Ako fungujú zero-day exploity – a prečo stoja milióny
Zero-day exploity cielia na softvérové chyby, o ktorých dodávatelia nevedia, a neposkytujú tak čas na opravu. Tento článok vysvetľuje, ako sa objavujú, menia na zbrane, obchodujú sa na temných trhoch a ako sa proti nim nakoniec bránime.
Chyba, o ktorej nikto nevie
Každý softvér obsahuje chyby. Väčšina z nich je neškodná. Občas sa však vyskytne chyba, ktorá útočníkovi umožní obísť zabezpečenie, ukradnúť dáta alebo prevziať kontrolu nad celým systémom – a nikto na strane obrany o nej nevie. Táto chyba sa nazýva zero-day zraniteľnosť a kód napísaný na jej zneužitie je zero-day exploit. Názov odkazuje na skutočnosť, že dodávateľ softvéru mal nula dní na opravu problému, pretože o ňom ešte nevie.
Zero-day exploity sú na vrchole hierarchie kybernetických hrozieb. Na rozdiel od známych zraniteľností, ktoré sa dajú opraviť, zero-day ponúka útočníkom okno príležitosti bez okamžitej obrany. Podľa skupiny Google Threat Intelligence Group bolo len v roku 2025 aktívne zneužitých 90 zero-day zraniteľností – čo je nárast zo 78 v predchádzajúcom roku.
Ako sa rodí Zero-Day
Životný cyklus sa začína počas vývoja softvéru, keď chyba v kódovaní, chyba v návrhu alebo prehliadnutie vytvorí zneužiteľnú slabinu. Zraniteľnosť môže zostať nečinná mesiace alebo roky, kým ju niekto objaví. Tým niekým môže byť bezpečnostný výskumník, automatizovaný skenovací nástroj alebo škodlivý hacker.
Čo sa stane ďalej, závisí od toho, kto ju nájde ako prvý. Životný cyklus sa odvíja v šiestich fázach:
- Zavedenie – Chyba je neúmyselne zakódovaná do softvéru.
- Objav – Výskumník alebo útočník identifikuje slabinu.
- Zneužitie – Ak ju útočníci nájdu ako prví, vytvoria a nasadia exploit skôr, ako o tom ktokoľvek iný vie.
- Zverejnenie – Chyba je nahlásená dodávateľovi (zodpovedné zverejnenie) alebo verejne odhalená.
- Vydanie záplaty – Dodávateľ vyvinie a zverejní bezpečnostnú aktualizáciu.
- Prijatie záplaty – Organizácie testujú a nasadzujú opravu vo svojich systémoch.
Medzera medzi zavedením a rozsiahlym záplatovaním – známa ako okno zraniteľnosti – trvá v priemere približne 312 dní, podľa bezpečnostného výskumu spoločnosti Oligo. Aj po vydaní záplaty organizáciám zvyčajne trvá 60 až 150 dní, kým ju nasadia, čo zanecháva dlhý chvost vystavenia.
Kto kupuje a predáva Zero-Day
Existuje prosperujúci trh pre zero-day exploity, ktorý zahŕňa legitímnych sprostredkovateľov, vlády a kriminálne podzemné fóra. Ceny odrážajú hodnotu cieľa a spoľahlivosť exploitu. Zero-click exploit schopný kompromitovať iPhone – nevyžadujúci žiadnu interakciu používateľa – môže dosiahnuť cenu až 7 miliónov dolárov, podľa cien zverejnených sprostredkovateľom Crowdfense. Ekvivalenty pre Android dosahujú cenu až 5 miliónov dolárov. Dokonca aj exploit pre prehliadač alebo e-mail môže mať hodnotu 500 000 dolárov.
Medzi kupujúcich patria spravodajské agentúry hľadajúce nástroje na sledovanie, komerční dodávatelia špionážneho softvéru, ktorí vytvárajú produkty ako Pegasus, a kybernetické zločinecké syndikáty. Recenzia spoločnosti Google z roku 2025 zistila, že komerční dodávatelia sledovacieho softvéru prekonali tradičné štátom sponzorované skupiny ako najplodnejší používatelia zero-day exploitov, zatiaľ čo skupiny spojené s Čínou zostali najaktívnejšie spomedzi štátnych aktérov.
Prečo tradičná obrana zlyháva
Konvenčné antivírusové a detekčné systémy narušenia sa spoliehajú na signatúry – známe vzory škodlivého kódu. Zero-day, už zo svojej definície, ešte nemá žiadnu signatúru. Vďaka tomu je pre tradičné skenery neviditeľný. Útočníci si cenia zero-day práve preto, že obchádzajú obranu, ktorej organizácie najviac dôverujú.
Posun smerom k podnikovým cieľom problém ešte zhoršuje. V roku 2025 sa 48 percent zneužitých zero-day zameralo na podnikové technológie – bezpečnostné zariadenia, VPN a sieťové vybavenie – ktoré často nemajú nástroje na detekciu koncových bodov nainštalované na notebookoch a stolných počítačoch.
Ako organizácie bojujú späť
Keďže zero-day sa nedajú opraviť predtým, ako sú známe, obrancovia sa spoliehajú na vrstvené stratégie:
- Programy odmeňovania za chyby (Bug bounty programs) – Spoločnosti ako Google, Apple a Microsoft platia bezpečnostným výskumníkom za nájdenie a nahlásenie chýb skôr, ako to urobia zločinci. Projekt Zero spoločnosti Google spopularizoval 90-dňovú lehotu na zverejnenie, čím dal dodávateľom pevné okno na opravu predtým, ako sa zraniteľnosť zverejní.
- Detekcia správania – Namiesto porovnávania signatúr pokročilé bezpečnostné nástroje monitorujú nezvyčajné správanie – neočakávanú sieťovú prevádzku, abnormálne vykonávanie procesov alebo eskaláciu privilégií – ktoré môžu signalizovať neznámy exploit.
- Architektúra nulovej dôvery (Zero-trust architecture) – Overovaním každého používateľa a zariadenia v každom prístupovom bode organizácie obmedzujú škody, ktoré môže útočník spôsobiť, aj po prelomení jedného systému.
- Rýchle záplatovanie – Skrátenie medzery medzi vydaním záplaty a jej prijatím zostáva jednou z najúčinnejších – a najviac zanedbávaných – obrán.
Zero-day exploity nikdy úplne nezmiznú. Pokiaľ ľudia píšu kód, chyby budú existovať. Preteky medzi útočníkmi, ktorí ich objavia, a obrancami, ktorí ich opravujú, definujú frontovú líniu modernej kybernetickej bezpečnosti – súťaž meraná nie na mesiace, ale na hodiny.
