Hvis du nogensinde har læst om cybersikkerhed, er det sandsynligt, at udtrykket "nul-dag" er kommet op en gang for et stykke tid for at beskrive sårbarheder, der er udnyttet af hackere. Du vil også hurtigt finde ud af, at disse tendens til at være den dødeligste. Hvad de er og hvordan de virker, er allerede blevet diskuteret kortfattet af min kollega Simon Batt.

Men som du bliver dybere ind i emnet, vil du opdage nogle ting, som måske du måske ikke har kendskab til, da du begynder at tænke to gange om alt, hvad du kører på dine enheder (hvilket ikke nødvendigvis er en dårlig ting). Cybersikkerhedsundersøgelser som denne forskning fra folket hos RAND Corporation (en amerikansk væbnede styrketank) viser, at nul-dagers udnyttelse har mange måder at vise os, hvor skrøbelig vores digitale verden er.

Nul-dag udnyttelse er ikke så svært at lave

RAND-undersøgelsen bekræfter noget, som mange programmerere, der har dabblet i koncept-hacking, har mistanke om: det tager ikke lang tid at udvikle et værktøj, som forenkler processen med at udnytte en sårbarhed, når den er fundet. Citere fra undersøgelsen direkte,

Når en udnyttelig sårbarhed er fundet, er tiden til at udvikle en fuldt fungerende udnyttelse relativt hurtig, med en median tid på 22 dage.

Husk på, at dette er gennemsnittet . Mange udnyttelser er faktisk færdige inden for dage, afhængigt af den kompleksitet, der er involveret i at udforme softwaren og hvor vidtrækkende du vil have din skadelig software til at være.

I modsætning til at udvikle software til millioner af slutbrugere har malware kun én person i tankerne, hvad angår bekvemmelighed: skaberen. Da du "kender" din kode og software, er der intet incitament til at koncentrere dig om brugervenlighed. Forbruger softwareudvikling oplever mange forhindringer på grund af interface design og narre-proofing koden, så det tager længere tid. Du skriver til dig og behøver derfor ikke hele håndholdingen, hvilket gør programmeringsprocessen ekstremt flydende.

De lever for en chokerende mængde tid

Det er et stolthed for en hacker at vide, at en udnyttelse, de har lavet arbejdet i meget lang tid. Så det kan være lidt skuffende for dem at vide, at dette er en almindelig begivenhed. Ifølge RAND vil den gennemsnitlige sårbarhed leve i 6, 9 år med den korteste, de har målt i et halvt år. For hackere er dette skuffende, da de her ved at finde ud af, at de ikke nødvendigvis er specielle, når de gør en udnyttelse af rampager gennem nettet i årevis. For deres ofre er det dog skræmmende.

Den gennemsnitlige "langlivede" sårbarhed vil tage 9, 53 år at blive opdaget. Det er næsten et årti, at alle hacker i verden skal finde den og bruge den til deres fordel. Denne besværlige statistik kommer ikke som nogen overraskelse, da bekvemmelighed ofte kalder haglgevær på turen, mens sikkerhed er tilbage med bagsædet i udviklingsprocessen. En anden grund til dette fænomen eksisterer på grund af det gamle ordsprog, "Du ved ikke, hvad du ikke ved." Hvis dit team af ti programmører ikke kan finde ud af, at der er en sårbarhed i din software, er det sikkert en af ​​de tusindvis af hackere, der er aktivt på udkig efter det, vil give dig en hånd og vise det til dig på den hårde måde. Og så skal du plaster det, hvilket er en anden dåse af orme i sig selv, da du ender med at introducere en anden sårbarhed, eller hackere hurtigt kunne finde en måde at omgå det, du har implementeret.

Altruisme er ikke i høj forsyning

Finifter, Akhawe og Wagner fandt i 2013, at ud af alle sårbarheder opdaget, blev kun 2 - 2, 5 procent af dem rapporteret af gode samaritere, der kom over dem om morgenen som en del af et sårbarhedsbelønningsprogram (dvs. "Vi giver dig godbidder, hvis du fortæller os, hvordan vores software kan blive hacket "). Resten af ​​dem blev enten opdaget af bygherren selv eller af en hacker, der smerteligt "oplyste" alle til dets eksistens. Selv om undersøgelsen ikke skelner mellem lukket og åben kilde, er det min mistanke om, at open source-software får mere altruistisk rapportering (da kildekoden er åben i det åbne gør det lettere for folk at rapportere præcis, hvor en sårbarhed finder sted) .

Takeaway

Håber her er, at dette giver et perspektiv på, hvor nemt det er at falde offer for en udnyttelse, og hvordan nul-daglige udnyttelser ikke er så sjældne, som de synes. Der er stadig mange ubesvarede spørgsmål om dem, og måske vil nærmere undersøgelse hjælpe os med at udstyre os med de værktøjer, vi har brug for for at bekæmpe dem. Ideen her er, at vi skal være på vores tæer.

Var du overrasket over disse fund? Fortæl os alt om det i en kommentar!