Zero-day Vulnerability

در میان انواع تهدیدات امنیتی، آسیب‌پذیری‌هایی از جنسZero-day از پتانسیل تخریب بالایی برخوردارند چرا که در این نوع حملات، زمان بسیار اندکی جهت بررسی و شناخت نقص موجود و ارائه راه‌حل وجود دارد و گاهی اوقات این زمان به صفر می‌رسد که فشار زیادی را به متخصصین امنیتی و دولوپرهای شرکت‌های نرم‌افزاری جهت رفع باگ‌های احتمالی وارد می‌سازد.

Zero-day Vulnerabilityحفره یا نقصی در یک اپلیکیشن است که برای آن هیچ پَچی عرضه نشده‌ و علت عدم عرضهپَچ یا فیکس برای این دست نواقص ناآگاهی شرکت سازنده یا دولوپر از وجود چنین آسیب‌پذیری‌هایی است.

  zero-day Exploit چیست؟

زمانی که متخصصین امنیت این دست آسیپ‌پذیری‌‌ها را کشف می‌کند، همواره تلاش می‌کنند تا نقص را برطرف کنند و یک به‌روزرسانی شامل پَچ‌های مورد نیاز ارائه دهند و این در حالی است که اگر این آسیب‌پذیری قبل از برطرف شدن مورد سوءاستفاده هکرها قرار بگیرد، به آن حمله Zero-day Exploit یا Zero-day Attack گفته می‌شود.

 Project Zeroگوگل

خوشبختانه این آسیپ‌پذیری‌ها اکثراً توسط هکرهای به‌اصطلاح کلاه سفید به شرکت‌های سازنده نرم‌افزارها گزارش می‌شوند. در همین راستا، گوگل نیز در ماه جولای 2014 یک تیم با نام Project Zero راه‌اندازی کرد که مااموریت این تیم شناسایی و گزارش نقص‌های موجود در برنامه‌هایی است که به شکل گسترده استفاده می‌شوند تا قبل از سوءاستفاده از آن‌ها برای اهداف سوء، اصلاح شوند.

مثالی از حملات Zero-day

حملات به اصطلاح Zero-day(روز صفر) در گذشته برای دسترسی ریموت به کامپیوترها و یا ربودن اطلاعات حساس کاربران و جاسوسی صنعتی نیز استفاده می‌شد. باگ معروفHeartbleedیک آسیب‌پذیری Zero-  day در لایبرری رمزگذاری OpenSSL بود (این سرویس برای امن کردن ارتباط میان سرورها و کامپیوترها استفاده می‌شود.) تا مدت‌ها هیچ‌کس متوجه باگ Heartbleed نشده بود اما این باگ پس از گذشت دو سال از زمان عرضه نسخه سال 2012، در ماه آوریل 2014 کشف شد اما در عین حال و پس از یافتن این باگ، دولوپرها مطمئن نبودند که این باگ قبلاً مورد سوءاستفاده قرار گرفته یا خیر!