Zero-Day-Exploit: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 1: | Zeile 1: | ||
== Zero-Day-Exploit == | == Zero-Day-Exploit == | ||
Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen [[Patch (Software)|Patch]] als Gegenmaßnahme gibt | Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen [[Patch (Software)|Patch]] als Gegenmaßnahme gibt | ||
* [[Softwareentwickler|Entwickler]] haben dadurch keine Zeit („null Tage“, (zero day)), die Software so zu verbessern, dass der Exploit unwirksam wird, um Nutzer zu schützen | * [[Softwareentwickler|Entwickler]] haben dadurch keine Zeit („null Tage“, (zero day)), die Software so zu verbessern, dass der Exploit unwirksam wird, um Nutzer zu schützen | ||
* Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt einen Exploit, um diese auszunutzen, wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt | * Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt einen Exploit, um diese auszunutzen, wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt | ||
* Von [[Hacker (Computersicherheit)|Hackern]] werden Zero-Day-Exploits gern geheim gehalten, um sie lange auszunutzen | * Von [[Hacker (Computersicherheit)|Hackern]] werden Zero-Day-Exploits gern geheim gehalten, um sie lange auszunutzen | ||
* Außerhalb der Öffentlichkeit werden Zero-Day-Exploits unter Hackern gehandelt oder Herstellerfirmen zu hohen Summen angeboten | * Außerhalb der Öffentlichkeit werden Zero-Day-Exploits unter Hackern gehandelt oder Herstellerfirmen zu hohen Summen angeboten | ||
* Die Preise stiegen von 2012 bis 2018 etwa um den Faktor 10 an | * Die Preise stiegen von 2012 bis 2018 etwa um den Faktor 10 an | ||
Seit staatliche Organe offensive [[Cyberwar]]-Szenarien vorbereiten, versuchen legale staatliche und privatwirtschaftliche Organisationen Exploits zu kennen, um durch die Veröffentlichung von [[Patch (Software)|Patches]] Systeme abzusichern – oder um feindlichen Systemen schaden zu können | Seit staatliche Organe offensive [[Cyberwar]]-Szenarien vorbereiten, versuchen legale staatliche und privatwirtschaftliche Organisationen Exploits zu kennen, um durch die Veröffentlichung von [[Patch (Software)|Patches]] Systeme abzusichern – oder um feindlichen Systemen schaden zu können | ||
Vorbeugend versuchen Experten, Sicherheitslücken im Voraus aufzuspüren und Software-Herstellern aufzuzeigen | Vorbeugend versuchen Experten, Sicherheitslücken im Voraus aufzuspüren und Software-Herstellern aufzuzeigen | ||
* Dies wird in Fachkreisen manchmal kritisiert, da die Tester dabei mitunter Gesetze oder Hersteller-Richtlinien verletzen | * Dies wird in Fachkreisen manchmal kritisiert, da die Tester dabei mitunter Gesetze oder Hersteller-Richtlinien verletzen | ||
=== Beispiele === | === Beispiele === | ||
Zero-Day-Exploits treten aufgrund wachsender Software-Komplexität und steigender Preise immer häufiger auf | Zero-Day-Exploits treten aufgrund wachsender Software-Komplexität und steigender Preise immer häufiger auf | ||
* Im August 2012 erschien ein Exploit, der auf einfache Weise den Security-Manager von [[Java-Technologie|Java]] abschaltete | * Im August 2012 erschien ein Exploit, der auf einfache Weise den Security-Manager von [[Java-Technologie|Java]] abschaltete | ||
* Dadurch waren beliebige Programme zu starten | * Dadurch waren beliebige Programme zu starten | ||
* Fast alle Windows-Versionen waren im Oktober 2014 von einer Zero-Day-Lücke in [[Microsoft Office|Microsoft-Office]]-Dokumenten betroffen | * Fast alle Windows-Versionen waren im Oktober 2014 von einer Zero-Day-Lücke in [[Microsoft Office|Microsoft-Office]]-Dokumenten betroffen | ||
* Es gab im November 2014 Hinweise darauf, dass der [[Bundesnachrichtendienst|BND]] Zero-Day-Exploits ankauft, um [[Transport Layer Security|SSL]]-Verschlüsselungen abzuhören | * Es gab im November 2014 Hinweise darauf, dass der [[Bundesnachrichtendienst|BND]] Zero-Day-Exploits ankauft, um [[Transport Layer Security|SSL]]-Verschlüsselungen abzuhören | ||
* Funktionsfähige Zero-Day-Exploits für weit verbreitete Programme wie [[Internet Explorer]], [[Adobe Flash|Flash]], [[Android (Betriebssystem)|Android]] oder [[iOS (Betriebssystem)|iOS]] kosten bis zu 100.000 Dollar | * Funktionsfähige Zero-Day-Exploits für weit verbreitete Programme wie [[Internet Explorer]], [[Adobe Flash|Flash]], [[Android (Betriebssystem)|Android]] oder [[iOS (Betriebssystem)|iOS]] kosten bis zu 100.000 Dollar | ||
* Es wird vermutet, dass für den Ankauf (unter dem Codenamen „Swop“) im Jahr 2015 bis zu 4,5 Mio. Euro bereitgestellt wurden | * Es wird vermutet, dass für den Ankauf (unter dem Codenamen „Swop“) im Jahr 2015 bis zu 4,5 Mio. Euro bereitgestellt wurden | ||
* Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der [[Gesellschaft für Informatik]] kritisierte, dass das [[Bundesamt für Sicherheit in der Informationstechnik|BSI]] Zero-Day-Exploits zwar sammeln solle, sie aber nicht zu veröffentlichen brauche | * Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der [[Gesellschaft für Informatik]] kritisierte, dass das [[Bundesamt für Sicherheit in der Informationstechnik|BSI]] Zero-Day-Exploits zwar sammeln solle, sie aber nicht zu veröffentlichen brauche | ||
* Durch die Nichtveröffentlichung wären deutsche Unternehmen und Privatpersonen IT-Angriffen schutzlos ausgeliefert, es drohten Verluste der Unternehmen in Milliarden-Euro-Höhe | * Durch die Nichtveröffentlichung wären deutsche Unternehmen und Privatpersonen IT-Angriffen schutzlos ausgeliefert, es drohten Verluste der Unternehmen in Milliarden-Euro-Höhe | ||
* Google veröffentlichte eine Dokumentation aller seit dem Jahre 2014 öffentlich bekannt gewordenen Zero-Day-Exploits | * Google veröffentlichte eine Dokumentation aller seit dem Jahre 2014 öffentlich bekannt gewordenen Zero-Day-Exploits |
Version vom 4. Mai 2024, 13:17 Uhr
Zero-Day-Exploit
Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt
- Entwickler haben dadurch keine Zeit („null Tage“, (zero day)), die Software so zu verbessern, dass der Exploit unwirksam wird, um Nutzer zu schützen
- Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt einen Exploit, um diese auszunutzen, wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt
- Von Hackern werden Zero-Day-Exploits gern geheim gehalten, um sie lange auszunutzen
- Außerhalb der Öffentlichkeit werden Zero-Day-Exploits unter Hackern gehandelt oder Herstellerfirmen zu hohen Summen angeboten
- Die Preise stiegen von 2012 bis 2018 etwa um den Faktor 10 an
Seit staatliche Organe offensive Cyberwar-Szenarien vorbereiten, versuchen legale staatliche und privatwirtschaftliche Organisationen Exploits zu kennen, um durch die Veröffentlichung von Patches Systeme abzusichern – oder um feindlichen Systemen schaden zu können
Vorbeugend versuchen Experten, Sicherheitslücken im Voraus aufzuspüren und Software-Herstellern aufzuzeigen
- Dies wird in Fachkreisen manchmal kritisiert, da die Tester dabei mitunter Gesetze oder Hersteller-Richtlinien verletzen
Beispiele
Zero-Day-Exploits treten aufgrund wachsender Software-Komplexität und steigender Preise immer häufiger auf
- Im August 2012 erschien ein Exploit, der auf einfache Weise den Security-Manager von Java abschaltete
- Dadurch waren beliebige Programme zu starten
- Fast alle Windows-Versionen waren im Oktober 2014 von einer Zero-Day-Lücke in Microsoft-Office-Dokumenten betroffen
- Es gab im November 2014 Hinweise darauf, dass der BND Zero-Day-Exploits ankauft, um SSL-Verschlüsselungen abzuhören
- Funktionsfähige Zero-Day-Exploits für weit verbreitete Programme wie Internet Explorer, Flash, Android oder iOS kosten bis zu 100.000 Dollar
- Es wird vermutet, dass für den Ankauf (unter dem Codenamen „Swop“) im Jahr 2015 bis zu 4,5 Mio. Euro bereitgestellt wurden
- Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik kritisierte, dass das BSI Zero-Day-Exploits zwar sammeln solle, sie aber nicht zu veröffentlichen brauche
- Durch die Nichtveröffentlichung wären deutsche Unternehmen und Privatpersonen IT-Angriffen schutzlos ausgeliefert, es drohten Verluste der Unternehmen in Milliarden-Euro-Höhe
- Google veröffentlichte eine Dokumentation aller seit dem Jahre 2014 öffentlich bekannt gewordenen Zero-Day-Exploits
Aspekt Zeitabstand
Der Begriff Zero-Day ist besonders gut geeignet, sich und der eigenen Organisation klarzumachen, was und wie groß die Aufgabe ist
- Und zwar nicht, weil er hip und gefährlich klingt – immerhin werden sogenannte Zero-Day-Exploits von Geheimdiensten gejagt und gehortet und teilweise für Millionenbeträge gehandelt
Sondern weil er uns mehrere Dinge bewusst macht:
Ein Zero-Day ist eine Schwachstelle, die denjenigen, die sie hätten vermeiden oder beheben sollen, bisher nicht bekannt war
- Aus dieser Definition folgt direkt:
- "Andere" suchen nach Schwachstellen
- Auch in "unserer" Software
- Und finden diese so häufig, dass es dafür einen Begriff braucht
- Die "anderen" sind dabei öfters mal so schnell, dass es zunächst keine Abhilfe gibt (übrigens manchmal für lange Zeit nicht)
- Hersteller wie auch Anwender/Betreiber von Software schaffen es daher nicht durchgängig, Systeme sicher zu halten