Wenn Sie jemals etwas über Cybersicherheit gelesen haben, wird sich der Begriff "Zero-Day" wahrscheinlich ab und zu wiederfinden, um Schwachstellen zu beschreiben, die von Hackern ausgenutzt wurden. Sie werden auch schnell feststellen, dass diese die tödlichsten sind. Was sie sind und wie sie funktionieren, hat mein Kollege Simon Batt bereits kurz besprochen.

Aber wenn Sie tiefer in das Thema eintauchen, werden Sie einige Dinge entdecken, über die Sie vielleicht eher nichts wussten, wenn Sie anfangen, über alles, was Sie auf Ihren Geräten ausführen, nachzudenken (was nicht unbedingt eine schlechte Sache ist). Cybersecurity-Studien wie die von RAND Corporation (einem Think Tank der US-Streitkräfte) zeigen, dass Zero-Day-Exploits viele Möglichkeiten bieten, uns zu zeigen, wie fragil unsere digitale Welt ist.

Zero-Day-Exploits sind nicht so schwer zu machen

Die RAND-Studie bestätigt, dass viele Programmierer, die sich mit Proof-of-Concept-Hacking beschäftigt haben, vermutet haben: Es dauert nicht lange, ein Tool zu entwickeln, das den Prozess der Ausnutzung einer Schwachstelle vereinfacht. Direkt aus der Studie zitieren,

Sobald eine ausnutzbare Schwachstelle gefunden wurde, ist die Zeit zur Entwicklung eines voll funktionsfähigen Exploits relativ schnell, mit einer mittleren Zeit von 22 Tagen.

Beachten Sie, dass dies der Durchschnitt ist . Viele Exploits sind tatsächlich innerhalb von Tagen abgeschlossen, abhängig von der Komplexität, die mit der Erstellung der Software verbunden ist, und davon, wie weit Sie die Wirkung Ihrer Malware erreichen möchten.

Im Gegensatz zur Entwicklung von Software für Millionen von Endnutzern hat die Erstellung von Malware nur eine einzige Person, was den Komfort betrifft: den Ersteller. Da Sie Ihren Code und Ihre Software "kennen", gibt es keinen Anreiz, sich auf die Benutzerfreundlichkeit zu konzentrieren. Die Entwicklung von Consumer-Software unterliegt aufgrund des Interfacedesigns und der Fehlerfreiheit des Codes vielen Hürden, so dass es länger dauert. Du schreibst für dich und brauchst daher nicht die gesamte Handhaltung, was den Programmierprozess extrem flüssig macht.

Sie leben für eine schockierende Zeit

Es ist ein Punkt des Stolzes für einen Hacker zu wissen, dass ein Exploit, den sie gemacht haben, für eine sehr lange Zeit funktioniert. Es könnte also ein wenig enttäuschend sein zu wissen, dass dies eine häufige Erscheinung ist. Laut RAND wird die durchschnittliche Sicherheitslücke für 6, 9 Jahre leben, wobei die kürzeste Lebensspanne für eineinhalb Jahre gemessen wird. Für Hacker ist das enttäuschend, weil sie dadurch herausfinden, dass sie nicht unbedingt etwas Besonderes sind, wenn sie einen Exploit machen, der seit Jahren durch das Web randaliert. Für ihre Opfer ist das jedoch beängstigend.

Die durchschnittliche "langlebige" Sicherheitslücke wird 9, 53 Jahre brauchen, um entdeckt zu werden. Das ist fast ein Jahrzehnt, das jeder Hacker auf der Welt finden und zu seinem Vorteil nutzen muss. Diese lästige Statistik kommt nicht überraschend, da Convenity häufig Schrotflinte auf der Fahrt nennt, während die Sicherheit im Entwicklungsprozess auf dem Rücksitz verbleibt. Ein weiterer Grund für dieses Phänomen ist das alte Sprichwort: "Du weißt nicht, was du nicht weißt." Wenn dein Team von zehn Programmierern nicht herausfinden kann, dass es eine Sicherheitslücke in deiner Software gibt, sicherlich eine von Tausenden Hacker, die aktiv danach suchen, werden Ihnen helfen und es Ihnen auf die harte Tour zeigen. Und dann müssen Sie es patchen, was eine weitere Dose Würmer an sich ist, da Sie am Ende eine andere Schwachstelle einführen könnten, oder Hacker könnten schnell einen Weg finden, um das zu umgehen, was Sie implementiert haben.

Altruismus ist nicht in hoher Versorgung

Finifter, Akhawe und Wagner haben im Jahr 2013 herausgefunden, dass nur 2 - 2, 5 Prozent von ihnen von guten Samaritern gemeldet wurden, die bei einem morgendlichen Spaziergang im Rahmen eines Anfälligkeits-Prämienprogramms auf sie stießen (zB "Wir geben dir Goodies, wenn Sie uns sagen, wie unsere Software gehackt werden kann "). Der Rest von ihnen wurde entweder vom Entwickler selbst oder von einem Hacker entdeckt, der jeden schmerzhaft zu seiner Existenz "erleuchtete". Obwohl die Studie nicht zwischen geschlossener und Open Source unterscheidet, ist es mein Verdacht, dass Open-Source-Software mehr altruistisches Reporting bekommt (da es einfacher ist, den Quellcode offen zu legen, wo eine Schwachstelle auftritt) .

Das wegnehmen

Meine Hoffnung hier ist, dass dies einen Ausblick darauf gibt, wie einfach es ist, Opfer eines Exploits zu werden und wie Zero-Day-Exploits nicht so selten sind, wie sie scheinen. Es gibt immer noch viele unbeantwortete Fragen über sie, und vielleicht hilft uns ein genaueres Studium, uns mit den Werkzeugen auszustatten, die wir brauchen, um sie zu bekämpfen. Die Idee hier ist, dass wir auf unseren Zehen bleiben müssen.

Waren Sie von diesen Ergebnissen überrascht? Erzähl uns alles in einem Kommentar!