Zero-day là gì? Thế nào là CVE?

Email

Nếu bạn là sinh viên mới bước chân vào ngành an toàn thông tin, hay là tín đồ trung thành của các bộ phim Hollywood về thế giới hacker bí ẩn, chắc hẳn bạn đã nghe tới Zero-day. Vậy Zero-day là gì?

Lỗ hổng Zero-day (0-day vulnerabilities) là những lỗ hổng phần mềm chưa được công bố mà nhà cung cấp phần mềm bị lỗi chưa biết đến. Zero-day cũng chỉ đến các đoạn mã mà hacker sử dụng để khai thác lỗ hổng trên. Vì các lỗ hổng Zero-day chưa được cộng đồng biết đến, không có bản vá phần mềm nào khắc phục được những lỗ hổng này.

Zero-day là gì? Thế nào là CVE? cystack

Thị trường Zero-day hoạt động như thế nào?

Lỗ hổng Zero-day được coi như 1 thứ hàng hóa cực kỳ giá trị không chỉ đối với giới tin tặc, các công ty phát triển phần mềm mà còn đối với các cơ quan tình báo cấp quốc gia. Có ba phân mảng chính trong thị trường phát hiện và cung cấp Zero-day.

Đầu tiên là chợ đen (black market), nơi giới hacker mũ đen mua bán hoặc trao đổi thông tin về lỗ hổng và mã khai thác Zero-day nhằm thực hiện các cuộc xâm nhập hệ thống máy tính, đánh cắp thông tin quan trọng của người dùng như mật khẩu, số thẻ tín dụng.

Kế tiếp là thị trường ‘white market’, bao gồm các chương trình săn lỗ hổng lấy thưởng (bug bounty). Các tập đoàn công nghệ lớn như Facebook, Google, Microsoft đều tổ chức các chương trình bug bounty này. Các lỗ hổng phần mềm sau khi được phát hiện sẽ được thông báo tực tiếp  tới các công ty sản xuất phần mềm, hoặc các công ty thứ ba chuyên tổ chức chương trình Bug Bountry như Hackerone hay Bugcrowd. Sau khi được thông báo và kiểm duyệt thành công, các lỗ hổng này có thể được trả giá từ vài trăm cho tới hàng chục ngàn đô.

Cuối cùng là thị trường gray market, nơi các nhà nghiên cứu bảo mật bán các đoạn mã khai thác Zero-days cho quân đội hoặc các cơ quan tình báo để phục vụ hoạt động an ninh quốc gia, hay các chương trình do thám. Các tổ chức này sẵn sàng bỏ ra cả trăm ngàn đô để có trong tay lỗ hổng ảnh hưởng tới các nền tảng phổ biến, như hệ điều hành Windows hay iOS.

Zero-day là gì? Thế nào là CVE? cystack

Tại sao lỗ hổng Zero-day lại nguy hiểm?

Vì chưa được công bố tới cộng đồng và chưa được ai biết đến để có biện pháp phòng vệ, các lỗ hổng Zero-day cực kỳ nguy hiểm. Dù vậy, lỗ hổng Zero-day ít khi được sử dụng để tạo ra các cuộc tấn công trên diện rộng ảnh hưởng đến hàng triệu người dùng. Giả sử bạn đang nắm trong tay một lỗ hổng Zero-day trị giá $100.000, liệu bạn có ngay lập tức mở một cuộc tấn công mạng qui mô lớn để rồi có nguy cơ đánh động cho cộng đồng an ninh mạng về lỗ hổng Zero-day bí mật này? Thông thường thì, các cuộc tấn công mạng sử dụng Zero-day thường nhắm vào những mục tiêu cố định, thường là các tập đoàn công nghệ hay các cơ quan chính phủ lớn. Điển hình là mã độc Stuxnet tấn công vào các nhà máy hạt nhân của Iran làm hư hỏng hoàn toàn hoạt động của các máy li tâm phục vụ cho việc làm giàu Uranium. Cuộc tấn công này xảy ra vào năm 2013, và được cho là gây ra bởi nhóm hacker do chính phủ Mỹ tài trợ.

Nguy hiểm là vậy, Zero-day không phải là mối lo ngại chính đối với phần lớn người sử dụng. Theo thống kê của Verizon Enterprise Solution, hơn 95% các lỗi bảo mật bị khai thác đều dựa trên các công bố phát hành trước đó ít nhất 1 năm. Các lỗ hổng này được công khai và gán với một số ID nhất định theo một hệ thống quy chuẩn chung trên toàn thế giới, đó là CVE.

CVE là gì?

CVE (Common Vulnerabilities and Exposures) là 1 chương trình được khởi xướng vào năm 1999 bởi MITRE. Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa qui trình xác thực các lỗ hổng đã được biết. Những lỗ hổng này có thể dẫn đến các vụ tấn công an ninh mạng dưới các hình thức như chiếm quyền điều khiển hệ thống mục tiêu, đọc các dữ liệu quan trọng của người dùng như địa chỉ, số điện thoại, mã thẻ ngân hàng.

Như vậy, có thể coi CVE như 1 cơ sở dữ liệu về các lỗ hổng bảo mật, tạo thuận lợi cho việc đối chiếu thông tin giữa các công cụ và dịch vụ bảo mật khác nhau. Danh sách CVE chứa số ID, thông báo trạng thái, mô tả ngắn gọn và tài liệu tham khảo liên quan đến lỗ hổng bảo mật. Bằng việc tham chiếu CVE ID của 1 lỗ hổng nhất định, các tổ chức có thể thu thập thông tin nhanh gọn và chính xác từ nhiều nguồn tin khác nhau.

Các sản phẩm và dịch vụ tương thích với CVE có thể giúp những người xây dựng hoặc bảo trì hệ thống phần mềm dễ dàng xác định và cài đặt các bản vá lỗi từ nhà cung cấp phần mềm nhờ tích hợp sẵn các thông tin cần thiết để tiện tra cứu về lỗ hổng tồn tại trong ứng dụng.

Các biện pháp chống lại lỗ hổng

Lỗ hổng phần mềm, dù là Zero-day hay đã được công bố, luôn tạo ra những rủi ro bảo mật nghiêm trọng cho người dùng. Bất kể bạn là người dùng máy tính thông thường hay là quản trị viên cho một hệ thống phần mềm, bạn nên chủ động thực hiện các biện pháp bảo mật máy tính.

Đầu tiên, bạn nên tiến hành cài đặt các bản cập nhật phần mềm từ nhà sản xuất. Điều này giúp giảm thiểu nguy cơ lây nhiễm phần mềm độc hại và rủi ro bị tin tặc khai thác lỗ hổng. Các bản cập nhật phần mềm thường bao gồm các bản vá lỗ hổng bảo mật quan trọng nhất mới được phát hiện gần đây từ nhà sản xuất.

Lớp phòng thủ thứ hai bạn nên có là các phần mềm bảo mật chuyên dụng. Việc có một ứng dụng bảo mật tự động giúp giảm thiểu chi phí đáng kể so với các dịch vụ tư vấn từ chuyên gia. Quan trọng hơn, các ứng dụng này giúp bạn sớm phát hiện lỗ hổng bảo mật trên website và đưa ra những khuyến cáo phù hợp để giải quyết chúng kịp thời.

>> Phát hiện lỗ hổng bảo mật trên website với CyStack Scanning <<

Với 14 ngày sử dụng miễn phí, CyStack Scanning sẽ giúp bạn phát hiện những lỗ hổng bảo mật mới và cũ còn tồn tại trên website của bạn – cùng với CVE ID để bạn trực tiếp tra cứu và giải quyết.

Để tìm hiểu thêm về lỗ hổng bảo mật cũng như cách thức khắc phục chúng, bạn có thể đọc thêm tại bài viết: Lỗ hổng bảo mật website.

CyStack

Nhận những bài viết
chất lượng do chúng tôi chọn lọc








Email