Onderzoek: Zero day-lek blijft gemiddeld 6,9 jaar verborgen
Zero day-exploits en de onderliggende lekken waar ze misbruik van maken blijven gemiddeld 6,9 jaar verborgen voordat de leverancier in kwestie met een update komt, zo beweert de RAND Corporation op basis van eigen onderzoek (pdf) waarbij meer dan 200 zero day-lekken werden onderzocht.
Volgens de onderzoekers hebben zero day-lekken een gemiddelde levensduur van 6,9 jaar. Het gaat dan om de tijd tussen de ontdekking en het openbaar worden van de kwetsbaarheid. Een kwart wordt na 1,5 jaar openbaar, terwijl een zelfde percentage 9,5 jaar weet te overleven. Van de meer dan 200 onderzochte zero day-lekken is 40 procent volgens de onderzoekers nog altijd onbekend. Het gaat om kwetsbaarheden die tussen 2002 en 2016 zijn gevonden.
De kans dat twee mensen hetzelfde beveiligingslek vinden is met een percentage van 5,7 procent vrij klein. Zodra een kwetsbaarheid is ontdekt blijkt het ontwikkelen van een werkende exploit snel te kunnen worden uitgevoerd, met een gemiddelde van 22 dagen. "Dit houdt in dat elke serieuze aanvaller waarschijnlijk een betaalbare zero-day voor bijna elk doelwit kan verkrijgen, gegeven de typische levensduur van dergelijke kwetsbaarheden en korte ontwikkeltijd", aldus de onderzoekers.
Het onderzoek werd uitgevoerd vanwege de discussie in de Verenigde Staten en andere landen of overheden zero day-lekken moeten verzamelen in plaats van openbaar maken. Volgens de onderzoekers gaat het in de discussie vaak over de overlap tussen de zero day-lekken die de VS heeft en die door vijandige landen worden verzameld. Als beide partijen dezelfde lekken hebben, dan stellen sommige mensen dat het weinig nut heeft om ze geheim te houden, terwijl een kleinere overlap juist het geheimhouden misschien zou rechtvaardigen. Een concreet antwoord geven de onderzoekers niet, aangezien dit van de gekozen visie afhankelijk is, zo merken ze op.
Daarnaast stellen ze dat spear-phishing nog altijd een grote aanvalsvector is die meestal geen gebruik van zero day-lekken maakt. Een groot deel van de aanvallen maakt juist gebruik van bekende kwetsbaarheden. "Het is dus niet duidelijk hoeveel aandacht er aan zero day-lekken en hun exploits moet worden gegeven: Is het met zo weinig gebruikers die patches voor bekende lekken installeren verstandig om op het relatief kleine aantal zero day-lekken te focussen?", stellen de onderzoekers de vraag. Aan de andere kant merken ze op dat in beveiligde omgevingen een zero day-aanval soms de enige manier kan zijn om binnen te komen.
Zero day betekent oorspronkelijk nog niet verschenen software, die illegaal worden verspreid als warez. Daarna is het gebruikt voor exploits van nog niet gepatchte lekken.
Hier wordt gedaan alsof het betrekking heeft op de lek, maar het gaat natuurlijk over de exploit. De beveiligingslek is pas een lek als die benut kan worden (exploiteren dus).
Het betreft hier vulnerabilities die pas een zero-day exploit worden als er ook daadwerkelijk misbruik van wordt gemaakt. En deze vulnerabilities kunnen inderdaad jaren in software zitten. Denk maar aan Heartbleed. Echter wat is het doel van dit artikel? Fabrikanten zullen altijd proberen de fouten uit hun software te halen. Echter wat je niet weet kan je ook niet repareren. Dus RAND probeert hier mensen bang te maken. Het is altijd makelijk om achteraf onderzoek te doen...
Misschien moet je het rapport eens lezen. Kan verhelderend werken. Centraal staat een beleidsvraagstuk. Daarnaast gaat het wel degelijk om zero day vulns en exploits.
Zero Days, Thousands of Nights - The Life and Times of Zero-Day Vulnerabilities and Their Exploits Is alleen maar de titel van het onderzoek... En Rand's eigen aankondiging: RAND Study Examines 200 Real-World 'Zero-Day' Software Vulnerabilities
Maar als je het beter weet, ze hebben nog vacatures....
Btw, zelfs notoire zuurpruimen zijn positief over het rapport: http://blog.erratasec.com/2017/03/some-notes-on-rand-0day-report.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
