbarhetens livscykel.

En dagnollsårbarhet är ett fel i mjukvara eller hårdvara som har upptäckts (av någon), och som det inte finns något patch för. Upptäckt är centralt. Det finns säkert massor med fel där ute som ingen människa känner till. Vilket kan påminna om filosofiska frågor som ”om det faller ett träd i skogen och ingen hör det…”. Men det är av största vikt vem eller vilka som känner till felet. Det finns säkerhetsforskare av den typ som sägs ha ”vit hatt” som upptäcker fel och då kontaktar programleverantören i tysthet för att en patch ska kunna tas fram innan felet blir allmänt känt. Och det finns skumma hackare och statligt understödda hackargrupper som upptäcker sårbarheter men som håller dem hemliga för att leverantören ska lämna sårbarheten öppen.

Men ett fel är kanske en lockande sårbarhet, men inget mer i sig. För att kunna utnyttja sårbarheten för att komma in i ett system måste angriparen ta fram en dagnollattack – en metod för dataintrång eller ett skadeprogram. En del angripare utformar sådana verktyg för eget bruk, andra säljer dem till andra, kanske till högstbjudande, för att slippa smutsa ner händerna.

Väl försedd med ett dagnollverktyg kan en skum hackare nu genomföra en dagnollattack. Alltså: en sårbarhet utgör bara en potentiell öppning för en attack. Ett dagnollverktyg är ett verktyg för att utföra attacken. Det är själva attacken som är det farliga.

Detta är en tvistefråga bland it-säkerhetsforskare. De upptäcker ofta sårbarheter, och ibland publicerar de dem, i syfte att höja medvetenheten och att få dem patchade så snabbt som möjligt. Men de programföretag som får sina sårbarheter avslöjade jämställer ibland avslöjandet med själva attacken.

Varför är zero day-attacker farliga?

Faran ligger i att dagnollattacker drar fördel av en sårbarhet som ännu inte har täppts till. De är så att säga det ultimata vapnet för en cyberattack. Antalet system som drabbas av attacker varje år är nästan oräkneligt, men den sorgliga sanningen är att de flesta av de attackerna utnyttjar hål som är välkända i it-säkerhetskretsar, och som det finns patchar för. Enda anledningen till att attackerna lyckas är dåliga säkerhetsrutiner hos de angripna. Alla organisationer som har koll på it-säkerheten – och till dem borde, åtminstone i teorin, ekonomiska institutioner och myndigheter räknas – har redan installerat patchar som förhindrar sådana kända attacker.

Men en zero day-sårbarhet kan, definitionsmässigt, inte patchas. Om ingen information om sårbarheten har spridits lär potentiella offer inte vara uppmärksamma på suspekta aktiviteter i mjukvara eller hårdvara. Detta ger angriparna en fördel som de kanske vill behålla för sig själva genom att hålla kunskap om sårbarheten hemlig och bara använda den mot värdefulla mål – hemligheten lär ju inte förbli hemlig i evighet.

Det bör upprepas att i kategorin ”hackare” ingår inte bara cyberbrottslingar, utan också statligt stödda grupper. Både kinesiska och amerikanska underrättelsetjänster samlar in information om dagnollsårbarheter för att kunna använda den för spioneri eller sabotage. Ett omtalat exempel är den sårbarhet i protokollet SMB (även känt som CIFS) i Microsoft WIndows som upptäcktes av USA:s signalspaningstjänst National security agency, NSA. NSA höll tyst om upptäckten och utvecklade nolldagsverktyget Eternalblue för att kunna utnyttja sårbarheten. Men Eternalblue stals senare av kriminella hackare som använde programmet för att skapa utpressningsprogrammet Wannacry.

När drabbade organisationer får vetskap om en nolldagssårbarhet kan de hamna i ett dilemma, särskilt om sårbarheten finns i ett operativsystem eller i något annat spritt program. De måste antingen leva med risken för attack eller stänga ner kritiska delar av verksamheten.

Försvar mot nolldagsattacker

Nolldagssårbarheter och attacker är allvarliga saker, men det betyder inte att man inte kan skydda sig mot dem. Det finns i huvudsak två sätt att motverka dem. Dels vad varje enskild organisation och dess it-avdelning kan göra för att skydda it-systemet, dels vad branschen och säkerhetsvärlden som helhet kan göra.

Vi börjar med att diskutera vad du och din organisation kan göra. Förhoppningsvis tillämpar ni redan god säkerhetshygien. Den goda nyheten är nämligen att även om det inte finns någon patch att installera för en viss nolldagssårbarhet så kan stränga säkerhetsrutiner minska risken att bli svårt drabbad. Bloggen Cybriant delar upp dem i dessa steg:

• Tillämpa försvar på djupet. Tänk på att många intrång är resultatet av en kedja av attacker som utnyttjar flera existerande sårbarheter. Att se till att alla patchar är aktuella och medarbetarna är insatta i etablerade rutiner kan bryta upp sådana kedjor. Ert datacenter kanske har en nolldagssårbarhet, men om en angripare inte kommer igenom er uppdaterade brandvägg eller inte kan övertala någon av era medarbetare att ladda ner en trojan i samband med nätfiske så kommer angriparen inte att kunna leverera sitt attackverktyg till ert system, trots sårbarheten.
• Håll utkik efter intrång. Du kan ju inte veta vilken form en nolldagsattack tar, och därför behöver du vara uppmärksam på alla misstänkta aktiviteter. Även om en angripare tar sig in i ert system genom en sårbarhet som du inte känner till så lämnar angriparen spår efter sig när han eller hon börjar röra sig i nätverket och kanske smusslar ut information. System för upptäckt och förhindrande av intrång är gjorda för att upptäcka sådana aktiviteter. Avancerade antivirusprogram kan klassa kod som skadeprogram utifrån vad koden gör, även om den inte svarar mot någon känd signatur för skadeprogram.
• Stäng dörrarna i nätverket. Vilken dator, server eller annan utrustning som helst i nätverket kan i princip hysa en nolldagssårbarhet – men det är högst osannolikt att alla gör det. Om nätverket gör det svårt för en angripare att gå från dator till dator, och gör det enkelt att isolera drabbade system, kan det bidra till att minska skadorna efter en attack. Inte minst bör du införa rollbaserad accesskontroll för att säkerställa att angripare inte kommer åt kronjuvelerna alltför lätt.
• Se till att ta backup. Trots alla ansträngningar är det möjligt att en nolldagsattack kan koppla bort några av era system från nätet eller skada eller radera data. Ofta återkommande backuper, sparade fysiskt och logiskt åtskilda från systemet, gör att systemet snabbt kan återhämta sig även från svåra attacker.

Men att avvärja nolldagsattacker är inget som du måste göra på egen hand. Det finns ju ett större ekosystem för it-säkerhet – bestående av alla från fristående hackare ”med vit hatt” till säkerhetsteamen hos de stora mjukvaru- och hårdvaruföretagen – som har intresse av att uppdaga och fixa nolldagssårbarheter innan skumma hackare kan utnyttja dem.

Det stämmer att enskilda aktörer i ekosystemet ibland ryker ihop, som vi redan påpekat. Om en fristående säkerhetsforskare kontaktar ett programföretag med information om en sårbarhet händer det att företaget ser honom eller henne som ett hot, inte ett stöd. I synnerhet om säkerhetsforskaren är okänd för företagets säkerhetsteam. Å andra sidan: om en säkerhetsforskare tappar tålamodet med att företaget drar fötterna efter sig och inte patchar en sårbarhet som det har fått tips om så händer det att forskaren publicerar information om sårbarheten innan patchen är klar – för att sätta eld under baken på företaget.

Det har gjorts satsningar på att få dessa olika aktörer att arbeta bättre tillsammans: samarbeta och dela på information på ett ansvarsfullt sätt i stället för att peka finger åt varandra. Ett sätt är prisprogram som Trend Micros Zero Day Initiative. Det betalar belöningar i reda pengar åt säkerhetsforskare som rapporterar fel på ett ansvarsfullt sätt. Och även om sådana program troligen inte kan konkurrera med de pengar som kriminella grupper betalar för dagnollverktyg så ger de ändå säkerhetsforskare ett skäl att hålla sig på den smala vägen. Det är också en institutionaliserad struktur som skapar kontakter mellan hederliga hackare och företag och som håller förbindelserna öppna när det gäller utveckling av patchar.

En sak som programföretag och säkerhetsforskare brukar vara överens om är att statsstödda grupper som behåller information om nolldagssårbarheter för sig själva, att använda för övervakning, inte hjälper it-säkerheten. Efter avslöjandena om NSA och nolldagsattacken Eternalblue publicerade Microsoft ett beskt uttalande som begärde att myndigheter skulle sluta samla på sig sårbarheter och i stället dela med sig av informationen.

Exempel på nolldagsattacker

Vi har redan nämnt Eternalblue, ett fall då en amerikansk federal myndighet höll en dagnollsårbarhet hemlig en längre tid. Men strängt talat är attackerna som började med Wannacry inte riktiga dagnollattacker. Microsoft hade nämligen skickat ut en patch för SMB-sårbarheten redan innan attackerna började, men många system hade inte fått dem installerade.

Listan över dagnollsårbarheter och attacker är evighetslång. Här är några exempel från de senaste åren.

• Säkerhetsföretaget Sonicwall uppmanade sina kunder att vidta förebyggande åtgärder efter att dess egna system hade attackerats genom tidigare okända sårbarheter;
• En sårbarhet i Microsoft Exchange Server möjliggjorde en serie attacker som kopplas till Hafnium, en kinesisk hackargrupp;
• En sårbarhet i den mycket spridda webbläsaren Chrome utnyttjades innan Google gjorde en patch tillgänglig;
• Googles buggjagare i Project Zero upptäckte hackare som utnyttjade dagnollsårbarheter i Windows, IOS och Android. Attackerna var sammankopplade för att kunna tränga in i systemen.