מהו התקפת אפס יום?
התקפה של אפס יום (המכונה גם יום אפס) היא התקפה המנצלת חולשת אבטחת תוכנה חמורה שעלולה לספק שהמפתח או המפתח לא מודעים לה. על מפתח התוכנה למהר לפתור את החולשה ברגע שהיא תתגלה כדי להגביל את האיום על משתמשי התוכנה. הפתרון נקרא תיקון תוכנה. ניתן להשתמש בהתקפות אפס-יום גם לתקיפת האינטרנט של הדברים (IoT).
מתקפה של יום אפס מקבלת את שמו ממספר הימים שפתח מפתח התוכנה ידע על הבעיה.
הסבר התקפת יום אפס
התקפה של אפס יום יכולה לכלול תוכנות זדוניות, רוגלות או גישה בלתי מורשית למידע על משתמשים. משתמשים יכולים להגן על עצמם מפני התקפות אפס יום על ידי הגדרת התוכנה שלהם - כולל מערכות הפעלה, תוכנת אנטי-וירוס ודפדפני אינטרנט - לעדכון אוטומטי ועל ידי התקנה מיידית של כל העדכונים המומלצים מחוץ לעדכונים שנקבעו באופן קבוע. עם זאת, קיום תוכנת אנטי-וירוס מעודכנת לא בהכרח יגן על משתמש מפני התקפה של יום אפס, מכיוון שעד שהפגיעות בתוכנה ידועה בציבור, ייתכן שתוכנת האנטי-וירוס לא יכולה לאתר אותה. מערכות למניעת חדירות לארח עוזרות גם הן להגן מפני התקפות אפס יום על ידי מניעה והגנה מפני חדירות והגנה על נתונים.
חשבו על פגיעות של אפס יום כדלת רכב לא נעולה שלדעת הבעלים נעולה אך גנב מגלה שהיא אינה נעולה. הגנב יכול להיכנס בלתי מזוהה ולגנוב דברים מתא הכפפות או תא המטען של בעל המכונית שאולי לא ניתן יהיה להבחין בו כעבור ימים ספורים שבהם הנזק כבר נגרם והגנב כבר מזמן נעלם.
בעוד שנקודות פגיעות של יום אפס ידועות כמנוצלות על ידי האקרים פליליים, הן יכולות להיות מנוצלות על ידי סוכנויות ביטחון ממשלתיות שרוצות להשתמש בהן לצורך מעקב או פיגועים. למעשה, יש כל כך הרבה ביקוש לפגיעויות של יום אפס מצד גורמי הביטחון הממשלתיים, עד שהם עוזרים להניע את השוק לקנייה ומכירה של מידע על פגיעויות אלה וכיצד לנצל אותן.
ניתן לחשוף ניצולים ליום אפס בפומבי, לחשוף אותם רק לספק התוכנה או למכור לצד שלישי. אם הם נמכרים, הם יכולים להימכר עם או בלעדי זכויות. הפיתרון הטוב ביותר לפגם אבטחה, מנקודת המבט של חברת התוכנה האחראית עליו, הוא שהאקר מוסרי או כובע לבן יחשפו באופן פרטי את הפגם לחברה כך שניתן יהיה לתקן אותו לפני שהאקרים פליליים יגלו זאת. אך בחלק מהמקרים, יותר מגורם אחד צריך לטפל בפגיעות בכדי לפתור אותה במלואה, כך שגילוי פרטי שלם עלול להיות בלתי אפשרי.
בשוק האפל של מידע על אפס יום, האקרים פליליים מחליפים פרטים כיצד לפרוץ תוכנה פגיעה כדי לגנוב מידע חשוב. בשוק האפור מוכרים חוקרים וחברות מידע לצבאים, סוכנויות ביון ואכיפת החוק. בשוק הלבן חברות משלמות להאקרים של כובעים לבנים או לחוקרי אבטחה כדי לאתר ולחשוף פגיעויות תוכנה למפתחים כדי שיוכלו לתקן בעיות לפני שהאקרים עבריינים ימצאו אותן.
תלוי בקונה, במוכר ובשימושיות, מידע על אפס יום עשוי להיות שווה כמה אלפים עד כמה מאות אלפי דולרים, מה שהופך אותו לשוק פוטנציאלי להשתתף בו. לפני שתוכל להסתיים בעסקה, על המוכר לספק הוכחה -of-concept (PoC) כדי לאשר את קיומו של המנצל אפס יום. למי שרוצה להחליף מידע על אפס יום שלא התגלה, רשת טור מאפשרת לבצע עסקאות אנושיות באנונימיות באמצעות ביטקוין.
התקפות אפס-יום עשויות להוות איום פחות מכפי שהם נשמעים. לממשלות עשויות להיות דרכים קלות יותר לרגל אחרי אזרחיהן ואפס ימי אפס לא יכול להיות הדרך היעילה ביותר לניצול עסקים או יחידים. יש לפרוס התקפה אסטרטגית וללא ידיעת היעד להשפעה מרבית. שחרור התקפה של אפס יום על מיליוני מחשבים בו זמנית עלולה לחשוף את קיומה של הפגיעות ולקבל שחרור של תיקון מהיר מדי מכדי שהתוקפים יוכלו להשיג את מטרתם הסופית.
דוגמאות להתקפות יום אפס
באפריל 2017, מיקרוסופט התבשרה בהתקפה של יום אפס על תוכנת Microsoft Word שלה. התוקפים השתמשו בתוכנה זדונית בשם Dridex banker trojan כדי לנצל גרסה פגיעה ובלתי מוצלחת של התוכנה. הטרויאני אפשר לתוקפים להטביע קוד זדוני במסמכי Word אשר מופעלים אוטומטית עם פתיחת המסמכים. התקיפה התגלתה על ידי ספקית האנטי-וירוס מקאפי, שהודיעה למיקרוסופט על תוכנת הפשרה שלה. למרות שההתקפה של יום האפס נחשפה באפריל, מיליוני משתמשים כבר היו ממוקדים מאז ינואר.
