content/sv-se/images/repository/isc/2021/zero-day-exploit-1.jpg

Dag noll, betydelse och definition

"Dag noll" är en bred term som beskriver nyupptäckta sårbarheter som hackare kan använda för att angripa system. Termen "dag noll" refererar till att leverantören eller utvecklaren precis har fått reda på sårbarheten – vilket betyder att de har ”noll dagar” på sig att lösa det. En dagnollattack inträffar när hackare utnyttjar luckan innan utvecklarna har haft en chans att täppa till den.

Dag noll skrivs på engelska som zero-day och ibland som 0-day. Orden sårbarhet, kryphål och attack eller angrepp används ofta tillsammans med nolldag, och det kan vara till hjälp om man känner till skillnaden:

  • En dagnollsårbarhet är en sårbarhet i programvara som upptäcks av angripare innan leverantören är medveten om den. Eftersom leverantörerna inte känner till dem finns det ingen uppdatering för nolldagssårbarheter, vilket gör att angrepp har stor sannolikhet att lyckas.
  • Ett dagnollkryphål är den metod hackare använder för att angripa systems med en tidigare okänd sårbarhet.
  • En dagnollattack, eller ett dagnollangrepp, är användningen av ett dagnollkryphål för att skada eller stjäla data från ett system som påverkas av en sårbarhet.

Vad är dagnollattacker och hur fungerar dagnollattacker?

Programvara har ofta sårbarheter som hackare kan utnyttja för att orsaka problem. Programutvecklare letar alltid efter sårbarheter att "patcha" – alltså att utveckla en lösning som de släpper som en ny uppdatering.

Men ibland hittar hackare eller andra illvilliga aktörer sårbarheten innan programutvecklarna gör det. Så länge sårbarheten är öppen kan angripare skriva och kompilera kod som utnyttjar den. Detta kallas "exploit code", kryphålskod.

Kryphålskoden kan leda till att programvarans användare blir offer – till exempel genom identitetskapning eller andra cyberbrott. När angripare har identifierat en nolldagssårbarhet behöver de ett sätt att nå det sårbara systemet. De gör ofta detta med ett mejl med social manipulering – det vill säga ett mejl eller något annat meddelande som tycks vara från en känd eller legitim avsändare, men som i verkligheten är från angriparen. Meddelandet försöker övertyga användaren att utföra en åtgärd som att öppna en fil eller gå till en skadlig webbplats. När man gör det laddas angriparens skadliga kod ned, som infiltrerar användarens filer och stjäl hemliga data.

När en sårbarhet blir känd försöker utvecklarna skriva en programkorrigering som stoppar attacken. Men sårbarheter upptäcks ofta inte omedelbart. Det kan ta dagar, veckor eller till och med månader innan utvecklarna identifierar den sårbarhet som ledde till attacken. Och även när en dagnollkorrigering släpps, är det inte alla användare som är snabba med att implementera den. De senaste åren har hackare varit snabbare med att utnyttja sårbarheter en kort tid efter att de upptäckts.

Kryphål kan säljas på den mörka webben för stora belopp. När ett kryphål upptäckts och täppts till, kallas det inte längre ett dagnollhot.

Dagnollattacker är särskilt farliga eftersom de enda som känner till dem är hackarna själva. När de har infiltrerat ett nätverk kan brottslingarna antingen angripa omedelbart eller sitta och vänta på ett lämpligt tillfälle.

Vem utför dagnollattacker?

Illvilliga aktörer som utför dagnollattacker faller i olika kategorier, beroende på deras motivation. Exempel:

  • Cyberbrottslingar – hackare som oftast motiveras av ekonomisk vinning
  • Hacktivister – hackare som motiveras av en politisk eller social fråga och som vill att attackerna ska vara synliga så att deras fråga uppmärksammas
  • Företagsspionage – hackare som spionerar på företag för att samla in information om dem
  • Cyberkrigföring – länder eller politiska aktörer som spionerar på eller angriper cyberinfrastrukturen i ett annat land

Vilka är måltavlor för dagnollattacker?

En dagnollattack kan utnyttja sårbarheter i många olika system, bland annat:

Resultatet är att det finns ett brett spektrum av potentiella offer:

  • Personer som använder ett sårbart system, till exempel en webbläsare eller ett operativsystem Hackare kan använda sårbarheter för att göra intrång i enheter och bygga stora botnät
  • Personer som har tillgång till värdefulla affärsdata, till exempel immateriell egendom
  • Maskinvaruenheter, fast programvara och Sakernas internet
  • Stora företag och organisationer
  • Myndigheter
  • Politiska måltavlor och/eller hot mot nationell säkerhet

Det kan vara bra att skilja på målinriktade och icke målinriktade dagnollattacker:

  • Målinriktade dagnollattacker utförs mot potentiellt värdefulla måltavlor – till exempel stora organisationer, myndigheter eller individer med hög profil.
  • Icke målinriktade dagnollattacker utförs normalt mot de som använder sårbara system, till exempel ett operativsystem eller en webbläsare.

Även när angripare inte riktar sig mot specifika individer kan många människor påverkas av dagnollattacker, ofta som sekundära skador. Icke målinriktade attacker försöker komma åt så många användare som möjligt, vilket betyder att vanliga användares data kan påverkas.

Hur man identifierar dagnollattacker

Eftersom dagnollsårbarheter kan ha olika former – till exempel datakryptering som saknas, auktorisering som saknas, felaktiga algoritmer, programfel, problem med lösenordssäkerhet och så vidare – kan de vara svåra att identifiera. På grund av dessa sårbarheters natur kan detaljerad information om dagnollkryphål bara vara tillgänglig när kryphålet identifierats.

Organisationer som utsätts för en dagnollattack kan se oväntad trafik eller misstänkt sökningsaktivitet som kommer från en kund eller en tjänst. Teknik för identifiering av dagnollhot är bland annat:

  1. Använda befintliga databaser med skadlig kod och hur den uppträder som referens. Även om dessa databaser uppdateras mycket snabbt och kan vara användbara som referenspunkt är dagnollkryphål per definition nya och okända. Så det finns en gräns för hur mycket du kan få reda på från en befintlig databas.
  2. Annan teknik för att leta efter egenskaper som kännetecknar dagnollprogram baseras på hur de interagerar med det system som utgör måltavla. Istället för att granska koden i inkommande filer tittar den här tekniken på hur de samverkar med befintliga program, och försöker avgöra om detta är ett resultat av illvilliga åtgärder.
  3. Maskininlärning används allt mer för att identifiera data från tidigare registrerade angrepp för att upprätta en mall för säkert systemuppträdande baserat på data från tidigare och aktuell samverkan med systemet. Ju mer data som är tillgängliga, desto mer tillförlitlig blir identifieringen.

Ofta används en hybrid av olika avkänningssystem.

Dagnollhot

Exempel på dagnollattacker

Exempel på dagnollattacker som inträffat nyligen är bland annat:

2021: nolldagssårbarhet i Chrome

2021 drabbades Googles webbläsare Chrome av en serie dagnollhot, vilket gjorde att Chrome distribuerade uppdateringar. Sårbarheten kom från en bugg i den V8 JavaScript-motor som användes i webbläsaren.

2020: Zoom

En sårbarhet hittades i den populära videokonferensplattformen. Detta exempel på dagnollattack gjorde att hackare kunde komma åt en användares dator på avstånd om de använde en äldre version av Windows. Om måltavlan var en administratör kunde hackaren ta över datorn helt och hållet och komma åt alla filer.

2020: Apple iOS

Apples iOS beskrivs ofta som den säkraste av de vanligaste smartphoneplattformarna. Men 2020 drabbades den av minst två olika dagnollsårbarheter i iOS, inklusive ett dagnollprogramfel som gjorde att angripare kunde komma in i iPhones på avstånd.

2019: Microsoft Windows i Östeuropa

Denna attack fokuserade på lokal privilegieeskalering, en sårbar del av Microsoft Windows, och riktade sig mot myndigheter i Östeuropa. Dagnollkryphålet missbrukade en sårbarhet med lokala privilegier i Microsoft Windows för att köra godtycklig kod och installera program, och visa och ändra data i program som utsatts för intrång. När attacken identifierats och rapporterats till Microsoft Security Response Center kunde en programkorrigering utvecklas och distribueras.

2017: Microsoft Word

Detta dagnollkryphål röjde personliga bankkonton. Offren var människor som intet ont anande öppnade ett skadligt Word-dokument. Dokumentet visade en uppmaning att "ladda ned fjärrinnehåll", och visade användarna en meddelanderuta från ett annat program som begärde extern åtkomst. När offren klickade på "Ja" installerade dokumentet skadlig kod på deras enhet, som sedan kunde samla in inloggningsinformation till banker.

Stuxnet

Ett av de mest välkända exemplen på en dagnollattack var Stuxnet. Den upptäcktes 2010 men hade rötter ända tillbaka till 2005. Det var en datormask som påverkade datorer inom tillverkningsindustrin som körde programvara för programmerbara styrsystem (Programmable Logic Controller, PLC). Den primära måltavlan var Irans urananrikningsanläggningar för att störa landets nukleära program. Masken infekterade PLC-enheterna via sårbarheter i Siemens Step7-programvara, så att PLC-enheterna utförde oväntade kommandon för maskiner i monteringsprocessen. Historien om Stuxnet blev sedan en dokumentär med namnet Zero Days.

Hur man skyddar sig mot dagnollattacker

För dagnollskydd och för att hålla din dator och dina data säkra måste både enskilda och organisationer följa bästa praxis för cybersäkerhet. Detta innefattar:

Håll all programvara och alla operativsystem uppdaterade. Detta beror på att leverantörerna släpper säkerhetskorrigeringar som täpper till nyupptäckta sårbarheter i nya versioner. Om du håller dig uppdaterad är du säkrare.

Använd bara program som verkligen behövs. Ju mer programvara du har, desto fler potentiella sårbarheter har du. Du kan minska risken för nätverket genom att bara använda de program du behöver.

Använd en brandvägg. En brandvägg spelar en viktig roll i skyddet av ditt system mot dagnollhot. Du kan säkerställa maximalt skydd genom att konfigurera den så att den bara tillåter nödvändiga transaktioner.

Utbilda användare inom organisationen. Många dagnollattacker utnyttjar mänskliga fel. Att lära anställda och användare goda säkerhetsvanor hjälper till att hålla dem säkra online och skydda organisationer mot dagnollkryphål och andra digitala hot.

Använd en heltäckande antiviruslösning. Kaspersky Total Security hjälper till att hålla dina enheter säkra genom att blockera kända och okända hot.

Relaterade artiklar:

Vad är en dagnollattack? - Definition och förklaring

Vad är dag noll och vad är dagnollattacker? Läs om dag noll, inklusive identifiering och förebyggande av dagnollattacker.
Kaspersky Logo