2 Potenciální hrozby zabezpečení sítí
2.3 Zranitelnost a útoky typu Zero-day

Existuje několik definic zranitelnosti typu Zero-day, které se však od sebe mírně odlišují. Jedny z definic spojují tento termín s chybou softwaru, kdy může být systém vystaven kybernetickému útoku před vydáním tzv. záplaty, přičemž „nultým dnem“ (Zero-day) je chápán původní stav až do okamžiku odstranění konkrétní softwarové chyby. Jiné definice naopak označují „nultým dnem“ ten den, kdy se tato hrozba či riziko stane veřejně známým. Doba hrozby útokem typu Zero-day tak může být několik dní, týdnů, ale i roků. Doba jejího trvání je tedy plně v rukách tvůrců softwaru.

Tento typ útoku je však jen zřídka kdy objeven. Ve skutečnosti to často netrvá jen dny a týdny, ale i měsíce a někdy i roky, než developer odhalí zranitelnost, která umožnila realizaci kyberútoku.

V obou výše uvedených případech je však výsledek stejný – uživatelé jsou ohroženi útokem. L. Bilge a T. Dumitras shodně konstatují v [5]: „Pokud zůstává zranitelnost neznámou, systém nemůže být vhodně opraven a antiviry nemohou odhalit útok prostřednictím scanováním signatur daného útoku.“ Zranitelná místa softwaru mohou být odhalena crackery, bezpečnostními společnostmi nebo výzkumníky, prodejci nebo prostřednictvím samotných uživatelů. Pokud bude odhaleno crackerem, pak bude drženo v tajnosti tak dlouho, jak jen to bude možné a bude kolovat pouze v rámci komunity crackerů/hackerů až do té doby, dokud softwarové nebo bezpečnostní společnosti tuto hrozbu neobjeví díky aktivně prováděným útokům směřovaným právě na toto zranitelné místo.

image
Obr. 2.2 – Interval zranitelnosti v rámci útoku typu Zero-day

Útoky typu Zero-day představují v posledních letech jedny z nejvíce destruktivních a specificky zaměřených útoků. Například operace AURORA (2009) využívala zranitelného místa programu Internet Explorer a zasáhla více jak 20 cílů včetně společností Morgan Stanley, Google, Yahoo, Dow Chemical, Adobe Systems, Juniper Networks a dokonce i bezpečnostní společnost Symantec.

Pravděpodobně nejznámějším útokem typu Zero-day byl STUXNET (2010). Ve skutečnosti využil červ STUXNET čtyři samostatné útoky Zero-day k poškození průmyslových řadičů, a narušil tak zařízení na obohacování uranu v íránském Natanzu. Útok STUXNET byl navržen tak, aby dokázal manipulovat s průmyslovými programovatelnými logickými řadiči (PLCs) vyráběnými německou společností SIEMENS, které kontrolovaly a sledovaly rychlost odstředivek. Útočníci se nemohli na dálku dostat přímo k těmto zařízením, protože ovládací počítače nebyly v té době připojeny k Internetu. Proto útočníci založili svůj útok na infikovaných USB paměťových nosičích. Nejprve tedy infikovali počítače pěti externích společností, které se nějakým způsobem podílely na výše zmíněném jaderném programu. Využití čtyř útoků typu Zero-day je zcela mimořádné a unikátní na tento typ hrozby. Kromě toho používá STUXNET také celou řadu dalších zranitelností, kterými jen prokazuje svou mimořádnou míru propracovanosti, promyšlenosti a důsledného plánování.