Hvis du noen gang har lest om cybersikkerhet, er det sannsynlig at begrepet "nulldag" har kommet opp en gang i en stund for å beskrive sårbarheter som har blitt utnyttet av hackere. Du vil også raskt finne ut at disse tendensene er de dødeligste. Hva de er og hvordan de jobber, har allerede blitt diskutert kortfattet av min kollega Simon Batt.

Men etter hvert som du blir dypere i emnet, vil du oppdage noen ting som kanskje du kanskje ikke har kjent om når du begynner å tenke to ganger om alt du kjører på enhetene dine (det er ikke nødvendigvis en dårlig ting). Cybersikkerhetsstudier som denne forskningen fra folket på RAND Corporation (en amerikansk væpnetanketank) demonstrerer at nulldagseffekter har mange måter å vise oss hvor skrøpelig vår digitale verden er.

Nulledagseutnyttelser er ikke så vanskelig å gjøre

RAND-studien bekrefter noe som mange programmerere som har dabbled i proof-of-concept hacking har mistanke om: det tar ikke lang tid å utvikle et verktøy som forenkler prosessen med å utnytte et sårbarhet når den er funnet. Siterer fra studien direkte,

Når et utnyttbart sårbarhet har blitt funnet, er tiden for å utvikle en velfungerende utnyttelse relativt rask, med en median tid på 22 dager.

Husk at dette er gjennomsnittet . Mange utnytter er faktisk ferdig innen dager, avhengig av kompleksiteten som er involvert i utformingen av programvaren og hvorvidt du vil at malwareens effekt skal være.

I motsetning til å utvikle programvare for millioner av sluttbrukere, er det bare en person i tankene som gjør at malware er opptatt så langt det er praktisk: det er skaperen. Siden du "kjenner" din kode og programvare, er det ikke noe incitament til å konsentrere seg om brukervennlighet. Forbrukerprogramvareutvikling opplever mange hindringer på grunn av grensesnittdesign og idiotsikkerhet av koden, så det tar lengre tid. Du skriver for deg og trenger derfor ikke hele håndholdingen, noe som gjør programmeringsprosessen ekstremt flytende.

De lever for en sjokkerende mengde tid

Det er et stolthet for en hacker å vite at en utnytte de har gjort arbeid i svært lang tid. Så det kan være litt skuffende for dem å vite at dette er en vanlig forekomst. Ifølge RAND, vil den gjennomsnittlige sårbarheten leve i 6, 9 år, med den korteste man har målt i en halv og en halv måned. For hackere er dette skuffende siden de gjennom disse finner ut at de ikke er nødvendigvis spesielle når de gjør en utnytte den raseriene gjennom nettet i årevis. For deres ofre er dette imidlertid skremmende.

Den gjennomsnittlige "langvarige" sårbarheten vil ta 9, 53 år å bli oppdaget. Det er nesten et tiår at alle hacker i verden må finne den og bruke den til deres fordel. Denne plagsomme statistikken kommer ikke som en overraskelse, siden bekvemmelighet ofte kaller hagle på turen mens sikkerhet er igjen med baksetet i utviklingsprosessen. En annen grunn til at dette fenomenet eksisterer, er på grunn av det gamle ordtaket, "Du vet ikke hva du ikke vet." Hvis ditt lag med ti programmerere ikke kan finne ut at det er et sårbarhet i programvaren din, sikkert en av de tusen av hackere som er aktivt ute etter det, vil gi deg en hånd og vise den til deg på den harde måten. Og så må du lappe det, noe som er en annen maske i seg selv, siden du kan ende med å introdusere et annet sikkerhetsproblem, eller hackere kan raskt finne en måte å kringgå det du har implementert.

Altruisme er ikke i høy forsyning

Finifter, Akhawe og Wagner fant i 2013 at ut av alle sårbarheter oppdaget, ble bare 2 - 2, 5 prosent av dem rapportert av gode samaritere som kom over dem på en morgen spasertur som en del av et sårbarhetsbelønningsprogram (dvs. "Vi gir deg godbiter hvis du forteller oss hvordan våre programvare kan bli hacket "). Resten av dem ble enten oppdaget av utvikleren selv eller av en hacker som smertefullt "opplyste" alle til sin eksistens. Selv om studien ikke skiller mellom lukket og åpen kildekode, er det min mistanke om at open source-programvare får mer altruistisk rapportering (siden kildekoden er åpen, gjør det lettere for folk å rapportere nøyaktig hvor et sårbarhet finner sted) .

Takeaway

Håpet her er at dette gir et perspektiv på hvor lett det er å falle offeret til en utnyttelse og hvordan nulldagsutnyttelser ikke er like sjeldne som de virker. Det er fortsatt mange ubesvarte spørsmål om dem, og kanskje nærmere studie vil hjelpe oss med å utstyre oss med verktøyene vi trenger for å bekjempe dem. Ideen her er at vi må holde oss på tærne.

Var du overrasket over disse funnene? Fortell oss alt om det i en kommentar!