Knapp ein Jahr beträgt die Lebensdauer von Zero-Day-Bugs, berichtet Justine Aithel, CEO des Security-Unternehmens Immunity. Demnach dauert es im Durchschnitt 348 Tage, bis eine Sicherheitslücke veröffentlicht oder vom Softwarehersteller geflickt wird. Immunity kauft im Auftrag seiner Kunden Zero-Day-Exploits von den Entdeckern, veröffentlicht diese jedoch nicht. Stattdessen beobachtet das Unternehmen, wie langlebig diese Lücken sind. Wie Aithel auf der Sicherheitskonferenz SyScan '07 in Singapur berichtete, werden sie frühestens nach 99 Tagen entdeckt beziehungsweise gepatcht. Allerdings gibt es Lücken, die 1.080 Tage unentdeckt blieben.
Unter Zero-Day-Exploits versteht man ein Script, das am selben Tag erscheint, an dem die Sicherheitslücke entdeckt wird. Gegen die Bedrohung, die von diesen Computerprogrammen zu dem Zeitpunkt ausgeht, ist kaum ein Softwarehersteller gewappnet. Die Löcher in den Applikationen lassen sich in derartig kurzer Zeit nicht umfassend schließen. Die Exploits kommen daher umgehend in groß angelegten Aktionen zum Einsatz (Zero-Day-Attack). Dementsprechend großzügig sind die Angebote, mit denen Entdecker von Sicherheitslecks gelockt werden.
Um die Zeitspanne zwischen Entdeckung und Schließen der Lücke möglichst klein zu halten, setzen Hersteller Prämien für neu gemeldete Sicherheitslücken aus. Allerdings sind die finanziellen Angebote von der kriminellen Seite meist genauso gut, wenn nicht besser. Erst vor wenigen Tagen startete die Online-Plattform Wabisabilabi (pressetext berichtete: http://www.pte.at/pte.mc?pte=070706019 ), auf der Schadcodes per Auktion verkauft werden. Thomas Kristensen, Sicherheitsexperte im Dienst von Secunia, kritisierte gegenüber pressetext die Unverantwortlichkeit dieser Methode. Man wisse nicht, in welche Hände die Exploits damit kommen könnten. Frische Bugs sind also für beide Seiten viel wert und müssen unter Verschluss gehalten werden. "Bugs sterben, sobald sie an die Öffentlichkeit kommen und wenn sie gepatcht werden", sagt Aithel.
Sicherheitsverantwortlichen rät Aithel zu mehr Aufmerksamkeit für die Anfälligkeit des eigenen Systems: "Man muss stets davon ausgehen, dass alles Löcher hat." Die IT-Systeme sollten laufend mit Disziplin auf Zero-Day-Fehler durchstöbert werden. Interne sowie externe Sicherheits-Assessments können helfen, die Löcher zu Tage zu fördern. Für diese Aufgabe müssten Security-Manager in jedem Fall die Unterstützung ihrer CEOs gewinnen, aber auch mit der internen Rechtsabteilung zusammenarbeiten, um Verstöße gegen bestehende Lizenzvereinbarungen zu vermeiden, die ihnen ansonsten bei der Untersuchung der Software auf Zero-Day-Lücken im Wege stehen könnten. (pte)