Beheer

Security
datalek

Lekken geheim houden minder riskant dan verwacht

Risico's voor 'gewone gebruiker' blijken kleiner.

13 maart 2017

Risico's voor 'gewone gebruiker' blijken kleiner.

Zero-day lekken geheim houden en niet laten patchen heeft meer voordelen dan verwacht. Dat constateert de Amerikaanse non profit onderzoeksorganisatie RAND Corp.

In een onderzoek van RAND werden 200 zero-day lekken onderzocht, die verzameld zijn door een gespecialiseerde onderzoeksgroep. RAND noemt deze groep BUSBY om de anonimiteit daarvan te garanderen. BUSBY levert volgens RAND zero-day lekken aan diverse nationale overheden.

Veel nationale veiligheidsdiensten verzamelen dergelijke lekken om er gebruik van te maken bij cyberaanvallen. Dat betekent dat de lekken blijven bestaan, misbruikt kunnen worden door criminelen of andere landen, waardoor ‘gewone gebruikers’ onnodig risico’s lopen. De risico’s voor deze gebruikers van het in stand houden van lekken zijn echter niet zo groot als eerder werd verondersteld, vindt RAND. De tactische en strategische voordelen voor de inlichtingendiensten wegen in veel gevallen op tegen de nadelen voor de veiligheid van normale gebruikers. Een zero-day lek niet bekend maken is ook interessant voor bedrijven die gespecialiseerd zijn in penetratietesten en voor zogeheten grey hat-hackers.

De dataset van BUSBY bestaat uit gegevens over 200 zero-day lekken en beslaat de periode van 2002 tot 2016. Veertig procent van de lekken hiervan is nog niet publiekelijk bekend gemaakt. Daarnaast zijn er gegevens over aanvallen op producten van Microsoft, Linux, Mozilla, Google en Adobe.

Weinig overlap

De onderzoekers nuanceren een aantal veel gebruikte argumenten voor en tegen het niet patchen en geheim houden van gevonden zero-day lekken. Zo is een veelgebruikt argument tégen het niet patchen dat tegenstanders die lekken ook kennen en er dus misbruik van zullen maken, wat grote veiligheidsrisico’s oplevert voor gebruikers. RAND constateert echter dat er heel weinig overlap is tussen de lekken die de VS opslaat en de zwakke plekken die andere landen ongepatcht bewaren.

RAND voert aan dat de meeste zero-day lekken jarenlang niet worden opgemerkt. Uit de gegevens van BUSBY blijkt dat er bijna 7 jaar zit tussen de eerste ontdekking van zo’n lek en de publieke bekendmaking ervan. Bovendien is de kans dat hetzelfde lek door meerdere onderzoekers gevonden wordt, erg klein is: slechts 5,7 procent per jaar.

De onderzoekers gaan er vanuit dat het voor nationale overheden wel voordelen heeft om een lek bekend te maken als ze weten dat tegenstanders het lek ook kennen. Daarmee kunnen ze hun verdediging dan  versterken en slaan ze hen een wapen uit handen. Maar er zijn voor die overheden weinig voordelen aan het bekend maken van lekken die hun tegenstanders nog niet kennen. Die kunnen dan hun verdediging daarmee versterken en aanvallen met behulp van dat lek hebben dan weinig zin.

Daarbij komt nog dat cybercriminelen veel vaker gebruik maken van bekende lekken dan van zero-day lekken.

Zwak wachtwoord veel riskanter

Beveiligingsexperts wijzen er overigens wel op dat het belang van het patchen van zero-day lekken voor de beveiliging relatief klein is. Zwakke wachtwoorden, phishing en slecht patchen leveren veel grotere risico’s op voor de beveiliging.

  • Van de 200 lekken die RAND onderzocht, zijn er 40 niet publiekelijk bekend gemaakt en dus niet gepatcht.
  • Het kost gemiddeld 22 dagen voordat een volledig werkend exploit is ontwikkeld voor een zero-day lek.
  • Een kwart van de zero-day lekken wordt binnen 18 maanden ontdekt.
  • Een kwart van de zero-day lekken blijft minstens 9 jaar onontdekt.

 

Lees meer over
Zie ook Beheer op AG Connect Intelligence
Reactie toevoegen