Wat is een zero-day en waarom zijn deze gevaarlijk?
Hackers kunnen namelijk alleen succesvol zijn op het moment dat een bepaalde aanvalsvector kwetsbaarheden bevat en een hacker in staat is deze kwetsbaarheid uit te buiten. Dergelijke zwakke plekken, en ook de technieken om deze te misbruiken, worden aan de lopende band gevonden. Als deze worden gemeld aan de ontwikkelaars kunnen zij hiervoor patches (digitale pleisters) maken die deze kwetsbaarheden oplossen. Van die updates kun je alleen profiteren als je ze ook daadwerkelijk installeert.
Er is nog een andere groep kwetsbaarheden die zowaar nog veel gevaarlijk is en waartegen je jezelf moeilijker kan wapenen, al is het niet onmogelijk. Het gaat dan om zogenaamde zero-day of 0-day kwetsbaarheden. Het gaat om kwetsbaarheden die welgeteld nul dagen bekend zijn bij de ontwikkelaars. Omdat zij niet van het bestaan afweten kunnen ze er ook geen maatregelen tegen treffen. Een andere uitleg is dat de kwetsbaarheid wel bekend is bij de ontwikkelaar, maar dat deze hier nog geen patch voor heeft uitgebracht en de kwetsbaarheid daarom blijft bestaan tot deze is verholpen.
Dat betekent dat in een situatie waarin je de meest recente software/firmware draait je nog steeds kwetsbaar kan zijn. Dat is natuurlijk geen reden om dan maar geen updates te draaien, maar je mag je zeker niet veilig wanen als je dat wel hebt gedaan. Tegelijkertijd is dit ook een belangrijke reden om hard- en software die geen ondersteuning meer krijgt, uit te faseren. Kwetsbaarheden die daar nog in gevonden worden, zullen niet meer worden verholpen.
Dubieus en ongrijpbaar…
Maar wat is hier nu zo gevaarlijk aan? Het gegeven dat je jezelf er moeilijk tegen kan wapenen maakt het heel ongrijpbaar. Er is een levendige handel in zero-days onder hackersgroepen, maar ook onder commerciële partijen (waar overheden graag gebruik van maken) voor allerlei doeleinden waarvan je jezelf kan afvragen hoe zuiver dat allemaal is. Denk hierbij aan spionage van onschuldige personen, statelijke inmenging etc.
Zero-day kwetsbaarheden opsporen en deze vervolgens ook kunnen uitbuiten is een zeer tijdrovende klus. Dat verklaart ook waarom er vaak voor dit soort kwetsbaarheden enorme bedragen worden uitgekeerd aan diegene die ze ontdekt. Bedragen van tienduizenden euro’s (of hoger!) zijn geen uitzondering. Steeds meer bedrijven hebben goed georganiseerde beloningsprogramma’s voor ethisch hackers die deze kwetsbaarheden melden. Dit doen ze om te voorkomen dat zero-day exploits worden verkocht aan twijfelachtige of zelfs zeer dubieuze partijen.
Zoals gezegd, met alleen tijdig installeren van updates ben je er niet. Het helpt natuurlijk wel om een strikt patch-beleid te hebben zodat als er updates verschijnen, deze zo snel mogelijk worden geïnstalleerd. Daarnaast helpt het om de berichtgeving goed in de gaten te houden zodat je tijdig kan inventariseren of een nieuw bekendgemaakte zero-day ook jouw organisatie kan treffen. Nog een stap verder is het plaatsen van geavanceerde firewall systemen, malware detectie en intrusiedetectie. Op deze manier kunnen ook aanvallen door onbekende kwetsbaarheden worden afgewend, omdat deze op basis van “verdacht gedrag” worden gestopt.
