Zero-Day-Exploit: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== Zero-Day ==
== Zero-Day ==
; Aspekt Zeitabstand
Der Begriff Zero-Day ist besonders gut geeignet, sich und der eigenen Organisation klarzumachen, was und wie groß die Aufgabe ist
Der Begriff Zero-Day ist besonders gut geeignet, sich und der eigenen Organisation klarzumachen, was und wie groß die Aufgabe ist
* Und zwar nicht, weil er hip und gefährlich klingt – immerhin werden sogenannte Zero-Day-Exploits von Geheimdiensten gejagt und gehortet und teilweise für Millionenbeträge gehandelt
* Und zwar nicht, weil er hip und gefährlich klingt – immerhin werden sogenannte Zero-Day-Exploits von Geheimdiensten gejagt und gehortet und teilweise für Millionenbeträge gehandelt

Version vom 4. Mai 2024, 13:07 Uhr

Zero-Day

Aspekt Zeitabstand

Der Begriff Zero-Day ist besonders gut geeignet, sich und der eigenen Organisation klarzumachen, was und wie groß die Aufgabe ist

  • Und zwar nicht, weil er hip und gefährlich klingt – immerhin werden sogenannte Zero-Day-Exploits von Geheimdiensten gejagt und gehortet und teilweise für Millionenbeträge gehandelt

Sondern weil er uns mehrere Dinge bewusst macht:

Ein Zero-Day ist eine Schwachstelle, die denjenigen, die sie hätten vermeiden oder beheben sollen, bisher nicht bekannt war

  • Aus dieser Definition folgt direkt:
  1. "Andere" suchen nach Schwachstellen
  • Auch in "unserer" Software
  1. Und finden diese so häufig, dass es dafür einen Begriff braucht
  2. Die "anderen" sind dabei öfters mal so schnell, dass es zunächst keine Abhilfe gibt (übrigens manchmal für lange Zeit nicht)
  3. Hersteller wie auch Anwender/Betreiber von Software schaffen es daher nicht durchgängig, Systeme sicher zu halten

Zero-Day-Exploit

Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“, (zero day)), die Software so zu verbessern, dass der Exploit unwirksam wird, um Nutzer zu schützen.

  • Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt einen Exploit, um diese auszunutzen, wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt.
  • Von Hackern werden Zero-Day-Exploits gern geheim gehalten, um sie lange auszunutzen.
  • Außerhalb der Öffentlichkeit werden Zero-Day-Exploits unter Hackern gehandelt oder Herstellerfirmen zu hohen Summen angeboten.
  • Die Preise stiegen von 2012 bis 2018 etwa um den Faktor 10 an

Seit staatliche Organe offensive Cyberwar-Szenarien vorbereiten, versuchen legale staatliche und privatwirtschaftliche Organisationen Exploits zu kennen, um durch die Veröffentlichung von Patches Systeme abzusichern – oder um feindlichen Systemen schaden zu können

Vorbeugend versuchen Experten, Sicherheitslücken im Voraus aufzuspüren und Software-Herstellern aufzuzeigen.

  • Dies wird in Fachkreisen manchmal kritisiert, da die Tester dabei mitunter Gesetze oder Hersteller-Richtlinien verletzen

Beispiele

Zero-Day-Exploits treten aufgrund wachsender Software-Komplexität und steigender Preise immer häufiger auf.

  • Im August 2012 erschien ein Exploit, der auf einfache Weise den Security-Manager von Java abschaltete.
  • Dadurch waren beliebige Programme zu starten
  • Fast alle Windows-Versionen waren im Oktober 2014 von einer Zero-Day-Lücke in Microsoft-Office-Dokumenten betroffen
  • Es gab im November 2014 Hinweise darauf, dass der BND Zero-Day-Exploits ankauft, um SSL-Verschlüsselungen abzuhören.
  • Funktionsfähige Zero-Day-Exploits für weit verbreitete Programme wie Internet Explorer, Flash, Android oder iOS kosten bis zu 100.000 Dollar.
  • Es wird vermutet, dass für den Ankauf (unter dem Codenamen „Swop“) im Jahr 2015 bis zu 4,5 Mio. Euro bereitgestellt wurden
  • Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik kritisierte, dass das BSI Zero-Day-Exploits zwar sammeln solle, sie aber nicht zu veröffentlichen brauche.
  • Durch die Nichtveröffentlichung wären deutsche Unternehmen und Privatpersonen IT-Angriffen schutzlos ausgeliefert, es drohten Verluste der Unternehmen in Milliarden-Euro-Höhe
  • Google veröffentlichte eine Dokumentation aller seit dem Jahre 2014 öffentlich bekannt gewordenen Zero-Day-Exploits