Eine der Mantras der Informationssicherheit besteht darin, Ihre Systeme auf dem neuesten Stand zu halten. Wenn Anbieter von neuen Schwachstellen in ihren Produkten erfahren, entweder von Forschern von Drittanbietern oder durch eigene Entdeckungen, erstellen sie Hotfixes, Patches, Service Packs und Sicherheitsupdates, um die Lücken zu reparieren.
Der Heilige Gral für Schadprogramme und Virenschreiber ist der „Zero-Day-Exploit“. Ein Zero-Day-Exploit ist der, wenn der Exploit für die Sicherheitsanfälligkeit vor oder an dem Tag, an dem die Sicherheitsanfälligkeit durch den Anbieter festgestellt wird, erstellt wird. Durch das Erstellen eines Virus oder Wurmes, der eine Sicherheitsanfälligkeit ausnutzt, ist dem Anbieter noch nicht bekannt, und für den derzeit kein Patch verfügbar ist, kann der Angreifer maximale Verwüstungen anrichten.
Einige Schwachstellen werden von den Medien als "Zero-Day-Exploit-Schwachstellen" bezeichnet. Die Frage ist jedoch "Zero-Day" nach deren Kalender. Häufig sind dem Anbieter und den wichtigsten Technologieanbietern Wochen oder sogar Monate vor der Erstellung eines Exploits oder vor der Veröffentlichung der Sicherheitsanfälligkeit eine Sicherheitsanfälligkeit bekannt.
Ein eindrucksvolles Beispiel dafür war die im Februar 2002 angekündigte SNMP-Sicherheitslücke (Simple Network Management Protocol). Studenten der finnischen Universität Oulu entdeckten die Mängel im Sommer 2001, als sie am PROTOS-Projekt arbeiteten, einer Testsuite zum Testen von SNMPv1 (Version 1).
SNMP ist ein einfaches Protokoll, mit dem Geräte miteinander kommunizieren können. Es wird für die Kommunikation von Gerät zu Gerät und für die Fernüberwachung und Konfiguration von Netzwerkgeräten durch Administratoren verwendet. SNMP ist in Netzwerkhardware (Router, Switches, Hubs usw.), Druckern, Kopierern, Faxgeräten, hochwertigen medizinischen Geräten und in nahezu jedem Betriebssystem vorhanden.
Nachdem sie herausgefunden hatten, dass Geräte mit ihrer PROTOS-Testsuite zum Absturz gebracht oder deaktiviert werden konnten, informierten die Studenten der Universität Oulu diskret die Befugnisse und das Wort wurde den Anbietern mitgeteilt. Alle saßen auf diesen Informationen und hielten sie geheim, bis es irgendwie der Welt bekannt wurde, dass die PROTOS-Test-Suite selbst, die frei und öffentlich verfügbar war, als Exploit-Code zum Herunterfahren von SNMP-Geräten verwendet werden konnte. Erst dann haben sich die Anbieter und die Welt um Patches gekümmert, um der Situation zu begegnen.
Die Welt geriet in Panik und wurde als Zero-Day-Exploit behandelt, als tatsächlich mehr als 6 Monate vergangen waren, seit die Sicherheitslücke ursprünglich entdeckt wurde. Ebenso findet Microsoft neue Lücken oder wird regelmäßig über neue Lücken in ihren Produkten informiert. Bei einigen von ihnen handelt es sich um Interpretationsfragen, und Microsoft stimmt möglicherweise nicht zu, dass es sich tatsächlich um einen Fehler oder eine Sicherheitsanfälligkeit handelt. Aber auch bei vielen, für die sie sich einig sind, gibt es Schwachstellen. Es kann Wochen oder Monate dauern, bis Microsoft ein Sicherheitsupdate oder ein Service Pack veröffentlicht, mit dem das Problem behoben wird.
Eine Sicherheitsorganisation (PivX-Lösungen) pflegte eine Liste der Sicherheitslücken von Microsoft Internet Explorer, auf die Microsoft aufmerksam gemacht wurde, die jedoch noch nicht gepatcht wurden. Es gibt andere Websites im Internet, die von Hackern besucht werden, die Listen mit bekannten Sicherheitslücken führen und auf denen auch Hacker und Entwickler von bösartigem Code mit Informationen handeln.
Dies bedeutet nicht, dass der Zero-Day-Exploit nicht existiert. Leider kommt es auch allzu oft vor, dass die Anbieter oder die Welt zum ersten Mal auf ein Loch aufmerksam gemacht werden, wenn forensische Untersuchungen durchgeführt werden, um herauszufinden, wie in ein System eingebrochen wurde oder wenn ein Virus analysiert wird, der sich bereits in der Wildnis ausbreitet Finden Sie heraus, wie es funktioniert.
Unabhängig davon, ob die Anbieter vor einem Jahr von der Sicherheitsanfälligkeit wussten oder heute Morgen davon erfahren haben: Wenn der Exploit-Code existiert, wenn die Sicherheitsanfälligkeit veröffentlicht wird, handelt es sich um einen Zero-Day-Exploit Ihre Kalender.
Zum Schutz vor Zero-Day-Exploits können Sie sich am besten an die guten Sicherheitsrichtlinien halten. Wenn Sie Ihre Antivirensoftware installieren und auf dem neuesten Stand halten, Dateianhänge blockieren, die möglicherweise schädlich sind, und das System gegen die Sicherheitslücken gepatcht halten, von denen Sie bereits wissen, dass Sie Ihr System oder Ihr Netzwerk gegen 99% der vorhandenen Daten schützen können .
Eine der besten Maßnahmen zum Schutz vor derzeit unbekannten Bedrohungen ist der Einsatz einer Hardware- oder Software-Firewall (oder beider). Sie können auch heuristische Prüfungen (eine Technologie, mit der versucht wird, Viren oder Würmer zu blockieren, von denen noch nichts bekannt ist) in Ihrer Antivirensoftware aktivieren. Durch das Blockieren von unnötigem Datenverkehr in erster Linie mit einer Hardware-Firewall, das Blockieren des Zugriffs auf Systemressourcen und Dienste mit einer Software-Firewall oder die Verwendung Ihrer Antivirensoftware zum Erkennen von anomalem Verhalten können Sie sich besser vor dem gefürchteten Zero-Day-Angriff schützen.
