झिरो डे अटॅक्स: ते काय आहेत आणि ते कधी संपतात

झिरो डे अटॅक्स: ते काय आहेत आणि ते कधी संपतात

मी “झिरो डे” हा शब्द डेटा उल्लंघनाच्या बातम्यांमध्ये, चित्रपटाच्या ट्रेलरमध्ये आणि विक्रेत्यांच्या मार्केटिंग ईमेलमध्ये वापरलेला पाहिला आहे. जवळजवळ नेहमीच याचा अर्थ “भयंकर हॅक” असतो. हे पूर्णपणे चुकीचे नाही — पण यामुळे नक्की ती गोष्ट चुकते जी झिरो-डेला इतर प्रत्येक अटॅकपेक्षा संरचनात्मकदृष्ट्या वेगळे बनवते. जेव्हा तुम्ही तुमचा धोका समजून घेण्याचा प्रयत्न करत असता तेव्हा ही अचूकता खरोखर महत्त्वाची असते.

तीन संज्ञा ज्या एकसारख्या नाहीत

मी हे सतत एकमेकांच्या जागी वापरलेले पाहतो. ते तसे नाहीत.

  • झिरो-डे व्हल्नरेबिलिटी: सॉफ्टवेअरमधील एक सुरक्षा त्रुटी जी विक्रेत्याला अस्तित्वात आहे हे माहीत नसते. कोणताही पॅच नाही, कोणताही CVE नाही, कोणताही इशारा नाही. [1]
  • झिरो-डे एक्स्प्लॉइट: विशिष्ट कोड किंवा तंत्र जे हल्लेखोर त्या त्रुटीचा फायदा घेण्यासाठी तयार करतो. [1]
  • झिरो-डे अटॅक: प्रत्यक्ष लाइव्ह लक्ष्याविरुद्ध त्या एक्स्प्लॉइटचा वास्तविक जगातील वापर. [1]

व्हल्नरेबिलिटी म्हणजे छिद्र. एक्स्प्लॉइट म्हणजे त्यासाठी बसणारी किल्ली. अटॅक म्हणजे कोणीतरी दाराने आत जाणे.

तुमच्याकडे अशी व्हल्नरेबिलिटी असू शकते जी कोणत्याही हल्लेखोराने अजून शोधलेली नाही. तुमच्याकडे असे एक्स्प्लॉइट असू शकते जे लिहिलेले आहे पण वापरले गेलेले नाही. या दोन्हींचे जोखीम स्तर खूप वेगळे असतात आणि त्यांना वेगवेगळ्या प्रतिसादांची आवश्यकता असते. बहुतेक लेख हा फरक कधीच करत नाहीत, जे निराशाजनक आहे, कारण हाच मूळ मुद्दा आहे.

“झिरो” खरोखर कुठून येतो

हे नाव विक्रेत्याच्या दृष्टिकोनातून आहे. झिरो डेज म्हणजे विक्रेत्याला फिक्स तयार करण्यासाठी शून्य दिवस मिळाले आहेत. [2]

सामान्य व्हल्नरेबिलिटी शोधाची प्रक्रिया अशी असते: संशोधक बग शोधतो → विक्रेत्याला सांगतो → विक्रेता पॅच करतो → वापरकर्ते अपडेट करतात. झिरो-डे पहिल्या ते तिसऱ्या टप्प्यांना पूर्णपणे वगळतो. कंपनीतील कोणाला त्रुटी अस्तित्वात आहे हे कळेपर्यंत, ती आधीच वास्तवात वापरली जात असते.

हाच संरचनात्मक फरक आहे. “हा खूप वाईट बग आहे” असे नाही. हा असा बग आहे जिथे हल्ला सुरू होण्यापूर्वी बचावकर्त्याला प्रतिसाद देण्यासाठी अजिबात वेळ मिळालेला नसतो [2]. असमतोल संपूर्ण आहे — हल्लेखोराकडे सर्व माहिती असते, बचावकर्त्याकडे काहीच नसते.

जीवनचक्र: बगपासून पॅचपर्यंत

झिरो-डे कुठूनही उगवत नाही. तो एक मार्ग अनुसरतो [4]:

  1. परिचय — एक डेव्हलपर बग शिप करतो. बफर ओव्हरफ्लो, ऑथेंटिकेशन बायपास, अयोग्य इनपुट व्हॅलिडेशन. तो कोडबेसमध्ये सुप्त राहतो.
  2. शोध — कोणीतरी ते शोधते. एक हल्लेखोर, एक सुरक्षा संशोधक, एक गुप्तचर संस्था.
  3. शोषण — जर शोधणारा दुर्भावनापूर्ण असेल (किंवा तसे असलेल्या कोणाला विकतो), तर विक्रेत्याला त्रुटी अस्तित्वात आहे हे कळण्यापूर्वी एक्स्प्लॉइट तयार केले जाते आणि वापरले जाते. हीच झिरो-डे विंडो आहे.
  4. प्रकटीकरण — व्हल्नरेबिलिटी सार्वजनिक होते. एकतर कोणीतरी चालू असलेला हल्ला पकडतो, एक संशोधक स्वतंत्रपणे ते शोधतो, किंवा जबाबदार प्रकटीकरणाद्वारे विक्रेत्याला सूचित केले जाते.
  5. पॅच रिलीज — विक्रेता फिक्स शिप करतो. हाच तो नक्की क्षण आहे जेव्हा झिरो-डे झिरो-डे असणे थांबतो.
  6. पॅच अवलंब — संस्था प्रत्यक्षात फिक्स लागू करतात. याला महिने लागू शकतात.

zero day lifecycle

बग परिचयापासून व्यापक पॅच अवलंबापर्यंतची सरासरी विंडो ३१२ दिवस आहे [4]. शांतपणे शोषण होण्यासाठी हा बराच मोठा वेळ आहे.

झिरो डे नक्की कधी झिरो डे असणे थांबतो?

नक्कीपणे: जेव्हा विक्रेता पॅच शिप करतो आणि CVE ओळखकर्ता प्रकाशित होतो [3] तो क्षण.

त्यानंतर, याला एन-डे व्हल्नरेबिलिटी म्हणतात — जेथे “n” म्हणजे पॅच रिलीज झाल्यापासूनच्या दिवसांची संख्या. एक आठवड्यानंतर, अजूनही एन-डे. एक वर्षानंतर, अजूनही एन-डे. घड्याळ वाढत राहते, कमी होत नाही.

पॅच आल्यावर धोका निघून जात नाही. संस्थांना त्यांच्या वातावरणात सुरक्षा अपडेट प्रत्यक्षात लागू करण्यासाठी सरासरी ६० ते १५० दिवस लागतात [4]. हल्लेखोर त्याच त्रुटीचे शोषण करत राहतात — आता ते नक्की कसे काम करते याच्या संपूर्ण सार्वजनिक दस्तऐवजीकरणासह, कारण CVE तपशील सार्वजनिक आहेत. हे कधीकधी मूळ झिरो-डे टप्प्यापेक्षाही वाईट असते. एक्स्प्लॉइट लोकशाहीकृत होतो.

झिरो-डे विरुद्ध एन-डे: खरा फरक

झिरो-डेएन-डे
पॅच अस्तित्वात आहे?नाहीहोय
विक्रेत्याला माहीत आहे?नाहीहोय
CVE प्रकाशित झाले?नाहीहोय
कोण वापरतो?राष्ट्र-राज्ये, APT गटPoC स्क्रिप्ट असलेले कोणीही
एक्स्प्लॉइटची किंमतलाखो डॉलर्सजवळजवळ शून्य
बचावकर्ता पॅच करू शकतो?नाहीहोय — पण अनेकदा करत नाही

झिरो-डे दुर्मिळ, महाग आणि सामान्यतः शल्यचिकित्सकाप्रमाणे अचूकपणे वापरला जातो [6]. एन-डे एक वस्तू आहे. एकदा CVE जाहीर झाला आणि GitHub वर प्रूफ-ऑफ-कॉन्सेप्ट दिसला की, स्क्रिप्ट किड्डीज २४ तासांत एक्स्प्लॉइट चालवू शकतात [6]. अर्थशास्त्र पूर्णपणे वेगळे आहे.

स्टक्सनेट: एकाच वेळी चार झिरो डेज वापरणे तुम्हाला काय सांगते

स्टक्सनेट २०१० मध्ये सापडला. अमेरिका आणि इस्राईलला व्यापकपणे श्रेय दिलेले, ते इराणच्या अणु कार्यक्रमाला — विशेषतः युरेनियम समृद्ध करण्यासाठी वापरल्या जाणाऱ्या सेंट्रीफ्यूजना — नुकसान पोहोचवण्यासाठी डिझाइन केले गेले होते [7].

त्याने एअर-गॅप्ड नेटवर्कमध्ये पसरण्यासाठी आणि सेंट्रीफ्यूजना शारीरिकरित्या नष्ट करणाऱ्या सीमेन्स इंडस्ट्रियल कंट्रोलर्सना दुर्भावनापूर्ण आदेश पाठवण्यासाठी चार स्वतंत्र झिरो-डे व्हल्नरेबिलिटीज एकाचवेळी वापरल्या, सर्व विंडोजला लक्ष्य करत [7].

एकाच मालवेअरमध्ये चार झिरो-डेज जवळजवळ अनुश्रुत होते. झिरो-डे महाग असतात. जोपर्यंत तुमच्याकडे जवळजवळ असीमित संसाधने आणि अत्यंत उच्च-मूल्याचे लक्ष्य नसेल तोपर्यंत तुम्ही त्यांपैकी चार वापरत नाही. जेव्हा संशोधकांना स्टक्सनेट सापडला, तेव्हा वापरलेल्या झिरो-डेजची संख्या स्वतःच पुरावा होती की हे राज्य-स्तरीय ऑपरेशन होते. सामान्य मालवेअर हे परवडू शकत नाही.

पेगासस: झिरो-क्लिक म्हणजे तुम्ही काहीच चुकीचे केले नाही

NSO ग्रुपचे पेगासस स्पायवेअर बहुतेक लोकांना वाटते त्यापेक्षा पुढे गेले. त्याने iOS झिरो-डे एक्स्प्लॉइट्स वापरले — विशेषतः झिरो-क्लिक एक्स्प्लॉइट्स [8]. झिरो-क्लिक म्हणजे पीडित व्यक्ती लिंकवर टॅप करत नाही, अटॅचमेंट उघडत नाही, काहीही करत नाही.

तुम्हाला एक iMessage येतो. तुमचा फोन धोक्यात आलेला असतो. तुम्हाला कधीच कळत नाही की हे घडले.

iOS झिरो-क्लिक एक्स्प्लॉइट्स ग्रे मार्केटवर $१ कोटींच्या जवळ विकतात असे सांगितले जाते [9]. सरकारे प्राथमिक खरेदीदार आहेत [9]. अर्थशास्त्र स्पष्ट करते की बहुतेक उच्च-गुणवत्तेचे झिरो-डे रुग्णालयांना लक्ष्य करणाऱ्या रॅन्समवेअर मोहिमांमध्ये का संपत नाहीत — ते खूप मौल्यवान आहेत, आणि खूप मर्यादित. एकदा वापरल्यानंतर, झिरो-डे शोधला जाऊ शकतो आणि पॅच केला जाऊ शकतो.

प्रकटीकरण समस्या

सुरक्षा समुदायात खरोखरच तणाव आहे की तपशील सार्वजनिक होण्यापूर्वी विक्रेत्यांना काहीतरी दुरुस्त करण्यासाठी किती वेळ मिळायला हवा.

Google चे Project Zero ९०+३० दिवसांचे धोरण वापरते: विक्रेत्यासाठी पॅच शिप करण्यासाठी ९० दिवस, नंतर वापरकर्त्यांसाठी ते स्थापित करण्यासाठी ३० दिवस, नंतर विक्रेता तयार आहे की नाही याची पर्वा न करता तपशील सार्वजनिक होतात [10].

तर्कशास्त्र: प्रकटीकरण अंतिम तारखा विक्रेत्यांना कार्य करण्यास भाग पाडतात. त्यांच्याशिवाय, विक्रेते वर्षानुवर्षे दुरुस्ती विलंबित करू शकतात तर वापरकर्ते उघडे राहतात.

प्रतिवाद: एकदा तांत्रिक तपशील सार्वजनिक झाल्यावर, जगातील प्रत्येक हल्लेखोराकडे एक ट्यूटोरियल असतो. एन-डे शोषणासाठी, प्रकाशित PoC हा स्टार्टिंग गन आहे.

मला खात्री नाही की कोणताही दृष्टिकोन पूर्णपणे समस्या सोडवतो. पेगासस ने Apple च्या पॅच करण्यापेक्षा वेगाने iOS त्रुटींचे शोषण केले. ज्या पत्रकारांचे आणि कार्यकर्त्यांचे फोन धोक्यात आले ते कोणत्याही प्रकटीकरण टाइमलाइनद्वारे संरक्षित नव्हते.

जे तुम्हाला येताना दिसत नाही त्यापासून बचाव

सिग्नेचर-आधारित शोध अज्ञात व्हल्नरेबिलिटीजविरुद्ध काम करत नाही. तुम्ही अशा पॅटर्नशी जुळवू शकत नाही जो अद्याप अस्तित्वात नाही.

व्यावहारिक संरक्षण वर्तणुकीवर आधारित असावे:

  • वर्तणूक निरीक्षण — ज्ञात मालवेअर सिग्नेचरऐवजी असामान्य प्रक्रिया क्रियाकलाप, लॅटरल मूव्हमेंट आणि विसंगत विशेषाधिकार वाढ शोधा
  • किमान-विशेषाधिकार आर्किटेक्चर — हल्लेखोर आत आल्यानंतरही तो काय ऍक्सेस करू शकतो ते मर्यादित करा
  • नेटवर्क विभाजन — जेव्हा काहीतरी शोषले जाते तेव्हा नुकसानाची व्याप्ती मर्यादित करा
  • वेब अप्लिकेशन फायरवॉल्स — विसंगत विनंती पॅटर्न ऍप्लिकेशन लेयरपर्यंत पोहोचण्यापूर्वी ब्लॉक करा
  • आक्रमक पॅच लागू करणे — ज्या क्षणी झिरो-डे एन-डे बनतो, तुमच्याकडे फिक्स उपलब्ध असतो. ते लवकर लागू न केल्याने तुम्ही प्रकाशित हल्ल्याच्या मॅन्युअलसह सहज एन-डे लक्ष्य बनता

केवळ २०२४ मध्ये, ७५ झिरो-डे व्हल्नरेबिलिटीज प्रत्यक्षात वापरल्या गेल्या [5]. Microsoft कडे २६ होत्या, Google कडे ११, Ivanti कडे ७, Apple कडे ५ [5]. प्रत्येक एक शेवटी पॅच केलेली CVE बनली — आणि प्रत्येक संस्थेने ज्याने तो पॅच लागू करण्यास विलंब केला त्याने दार आवश्यकतेपेक्षा खूप उशिरापर्यंत उघडे ठेवले.

झिरो-डे विंडो पॅच शिप होते तेव्हा संपते. एन-डे समस्या लगेच नंतर सुरू होते.

समाप्त

स्रोत

  1. झिरो डे अटॅक म्हणजे काय? — Fortinet
  2. झिरो-डे व्हल्नरेबिलिटी — Wikipedia
  3. वन-डे, एन-डे आणि झिरो-डे व्हल्नरेबिलिटीज स्पष्ट केल्या — Field Effect
  4. झिरो डे व्हल्नरेबिलिटी जीवनचक्र आणि ५ बचावात्मक उपाय — Oligo Security
  5. हॅलो ०-डेज, माझे जुने मित्र: २०२४ झिरो-डे शोषण विश्लेषण — Google Cloud Blog
  6. झिरो-डे विरुद्ध वन-डे अटॅक: मुख्य फरक स्पष्ट केले — Secure.com
  7. Stuxnet — Wikipedia
  8. Pegasus (स्पायवेअर) — Wikipedia
  9. झिरो-डे एक्स्प्लॉइट म्हणजे काय आणि ते धोकादायक का आहेत? — Proton VPN
  10. व्हल्नरेबिलिटी प्रकटीकरण धोरण — Google Project Zero