Στην κυβερνοασφάλεια, ο όρος «μηδενική ημέρα» (zero day) συχνά εμφανίζεται αποδυναμωμένος καθώς χρησιμοποιείται ως γενική ονομασία για οποιαδήποτε ευπάθεια που δεν έχει επιδιορθωθεί. Στο παρόν άρθρο αναλύονται τα τρία υποχρεωτικά στοιχεία ή χαρακτηριστικά μίας πραγματικής ευπάθειας μηδενικής ημέρας ενώ επεξηγούμε για ποιους λόγους η διάκριση μεταξύ μίας ευπάθειας μηδενικής ημέρας και ενός γνωστού, αλλά μη επιδιορθωμένου σφάλματος ή κενού ασφαλείας είναι κρίσιμη για την αποτελεσματική άμυνα.

Η ορθή χρήση της ορολογίας κυβερνοασφάλειας αποτελεί αμυντική αναγκαιότητα

Οι λέξεις έχουν σημασία στην κυβερνοασφάλεια. Η γλώσσα που χρησιμοποιούμε διαμορφώνει τον τρόπο με τον οποίο τα διοικητικά συμβούλια κατανέμουν προϋπολογισμούς, οι ρυθμιστικές αρχές συντάσσουν πολιτικές, οι δημοσιογράφοι περιγράφουν τα περιστατικά και οι οργανισμοί ιεραρχούν τους κινδύνους. Δεν υπάρχει αμφιβολία ότι σε όλη την ιστορία της κυβερνοασφάλειας, κανένας όρος δεν έχει υποστεί μεγαλύτερη κατάχρηση, αποδυνάμωση ή παρερμηνεία από τον όρο «zero day».

Ουσιαστικά έχει μετατραπεί σε έναν ενισχυτή δράματος για τα «πρωτοσέλιδα» των ειδήσεων, σε ένα δεκανίκι του μάρκετινγκ, σε ένα ψευδές μήνυμα επείγουσας ανάγκης και σε μια βολική συντόμευση για να εκφράσουμε σύνθετους προβληματισμούς. Με απλά λόγια, όταν σφάλουμε στον ορισμό, τότε ορίζουμε εσφαλμένα και την απόκριση, και όταν η απόκριση είναι εσφαλμένη, αντιδρούμε με σπασμωδικές κινήσεις που μας εμποδίζουν να εστιάσουμε σε όλα όσα είναι πραγματικά σημαντικά.

Ορισμός για τις ευπάθειες μηδενικής ημέρας (zero–day): Δεν πρόκειται για «νέα» ελαττώματα

Και για να είμαστε σαφείς, μια ευπάθεια «zero day» δεν είναι συνώνυμο της «μη επιδιορθωμένης» (unpatched) ή της «κρίσιμης ευπάθειας». Και δεν σημαίνει επίσης ότι πρόκειται για μία «νέα» ευπάθεια ή μια ευπάθεια που απλώς στερείται επιδιόρθωσης. Η «zero day» αποτελεί μια πολύ συγκεκριμένη συνθήκη για πολλαπλές καταστάσεις μιας ευπάθειας και της σχετικής εκμετάλλευσής της και απαιτεί ακρίβεια όταν αναφέρεται από έναν προμηθευτή ή τα μέσα ενημέρωσης.

Τι είναι μια ευπάθεια μηδενικής ημέρας;

Με απλά λόγια: Μια ευπάθεια zero-day είναι ένα προηγουμένως άγνωστο σφάλμα σε λογισμικό ή υλικό που ενδεχομένως τυγχάνει ενεργής εκμετάλλευσης ανεξάρτητα από τη σοβαρότητά του, όπου ο κατασκευαστής, πάροχος ή προμηθευτής (ή ενδεχομένως η υπεύθυνη κοινότητα ανοικτού κώδικα) είχε «μηδέν ημέρες» (zero days) για να αναπτύξει και να διαθέσει ευρέως μία επιδιορθωτική ενημέρωση (patch) όταν αποκαλύφθηκε δημοσίως. Η έμφαση δίνεται σε τρία στοιχεία: η απειλή είναι άγνωστη στον κατασκευαστή, ενδέχεται να τυγχάνει ενεργής εκμετάλλευσης και έχει αποκαλυφθεί στο κοινό. Αν αφαιρεθεί έστω και ένα από τα παραπάνω αυτά στοιχεία ή χαρακτηριστικά, δεν πρόκειται πλέον για «zero day».

Για παράδειγμα, αν η ευπάθεια έχει επιδιορθωθεί -ακόμα και αν εξακολουθεί να αποτελεί αντικείμενο ενεργής εκμετάλλευσής- δεν είναι πλέον «zero day» αλλά μια γνωστή ευπάθεια μετά από υπεύθυνη δημόσια αποκάλυψη. Το μόνο που καταφέρνει η κατάχρηση του όρου -ή η δημιουργία υβριδικών φράσεων όπως «μη αποκαλυφθείσα» ή «άγνωστη» ευπάθεια μηδενικής ημέρας- είναι να περιπλέκει την ιεράρχηση των κινδύνων.

Γιατί ο κλάδος συγχέει τα «zero days» με τις γνωστές ευπάθειες

Η συγκεκριμένη διάκριση παίζει σημαντικό ρόλο διότι ο κλάδος συχνά συμπτύσσει τρεις πολύ διαφορετικές έννοιες σε έναν ήδη επιβαρυμμένο ή υπερφορτισμένο όρο:

1. Γνωστές, αλλά μη επιδιορθωμένες (unpatched) ευπάθειες: Ο κλάδος βλέπει διαρκώς να δεσμεύονται CVEs για τέτοιες περιπτώσεις. Τα συγκεκριμένα κενά ασφαλείας ή σφάλματα έχουν αποκαλυφθεί ιδιωτικώς ή δημοσίως, είναι συχνά καταλογογραφημένα, κάποιες φορές βαθμολογημένα και συχνά έχουν μπει σε σειρά προτεραιότητας από τον κατασκευαστή, πάροχο ή προμηθευτή βάσει της σοβαρότητας, της επικινδυνότητας και της πολυπλοκότητας της επίλυσης τους. Είναι πράγματι επικίνδυνα, αλλά δεν είναι zero days.
2. Πρόσφατα αποκαλυφθείσες ευπάθειες: Πρόκειται για ευπάθειες ή κενά ασφαλείας που μπορεί να στερούνται επιδιόρθωσης ωστόσο δεν είναι ακόμη γνωστό αν αποτελούν αντικείμενα ενεργής εκμετάλλευσης από κάποιους. Είναι σοβαρές ευπάθειες ωστόσο χωρίς λειτουργικό κώδικα εκμετάλλευσης (exploit) δεν μπαίνουν στην ίδια κατηγορία με τις ευπάθειες zero day.
3. Πραγματικά zero days: Πρόκειται για ευπάθειες, η ύπαρξη των οποίων αγνοούταν από τους αμυνόμενους μέχρι τη στιγμή που φορείς απειλών απέδειξαν ότι έχουν σχετική γνώση μέσω της ενεργής εκμετάλλευσης τους (zero day exploit) και μάλιστα προτού καταστεί διαθέσιμη κάποια επιδιόρθωση (patch).

Το κόστος του εντυπωσιασμού

Γιατί εξακολουθεί να υπάρχει αυτή η σύγχυση και γιατί οι επαγγελματίες του κλάδου της κυβερνοασφάλειας και τα μέσα ενημέρωσης εξακολουθούν να κάνουν το ίδιο λάθος;

Για να το πούμε με απλά λόγια, ο όρος «zero day» ακούγεται καταστροφικός. Υποδηλώνει μια αναπόφευκτη κατάσταση που τροφοδοτεί τον εντυπωσιασμό. Για τα μέσα ενημέρωσης, υπονοεί ότι καμία άμυνα δεν θα μπορούσε να λειτουργήσει με στόχο τη δημιουργία μίας αίσθησης ακραίας επείγουσας ανάγκης για να προσελκύσουν το ενδιαφέρον. Για τους οργανισμούς που παρέχουν εξηγήσεις για μία παραβίαση, ενδεχομένως ακούγεται ως άφεση αμαρτιών – μία δικαιολογία ότι τίποτα δεν θα μπορούσε να είχε αποτρέψει την επίθεση και τις επακόλουθες συνέπειες των παραβιάσεων. Για τους προμηθευτές που πωλούν εργαλεία, δημιουργεί μια τεχνητή απόλυτη ανάγκη για την ασφάλιση των συγκεκριμένων λύσεων τους ανεξάρτητα από τη χρονική στιγμή.

Για τους επαγγελματίες της κυβερνοασφάλειας, το κόστος αυτής της κατάχρησης δεν είναι ακαδημαϊκό. Όταν ο όρος χρησιμοποιείται με δόση υπερβολής, οι πραγματικές ευπάθειες μηδενικής ημέρας στερούνται τον χαρακτήρα του κατεπείγοντος και τη χρηματοδότηση -της επιδιόρθωσης- τους. Οι ομάδες ασφαλείας απευαισθητοποιούνται και χάνουν τη συγκέντρωση και τον στόχο τους. Τα διοικητικά συμβούλια θα αρχίσουν να υποθέτουν ότι οι παραβιάσεις είναι αναπόφευκτα φυσικά φαινόμενα και όχι αποτυχίες ελέγχου, υγιεινής των συστημάτων ή ιεράρχησης προτεραιοτήτων. Και οι ρυθμιστικές αρχές με τη σειρά τους θα δυσκολευτούν να διακρίνουν την πραγματική αμέλεια από τον απρόβλεπτο κίνδυνο. Με την πάροδο του χρόνου, ο όρος χάνει το νόημά του.

Η πραγματικότητα της σύγχρονης εκμετάλλευσης μηδενικής ημέρας

Σήμερα, τα πραγματικά zero days exploits είναι σπάνια και δαπανηρά. Συνήθως δεν σπαταλούνται σε στόχους χαμηλής αξίας. Αντιθέτως, συνήθως συνδυάζονται με άλλες αδυναμίες, όπως διανύσματα επίθεσης που βασίζονται στη ταυτότητα, παραδίδονται μέσω αξιόπιστων οδών και εκτελούνται με ακρίβεια και μυστικότητα.

Τα κράτη και τα κορυφαία συνδικάτα κυβερνοεγκλήματος δεν «καίνε» τα zero days απερίσκεπτα. Τα χρησιμοποιούν μόνο όταν η απόδοση της επένδυσης δικαιολογεί το κόστος ανάπτυξης και το ρίσκο να εκτεθούν δημοσίως. τον κίνδυνο δημόσιας έκθεσης. Μόλις η ευπάθεια αποκαλυφθεί και επιδιορθωθεί, το πλεονέκτημα της ως όπλο χάνεται. Αυτή και μόνο η πραγματικότητα δείχνει πόσο προσεκτικοί πρέπει να είμαστε όταν επικαλούμαστε τον όρο.

Η σωστή κατανόηση των zero days αλλάζει επίσης τη συζήτηση γύρω από την κυβερνοάμυνα.

Δεν μπορείτε να επιδιορθώσετε (patch) κάτι που δεν γνωρίζετε ότι υπάρχει. Ακριβώς για αυτόν τον λόγο η αποκάλυψη αποτελεί μέρος του ορισμού.

Παρόλα αυτά, μπορείτε να μειώσετε τον αντίκτυπο αυτών που δεν μπορείτε να διορθώσετε ή των απειλών που δεν έχουν αποκαλυφθεί, μέσω των βέλτιστων πρακτικών κυβερνοασφάλειας:

• Χρήση της αρχής του ελάχιστου προνομίου (Least Privilege): Περιορίζει το με τι μπορεί να αλληλοεπιδράσει ο κώδικας εκμετάλλευσης ή το κακόβουλο λογισμικό σε επίπεδο λειτουργικού συστήματος και εφαρμογών.
• Τμηματοποίηση (Segmentation): Αποτρέπει την πλευρική μετακίνηση (lateral movement) μετά την αρχική εκμετάλλευση του κενού ασφαλείας ή της ευπάθειας.
• Μηχανισμοί ελέγχου της ταυτότητας (Identity Controls): Περιορίζουν την ικανότητα ενός επιτιθέμενου να υποδυθεί νόμιμους χρήστες.

Αυτά δεν είναι απλώς θεωρητικά μέτρα μετριασμού, αλλά η διαφορά μεταξύ ενός περιστατικού που έχει περιοριστεί και μιας συστημικής αποτυχίας όταν μία ευπάθεια μηδενικής ημέρας αποτελεί αντικείμενο ενεργής εκμετάλλευσης εντός ενός περιβάλλοντος.

Η ορθή απόδοση του ορισμού επιβάλλει επίσης ειλικρίνεια στην ανάλυση μετά το περιστατικό. Αυτά τα ερωτήματα είναι άβολα, αλλά απαραίτητα αν οι οργανισμοί αναζητούν να ωριμάσουν αντί απλώς να επαναλαμβάνουν παρεξηγημένους όρους:

• Ήταν πραγματικά άγνωστη η ευπάθεια κατά τη στιγμή της εκμετάλλευσης ή ήταν γνωστή αλλά υποβαθμισμένη σε προτεραιότητα;
• Έχει επιβεβαιωθεί η εκμετάλλευση ή έχει απλώς υποτεθεί;
• Ποια ήταν η βασική αιτία; H απουσία κάποιας επιδιορθωτικής έκδοσης ή η απουσία αντισταθμιστικών μηχανισμών ελέγχου;

Η σαφήνεια αποτελεί αμυντική ικανότητα

Πρέπει να πειθαρχήσουμε. Κρατήστε τον όρο «zero day» για αυτό που πραγματικά είναι -μία ευπάθεια που είναι τόσο άγνωστη στον κατασκευαστή όσο και στους οργανισμούς και η οποία τυγχάνει ενεργής εκμετάλλευσης, με μηδενικές ημέρες για την επιδιόρθωση της, επειδή δεν υπάρχει ακόμα σχέδιο αντιμετώπισης της.

Κάθε άλλη κατάσταση έχει το δικό της όνομα και ορολογία: γνωστή ευπάθεια, μη επιδιορθωμένη ευπάθεια, εσφαλμένη παραμετροποίηση, υπερπρονομιακή πρόσβαση ή προηγμένη επίμονη απειλή (APT) κ.ά. Μπορεί τα παραπάνω να ακούγονται λιγότερο δραματικά, αλλά είναι ακριβή ως προς τον προσδιορισμό της κατάστασης μιας απειλής.

Στην κυβερνοασφάλεια, η σαφήνεια αποτελεί αμυντική ικανότητα. Οι παράγοντες απειλής ευδοκιμούν στη σύγχυση και στη συσκότιση, είτε αυτή είναι τεχνική, επιχειρησιακή ή ακόμα και γλωσσική. Αν δεν μπορούμε να ορίσουμε με ακρίβεια τις απειλές μας, δεν μπορούμε να τις ιεραρχήσουμε έξυπνα και να επικοινωνήσουμε σωστά τα αποτελέσματα στα ενδιαφερόμενα μέρη. Αν αντιδρούμε έντονα σε λάθος πράγματα, αναπόφευκτα θα αγνοήσουμε τους κινδύνους που έχουν και τη μεγαλύτερη κρισιμότητα.

Ο ορισμός του zero day δεν είναι μια σημασιολογική άσκηση. Αποτελεί τη διαχωριστική γραμμή μεταξύ του εντυπωσιασμού και της αποτελεσματικής ιεράρχησης προτεραιοτήτων.

Πηγή: BeyondTrust