Technologie

Jak fungují zero-day exploity – a proč stojí miliony

Zero-day exploity cílí na softwarové chyby, o kterých dodavatelé nevědí, a nezbývá tak čas na opravu. Tento článek vysvětluje, jak jsou objevovány, zneužívány, obchodovány na stinných trzích a jak se proti nim nakonec bránit.

Kybernetická bezpečnost Big Data Open source Bezpečnost Kriminalita
R
Redakcia
4 min čtení
Sdílet
Jak fungují zero-day exploity – a proč stojí miliony

Chyba, o které nikdo neví

Každý software obsahuje chyby. Většina z nich je neškodná. Občas se ale vyskytne chyba, která útočníkovi umožní obejít zabezpečení, ukrást data nebo převzít kontrolu nad celým systémem – a nikdo na straně obránců o ní neví. Tato chyba se nazývá zero-day zranitelnost a kód napsaný k jejímu zneužití je zero-day exploit. Název odkazuje na skutečnost, že dodavatel softwaru měl nula dní na opravu problému, protože o něm ještě neví.

Zero-day exploity stojí na vrcholu hierarchie kybernetických hrozeb. Na rozdíl od známých zranitelností, které lze opravit, nabízí zero-day útočníkům okno příležitosti bez okamžité obrany. Podle skupiny Threat Intelligence společnosti Google bylo v roce 2025 aktivně zneužito 90 zero-day zranitelností – oproti 78 v předchozím roce.

Jak se rodí Zero-Day

Životní cyklus začíná během vývoje softwaru, kdy chyba v kódu, konstrukční vada nebo opomenutí vytvoří zneužitelnou slabinu. Zranitelnost může zůstat skrytá měsíce nebo roky, dokud ji někdo neobjeví. Tím někým může být bezpečnostní výzkumník, automatizovaný skenovací nástroj nebo škodlivý hacker.

Co se stane dál, závisí na tom, kdo ji najde jako první. Životní cyklus se skládá ze šesti fází:

  1. Zavedení – Chyba je neúmyslně zakódována do softwaru.
  2. Objev – Výzkumník nebo útočník identifikuje slabinu.
  3. Zneužití – Pokud ji útočníci najdou jako první, vytvoří a nasadí exploit dříve, než o tom kdokoli jiný ví.
  4. Zveřejnění – Chyba je nahlášena dodavateli (zodpovědné zveřejnění) nebo veřejně odhalena.
  5. Vydání záplaty – Dodavatel vyvíjí a zveřejňuje bezpečnostní aktualizaci.
  6. Přijetí záplaty – Organizace testují a nasazují opravu do svých systémů.

Mezera mezi zavedením a rozšířeným nasazením záplat – známá jako okno zranitelnosti – trvá v průměru zhruba 312 dní, podle bezpečnostního výzkumu společnosti Oligo. I po vydání záplaty trvá organizacím obvykle 60 až 150 dní, než ji nasadí, což zanechává dlouhý ocas expozice.

Kdo kupuje a prodává Zero-Day

Existuje prosperující trh pro zero-day exploity, který zahrnuje legitimní zprostředkovatele, vlády a kriminální podzemní fóra. Ceny odrážejí hodnotu cíle a spolehlivost exploitu. Zero-click exploit schopný kompromitovat iPhone – nevyžadující žádnou interakci uživatele – může dosáhnout ceny až 7 milionů dolarů, podle cen zveřejněných zprostředkovatelem Crowdfense. Androidové ekvivalenty stojí až 5 milionů dolarů. Dokonce i exploit pro prohlížeč nebo e-mail může mít hodnotu 500 000 dolarů.

Mezi kupující patří zpravodajské agentury hledající nástroje pro sledování, komerční prodejci špionážního softwaru, kteří vytvářejí produkty jako Pegasus, a kyberzločinecké syndikáty. Zpráva společnosti Google z roku 2025 zjistila, že komerční prodejci sledovacího softwaru překonali tradiční státem sponzorované skupiny jako nejplodnější uživatelé zero-day exploitů, zatímco skupiny napojené na Čínu zůstaly nejaktivnějšími mezi aktéry na úrovni národních států.

Proč tradiční obrana selhává

Konvenční antivirové a systémy pro detekci narušení se spoléhají na signatury – známé vzory škodlivého kódu. Zero-day, ze své definice, ještě žádnou signaturu nemá. Díky tomu je pro tradiční skenery neviditelný. Útočníci si zero-day cení právě proto, že obcházejí obranu, které organizace nejvíce důvěřují.

Posun směrem k podnikovým cílům problém ještě zhoršuje. V roce 2025 se 48 procent zneužitých zero-day zaměřovalo na podnikové technologie – bezpečnostní zařízení, VPN a síťové vybavení – které často postrádají nástroje pro detekci koncových bodů nainstalované na laptopech a stolních počítačích.

Jak organizace bojují zpět

Protože zero-day nelze opravit dříve, než jsou známy, obránci se spoléhají na vrstvené strategie:

  • Programy odměn za nalezené chyby – Společnosti jako Google, Apple a Microsoft platí bezpečnostním výzkumníkům za nalezení a nahlášení chyb dříve, než to udělají zločinci. Projekt Zero společnosti Google popularizoval 90denní lhůtu pro zveřejnění, čímž dal dodavatelům pevně stanovené okno pro opravu, než bude zranitelnost zveřejněna.
  • Behaviorální detekce – Místo porovnávání signatur pokročilé bezpečnostní nástroje monitorují neobvyklé chování – neočekávaný síťový provoz, abnormální spouštění procesů nebo eskalaci oprávnění – které může signalizovat neznámý exploit.
  • Architektura nulové důvěry (Zero-trust) – Ověřováním každého uživatele a zařízení v každém přístupovém bodě organizace omezují škody, které může útočník způsobit, i po prolomení jednoho systému.
  • Rychlé nasazování záplat – Zkrácení mezery mezi vydáním záplaty a jejím nasazením zůstává jednou z nejúčinnějších – a nejvíce zanedbávaných – obran.

Zero-day exploity nikdy zcela nezmizí. Dokud budou lidé psát kód, budou existovat chyby. Závod mezi útočníky, kteří je objevují, a obránci, kteří je opravují, definuje frontovou linii moderní kybernetické bezpečnosti – soutěž měřenou ne v měsících, ale v hodinách.

Tento článek je dostupný také v jiných jazycích:

DE ES FR HU PL SK

Zůstaňte v obraze!

Sledujte nás na Facebooku a nic vám neunikne.

Sledujte nás na Facebooku

Související články

Jak funguje odstraňování námořních min – a proč je to tak obtížné

Jak funguje odstraňování námořních min – a proč je to tak obtížné

Jak fungují malé modulární reaktory – a proč je chce Big Tech

Jak fungují malé modulární reaktory – a proč je chce Big Tech

Jak americký Úřad pro kontrolu potravin a léčiv (FDA) schvaluje zdravotnické prostředky s umělou inteligencí

Jak americký Úřad pro kontrolu potravin a léčiv (FDA) schvaluje zdravotnické prostředky s umělou inteligencí