In English
zero day attack

Sårbarhet • Artikel

30 mars, 2021

Vad innebär en ”zero-day”-attack?

Allt oftare kan vi i media och bloggar läsa om stora säkerhetsincidenter. Ofta refererar IT-säkerhetsexperter till termen ”zero-day” eller ”0-day” när man beskriver attacken. Branschkunniga omger sig gärna med begreppet, men få utanför IT-säkerhetsbranschen känner till vad som avses.

Vad är en "zero-day"?

”Zero-day”-sårbarheter refererar till säkerhetshål i mjukvara, som exempelvis operativsystem och browsers. Dessa säkerhetshål är ännu okända för tillverkaren och är således öppna för en angripare att utnyttja. Eftersom en ”zero-day”-sårbarhet är okänd för tillverkaren så finns det ingen tillgänglig patch som skulle kunna täta hålet. Många ”zero-day”-sårbarheter upptäcks inte av antivirus-program eftersom det saknas signaturer för att detektera attacken.

”Zero-day”-exploits refererar till kod som angripare använder för utnyttja en ”zero-day”-sårbarhet. När det är gjort, är det inga problem att plantera en trojan eller annan malware på en dator eller annan enhet.

Var kommer uttrycket ”zero-day” ifrån?

Uttrycket har att göra med hur många dagar det är mellan att mjukvarutillverkaren får kännedom om säkerhetshålet till att de går ut med information om sårbarheten och en patch, i ”zero-day”-fallet är detta antal dagar 0. Ursprungligen kommer begreppet från diskussioner på internetforum när man diskuterar hur många dagar det har gått sedan tillverkaren fick reda på sårbarheten till dess att de tillkännager sårbarheten och släpper en patch för att laga den. Hackers har blivit taggade av informationen och tävlar om att vara först med att hitta nya brister.

Sårbarhetsfönster

Sårbarhetsfönster eller ”vulnerability window” är tiden mellan att någon hittar en sårbarhet tills tillverkaren av produkten eller mjukvaran släpper en patch. Under denna tid förekommer ”zero-day”-attacker som utnyttjar säkerhetshålet innan det finns en version av mjukvaran som är skyddad mot attacken. Under denna tid kan det förekomma andra typer av skydd i form av signaturer för antivirus eller IPS (Intrusion Prevention System).

Kännedom om sårbarheter värderas högt

Tidigare var ”zero days” väldigt ovanligt, men idag upptäcks avsevärt fler. Det har att göra med att dessa typer av sårbarheter värderas högt av såväl professionella hackare som underrättelsetjänster. Idag finns en tydlig marknad för att köpa och sälja den här typen av sårbarheter, och marknaden omsätter mycket stora pengar.

Egentligen finns det två sorters marknader för handel med dessa sårbarheter. En vit marknad där stora tillverkare som exempelvis Microsoft, Facebook och Google erbjuder ”bug bounties” till personer som identifierar dessa sårbarheter och informerar berört företag. Men sedan finns det även en svart marknad där kriminella betalar bra för information som kan leda till att de exempelvis kan komma över kreditkortsinformation.

Stuxnet var en form av ”zero-day”-attack

En av de mest omtalade cyberattackerna var Stuxnet som var en attack av amerikansk och israelisk underrättelsetjänst i syfte att införskaffa information om Irans urananrikning. Attacken utnyttjade fem ”zero day”-sårbarheter vilket var tillräckligt för att sprida deras kod och ge sig själva tillgång till iraniernas system.

Patcha innan det är försent

Så fort en allvarlig ”zero-day”-sårbarhet upptäcks inleds ett ”arms race” mellan onda och goda krafter. Tillverkaren kommer försöka släppa en patch snarast möjligt för att undvika att angripare hinner utnyttja säkerhetshålet i produkter eller program som tillverkaren sålt till sina kunder.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.