ज़ीरो डे अटैक: ये क्या होते हैं और कब समाप्त होते हैं

ज़ीरो डे अटैक: ये क्या होते हैं और कब समाप्त होते हैं

मैंने “ज़ीरो डे” को ब्रीच की सुर्खियों, मूवी ट्रेलर और विक्रेताओं के मार्केटिंग ईमेल में इस्तेमाल होते देखा है। लगभग हमेशा इसका मतलब “डरावना हैक” होता है। यह पूरी तरह गलत नहीं है — लेकिन यह उस सटीक बात को चूक जाता है जो एक ज़ीरो-डे को हर दूसरे अटैक से संरचनात्मक रूप से अलग बनाती है। जब आप अपने जोखिम को समझने की कोशिश कर रहे हों, तो यह सटीकता वास्तव में मायने रखती है।

तीन शब्द जो एक समान नहीं हैं

मैं इन्हें लगातार एक-दूसरे की जगह इस्तेमाल होते देखता हूँ। ये नहीं हैं।

  • ज़ीरो-डे वल्नरेबिलिटी: सॉफ़्टवेयर में एक सुरक्षा खामी जिसके बारे में विक्रेता को पता नहीं है। कोई पैच नहीं, कोई CVE नहीं, कोई चेतावनी नहीं। [1]
  • ज़ीरो-डे एक्सप्लॉइट: वह विशेष कोड या तकनीक जिसे एक हमलावर उस खामी का फायदा उठाने के लिए बनाता है। [1]
  • ज़ीरो-डे अटैक: किसी लाइव लक्ष्य के विरुद्ध उस एक्सप्लॉइट का वास्तविक दुनिया में उपयोग। [1]

वल्नरेबिलिटी वह छेद है। एक्सप्लॉइट वह चाबी है जो उसमें फिट होती है। अटैक वह है जब कोई उस दरवाज़े से गुज़रता है।

आपके पास एक ऐसी वल्नरेबिलिटी हो सकती है जिसे अभी तक किसी हमलावर ने नहीं खोजा। आपके पास एक ऐसा एक्सप्लॉइट हो सकता है जो लिखा तो गया हो लेकिन तैनात न किया गया हो। ये बहुत अलग जोखिम स्तर रखते हैं और अलग प्रतिक्रियाओं की ज़रूरत होती है। अधिकांश लेख कभी यह अंतर नहीं करते, जो निराशाजनक है, क्योंकि यही पूरी बात है।

“ज़ीरो” वास्तव में कहाँ से आता है

यह नाम विक्रेता के नज़रिए से है। ज़ीरो डे का मतलब है कि विक्रेता के पास फिक्स तैयार करने के लिए शून्य दिन थे। [2]

सामान्य वल्नरेबिलिटी खोज इस तरह काम करती है: शोधकर्ता बग खोजता है → विक्रेता को रिपोर्ट करता है → विक्रेता पैच करता है → उपयोगकर्ता अपडेट करते हैं। ज़ीरो-डे पहले से तीसरे चरण को पूरी तरह छोड़ देते हैं। जब तक कंपनी में किसी को खामी के अस्तित्व का पता चलता है, तब तक इसे पहले से ही वास्तविक दुनिया में इस्तेमाल किया जा रहा होता है।

यही संरचनात्मक अंतर है। यह नहीं कि “यह वाकई बुरा बग है।” यह एक ऐसा बग है जहाँ अटैक शुरू होने से पहले डिफेंडर के पास किसी भी तरह से जवाब देने का कोई समय नहीं था [2]। असमानता पूर्ण है — हमलावर के पास सारी जानकारी है, डिफेंडर के पास कोई नहीं।

जीवनचक्र: बग से पैच तक

एक ज़ीरो-डे कहीं से नहीं आता। यह एक रास्ते का अनुसरण करता है [4]:

  1. परिचय — एक डेवलपर एक बग शिप करता है। बफर ओवरफ्लो, ऑथेंटिकेशन बाइपास, अनुचित इनपुट वैलिडेशन। यह कोडबेस में निष्क्रिय पड़ा रहता है।
  2. खोज — कोई इसे ढूंढ लेता है। एक हमलावर, एक सुरक्षा शोधकर्ता, एक खुफिया एजेंसी।
  3. शोषण — यदि खोजकर्ता दुर्भावनापूर्ण है (या किसी ऐसे व्यक्ति को बेचता है जो है), तो विक्रेता को खामी के अस्तित्व का पता चलने से पहले एक एक्सप्लॉइट बनाया और तैनात किया जाता है। यही ज़ीरो-डे विंडो है।
  4. प्रकटीकरण — वल्नरेबिलिटी सार्वजनिक हो जाती है। या तो कोई अटैक को प्रगति में पकड़ता है, एक शोधकर्ता इसे स्वतंत्र रूप से खोजता है, या विक्रेता को ज़िम्मेदार प्रकटीकरण के माध्यम से सूचित किया जाता है।
  5. पैच जारी — विक्रेता एक फिक्स शिप करता है। यही वह सटीक क्षण है जब ज़ीरो-डे ज़ीरो-डे होना बंद हो जाता है।
  6. पैच अपनाना — संगठन वास्तव में फिक्स को तैनात करते हैं। इसमें महीने लग सकते हैं।

ज़ीरो डे जीवनचक्र

बग के परिचय से व्यापक पैच अपनाने तक की औसत विंडो 312 दिन है [4]। यह किसी चीज़ के चुपचाप शोषण के लिए बहुत लंबा समय है।

ज़ीरो डे ठीक कब ज़ीरो डे होना बंद हो जाता है?

ठीक-ठीक: वह क्षण जब विक्रेता एक पैच शिप करता है और एक CVE पहचानकर्ता प्रकाशित होता है [3]।

उसके बाद, इसे एन-डे वल्नरेबिलिटी कहा जाता है — जहाँ “n” पैच जारी होने के बाद से दिनों की संख्या है। एक हफ्ते बाद, अभी भी एन-डे। एक साल बाद, अभी भी एन-डे। घड़ी ऊपर गिनती है, नीचे नहीं।

खतरा पैच आने पर खत्म नहीं होता। संगठन अपने वातावरण में सुरक्षा अपडेट तैनात करने में औसतन 60 से 150 दिन लेते हैं [4]। हमलावर उसी खामी का शोषण करते रहते हैं — अब इस बारे में पूरी सार्वजनिक दस्तावेज़ीकरण के साथ कि यह ठीक कैसे काम करती है, क्योंकि CVE विवरण सार्वजनिक हैं। यह कभी-कभी मूल ज़ीरो-डे चरण से भी बुरा होता है। एक्सप्लॉइट लोकतांत्रिक हो जाता है।

ज़ीरो-डे बनाम एन-डे: असली अंतर

ज़ीरो-डेएन-डे
पैच मौजूद है?नहींहाँ
विक्रेता को पता है?नहींहाँ
CVE प्रकाशित?नहींहाँ
इसे कौन इस्तेमाल करता है?राष्ट्र-राज्य, APT समूहPoC स्क्रिप्ट वाला कोई भी
एक्सप्लॉइट की लागतलाखों डॉलरलगभग शून्य
क्या डिफेंडर पैच कर सकता है?नहींहाँ — लेकिन अक्सर नहीं करता

ज़ीरो-डे दुर्लभ, महंगा और आमतौर पर सर्जिकल तरीके से इस्तेमाल किया जाता है [6]। एन-डे एक कमोडिटी है। एक बार जब CVE जारी होता है और GitHub पर प्रूफ-ऑफ-कॉन्सेप्ट दिखाई देता है, तो स्क्रिप्ट किडीज 24 घंटों के भीतर एक्सप्लॉइट चला सकते हैं [6]। अर्थशास्त्र पूरी तरह अलग है।

Stuxnet: एक साथ चार ज़ीरो डे जलाना आपको क्या बताता है

Stuxnet 2010 में खोजा गया था। व्यापक रूप से अमेरिका और इज़राइल को जिम्मेदार ठहराया गया, इसे ईरान के परमाणु कार्यक्रम को तोड़फोड़ करने के लिए डिज़ाइन किया गया था — विशेष रूप से यूरेनियम समृद्ध करने के लिए उपयोग किए जाने वाले सेंट्रीफ्यूज [7]।

इसने एयर-गैप्ड नेटवर्क में फैलने और Siemens औद्योगिक नियंत्रकों को दुर्भावनापूर्ण कमांड भेजने के लिए एक साथ चार अलग ज़ीरो-डे वल्नरेबिलिटी का उपयोग किया, जिसने सभी Windows को लक्षित करते हुए सेंट्रीफ्यूज को भौतिक रूप से नष्ट कर दिया [7]।

एक मैलवेयर में चार ज़ीरो-डे लगभग अनसुना था। ज़ीरो-डे महंगे हैं। आप चार को तब तक नहीं जलाते जब तक कि आपके पास लगभग असीमित संसाधन और एक अत्यंत उच्च-मूल्य लक्ष्य न हो। जब शोधकर्ताओं ने Stuxnet पाया, तो उपयोग किए गए ज़ीरो-डे की संख्या ही सबूत था कि यह एक राज्य-स्तरीय ऑपरेशन था। सामान्य मैलवेयर यह खर्च नहीं उठा सकता।

Pegasus: ज़ीरो-क्लिक का मतलब है आपने कुछ गलत नहीं किया

NSO Group का Pegasus स्पाइवेयर ज़्यादातर लोगों की सोच से आगे गया। इसने iOS ज़ीरो-डे एक्सप्लॉइट का उपयोग किया — विशेष रूप से ज़ीरो-क्लिक एक्सप्लॉइट [8]। ज़ीरो-क्लिक का मतलब है कि पीड़ित किसी लिंक पर टैप नहीं करता, कोई अटैचमेंट नहीं खोलता, बिल्कुल कुछ नहीं करता।

आपको एक iMessage मिलता है। आपका फ़ोन समझौता हो जाता है। आपको कभी पता नहीं चला कि यह हुआ।

iOS ज़ीरो-क्लिक एक्सप्लॉइट कथित तौर पर ग्रे मार्केट पर लगभग $10 मिलियन में बिकते हैं [9]। सरकारें प्राथमिक खरीदार हैं [9]। अर्थशास्त्र यह समझाता है कि अधिकांश उच्च-गुणवत्ता वाले ज़ीरो-डे अस्पतालों को लक्षित करने वाले रैनसमवेयर अभियानों में क्यों नहीं पहुँचते — वे बहुत मूल्यवान हैं, और बहुत सीमित। एक बार उपयोग होने के बाद, एक ज़ीरो-डे का पता लगाया और पैच किया जा सकता है।

प्रकटीकरण की समस्या

सुरक्षा समुदाय में इस बारे में वास्तविक तनाव है कि विवरण सार्वजनिक होने से पहले विक्रेताओं को कुछ ठीक करने के लिए कितना समय मिलना चाहिए।

Google का Project Zero एक 90+30 दिन की नीति का उपयोग करता है: विक्रेता के पैच शिप करने के लिए 90 दिन, फिर उपयोगकर्ताओं के इसे इंस्टॉल करने के लिए 30 दिन, फिर विवरण सार्वजनिक हो जाता है चाहे विक्रेता तैयार हो या न हो [10]।

तर्क: प्रकटीकरण की समय सीमाएँ विक्रेताओं को कार्य करने के लिए मजबूर करती हैं। उनके बिना, विक्रेता वर्षों तक फिक्स में देरी कर सकते हैं जबकि उपयोगकर्ता उजागर रहते हैं।

प्रति-तर्क: एक बार जब तकनीकी विवरण सार्वजनिक हो जाते हैं, तो दुनिया के हर हमलावर के पास एक ट्यूटोरियल होता है। एन-डे शोषण के लिए, एक प्रकाशित PoC शुरुआती बंदूक है।

मुझे यकीन नहीं है कि कोई भी दृष्टिकोण पूरी तरह समस्या हल करता है। Pegasus ने iOS की खामियों का शोषण Apple के पैच करने से तेज़ गति से किया। जिन पत्रकारों और कार्यकर्ताओं के फ़ोन से समझौता हुआ, वे किसी भी प्रकटीकरण समय सीमा से सुरक्षित नहीं थे।

उस चीज़ से बचाव जिसे आप आते नहीं देख सकते

सिग्नेचर-आधारित पहचान अज्ञात वल्नरेबिलिटी के खिलाफ काम नहीं करती। आप किसी ऐसे पैटर्न से मिलान नहीं कर सकते जो अभी तक मौजूद नहीं है।

यथार्थवादी बचाव व्यवहार-आधारित होने चाहिए:

  • व्यवहार निगरानी — ज्ञात मैलवेयर सिग्नेचर के बजाय असामान्य प्रक्रिया गतिविधि, लेटरल मूवमेंट और असामान्य प्रिविलेज एस्केलेशन का पता लगाएं
  • न्यूनतम-विशेषाधिकार आर्किटेक्चर — अंदर आने के बाद भी हमलावर जो एक्सेस कर सकता है उसे सीमित करें
  • नेटवर्क सेगमेंटेशन — जब कुछ शोषित होता है तो विस्फोट त्रिज्या को सीमित करें
  • वेब एप्लिकेशन फ़ायरवॉल — असामान्य अनुरोध पैटर्न को एप्लिकेशन परत तक पहुँचने से पहले ब्लॉक करें
  • आक्रामक पैच तैनाती — जिस क्षण एक ज़ीरो-डे एन-डे बनता है, आपके पास एक फिक्स उपलब्ध है। इसे तेज़ी से तैनात न करने का मतलब केवल एक प्रकाशित अटैक मैनुअल के साथ एक आसान एन-डे लक्ष्य बनना है

केवल 2024 में, 75 ज़ीरो-डे वल्नरेबिलिटी को वास्तविक दुनिया में इस्तेमाल किया गया [5]। Microsoft के पास 26, Google के पास 11, Ivanti के पास 7, Apple के पास 5 थे [5]। हर एक अंततः एक पैच किया गया CVE बन गया — और हर वह संगठन जिसने उस पैच को लागू करने में देरी की, उसने दरवाज़ा बंद करने की ज़रूरत से बहुत बाद तक खुला रखा।

ज़ीरो-डे विंडो पैच शिप होने पर समाप्त होती है। एन-डे की समस्या तुरंत बाद शुरू होती है।

समाप्त

स्रोत

  1. ज़ीरो डे अटैक क्या है? — Fortinet
  2. ज़ीरो-डे वल्नरेबिलिटी — Wikipedia
  3. वन-डे, एन-डे और ज़ीरो-डे वल्नरेबिलिटी समझाई गई — Field Effect
  4. ज़ीरो डे वल्नरेबिलिटी जीवनचक्र और 5 रक्षात्मक उपाय — Oligo Security
  5. हैलो 0-डेज़, मेरे पुराने दोस्त: 2024 ज़ीरो-डे शोषण विश्लेषण — Google Cloud Blog
  6. ज़ीरो-डे बनाम वन-डे अटैक: मुख्य अंतर समझाए गए — Secure.com
  7. Stuxnet — Wikipedia
  8. Pegasus (स्पाइवेयर) — Wikipedia
  9. ज़ीरो-डे एक्सप्लॉइट क्या है और ये खतरनाक क्यों हैं? — Proton VPN
  10. वल्नरेबिलिटी प्रकटीकरण नीति — Google Project Zero