Vom Leben und Sterben der 0days

Inhaltsverzeichnis

Zero-Day-Lücken sind Schwachstellen, von denen der Hersteller noch nichts weiß. Er hatte "Null Tage" Vorlaufzeit, sich beziehungsweise seine Kunden zu schützen. Zero-Day-Exploits, kurz oft 0days genannt und "Oh-days" ausgesprochen, sind voll funktionsfähige Angriffswerkzeuge, die solche Zero-Day-Sicherheitslücken ausnutzen, um etwa in ein System einzubrechen. Im Unterschied zu herkömmlichen Exploits gibt es gegen sie keinen einfachen Schutz etwa in Form eines Sicherheits-Updates.

Traditionell sind 0days ein Status-Symbol der Security-Szene; viele reden davon, aber nur wenige haben jemals ein echtes, noch "lebendiges" Exemplar zu Gesicht bekommen. Angesichts des steigenden Interesses, Sicherheitsvorkehrungen zum Zwecke von Strafverfolgung, Spionage oder sogar Kriegsführung zu umgehen, gewinnen 0days enorm an Bedeutung. Das spiegelt sich auch in einem realen Wert wieder. Staatliche Organisationen beziehungsweise deren Beauftragte zahlen Preise von bis zu einer Million US-Dollar für voll funktionsfähige Zero-Day-Exploits.

0days und der Staat

Die Diskussion, welche Rolle der Staat im Cyberspace einnehmen sollte, kulminiert nicht selten bei den 0days. Darf der Staat solche 0days einkaufen – und wenn ja: Was sollte er damit tun? Darf er sie nutzen, etwa um sich dringend benötigte Informationen im Rahmen nachrichtendienstlicher Tätigkeiten oder der Strafverfolgung zu verschaffen? Dürfen sie im Rahmen einer Kriegsführung im Cyberspace zum Einsatz kommen, um den Verlust von Menschenleben in realen Gefechten zu vermeiden? Oder sollte der Staat vielmehr dafür sorgen, dass die zugrunde liegenden Lücken so schnell wie möglich geschlossen werden? Immerhin bedroht die davon ausgehende Gefahr ja auch die eigenen Bürger und die eigene Infrastruktur.

Das Thema ist sehr komplex und selbst innerhalb der Security-Szene höchst umstritten. Ein wichtiges Defizit der Diskussionen ist der Mangel an konkreten, belastbaren Informationen zum Wesen des 0days. Schließlich hängt die Gefahr, die von einer bislang nur der CIA bekannten Sicherheitslücke ausgeht, auch davon ab, wie wahrscheinlich es ist, dass jemand anderes die gleiche Lücke entdeckt. Der könnte sie ja an den russischen Geheimdienst verkaufen, der sie dann gegen westliche Unternehmen oder Politiker einsetzt. Dass jemand dem CIA die teuer eingekauften 0days klauen und diese dann für die eigenen Zwecke nutzen könnte, lässt sich ebenfalls nicht mehr von der Hand weisen. Solche Gefahren steigen natürlich mit der durchschnittlichen "Lebensdauer" eines 0days. Geht es ohnehin nur um ein paar Tage Vorsprung oder um eine systematische Lagerhaltung über Jahre hinweg?

Diesen bisher weitgehend unerforschten Themen widmen sich gleich zwei, voneinander unabhängig erstellte Reports. "The Life and Times of Zero-Day Vulnerabilities and Their Exploits" des amerikanischen Think-Tanks Rand Corporation beruht auf der systematischen Analyse von echten, tatsächlich eingesetzten 0days. Die wissenschaftliche Arbeit des Post-Docs Trey Herr und seinem Betreuer Bruce Schneier "Taking Stock: Estimating Vulnerability Rediscovery" wertet hingegen eine Kombination von weitegehend öffentlichen Informationen zu Sicherheitslücken aus.

Vom 0day zum Oldtimer

Dia Analysten der Rand-Studie Lillian Ablon und Andy Bogart haben nach eigenen Angaben sehr konkrete Daten zu über 200 echten 0day-Exploits erhalten und ausgewertet, die einen Zeitraum von 14 Jahren abdecken. Zum Zeitpunkt der Analyse waren davon etwa die Hälfte immer noch unveröffentlicht – also "lebendig". Dieser unvergleichliche Datenschatz stammt aus einer anonymen Quelle, die die Forscher BUSBY nennen.

Busby ist demnach eine Organisation im Umfeld von Militär und Geheimdiensten, die solche 0day-Lücken systematisch sucht und verwertet. Teilweise kauft Busby aber auch 0day-Lücken bei anderen ein. Mehrere Busby-Forscher haben bereits für staatliche Organisationen gearbeitet und viele Busby-Produkte seien dort auch im Einsatz, erklärt Rand die Position des offensichtlichen Cyberwaffen-Dealers.

Das erste überraschende Ergebnis der Studie ist die Tatsache, dass 0days eine recht hohe Lebenserwartung haben. Im Mittel vergehen rund 7 Jahre zwischen Geburt eines 0days – also Entdeckung der Lücke und Umsetzung des Exploits – und dessen Ableben. Diese 7 Jahre sind der Zeitraum, über den Busby beziehungsweise deren Kunden den 0day praktisch nutzen konnten. In Anbetracht der Entwicklungsgeschwindigkeit von Software ist das ein wirklich erstaunlich langer Zeitraum.

Das Ableben eines 0days setzen die Analysten mit dessen öffentlichem Bekanntwerden gleich. Oft geschieht das im Rahmen eines Sicherheits-Updates des Herstellers, das die Lücke schließt. Wenn man in Zeiträumen von mehreren Jahren spricht, kann es aber natürlich auch passieren, dass ein 0day einem größeren Umbau des Codes etwa im Rahmen eines Versionssprungs der Software zum Opfer fällt. Das firmiert bei Rand dann unter Code Refactor und ist der der häufigste Grund, warum die Busby-Exploits irgendwann nicht mehr funktionieren.

Eine der anderen Ursachen für das Ableben eines 0days ist es, dass jemand anders die gleiche Lücke entdeckt hat. In der Security-Szene spricht man von Rediscovery. Die Wahrscheinlichkeit dafür – die Collision Rate – ermittelt Rand zu 5,7 Prozent für den Zeitraum eines Jahres. Anders formuliert: Wer einen Satz von einhundert 0days hortet, muss damit rechnen, dass im Lauf eines Jahres rund sechs davon erneut entdeckt und veröffentlicht werden. Darüber ob andere die Lücke ebenfalls entdeckt und für sich behalten haben, liegen Rand keine Daten vor. Aus Sicht des 0day-Eigentümer ist das meistens auch nicht sonderlich relevant, da es ja seine Möglichkeiten, die 0days zu nutzen, nicht nennenswert einschränkt.

Der Bug-Vergleich

Herr und Schneier von der Belfer Center Cyber Security Project der Harvard Kennedy School untersuchen ausschließlich die Rediscovery, also die erneute Entdeckung einer Sicherheitslücke durch einen anderen Sicherheitsforscher. Sie beziehen sich dabei auf öffentliche und vom Hersteller bereitgestellte Informationen zu Sicherheitslücken in weit verbreiteter Software wie Firefox, Chrome, OpenSSL und Android. Für letztere gewährte Google Einblick in den internen Issue Tracker. Insgesamt werteten die Forscher dabei 4351 Datenbankeinträge zu Sicherheitslücken der Kategorien wichtig und kritisch aus, die teilweise zurück bis ins Jahr 2009 reichen.

Sie entdeckten dabei 647 Duplikate – also Berichte, die sich auf die gleiche Schwachstelle bezogen. Das ergibt eine Rediscovery-Quote von rund 15 Prozent. In einigen Bereichen liegt die Rediscovery-Quote sogar noch höher: Bei Android wurden 2015 und 2016 rund 22 Prozent aller Lücken innerhalb von zwei Monaten mindestens ein zweites Mal gemeldet.

Es ist zu beachten, dass sich die Harvard-Zahlen nicht direkt mit der Collison Rate von Rand vergleichen lassen. Letztere beobachten aus der Sicht des 0day-Besitzers, wie viele seiner geheimen Exploits im Lauf eines Jahres entdeckt werden. Die Harvard-Forscher zählen hingegen aus Sicht des Herstellers, wie oft eine Lücke zufällig mehrfach bei ihm gemeldet wird und beschränken sich dabei auf einen sehr kleinen Ausschnitt des Software-Universums.

Bewertung und Einschätzung

Beide Studien sind als seriös einzuschätzen. Bruce Schneier genießt einen hervorragenden Ruf in der Security-Szene – auch wenn er selbst mittlerweile eher durch seine Kommentare als durch konkrete Beiträge zur IT-Security auffällt. Das bisher nur als Draft veröffentlichte Paper von Herr und Schneier ist jedenfalls solides Handwerk in einem viel zu lange vernachlässigten Bereich.

Die Rand-Studie bietet bislang einmalige Einblicke in das Ökosystem der 0days in ihrem natürlichen Lebensraum. Die Rand Corporation wird zwar von der US-Regierung gefördert, hat sich aber einen Ruf als unabhängige Organisation erarbeitet, den auch diese Analyse bestätigt. Die Studie hinterlässt einen sehr seriösen Eindruck. Dazu trägt unter anderem bei, dass die Autoren an mehreren Stellen die Aussagekraft der Daten beziehungsweise die Validität der eigenen Aussagen kritisch hinterfragen.

Die abweichenden Ergebnisse zur Rediscovery sind wohl vor allem auf die unterschiedlichen Herangehensweisen und Schwerpunkte der beiden Studien zurückzuführen. So liegt ein Schwerpunkt der Harvard-Forscher bei Browsern, deren Sicherheit von vielen Forschern intensiv untersucht und getestet wird. Es ist anzunehmen, dass die Ergebnisse etwa für Firmware-Bugs in Routern deutlich anders ausfallen würden. Angesichts der Tatsache, wie selten Router Updates bekommen, gilt das für die Lebenszeit von Bugs vermutlich sogar in noch größerem Maße.

Beide Studien zusammen machen jedoch deutlich klar, dass es eine nennenswerte Wahrscheinlichkeit für Rediscovery gibt, die man nicht einfach vom Tisch wischen kann. Ob die jetzt bei 6 oder 15 Prozent liegt, lässt sich in dieser Allgemeinheit kaum beantworten. Wer Zahlen für eine konkrete Fragestellung benötigt, sollte sich überlegen, welches der beiden Szenarien dem eigenen eher entspricht.

Die eigentliche Überraschung ist jedoch, wie lange ein Angreifer einen 0day tatsächlich produktiv nutzen kann. Im Mittel fast 7 Jahre sind in der IT-Welt eine kleine Ewigkeit. Da tröstet es nur wenig, dass der Wert sehr stark von den extrem langlebigen Bugs geprägt wird. Nimmt man statt dem arithmetischen Mittelwert den gegenüber extremen Ausreißern robusteren Median, bleiben es immer noch 5 Jahre. Das ist ein sehr deutliches Zeichen dafür, dass die IT-Security noch viel besser werden muss.

Ein ermutigendes Signal ist immerhin die Tatsache, dass die Zahl der beim Cyberwaffen-Dealer Busby neu entdeckten 0days deutlich abnimmt. Nach einem stetigen Wachstum bis zu einem Höhepunkt mit 29 0days in 2010 ging es deutlich bergab. 2014 kamen 8 neue 0days hinzu; 2015 waren es sogar nur noch 5. Leider kann das genauso gut auf ganz andere Effekte als erfolgreiche IT-Security-Maßnahmen zurückzuführen sein

[Update: 15.3.2017: Die hoffnungsvolle Interpretation, dass die Zahl der von Busby gefundenen 0days abnehme, hat sich leider als zu optimistisch erwiesen. Die Autorin der Studie, Lillian Ablon wies mich darauf hin, dass Busby aus Gründen der operativen Sicherheit laufender Operationen die Daten zu 20-30 0day-Lücken zurückgehalten hat. Diese sind vermutlich mehrheitlich aus den letzten Jahren, tauchen aber nicht in der Statistik auf. Wir haben deshalb die Bildunterschriften der zitierten Busby-Statistiken geändert und um einen diesbezüglichen Hinweis ergänzt.]

. (ju)