Studie: Zero-Day-Sicherheitslücken im Schnitt 7 Jahre ausnutzbar

(Symbolbild) Foto: CC-BY-SA-2.0 flickr/Christiaan Colen

Unbehobene Sicherheitslücken, genannt Zero-Days, können im Durchschnitt sieben Jahre lang erfolgreich ausgenutzt werden. Die Forscher Lillian Ablon und Timothy Bogart untersuchten über 200 Zero-Days aus dem Zeitraum von 2002 bis 2016 und fanden folgendes heraus.

  1. Eine Lücke als lebendig (öffentlich unbekannt) oder tot (öffentlich bekannt) zu erklären kann irreführend und zu simpel sein.
  2. Exploits haben eine durchschnittliche Lebenserwartung von 6,9 Jahren nach erstmaliger Entdeckung; aber etwa 25 Prozent der Exploits werden nicht mehr als anderthalb Jahre überleben, und weitere 25 Prozent überleben mehr als 9,5 Jahre.
  3. Die Funktionsweise einer Schwachstelle hat keine Auswirkungen darauf, ob sie lange oder kurz unentdeckt bleibt. Die Forscher sehen Forschungsbedarf bei den Fragen, ob Schwachstellen in Linux gegenüber anderen Plattform-Typen eher entdeckt werden, über die Ähnlichkeit von offenem und geschlossenem Quellcode und einer genaueren Untersuchung der verschiedenen Gruppierungen von Exploit-Klassen (z. B. lebendige oder tote).
  4. In einem Intervall von einem Jahr werden ca. 5,7 Prozent der Zero-Day-Schwachstellen von anderen entdeckt und preisgegeben. Bei Veränderung des Intervalls verschieben sich aber die Werte erheblich, was die Forscher auf den Unterschied zwischen Entdeckern, die für oder gegen das öffentliche Interesse arbeiten, zurückführen. Auf dem Schwarzmarkt werden Exploits eher geheimgehalten.
  5. Sobald eine ausbeutbare Sicherheitslücke gefunden wurde, ist die Zeit, einen voll funktionsfähigen Exploit zu entwickeln, relativ schnell vorbei, mit einer durchschnittlichen Zeit von 22 Tagen.

Diese Woche wurde durch eine Veröffentlichung von Wikileaks bekannt, dass die CIA eben solche Sicherheitslücken aufkauft, nutzt und nicht zum Schließen meldet.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Die Lebenserwartungen der Lücken dürften vom Betriebssystem und Gerätetyp abhängig sein. Auf einigen der vielgerühmten IoT-Geräte werden die Lücken bis zur Verschrottung offen bleiben. Zum Beispiel Webcams. Bei den Plastik Routern (meist Linux) sieht es oft auch zappenduster aus. Die Dinger haben außerdem, was nicht oft gesagt wird, „WartungsIP“, das ist nichts anderes, als eine Hintertür für Hersteller und Provider, selbstverständlich werden die Spione sich damit auch auskennen. Damit können die am Ein- und Ausgang jeden Rechners nach Belieben rumlungern. Ebenso bei einigen Android Smartphones. Dazu sind jetzt noch die Autos gekommen, ein Wachstumsfeld für digitale Katastrophen. Die Desktoprechner mit Linux, Apple und Windows sollten für Lücken nicht lange anfällig sein. Wenn da etwas bekannt wird, dauert es höchstens ein paar Monate bis ein update kommt. Diese CIA-Geschichte wird irgendwie flach gehalten. Es ist wirklich schwer sagen zu können, dass man Amerikanern noch aufgeschlossen gegenübertreten kann.

    1. „Plastik Routern (meist Linux) sieht es oft auch zappenduster aus“.

      Das sind die nahezu Einzigen, die frei patchbar sind. Allerdings ist das ziemlich aufwändig.
      Bei DD-Wrt ist die Firmware, zumindest bis kürzlich, auch nur per ftp -ungesichert- downloadbar -wem das wichtig ist.

      Wird demnächst, ihr werdet es ahnen, von EU/USA verunmöglicht werden.

  2. Das bestätigt das ,was ich schon lange sage, es wird NIE sichere PCs ,Windows ,Linux ,Handies geben,ausser man kauft sich wieder eine einfaches Nokia, aber selbst die Neuauflage wartet mit einem Internetzugang. Bekommt man noch Handies ohne Internet? Also echt, ich hatte lange Geduld,dass sich da mal was ändert,aber jede Woche neue Schandtaten in der Presse.Es reicht mir jetzt ! Jetzt wird die Kommunikation gedrosstelt und die Netzstecker von wichtigen PCs für IMMER abgesteckt ! So eine Lügenbande, von wegen Schutz fürs Land ….ha ha…
    Der Hammer : Deren Hack-Hauptleitung scheint „devlan . net“ zu sein wie man in Vault 7 lesen kann . Und wenn man mal schaut
    wo die Domain liegt kommt man zu 1+1 Server. Und darauf findet man eine Weibseite.
    http: // http://www.emmanuelgeorjon. com/ Seit längerem schon ungenutzt und scheinbar eine Fake Seite.

    1. Stimmt, es hat in der Vergangenheit nie sichere Computersysteme gegeben, und die wird es auch in Zukunft nicht geben. Die dazugehörige IT-Sicherheitsindustrie existiert auch nur, weil sie gegen die allgegenwärtigen Sicherheitsdefizite der Digitalisierung ankämpfen muss. Beim Kunden wird das Gegenteil kommuniziert. Egal ob Firmen-, Staats- oder Privatkunden, es wird grundsätzlich mit einem Zugewinn an Sicherheit geworben. „Umfassende Sicherheit ist bei Windows Standard“ heißt es in der Microsoft Werbung. Es werden die Kinder geschützt, Windows schützt vor Diebstahl und es ist angeblich das sicherste System aller Zeiten. Da werden dem Kunden Lösungen vorgegaukelt. Psychologisch effektiv sind Virenscanner, Firewall und die regelmäßigen Beruhigungs-Updates. Ständig wird nur von mehr Sicherheit geredet. Nirgends wird gesagt, dass man mit einem Computer Sicherheit verliert und die Maßnahmen diesen Verlust notdürftig kompensieren sollen. Darum gehen die meisten Leute mit einem völlig falschen Sicherheitsbewusstsein an Computer heran.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.