content/fi-fi/images/repository/isc/2021/zero-day-exploit-1.jpg

Nollapäivän merkitys ja määritelmä

"Nollapäivä" on laaja termi, joka kuvailee hiljattain havaittuja tietoturvan haavoittuvuuksia, joita hakkerit voivat käyttää hyökätäkseen järjestelmiin. Termi "nollapäivä" viittaa siihen, että toimittaja tai kehittäjä on aivan juuri huomannut vian, eli hänellä on "nolla päivää" korjata se. Nollapäivähyökkäys tapahtuu, kun hakkerit käyttävät tietoturva-aukkoa hyväkseen ennen kuin kehittäjillä on mahdollisuus korjata se.

Joskus nollapäivä kirjoitetaan 0-päivä. Nollapäivän yhteydessä mainitaan yleensä sanat haavoittuvuus, aukkoa hyödyntävä haittakoodi ja hyökkäys. Niiden erot on hyvä ymmärtää.

  • Nollapäivähaavoittuvuus on ohjelmiston haavoittuvuus, jonka hakkerit löytävät ennen kuin tuotteen toimittaja on siitä tietoinen. Koska toimittaja ei tiedä haavoittuvuudesta, siihen ei ole olemassa korjaustiedostoa, joten hyökkäykset onnistuvat todennäköisemmin.
  • Nollapäivän aukkoa hyödyntävä haittakoodi on menetelmä, jolla hakkerit hyökkäävät järjestelmiin käyttäen aiemmin tunnistamatonta haavoittuvuutta.
  • Nollapäivähyökkäys tarkoittaa, että nollapäivän aukkoa hyödynnetään vahingon tuottamiseksi tai datan varastamiseksi järjestelmästä, jossa haavoittuvuus on.

Mitä nollapäivähyökkäykset ovat ja kuinka ne toimivat?

Ohjelmistossa on usein haavoittuvuuksia, joita hakkerit hyödyntävät aiheuttaakseen vahinkoa. Ohjelmistokehittäjät etsivät aina haavoittuvuuksia, jotka pitää korjata, eli he kehittävät ratkaisuja, jotka julkaistaan osana päivitystä.

Joskus hakkerit tai haitalliset osapuolet havaitsevat haavoittuvuuden ennen ohjelmistokehittäjiä. Kun haavoittuvuus on edelleen avoin, hyökkääjät voivat kirjoittaa koodin ja ottaa sen käyttöön hyödyntääkseen haavoittuvuutta. Tätä kutsutaan hyväksikäyttökoodiksi.

Hyväksikäyttökoodin vuoksi ohjelmiston käyttäjät voivat joutua esim. henkilöllisyysvarkauden tai muiden kyberrikosten uhreiksi. Kun hyökkääjät tunnistavat nollapäivähaavoittuvuuden, heidän pitää löytää tapa päästä käsiksi järjestelmään, jossa haavoittuvuus on olemassa. Se tehdään usein sosiaalisella manipuloinnilla. Hyökkääjä lähettää sähköpostin tai muun viestin, joka vaikuttaa tulevan tunnetulta tai aidolta yhteyshenkilöltä. Viesti pyrkii vakuuttamaan käyttäjän suorittamaan toimia, kuten avaamaan tiedoston tai käymään haitallisella verkkosivulla. Se lataa hyökkääjän haittaohjelman, joka soluttautuu käyttäjän tiedostoihin ja varastaa luottamuksellisia tietoja.

Kun haavoittuvuus tulee julki, kehittäjät yrittävät korjata sen hyökkäyksen pysäyttämiseksi. Tietoturvahaavoittuvuuksia ei kuitenkaan yleensä löydetä saman tien. Joskus kestää päiviä, viikkoja tai jopa kuukausia ennen kuin kehittäjät tunnistavat haavoittuvuuden, joka johti hyökkäykseen. Kun nollapäivän korjaustiedosto julkaistaan, kaikki käyttäjät eivät asenna sitä nopeasti. Viime vuosina hakkerit ovat käyttäneet haavoittuvuuksia hyväksi nopeammin niiden löytämisen jälkeen.

Haavoittuvuuksia voidaan myydä pimeässä verkossa suurista rahasummista. Kun haavoittuvuus on löydetty ja korjattu, siihen ei enää viitata nimellä nollapäivän uhka.

Nollapäivähyökkäykset ovat erityisen vaarallisia, koska vain hyökkääjät itse tietävät niistä. Kun rikolliset ovat soluttautuneet verkkoon, he voivat joko hyökätä välittömästi tai odottaa kaikkien edullisinta hetkeä hyökätä.

Kuka tekee nollapäivähyökkäyksiä?

Nollapäivähyökkäysten haitalliset tekijät lukeutuvat moniin eri luokkiin motivaationsa perusteella. Esimerkiksi:

  • Kyberrikolliset ovat hakkereita, joiden motivaationa on yleensä taloudellinen hyöty.
  • Haktivistit ovat poliittisen tai sosiaalisen aatteen motivoimia hakkereita. He haluavat hyökkäysten saavan julkisuutta ja lisätä siten aatteen huomiota.
  • Yritysvakoilu on kyseessä, kun hakkerit vakoilevat yrityksiä saadakseen niitä koskevia tietoja.
  • Kybersodassa valtiot tai poliittiset tekijät vakoilevat tai hyökkäävät toisen valtion kyberinfrastruktuuriin.

Ketkä joutuvat nollapäivähaavoittuvuuksia hyödyntävien hyökkäysten kohteiksi?

Nollapäivähakkerointi voi käyttää monenlaisten järjestelmien haavoittuvuuksia. Niihin sisältyvät:

  • käyttöjärjestelmät 
  • verkkoselaimet 
  • Office-sovellukset
  • avoimen lähdekoodin osat
  • laitteisto ja laiteohjelmisto
  • esineiden internet. 

Uhriksi saattavat siis joutua mm.:

  • Yksityishenkilöt, jotka käyttävät tietoturva-aukon sisältävää järjestelmää, kuten verkkoselainta tai käyttöjärjestelmää. Hakkerit voivat käyttää hyväksi tietoturvan haavoittuvuuksia hyökätäkseen laitteisiin tai rakentaakseen laajoja bottiverkkoja.
  • Yksityishenkilöt, jotka käyttävät arvokkaita liiketoimintatietoja, kuten immateriaalioikeuksia.
  • Laitteet, laiteohjelmistot ja esineiden internet
  • Suuryritykset ja organisaatiot
  • Valtion virastot
  • Poliittiset kohteet ja kansalliset turvallisuusuhat

Nollapäivähyökkäykset voidaan jaotella kohdistettuihin ja kohdistamattomiin hyökkäyksiin.

  • Kohdistetut nollapäivähyökkäykset kohdistetaan potentiaalisesti arvokkaisiin kohteisiin, kuten suuryrityksiin, valtion virastoihin tai tunnettuihin yksityishenkilöihin.
  • Kohdistamattomat nollapäivähyökkäykset suoritetaan tyypillisesti haavoittuvien järjestelmien, kuten käyttöjärjestelmän tai verkkoselaimen käyttäjiä kohtaan.

Vaikka hyökkääjät eivät kohdistaisikaan iskujaan tiettyihin henkilöihin, nollapäivähyökkäykset voivat vaikuttaa moniin ihmisiin, jotka kärsivät niiden sivuvaikutuksista. Kohdistamattomat hyökkäykset pyrkivät tavoittamaan mahdollisimman monia käyttäjiä, jolloin keskivertokäyttäjän data saattaa kärsiä.

Kuinka nollapäivähyökkäys tunnistetaan

Nollapäivähaavoittuvuuksia voi olla vaikea havaita, koska ne voivat olla monen tyyppisiä, kuten puuttuva tietojen salaus, puuttuva valtuutus, rikkonainen algoritmi, bugi, salasanojen turvallisuusongelmat jne. Tämän tyyppisten haavoittuvuuksien luonteen vuoksi tarkkoja tietoja nollapäivähaavoittuvuuksista on saatavilla vasta, kun haavoittuvuus on tunnistettu.

Hyökkäyksen kohteeksi joutuneet organisaatiot voivat huomata odottamatonta liikennettä tai asiakkaan tai palvelun suorittamia epäilyttäviä tarkistuksia. Nollapäivän tunnistustekniikoita ovat mm. seuraavat:

  1. Olemassa olevien haittaohjelmien tietokantojen ja niiden toimintatapojen käyttö viitteenä. Vaikka näitä tietokantoja päivitetään erittäin nopeasti ja ne voivat olla hyödyllisiä viitteitä, nollapäivähyökkäykset ovat määritelmän mukaan uusia ja tuntemattomia. Olemassa olevan tietokannan tarjoama apu on siis rajallista.
  2. Vaihtoehtoisesti, jotkin tekniikat etsivät nollapäivähaittaohjelman ominaisuuksia sen mukaan, kuinka ne ovat vuorovaikutuksessa kohdejärjestelmän kanssa. Saapuvien tiedostojen koodin tarkastelun sijaan tämä tekniikka tutkii vuorovaikutusta olemassa olevan ohjelmiston kanssa. Se pyrkii määrittämään, onko vuorovaikutus peräisin haitallisista toimista.
  3. Koneoppimista käytetään lisääntyvissä määrin tunnistamaan aiemmin tallennettujen hyökkäysten dataa. Näin määritetään järjestelmän turvallisen käyttäytymisen perustaso menneisiin ja nykyisiin järjestelmän vuorovaikutustietoihin perustuen. Mitä enemmän dataa on saatavilla, sitä luotettavampaa tunnistuksesta tulee.

Usein käytetään eri tunnistusmenetelmien yhdistelmää.

Nollapäiväuhat

Esimerkkejä nollapäivähyökkäyksistä

Esittelemme seuraavaksi joitakin viimeaikaisia esimerkkejä nollapäivähyökkäyksistä.

2021: Chromen nollapäivähaavoittuvuus

Vuonna 2021 Googlen Chrome kärsi useista nollapäiväuhista, jotka johtivat Chromen julkaisemiin päivityksiin. Haavoittuvuus johtui bugista, jota V8 JavaScript-moottori käytti verkkoselaimessa.

2020: Zoom

Suositussa videokonferenssialustassa havaittiin haavoittuvuus. Tässä nollapäivähyökkäyksessä hakkerit käyttivät etäältä käyttäjien tietokoneita, jos koneissa oli Windowsin vanhempi versio. Jos kohde oli järjestelmänvalvoja, hakkeri pystyi ottamaan hänen koneensa täysin haltuun ja käyttämään kaikkia hänen tiedostojaan.

2020: Apple iOS

Applen iOS-käyttöjärjestelmää kuvaillaan usein turvallisimmaksi tunnettujen älypuhelinten alustaksi. Se kuitenkin joutui vuonna 2020 kahden iOS:n nollapäivähaavoittuvuutta hyödyntävän hyökkäyksen uhriksi. Haavoittuvuus sisälsi nollapäiväbugin, jolla hyökkääjät saivat iPhonet käyttöönsä etäältä.

2019: Microsoft Windows, Itä-Eurooppa

Tämä hyökkäys kohdistui paikallisiin eskalaatioetuoikeuksiin, jotka ovat Microsoft Windowsin haavoittuva osa. Hyökkäys kohdistui Itä-Euroopan valtion laitoksiin. Nollapäivähyökkäys käytti hyväkseen Microsoft Windowsin paikallista etuoikeuksien haavoittuvuutta suorittaakseen keinotekoista koodia, asentaakseen sovelluksia ja katsellakseen ja muuttaakseen vaarantuneiden sovellusten dataa. Kun hyökkäys tunnistettiin ja raportoitiin Microsoft Security Response Centerille, korjaustiedosto kehitettiin ja julkaistiin.

2017: Microsoft Word

Nollapäivähyökkäys vaaransi henkilökohtaisia pankkitilejä. Uhreiksi joutuneet ihmiset olivat tahattomasti avanneet haitallisen Word-dokumentin. Dokumentti toi käyttäjän näyttöön "lataa etäsisältöä" -kehotteen, joka pyysi ulkoista käyttöoikeutta toisesta ohjelmasta. Kun uhri klikkasi "kyllä", dokumentti asensi hänen laitteeseensa haittaohjelman, joka pystyi tallentamaan pankkitilin kirjautumistiedot.

Stuxnet

Yksi tunnetuimmista nollapäivähyökkäysten esimerkeistä oli Stuxnet. Se havaittiin ensimmäistä kertaa vuonna 2010, mutta sen juuret johtivat vuoteen 2005. Tämä haitallinen tietokonemato vaaransi tuotantoalan tietokoneita, joissa oli käytössä ohjelmoitava logiikkaohjainohjelmisto. Ensisijainen kohde olivat Iranin uraaninrikastuslaitokset maan ydinohjelman keskeyttämiseksi. Mato tartutti ohjelmoitavat logiikkaohjaimet Siemens Step7 -ohjelmiston haavoittuvuuksien välityksellä ja suoritti odottamattomia komentoja koneiston kokoonpanolinjalla. Stuxnetin tarinasta tehtiin myöhemmin dokumenttielokuva nimeltä Sota tietoverkossa.

Kuinka voit suojautua nollapäivähyökkäyksiä vastaan

Suojautuakseen nollapäivähyökkäyksiltä ja pitääkseen tietokoneensa ja datansa turvassa sekä yksityishenkilöiden että organisaatioiden on tärkeää noudattaa parhaita kyberturvallisuuskäytäntöjä. Niitä ovat mm.:

Pidä kaikki ohjelmistot ja käyttöjärjestelmät päivitettynä. Toimittajat sisällyttävät uusimpiin päivityksiinsä korjaustiedostoja, jotka korjaavat vasta havaitut haavoittuvuudet. Päivitys lisää turvallisuutta.

Käytä vain oleellisia sovelluksia. Mitä enemmän ohjelmistoja sinulla on, sitä alttiimpi olet haavoittuvuuksille. Voit vähentää verkostosi riskiä käyttämällä vain tarpeellisia sovelluksia.

Käytä palomuuria. Palomuurilla on oleellinen rooli järjestelmän suojaamisessa nollapäivän uhkia vastaan. Voit varmistaa parhaan mahdollisen suojauksen määrittämällä sen sallimaan vain tarpeelliset toiminnot.

Kouluta organisaation käyttäjät. Monet nollapäivähyökkäykset hyödyntävät ihmisten tekemiä virheitä. Kun koulutat työntekijät ja käyttäjät noudattamaan hyviä tietoturva- ja turvallisuuskäytäntöjä, he pysyvät turvassa verkossa. Samalla suojaat organisaatiota nollapäivähyökkäyksiltä ja muilta digitaalisilta uhilta.

Käytä kattavaa virustorjuntaratkaisua. Kaspersky Total Security auttaa sinua pitämään laitteesi turvassa estämällä tunnetut ja tuntemattomat uhat.

Aiheeseen liittyvät artikkelit:

Mikä nollapäivähyökkäys on? Määritelmä ja selitys

Mikä on nollapäivä ja mitä ovat nollapäivähaavoittuvuudet, -haittakoodit ja -hyökkäykset? Opi nollapäivästä, mukaan lukien nollapäivän tunnistus ja esto.
Kaspersky Logo