image

Wat is een zero-day exploit?

maandag 2 april 2007, 16:32 door Redactie, 9 reacties

Bij het bepalen van het dreigingslandschap spelen "zero-day exploits" een belangrijke rol. Maar wanneer is een beveiligingslek nu een 0day? Voor de meesten is dit een publiek bekend lek dat nog niet door de vendor gedicht is en waarvoor code en/of exploits bekend of actief zijn. Als je deze definitie hanteert is bijna elk Web applicatie lek dat op Bugtrag vermeld wordt een zero day. "Dit legt de lat te laag" zegt Symantec's David McKinney.

Daarom kwam hij met een nieuwe definitie: "Een zero-day lek is er eentje waar voldoende publiek bewijs voor is dat het lek in het wild misbruikt was voordat het publiekelijk bekend werd. De vendor hoeft het lek niet voor de exploit te kennen, en de vendor heeft geen patch uitgebracht ten tijde dat de exploit actief was."

"In andere woorden, zero-day lekken zijn fantomen. Op elk gegeven moment bestaat een onbekende hoeveelheid zero-day lekken , maar zodra ze bekend worden zijn het geen zero-day lekken meer" gaat McKinney verder.

Reacties (9)
02-04-2007, 16:42 door pikah
Zo ver ik weet: "Een exploit voor een bug die bekend is bij
een gering aantal personen", waar verder ook nog geen patch
voor vrij is en ook nog niet publiekelijk bekend.

Op het moment dat hij publiekelijk bekend wordt en de
exploitcode is niet vrijgegeven is het een 'private' exploit.

Wanneer het publiekelijk bekend is en je kan de exploit code
downloaden is het een 'public' exploit.

Maar dit is mijn mening, iedereen heeft er eigenlijk een
andere opvatting voor.
02-04-2007, 16:54 door G-Force
Naar mijn idee zou het ook een kritiek lek moeten zijn,
anders heeft het geen zin om het massaal te misbruiken.
02-04-2007, 17:00 door spatieman
dus windows is het grote 0day exploit ?
02-04-2007, 17:21 door pikah
Windows is geen exploit, windows is een besturingssysteem :D
02-04-2007, 17:34 door Anoniem
Oorspronkelijk betekent een zero day een exploit voor een publiek nog
onbekend en dus ongepatchte lek. Zodra de exploit of de lek publiek
bekend raakt of als er een patch voor is, is het geen zero day meer.
De exploit is gemaakt met de bedoeling dat hij op een kwaadaardige
manier gebruikt wordt. Het is niet nodig dat het werkelijk gebruikt is of dat
daarvoor bewijs bestaat.

Een PoC voor een ongepatcht lek dat een white hat onderzoeker deelt met
de maker van vulnerable software is geen zero day.

Nu wordt het ook vaak misbruikt om exploits voor ongepatchte lekken mee
aan te duiden, maar dat is fout.
02-04-2007, 18:05 door Anoniem
Door pikah
Windows is geen exploit, windows is een besturingssysteem
:D
Witte sneeuw, anyone?
02-04-2007, 19:11 door Anoniem
In ander nieuws: spammers gebruiken sinds kort imageshark om
hun plaatjes-spam-plaatjes op te slaan en verwijzen daar dan
naar in de spam zelf.

zo. dat scheelt weer een bombastisch bericht van 'echte'
spamjagers...
02-04-2007, 19:17 door Skizmo
Door pikah
Windows is geen exploit, windows is een besturingssysteem
:D
een 0-day OS
02-04-2007, 21:28 door Damiaen
Persoonlijk vind ik de zin "dat het lek in het wild
misbruikt was voordat het publiekelijk bekend werd." niet
helemaal kloppen.
In het wild opduikende exploits zijn mijns inziens op dat
moment publiekelijk bekend.

Ik ga daarom mee met pikahs definitie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.