Enkele lelijke waarheden over zero-day-exploits
Als je ooit hebt gelezen over cybersecurity, is de term 'zero-day' waarschijnlijk al een tijdje opgekomen om kwetsbaarheden te beschrijven die zijn misbruikt door hackers. Je zult ook snel merken dat deze de meest dodelijke zijn. Wat ze zijn en hoe ze werken is al beknopt besproken door mijn collega Simon Batt.
Maar naarmate je dieper ingaat op het onderwerp, zul je enkele dingen ontdekken waar je misschien nog niet zo bekend over bent als je begint te denken over alles wat je op je apparaten uitvoert (wat niet per se slecht hoeft te zijn). Cybersecurity-onderzoeken zoals dit onderzoek van de mensen van RAND Corporation (een denktank van de VS-strijdkrachten) tonen aan dat zero-day exploits vele manieren hebben om ons te laten zien hoe kwetsbaar onze digitale wereld is.
Zero-Day Exploits zijn niet zo moeilijk om te maken
De RAND-studie bevestigt iets dat veel programmeurs die zich hebben verdiept in proof-of-concept-hacking verdacht hebben gemaakt: het duurt niet lang om een tool te ontwikkelen die het misbruikproces van een kwetsbaarheid vereenvoudigt zodra deze is gevonden. Direct citaat uit de studie,
Zodra er een kwetsbare kwetsbaarheid is gevonden, is de tijd om een volledig functionerende exploit te ontwikkelen relatief snel, met een mediane tijd van 22 dagen.
Houd er rekening mee dat dit het gemiddelde is . Veel exploits zijn feitelijk binnen enkele dagen voltooid, afhankelijk van de complexiteit van het maken van de software en hoe ver reikend u wilt dat het effect van uw malware is.
In tegenstelling tot het ontwikkelen van software voor miljoenen eindgebruikers, heeft het maken van malware slechts één persoon voor ogen wat betreft gemak: de maker ervan. Omdat u uw code en software "kent", is er geen reden om u te concentreren op gebruikersvriendelijkheid. De ontwikkeling van consumentenoftware ondervindt veel hindernissen vanwege het ontwerp van de interface en het feilen van de code, dus het duurt langer. U schrijft voor u en hebt daarom niet alle handvast nodig, wat het programmeerproces uiterst vloeiend maakt.
Ze leven voor een schokkende hoeveelheid tijd
Het is een punt van trots voor een hacker om te weten dat een exploit die ze hebben gemaakt, heel lang werkt. Het is dus misschien een beetje teleurstellend voor hen om te weten dat dit een veel voorkomend verschijnsel is. Volgens RAND leeft de gemiddelde kwetsbaarheid 6, 9 jaar, met de kortste die ze al anderhalf jaar hebben gemeten. Voor hackers is dit teleurstellend, omdat ze hierdoor ontdekken dat ze niet per se speciaal zijn wanneer ze een exploit maken die jarenlang door het web raast. Voor hun slachtoffers is dit echter angstaanjagend.
De gemiddelde "langlevende" kwetsbaarheid duurt 9.53 jaar om ontdekt te worden. Dat is bijna een decennium dat elke hacker in de wereld het moet vinden en gebruiken in hun voordeel. Deze lastige statistiek komt niet als een verrassing, omdat gemak vaak shotgun op de rit roept, terwijl de veiligheid in de ontwikkelingsfase achterop blijft. Een andere reden dat dit fenomeen bestaat, is vanwege het oude gezegde: "Je weet niet wat je niet weet." Als je team van tien programmeurs er niet achter komt dat er een kwetsbaarheid in je software zit, zeker een van de duizenden van hackers die er actief naar op zoek zijn, zullen je een handje helpen en het je op de harde manier laten zien. En dan moet je het patchen, wat een ander kan van wormen op zich is, omdat je uiteindelijk een andere kwetsbaarheid zou kunnen introduceren, of hackers snel een manier zouden kunnen vinden om te omzeilen wat je hebt geïmplementeerd.
Altruïsme zit niet in de grote voorraad
Finifter, Akhawe en Wagner ontdekten in 2013 dat van alle gevonden kwetsbaarheden, slechts 2 - 2, 5 procent van hen daadwerkelijk werd gemeld door goede Samaritanen die ze tegenkwamen tijdens een ochtendwandeling als onderdeel van een vulnerability rewards-programma (dat wil zeggen: "We geven jou goodies als je ons vertelt hoe onze software kan worden gehackt "). De rest van hen is ofwel ontdekt door de ontwikkelaar zelf of door een hacker die iedereen pijnlijk heeft 'verlicht'. Hoewel het onderzoek geen onderscheid maakt tussen gesloten en open source, is het mijn vermoeden dat open-source software meer altruïstische rapportage krijgt (aangezien de broncode in de openbaarheid wordt weergegeven, maakt het mensen gemakkelijker om precies te melden waar een kwetsbaarheid plaatsvindt) .
De afhaalmaaltijden
Mijn hoop is hier dat dit een perspectief biedt op hoe gemakkelijk het is om het slachtoffer te worden van een exploit en hoe zero-day exploits niet zo zeldzaam zijn als ze lijken. Er zijn nog veel onbeantwoorde vragen over hen, en misschien zal nader onderzoek ons helpen ons uit te rusten met de tools die we nodig hebben om ze te bestrijden. Het idee hier is dat we scherp moeten blijven.
Was je verrast door deze bevindingen? Vertel ons er alles over in een opmerking!