Zero-Days worden zelden opgemerkt door meerdere hackers

Zero-Days worden zelden opgemerkt door meerdere hackers

De RAND Corporation verzamelde de meeste data ooit over kwetsbaarheden en exploits van Zero-Days.
10 maart 2017, 9:21am

Zero-days zijn een veelbesproken onderwerp. Dit zijn kwetsbaarheden in systemen (onbekend bij de maker van een product) waar hackers handig gebruik van maken. Veel activisten en technologen zeggen dat het geheimhouden van deze beveiligingslekken de algemene cyberbeveiliging in gevaar brengt, omdat alleen een kleine groep mensen ervan weten, zoals hackers van de overheid.

Wat als een overheidsinstantie gebruik maakt van een zero-day-aanval om te voorkomen dat een andere groep, zoals een criminele bende, het lek ontdekt? Zou de overheid deze lekken niet openbaar moeten maken zodat ze gerepareerd kunnen kunnen?

Maar er mist nog één ding in het zero-day-debat: data. Een nieuw onderzoek van de RAND Corporation wil dat veranderen door gegevens over meer dan 200 zero-day-lekken te gebruiken. Hiermee willen ze opheldering geven over hoe lang een zero-day onopgemerkt blijft of hoe groot het percentage is dat ontdekt wordt door meer dan één partij.

"Dit rapport geeft een waardevolle analyse en voegt onmisbare en harde data toe aan een debat wat gebaseerd is op aannames en anekdotes in plaats van statistische bewijzen en analyses," vertelt Matt Tait, oprichter van Capital Alpha Security en voormalig beveiligingsspecialist.

Onderzoekers Lillian Ablon en Andy Bogart schrijven het volgende in hun rapport, genaamd Zero Days, Thousands of Nights: "Dit onderzoek geeft resultaten en data van echte zero-day-lekken, voorbeelden en de meningen van experts. Dit is een aanvulling op de huidige informatie en schept een kader voor het besluit om kwetsbaarheden openbaar te maken of juist niet."

Volgens het rapport beslaat de dataset ongeveer veertien jaar, van 2002 tot 2016, en zijn meer dan de helft van deze kwetsbaarheden nog onbekend.

De onderzoekers vertellen niet hoe ze aan de data komen, alleen dat het afkomstig is van een onderzoeksgroep genaamd BUSBY. De leden van BUSBY blijven anoniem, maar een aantal heeft voor de Amerikaanse overheid gewerkt, aldus het rapport. De data bestaat onder andere uit gegevens van tientallen aanvallen op Microsoft- en Linuxplatformen, maar ook uit aanvallen op Mozilla, Google en Adobeproducten.

De eerste belangrijke bevinding is dat de gemiddelde levensverwachting van een zero-day-exploit en het onderliggende lek erg lang is: 6,9 jaar. Het ligt dus 2521 dagen klaar om opgepikt te worden door een hacker.

Een kwart van de kwetsbaarheden overleeft het niet langer dan anderhalf jaar en een ander kwart houdt het maar liefst langer dan 9,5  jaar vol. De onderzoekers vonden echter geen duidelijke link tussen het soort lek en de levensduur ervan, of het nu gaat over bijvoorbeeld het besturingssysteem of de broncode.

Logan Brown, de CEO van Exodus Intelligence, verkoopt zero-days, voor zowel defensief als offensief gebruik, met zijn onderzoeksbureau. Hij vertelde Motherboard dat in zijn ervaring de levensduur wel wat anders is.

"Wat ik heb gezien is dat de gemiddelde levensduur dichterbij 1 jaar ligt: met een minimum van 1 maand tot een maximum van 3 jaar," zegt Brown. Exodus heeft pas geleden een klant een Firefox zero-day geleverd. Brown zegt ook dat de beveiligingsindustrie steeds harder groeit en dat zero-days steeds gangbaarder zijn gewonden de afgelopen vijf jaar.

De andere belangrijk resultaat, een die tot een heftige discussie kan leiden, laat zien dat er van een bepaald type zero-day-lekken slechts 5,7 procent van de gevallen was ontdekt door buitenstaanders binnen een jaar.

Betekent dit lage percentage dat er niet genoeg bewijs is om aan te nemen dat er grote risico's zijn wanneer de overheid de makers niet snel genoeg inlicht over de kwetsbaarheden?

"Dat is 100% waar," vertelt David Aitel, voormalig beveiligingsonderzoeker en nu oprichter van cybersecuritybedrijf Immunity. (Als je kijkt naar de hele periode van 14 jaar waarin deze lekken werden gedicht, vonden de onderzoekers 40 procent overlap.)

De bekendmaking van beveiligingslekken heeft de afgelopen tijd voor veel ophef gezorgd. De FBI heeft in februari 2015 een "niet-openbaar lek" gebruikt om meer dan 8000 computers te hacken over de hele wereld. Mozilla, de maker van de Firefox browser, wilde dat de FBI het lek stil zou houden (maar dat deden ze niet). In maart vorig jaar heeft de FBI onbekende onderzoekers betaald om in te breken in de iPhone van de terroristen die in San Bernardino een aanslag pleegde en heeft Apple niet verteld welk lek in de beveiliging ze hiervoor gebruikten.

Het Witte Huis heeft in 2014 een procedure ingesteld om overheidsinstanties beveiligingslekken bekend te laten maken aan de producenten zodat de fouten kunnen worden opgelost. Dat wil zeggen dat een groep van adviseurs bepaalt of aanvallen niet langer nodig zijn voor de inlichtingendienst.

Het Amerikaanse Bureau voor Veiligheid beweert dat ze 91 procent van van de beveiligingslekken die ze hebben ontdekt, bekend hebben gemaakt. Maar dit bleek alleen om haar eigen beveiligingsprocessen te gaan.

"Met dit in gedachte is het misschien wel het beste idee om je zero-day te houden als je zeker van bent dat niemand anders hem vindt, anders maak het lek bekend," sluit het rapport af.