De meeste Zero-day-lekken blijven jarenlang onopgemerkt. Slechts 25% worden na anderhalf jaar opgelost. Slechts een kleine 6% wordt bekendgemaakt en opgelost. Nog eens 25% van de lekken blijft zeker 9,5 jaar bestaan.
Dat concludeert non-profit onderzoeksbureau Rand Corporation uit een eigen onderzoek. Gemiddeld blijven de lekken en bijbehorende kwetsbaarheden 6,9 jaar bestaan. Het bureau onderzocht rond de 200 zero day-lekken met kwetsbaarheden die zich tussen 2002 en 2016 voordeden.
Aanvallers
De gemiddelde duur van de lekken is gebaseerd op de tijd die verstrijkt tussen ontdekking en openbaarmaking van het lek. Volgens de onderzoekers is rond de 40% van de lekken nog steeds onbekend. “Elke aanvaller kan binnen 22 dagen na de vondst van een lek een werkbare exploit ontwikkelen,” stellen de onderzoekers. “Vooral omdat de levensduur van de lekken zo lang is.”
Aanleiding voor het onderzoek is de wereldwijd spelende vraag over wat overheden moeten doen met gevonden Zero-day-lekken. De een zegt alleen verzamelen en de ander wil ze juist ook openbaar maken. Volgens de onderzoekers was de vraag tot nu toe moeilijk te beantwoorden omdat nog weinig bekend was over de levensduur van de lekken en hoe ze gevonden worden. De resultaten van het RAND-onderzoek moet voor de broodnodige basisgegevens zorgen.
Stilhouden
De lange levensduur van de lekken en de kleine kans dat twee onderzoekers het zelfde lek ontdekken, wijzen richting stilhouden. Volgens RAND wijzen de cijfers uit dat openbaar maken een grote risico met zich mee brengt dan stilhouden. Dat geldt vooral voor organisaties die zowel hun eigen systemen willen verdedigen als kwetsbaarheden van een ander willen gebruiken.
De onderzoekers stellen daarbij wel dat de keuze meer is ingegeven door politieke motieven. “Bonafide onderzoekers zullen neigen naar openbaar maken van gevonden lekken. Anderen houden ze liever nog even onder de pet. Die beslissing hangt vaak af van de situatie,”zegt Lillian Ablon, een van de auteurs van het onderzoek.
In het onderzoek zijn de Zero-day -lekken ondergebracht in een aantal categorieën
- In leven, en dus nog niet ontdekt
- dood, al bekendgemaakt
- onsterfelijk, als het lek niet is ontdekt en de fabrikant de software niet meer ondersteunt
- zombie, als het lek alleen is gepatcht in de nieuwste versie van de software
De onderzoekers stellen zich wel de vraag hoeveel aandacht te geven aan dit soort lekken. Zaken als spear-phishing komen veel vaker voor. En de meeste aanvallen gaan volgens hen juist via kwetsbaarheden die al wel bekend zijn. Toch stelt RAND ook dat gebruikmaken van een Zero-day-lek in goed beveiligde omgevingen een van de weinige mogelijkheden is om ergens binnen te komen.
