Eine Zero-Day Sicherheitslücke bleibt im Schnitt 7 Jahre nutzbar. Das Zero-Day bezieht sich auf den Tag der Erkennung. Bleibt zu unerkannt, bleibt Tag Null. Wird Sie erkannt und geschlossen wird nicht mehr von einer Zero-Day gesprochen. In 7 Jahren finden die Finder der Lücke jedoch zahlreiche Käufer die die Einfallstore für eigene Zwecke nutzen. Die zahlen stammen aus einer Studie des Jahres 2017 in der über 200 solcher Sicherheitslücken beleuchtet.
Eine Zero-Day Sicherheitslücke hält mal kein Jahr und manchmal ein ganzes Jahrzehnt!
Es sind die Forscher Lillian Ablon und Timothy Bogart die sich die Mühe gemacht haben um 200 Zero-Day Sicherheitslücken zu untersuchen. Der Zeitraum der Studie ist, entsprechend den Ergebnissen, von 2002 bis 2016 weit gefasst. Dabei haben die Forscher herausgefunden, dass die Lebenserwartung einer unbekannten Sicherheitslücke ganze 6,9 Jahre beträgt. Diese Zeit gilt ab der erstmaligen Entdeckung.
25% der untersuchten Lücken wurden immerhin innerhalb der ersten anderthalb Jahre geschlossen. Weitere 25% überleben hingegen länger als 9,5 Jahre. Wer jetzt denkt “nur die kritischen werden schnell entdeckt und alles andere später”, der irrt:
Die Funktionsweise einer Schwachstelle hat keine Auswirkungen darauf, ob sie lange oder kurz unentdeckt bleibt. (netzpolitik/Lennart)
Das zeigt, dass den Softwareentwicklern und Herstellern nur bedingt Vertrauen entgegengebracht werden sollte. IT-Sicherheit im Planungs,- Entwicklungs- und Wartungsprozess zu berücksichtigen kostet Geld. Dieser Punkt hält viele Unternehmen davon ab: Oft entscheidet der Kostendruck. Die vor kurzem veröffentlichte Corona-Warn-App hat für die Untersuchung der Sicherheit des Backends 107.000 EUR bezahlt – eine angemessene Summe für eine solch relevante und wichtige App.
22 Tage Zeit hat ein Angreifer um einen vollwertigen Exploit für eine Zero-Day zu fahren!
Eine weitere Erkenntnis lautet: Eine Zero-Day Sicherheitslücke kann im vollem Umfang lediglich 22 Tage ausgenutzt werden! Je nach Kritikalität sind aber auch drei Wochen viel zu lang. Die Sicherheitslücke um WordPress 4.7.0 und 4.7.1 hat den Bedarf nach einer Nachbesserung genau so gut gezeigt, wie der Fehler im Parser von Cloudflare.
Die Zero-Day hält überraschend lange und findet Käufer unterschiedlicher Kreise!
Die Haltbarkeit einer Zero-Day Sicherheitslücke ist entscheidend für die Gewährleistung der IT-Sicherheit von Systemen. Wer als Hersteller oder Entwickler von Software als letztes von solchen Lücken erfährt, der sollte das Budget für IT-Sicherheit erhöhen. Der Marktwerkt solcher Sicherheitslücken ist, besonders bei beliebter Software, extrem hoch. So wurde im Rahmen der Corona-Pandemie eine kritische Zoom Sicherheitslücke für 500.000 USD angeboten.
Nicht selten erforschen und untersuchen große Unternehmen Software auf Sicherheitslücken. So wurde vor kurzem bekannt, das eine Zero-Day Sicherheitslücke im Betriebssystem Tails, welches von einem USB-Stick gestartet werden kann und hohe Anforderungen an die Privatsphäre erfüllt, von Facebook entdeckt und an das FBI weitergeleitet worden ist. Aus Gründen wurde der Disclosure-Prozess umgangang.