Jede Software hat Fehler, und einige dieser Fehler sind Sicherheitslücken, die ausgenutzt und in Waffen verwandelt werden können. [...]
Die Definition von Zero Day
Eine Zero Day Lücke ist eine Sicherheitslücke, die noch nicht vom Hersteller gepatcht wurde und daher leicht ausgenutzt und in eine mächtige Waffe verwandelt werden kann. Regierungen suchen, kaufen und nutzen Zero Days für militärische, nachrichtendienstliche und polizeiliche Zwecke – eine umstrittene Praxis, da sie die Gesellschaft wehrlos gegen andere Angreifer macht, die die gleiche Verletzlichkeit für sich entdecken.
Zero Days führen zu hohen Preisen auf dem Schwarzmarkt, aber Bugprämien sollen die Entdeckung und Meldung von Sicherheitsmängeln beim Anbieter fördern. Durch die Patch-Krise verlieren Zero Days an Bedeutung, und so genannte 0ld Days gewinnen fast ebenso an Wirkung.
Warum Zero Days so gefährlich sind
Ein Zero Day erhält seinen Namen von der Anzahl der Tage, an denen ein Patch für den jeweiligen Fehler existiert hat: Null. Sobald der Anbieter einen Sicherheitspatch ankündigt, ist der Bug kein Zero Day mehr (oder „oh-day“, wie die coolen Kids gerne sagen). Danach schließt sich die Sicherheitslücke den Reihen endloser Legionen von patchbaren, aber ungepatchten 0ld Days an.
In der Vergangenheit, sagen wir vor etwa zehn Jahren, hätte ein einziger Zero Day für die Remote-Pwnage ausreichen können. Dies machte die Entdeckung und den Besitz eines bestimmten Zero Days extrem mächtig.
Heutzutage bedeuten Sicherheitseinbußen in Consumer-Betriebssystemen wie Windows 10 oder Apples iOS, dass es oft notwendig ist, mehrere, manchmal Dutzende von kleinen Zer Days zu verketten, um die vollständige Kontrolle über ein bestimmtes Ziel zu erlangen. Dies hat die Auszahlung auf dem Schwarzmarkt für einen Zero Day der Remote-Ausführung unter iOS auf ein astronomisches Niveau gesteigert.
Beispiel für einen Zero Day
Doch nicht alle Zero Days sind kompliziert oder teuer. Die beliebte Videokonferenzsoftware Zoom hatte einen bösen Zero Day, der es „jeder Website ermöglicht hat, bei aktivierter Videokamera ohne Erlaubnis des Benutzers einen Benutzer zwangsweise mit einem Zoom-Anruf zu verbinden“, so das Schreiben des Sicherheitsbeauftragten. „Darüber hinaus hätte es diese Schwachstelle jeder Webseite ermöglicht, DoS (Denial of Service) auf einem Mac zu betreiben, indem sie einen Benutzer wiederholt mit einem ungültigen Anruf verbunden hätte.“ Der Zoom for Mac Client installiert außerdem einen Webserver auf Ihrem Laptop, der den Zoom Client ohne Ihr Wissen neu installieren kann, wenn er zuvor schon einmal installiert war.
Das, meine Damen und Herren, ist ein böser, böser, böser, böser Zero Day. Schlimmer noch, es ist ein gigantischer Sicherheitsfehler, den eine gigantische Firma – Zoom – mit ihren Händen in die Waagschale geworfen hat, was den Ermittler zwang, den 0day auszurufen. („Drop 0day“ ist ein Fachjargon für die Veröffentlichung von Details zu einem Sicherheitsproblem, um einen nachlässigen Anbieter dazu bzu zwingen, den Fehler zu reparieren.)
Diese einfachen Sicherheitsmängel, die es einem Angreifer ermöglichen, das Mikrofon und die Kamera von jemandem einzuschalten, sind besonders gefährlich, da sie einem Kriminellen oder korrupten Polizisten ein Auge und ein Ohr in die physische Welt verleihen – nicht nur auf die auf Ihrem Laptop gespeicherten Informationen. Das macht die Nachfrage nach Zero Days auf dem Schwarzmarkt und auf dem Graumarkt umso größer.
Der Schwarzmarkt für Zero Days
Wollen Sie mal eben 1,5 Millionen Dollar verdienen? Finden Sie die richtige Art von iPhone Zero Day und verkaufen Sie es an Zerodium, einen der prominentesten Akteure, der laut seiner Website behauptet, „die höchsten Bounties auf dem Markt“ zu zahlen. Broker wie Zerodium verkaufen nur an den Militär-Spionagekomplex, aber die Geheimpolizei repressiver Regime auf der ganzen Welt ist auch dafür bekannt, Zero-Day-Exits zu kaufen, um Journalisten zu hacken oder Dissidenten zu verfolgen.
Im Gegensatz zum Graumarkt, der den Verkauf an zugelassene Regierungen einschränkt, wird auf dem Schwarzmarkt an jeden verkauft, einschließlich organisierter Kriminalität, Drogenkartelle und andere Länder, die vom Graumarkt ausgeschlossen sind.
Die Regulierung des Schwarz-/Grauen Marktes für Zero-Day-Angriffe war ein Kampf, mit dem sich das Wassenaar-Arrangement zumindest bisher nicht befasst hat. Wassenaar verbietet den Export von Dual-Use-Technologien, wie beispielsweise Zentrifugen, in verbotene Länder. Ein Vorschlag aus dem Jahr 2013 zur Einführung von Kontrollen, die für böswillige Zwecke genutzt werden könnten, wurde abgelehnt, und viele glaubten, dass der Vorschlag die Dinge eher verschlechtern als verbessern würde.
Heute kann jede ausreichend motivierte Regierung oder kriminelle Vereinigung Hacker-Tools, einschließlich Zero-Day-Exploits, unabhängig von der Regulierung in die Finger bekommen.
Bug-Bounties vs. koordinierte Offenlegung von Schwachstellen
Black Hats, denen es egal ist, dass ihre Nulltage dazu führen könnten, dass sie Folterdissidenten helfen, erhalten das meiste Geld vom Schwarz- oder Graumarkt. Sicherheitsforscher mit gutem Gewissen sollten dem Hersteller am besten jede Zero-Day-Schwachstelle melden. Unternehmen jeder Größe sollten einen Prozess zur Offenlegung von Schwachstellen einführen, der öffentlich zusichert, Berichte über Sicherheitsprobleme in gutem Glauben schadlos zu halten und die gemeldeten Probleme intern zu bewerten.
Um Berichte über Zero-Day-Schwachstellen zu fördern, können Unternehmen optional ein Bug-Bounty-Programm anbieten, das die Forschung und Offenlegung stimuliert, indem es ethischen Sicherheitsforschern erhebliche finanzielle Auszahlungen bietet. Diese Auszahlungen konkurrieren nicht und werden nie mit dem Schwarzmarkt konkurrieren, sondern zielen vielmehr darauf ab, Sicherheitsforscher dafür zu belohnen, die das Richtige tun.
Sollte die Regierung Zero Days horten?
Die NSA, CIA und das FBI suchen, kaufen und nutzen Zero-Day-Exploits; eine umstrittene Praxis, die für viel Kritik gesorgt hat. Indem eine Regierung Zero Days verwendet, um Kriminelle zu hacken, und diese Fehler nicht dem Hersteller zum Patchen meldet, macht sie uns alle anfällig für Kriminelle und ausländische Spione, die diese Zero-Day-Schwachstellen aufspüren oder stehlen könnten, und setzt damit unsere Sicherheit aufs Spiel. Wenn es die Aufgabe einer Regierung ist, uns zu schützen, dann sollten sie die Verteidigung statt der Offensive übernehmen, so argumentieren die Kritiker.
In den USA ist der Vulnerabilities Equities Process (VEP) der fehlerhafte Mechanismus, mit dem Washington derzeit Zero-Day-Schwachstellen zur Offenlegung evaluiert. Von vielen als ineffektiv kritisiert, versucht das VEP, Offensive und Verteidigung in Einklang zu bringen und zu entscheiden, welche Sicherheitsmängel dem Anbieter gemeldet werden sollen und welche für offensive Zwecke gehortet werden sollen.
Das Patchen ist ein größeres Problem als die Zero Days
Zero Days sind sexy und aufregend, aber, seien wir ehrlich, nicht mehr so eine große Sache wie früher. Nur weil ein Anbieter einen Patch angekündigt hat, bedeutet das nicht, dass gefährdete Geräte gepatcht werden. In vielen Fällen, wie z.B. bei IoT-Geräten, werden thingumajiggers in einem anfälligen Zustand ausgeliefert und dann nie gepatcht. Manchmal ist es physisch unmöglich, diese Geräte zu patchen. Ein vom Hersteller veröffentlichter Sicherheitspatch bringt wenig Gutes, wenn dieser Patch nie in der Produktion eingesetzt wird.
Infolgedessen sind 0ld Says oft mehr als ausreichend für Angreifer, sowohl der kriminellen als auch der staatlichen Art. In vielen Fällen bevorzugen Angreifer, die Zero-Day-Exploits besitzen, diese nicht zu verwenden, sondern auf 0ld Days zurückzugreifen, da die Verwendung eines Zero-Day-Exploits gegen einen versierten Verteidiger diesen Zero-Day dem Verteidiger offenbaren könnte. Dies macht Zero-Day-Exploits zu fragilen Waffen, besonders wenn sie in dem verdeckten Ringkampf zwischen Nationalstaaten eingesetzt werden, der heute im Internet stattfindet.
*J.M. Porup schreibt unter anderem für CSO.org
Be the first to comment