Vulnerabilidade de dia zero

Um dia zero (também conhecido como dia 0) é uma vulnerabilidade de software de computador desconhecida para aqueles que deveriam estar interessados em sua mitigação (incluindo o fornecedor do software de destino) ou conhecida e um patch não foi desenvolvido. Até que a vulnerabilidade seja mitigada, os hackers podem explorá-la para afetar adversamente programas, dados, computadores adicionais ou uma rede. ^[1] Uma exploração direcionada a um dia zero é chamada de exploração de dia zero ou ataque de dia zero.

O termo "dia zero" originalmente se referia ao número de dias desde que um novo software foi lançado ao público, portanto, "software de dia zero" foi obtido invadindo o computador de um desenvolvedor antes do lançamento. Por fim, o termo foi aplicado às vulnerabilidades que permitiam esse hacking e ao número de dias que o fornecedor teve para corrigi-las. ^{[2] [3] [4]} Depois que os fornecedores descobrem a vulnerabilidade, eles geralmente criam patches ou aconselham soluções alternativas para atenuá-la.

Vetores de ataque

Os vetores de ataque em potencial para uma vulnerabilidade de dia zero são idênticos às vulnerabilidades conhecidas e às que possuem patches disponíveis. Por exemplo, quando um usuário visita um site não autorizado, o código malicioso no site pode explorar vulnerabilidades não corrigidas em um navegador da Web. Os navegadores da Web são um alvo específico para criminosos devido à sua ampla distribuição e uso. Os cibercriminosos, bem como os fornecedores internacionais de spyware, como o NSO Group de Israel, ^[5] também podem enviar anexos de e-mail maliciosos via SMTP, que exploram vulnerabilidades no aplicativo que abre o anexo. ^[6] As explorações que tiram proveito de tipos de arquivos comuns são numerosas e frequentes, como evidenciado por suas aparições crescentes em bancos de dados como US-CERT. Os criminosos podem projetar malware para aproveitar essas explorações de tipo de arquivo para comprometer sistemas atacados ou roubar dados confidenciais. ^[7]

Janela de vulnerabilidade

O tempo desde o momento em que uma exploração de software se torna ativa até o momento em que o número de sistemas vulneráveis se reduz à insignificância é conhecido como janela de vulnerabilidade. ^[8] A linha do tempo para cada vulnerabilidade de software é definida pelos seguintes eventos principais:

• t ₀: A vulnerabilidade é descoberta (por qualquer pessoa).
• t _1a: Um patch de segurança é publicado (por exemplo, pelo fornecedor do software).
• t _1b: Uma exploração se torna ativa.
• t ₂: Os sistemas mais vulneráveis aplicaram o patch.

Assim, a fórmula para o comprimento da janela de vulnerabilidade é: t ₂ − t _1b.

Proteção

A proteção de dia zero é a capacidade de fornecer proteção contra a exploração de dia zero. Como os ataques de dia zero geralmente são desconhecidos do público, muitas vezes é difícil se defender deles. Ataques de dia zero costumam ser eficazes contra redes "seguras" e podem permanecer não detectados mesmo depois de iniciados. Assim, os usuários dos chamados sistemas seguros também devem exercer o bom senso e praticar hábitos de computação seguros. ^[9]

Ética

Existem diferentes ideologias relacionadas à coleta e uso de informações de vulnerabilidade de dia zero. Muitos fornecedores de segurança de computador realizam pesquisas sobre vulnerabilidades de dia zero para entender melhor a natureza das vulnerabilidades e sua exploração por indivíduos, worms e vírus de computador. Alternativamente, alguns fornecedores compram vulnerabilidades para aumentar sua capacidade de pesquisa. Um exemplo de tal programa é a Zero Day Initiative da TippingPoint. Embora vender e comprar essas vulnerabilidades não seja tecnicamente ilegal na maior parte do mundo, há muita controvérsia sobre o método de divulgação. Uma decisão alemã de 2006 de incluir o Artigo 6 da Convenção sobre Cibercrime e a Decisão-Quadro da UE sobre Ataques contra Sistemas de Informação pode tornar ilegal a venda ou mesmo a fabricação de vulnerabilidades. 

Vírus

Um vírus de dia zero (também conhecido como malware de dia zero ou malware de próxima geração) é um vírus de computador anteriormente desconhecido ou outro malware para o qual assinaturas específicas de software antivírus ainda não estão disponíveis. ^[10]

Veja também

• Controle de acesso
• Bug Bounty
• Controle de acesso à rede
• Proteção de acesso à rede
• Vault 7
• Zero Days, um documentário sobre os 4 dias zero no stuxnet

Referências

1. Compare: «What is a Zero-Day Vulnerability?». pctools. Symantec. Consultado em 20 de janeiro de 2016. Cópia arquivada em 4 de julho de 2017. A zero day vulnerability refers to an exploitable bug in software that is unknown to the vendor. This security hole may be exploited by crackers before the vendor becomes aware and hurries to fix it—this exploit is called a zero day attack.
2. Zetter, Kim. «Hacker Lexicon: What Is a Zero Day?». Wired
3. «Where the term "Zero Day" comes from - mmmm». 31 de janeiro de 2018. Consultado em 5 de setembro de 2021. Cópia arquivada em 31 de janeiro de 2018
4. «Flash Vulnerabilities Causing Problems». ESET. Consultado em 4 de março de 2016. Arquivado do original em 4 de março de 2016
5. Ahmed, Azam; Perlroth, Nicole (19 de junho de 2017). «Using Texts as Lures, Government Spyware Targets Mexican Journalists and Their Families». The New York Times. Consultado em 19 de maio de 2019. Cópia arquivada em 29 de dezembro de 2017
6. «SANS sees upsurge in zero-day Web-based attacks». Computerworld. Arquivado do original em 22 de dezembro de 2008
7. «E-mail Residual Risk Assessment» (PDF). Avinti, Inc. p. 2
8. Johansen, Håvard; Johansen, Dag; Renesse, Robbert van (14 de maio de 2007). Venter, Jan; Eloff; Labuschagne; Eloff; Solms, eds. New Approaches for Security, Privacy and Trust in Complex Environments. Col: IFIP International Federation for Information Processing (em inglês). [S.l.]: Springer US. pp. 373–384. ISBN 9780387723662. doi:10.1007/978-0-387-72367-9_32
9. «What is a Zero-Day Exploit? - An introduction to zero-day software exploits and tips on avoiding them at home.». what-is-what.com
10. «Cyberhawk – zero day threat detection review». Kickstartnews. Consultado em 29 de dezembro de 2013