Vom Leben und Sterben der 0days

Wenn ein Sicherheitsforscher eine gefährliche Sicherheitslücke entdeckt, dann benachrichtigt er den Hersteller, damit der ein Security-Update entwickelt und an seine Kunden verteilt. Das ist der normale Weg. Bis die Bösen diese Lücke dann so weit analysiert haben, dass sie sie ausnutzen können, vergehen einige Tage oder Wochen. Es gibt aber auch einen anderen, dunkleren Weg. Den der Zero-Days.

Zero-Day-Lücken sind Sicherheitslücken, von denen der Hersteller einer Software oder eines Geräts noch nichts weiß. Der Entdecker verkauft die Lücke lieber auf dem Schwarzmarkt – etwa an gut zahlende Geheimdienste. Der Hersteller wird dabei absichtlich im Dunkeln gehalten, damit die Käufer die Lücke möglichst lange ungestört ausnutzen können. Hersteller und Opfer haben „Null Tage“ Vorlaufzeit, sich vor diesen Angriffen zu schützen. Im Unterschied zu herkömmlichen Exploits gibt es auch keinen einfachen Schutz etwa in Form eines Sicherheits-Updates.

Zero-Day-Exploits, kurz oft 0days genannt und „Oh-days“ ausgesprochen, sind voll funktionsfähige Angriffswerkzeuge, die solche Zero-Day-Sicherheitslücken ausnutzen, um etwa in ein System einzubrechen. Traditionell sind 0days ein Status-Symbol der Security-Szene; viele reden davon, aber nur wenige haben jemals ein echtes, noch „lebendiges“ Exemplar zu Gesicht bekommen. Angesichts des steigenden Interesses, Sicherheitsvorkehrungen zum Zwecke von Strafverfolgung, Spionage oder sogar Kriegsführung zu umgehen, gewinnen 0days enorm an Bedeutung. Der 0day-Schwarzmarkt wächst.

0days und der Staat

Die Diskussion, welche Rolle der Staat im Cyberspace einnehmen sollte, kulminiert nicht selten bei den 0days. Darf der Staat solche 0days auf dem Schwarzmarkt einkaufen – und wenn ja: Was sollte er damit tun? Darf er sie nutzen, etwa um sich dringend benötigte Informationen im Rahmen nachrichtendienstlicher Tätigkeiten oder der Strafverfolgung zu verschaffen? Dürfen sie im Rahmen einer Kriegsführung im Cyberspace zum Einsatz kommen, um den Verlust von Menschenleben in realen Gefechten zu vermeiden? Oder sollte der Staat nicht vielmehr dafür sorgen, dass die zugrunde liegenden Lücken so schnell wie möglich geschlossen werden? Immerhin bedroht die davon ausgehende Gefahr ja auch die eigenen Bürger und die eigene Infrastruktur.

Das Thema ist sehr komplex und selbst innerhalb der Security-Szene höchst umstritten. Ein wichtiges Defizit der Diskussionen ist der Mangel an konkreten, belastbaren Informationen zum Wesen des 0days. Schließlich hängt die Gefahr, die von einer bislang nur dem Entdecker und dem BKA bekannten Sicherheitslücke ausgeht, auch davon ab, wie wahrscheinlich es ist, dass jemand anderes die gleiche Lücke entdeckt. Der könnte sie ja an den russischen oder amerikanischen Geheimdienst verkaufen, der sie dann gegen deutsche Unternehmen oder Politiker einsetzt. Dass jemand bei CIA/NSA/BKA die teuer eingekauften 0days klauen und diese dann für die eigenen Zwecke nutzen könnte, lässt sich ebenfalls nicht mehr von der Hand weisen. Solche Gefahren steigen natürlich mit der durchschnittlichen „Lebensdauer“ eines 0days. Geht es ohnehin nur um ein paar Tage Vorsprung oder um eine systematische Lagerhaltung über Jahre hinweg?

Analysten des US-amerikanischen Think-Tanks Rand Corporation legen nun eine Studie vor, die etwas Licht in das Dunkel bringt, in dem sich der 0day typischerweise tummelt. Sie haben nach eigenen Angaben sehr konkrete Daten zu über 200 echten 0day-Exploits erhalten und ausgewertet, die einen Zeitraum von 14 Jahren abdecken. Zum Zeitpunkt der Analyse war davon etwa die Hälfte immer noch unveröffentlicht – also „lebendig“. Dieser unvergleichliche Datenschatz stammt aus einer anonymen Quelle, die die Forscher Busby nennen.

Busby ist demnach eine Organisation im Umfeld von Militär und Geheimdiensten, die solche 0day-Lücken systematisch sucht und verwertet. Teilweise kauft Busby aber auch 0day-Lücken bei anderen ein. Mehrere Busby-Forscher haben bereits für staatliche Organisationen gearbeitet und viele Busby-Produkte seien dort auch im Einsatz, erklärt Rand die Position des offensichtlichen Cyberwaffen-Dealers. Busby hat übrigens die Daten zu 20 bis 30 0days zurückgehalten, um aktuell laufende Operationen nicht zu gefährden.

Das erste überraschende Ergebnis der Studie ist die Tatsache, dass 0days eine recht hohe Lebenserwartung haben. Im Mittel vergehen knapp 7 Jahre zwischen Geburt eines 0days – also Entdeckung der Lücke und Umsetzung des Exploits – und dessen Ableben. Diese 7 Jahre sind der Zeitraum, über den Busby beziehungsweise deren Kunden den 0day praktisch nutzen konnten. In Anbetracht der Entwicklungsgeschwindigkeit von Software ist das ein wirklich erstaunlich langer Zeitraum. Da tröstet es nur wenig, dass der Wert sehr stark von den extrem langlebigen Bugs geprägt wird. Nimmt man den gegenüber extremen Ausreißern robusteren Median, bleiben es immer noch 5 Jahre.

Todesursache Update

Das öffentliche Bekanntwerden einer 0day-Lücke bedeutet deren „Tod“. Es gibt dann Sicherheits-Updates; AV-Software und Intrusion-Detection-Systeme entdecken die Exploits, kurz: Der Besitzer kann sie nicht mehr nutzen. Wenn man von Zeiträumen von mehreren Jahren spricht, kann es aber auch passieren, dass ein 0day einem größeren Umbau des Codes etwa im Rahmen eines Versionssprungs der Software zum Opfer fällt. Das firmiert bei Rand dann unter Code Refactor und ist sogar vor den Security-Updates der häufigste Grund, warum die Busby-Exploits irgendwann nicht mehr funktionieren.

Security-Updates sind zumeist darauf zurückzuführen, dass jemand anders die gleiche Lücke entdeckt. Manchmal ist das der Hersteller selber oder oft auch einer der Whitehat-Hacker, der sie an den Hersteller meldet. In der Security-Szene spricht man von Rediscovery. Die Wahrscheinlichkeit dafür – die Collision Rate – ermittelt Rand zu 5,7 Prozent für den Zeitraum eines Jahres. Anders formuliert: Wer einen Satz von einhundert 0days hortet, muss damit rechnen, dass im Lauf eines Jahres rund sechs davon erneut entdeckt und damit unbrauchbar werden. Darüber, ob andere die Lücke ebenfalls entdeckt und für sich behalten haben, liegen Rand keine Daten vor. Aus Sicht des 0day-Eigentümers ist das meistens auch nicht sonderlich relevant, da es ja seine Möglichkeiten, die 0days zu nutzen, nicht nennenswert einschränkt.

Zwei Forscher vom Belfer Center Cyber Security Project der Harvard Kennedy School, Trey Herr und Bruce Schneier, kommen in einer anderen Studie zu einem ähnlichen Ergebnis. Sie analysierten öffentliche und vom Hersteller bereitgestellte Informationen zu Sicherheitslücken in weitverbreiteter Software wie Firefox, Chrome, OpenSSL und Android. Für letztere gewährte Google Einblick in den internen Issue Tracker. Insgesamt werteten die Forscher dabei 4351 Datenbankeinträge zu Sicherheitslücken der Kategorien wichtig und kritisch aus, die teilweise zurück bis ins Jahr 2009 reichen.

Sie entdeckten dabei 647 Duplikate – also Berichte, die sich auf die gleiche Schwachstelle bezogen. Das ergibt eine Rediscovery-Quote von rund 15 Prozent. In einigen Bereichen liegt die Rediscovery-Quote sogar noch höher: Bei Android wurden 2015 und 2016 rund 22 Prozent aller Lücken innerhalb von zwei Monaten mindestens ein zweites Mal gemeldet.

Bewertung und Einschätzung

Beide Studien sind solide und seriös. Man kann die Harvard-Zahlen allerdings nicht direkt mit der Collison Rate von Rand vergleichen. Letztere beobachten aus der Sicht des 0day-Besitzers, wie viele seiner geheimen Exploits im Lauf eines Jahres entdeckt werden. Die Harvard-Forscher zählen hingegen aus Sicht des Herstellers, wie oft eine Lücke zufällig mehrfach bei ihm gemeldet wird und beschränken sich dabei auf einen sehr kleinen Ausschnitt des IT-Universums.

So liegt der Schwerpunkt der Harvard-Forscher bei Browsern und Android, deren Sicherheit von vielen Forschern intensiv untersucht und getestet wird. Die Geschwindigkeit der Entwicklung ist in diesem Bereich enorm hoch. Es ist anzunehmen, dass die Ergebnisse etwa für Firmware-Bugs in Routern deutlich anders ausfallen würden. Angesichts der Tatsache, wie selten Router Updates bekommen, gilt das für die Lebenszeit von Bugs vermutlich sogar in noch größerem Maße.

Beide Studien machen jedoch deutlich, dass es eine nennenswerte Wahrscheinlichkeit für Rediscovery gibt, die man nicht einfach vom Tisch wischen kann. Ob die jetzt bei 6 oder 15 Prozent liegt, lässt sich in dieser Allgemeinheit kaum beantworten. Wer Zahlen für eine konkrete Fragestellung benötigt, sollte sich überlegen, welches der beiden Szenarien dem eigenen eher entspricht.

Insbesondere die Rand-Studie bietet bislang einmalige Einblicke in das Ökosystem der 0days in ihrem natürlichen Lebensraum. Die eigentliche Überraschung dabei ist, wie lange Angreifer einen 0day tatsächlich produktiv nutzen. Fast 7 Jahre im Mittel sind in der IT-Welt eine kleine Ewigkeit. Das ist ein sehr deutliches Zeichen dafür, dass die IT-Security noch sehr viel besser werden muss. (ju@ct.de)

Die Studien zu 0days: ct.de/yuef