کمیته رکن چهارم – آسیبپذیری روز صفر یک حفره یا عیب نرمافزاری است که برای آن هیچ پچ یا تعمیری وجود ندارد، زیرا این آسیبپذیری در واقع مربوط به تولیدکننده نرمافزار میشود.
به گزارش کمیته رکن چهارم،جالب است بدانید در واقع نام این حفره به این اشاره دارد که سازندگان از زمان پیدا شدن آن تا برطرف کردنش هیچ روزی فرصت ندارند و باید هر چه سریعتر برای جلوگیری از حملات سایبری آن را برطرف کنند. بعضی اوقات هم تازه پس از حمله است که به وجود چنین حفرهای پی برده میشود.
به محض اینکه یک تولیدکننده پی به وجود چنین آسیبپذیری میبرد، برنامهنویسان تلاش میکنند تا آن را با یک بروزرسانی برطرف کنند. اما اگر سو استفادهکنندگان از حفره برای مقاصد نادرست خود بهره ببرند و حملهای رخ دهد، به آن حمله یا سو استفاده روز صفر میگویند.
در گزارش تهدید اینترنتی که سال ۲۰۱۴ از سوی سیمنتک منتشر شد، خبر کشف ۲۳ حفره روز صفر در سال ۲۰۱۳ اعلام شد و این مقدار بیش از تمام حفرههایی بود که تا آن موقع این کمپانی کشف کرده بود. خوشبختانه آسیبپذیریهای روز صفر اغلب توسط هکرهای کلاه سفید به تولیدکنندگان نرمافزار اعلام میشوند. گوگل جولای ۲۰۱۴ گروهی تحت عنوان پروژه صفر ایجاد کرد که کار آنها یافتن آسیب پذیریها پیش از هر گونه سو استفاده از سوی هکرها بود.
تا به حال از آسیبپذیری روز صفر در جهت دزدیدن اطلاعات حساس مصرفکنندگان، دسترسی از راه دور به کامپیوتر و جاسوسیهای صنعتی استفاده شده است.
جالب است بدانید که باگ Heartbleed در کتابخانه رمزگذاری Open SSL پیش از کشف شدن، دو سال برای امن کردن ترافیک بین سرور و کامپیوترها مورد استفاده قرار میگرفته است و زمانی که این باگ کشف شد، برنامهنویسان به خطرناک بودن آن شک داشتند، اما الان مشخص شده که این حفره روی مدارک ۴٫۵ میلیون بیمار در آمریکا تاثیرگذاشته است.
منبع:رسانه خبری امنیت اطلاعات
