Wikileaks' lekkasje av dokumentasjon om CIAs arsenal av til dels ukjente sårbarheter og kyberangrepsverktøy, har resultert i kritikk av både Wikileaks og CIA. Wikileaks for nok en gang å avsløre hemmeligheter som kan ha betydning for USAs nasjonale sikkerhet – CIA blant annet for å samle på sårbarheter til eget bruk, framfor å informere de berørte om dem. Ingen av delene bør ha kommet som noe overraskelse på noen.
I kjølvannet av denne avsløringen har den amerikanske tenketanken og forskningsorganisasjonen Rand Corporation kommet med det som omtales som den første offentlig tilgjengelige studien som blant annet tar for seg sannsynligheten for at sårbarheter som har blitt oppdaget av én part, også vil bli oppdaget av noen andre.
Les også: Mange av iOS-sårbarhetene i CIA-lekkasjen var kjente fra før
Hemmelige sårbarheter
Studien er basert på et datasett med mer enn 200 faktiske nulldagssårbarheter, hvorav nesten 40 prosent fortsatt ikke var blitt offentliggjort i mars i fjor. Det er ikke oppgitt hvordan Rand har fått tilgang til datasettet, men det opplyses at opplysninger om titalls sårbarheter var blitt fjernet av kilden grunnet «operational sensitivity», før det ble overlevert.
Med nulldagssårbarhet menes en sårbarhet som noen kjenner til, som ikke er kjent for leverandøren av det berørte produktet, eller en kjent sårbarhet som det ennå ikke har blitt utgitt noen sikkerhetsfiks til. Ofte får leverandøren først vite om slike sårbarheter ved at de utnyttes i angrep som så blir oppdaget.
Konklusjonen er at de fleste nulldagssårbarheter blir fjernet til slutt, men at det i gjennomsnitt tar 6,9 år fra en aktør oppdager en nulldagssårbarhet til den blir offentliggjort.
Lav sannsynlighet på kort sikt
Sannsynligheten for at to personer oppdager den samme sårbarheten, kollisjonsraten, er på bare 5,7 prosent per år.
– Den lange tidslinjen og lave kollisjonsraten betyr at graden av beskyttelse som oppnås ved å avsløre en sårbarhet kan være beskjeden, og at det å være stille om eller å lagre sårbarhetene kan være et rimelig alternativ for aktører som både ønsker å forsvare egne systemer og potensielt kunne utnytte sårbarheter i andres systemer, skriver Rand i en pressemelding.
– Typiske «white hat»-forskere har mer incentiv til å varsle programvareleverandører om sårbarheter, så snart de oppdager dem, sier Lillian Ablon, informatiker hos Rand og hovedforfatter av studien, i pressemeldingen.
– Andre, for eksempel selskaper som driver med penetrasjonstesting av systemsikkerheten og «grey hat»-aktører, har incentiv til å ta vare på sårbarhetene. Men det å avgjøre om man skal holde på en nulldagssårbarhet eller offentliggjøre den – eller den korresponderende angrepskode – er et spill om avveininger, spesielt for myndighetene, sier Ablon.
Ifølge studien vil 25 prosent av nulldagssårbarhetene ha en levetid på under 1,5 år før de fjernes. Like mange nulldagssårbarheter vil fortsatt ikke være oppdaget av andre etter minst 9,5 år.
Sårbarheter som kjøpes av en tredjepart har typisk kortere levetid, i gjennomsnitt 1,4 år.
Les også: FBI vedgår bruk av zero day-sårbarheter
Angrepskode utvikles raskt
Ifølge forskerne har det ikke blitt funnet noen spesielle karakteristikker som indikerer om en sårbarhet vil ha kort eller lang levetid, men forskerne mener at framtidige analyser kanskje vil ønske å se nærmere på om for eksempel åpen versus lukket kildekode har noen betydning.
Undersøkelsen viser at når en aktør først finner en fra før ukjent sårbarhet, så bruker aktøren ofte ganske kort tid på å utvikle fungerende angrepskode. Medianverdien er 22 dager, mens 71 prosent ble utviklet på under 31 dager. En tredel ble utviklet på under en uke, mens bare ti prosent krever mer enn 90 dagers utviklingstid.
En ebok om studien er tilgjengelig her.
Utgivelsen av undersøkelsen kan virke godt timet med tanke på «Year Zero»-lekkasjen til Wikileaks i forrige uke. Men trolig dreier det seg om en tilfeldighet.
Vektlegges for mye
Mindre tilfeldig var det nok at lekkasjen ble omtalt i en paneldebatt om sårbarhetsmarkedet under teknologi- og kulturarrangement SXSW i forrige uke. Også der ble det diskutert nulldagssårbarheter.
Ifølge The Next Web sa Ari Schwarz, som var seniordirektør for kybersikkerhet i White House National Security Council under Obama-administrasjonen, fortalte at amerikanske myndigheter har retningslinjer for vurdering av om leverandørene skal informeres om sårbarheter som har funnet. Ifølge Schwarz heller byråene seg i retning av å informere, framfor å hemmeligholde.
Årsaken er at i flere av byråene ikke bare er opptatt av å spionere på andre, men også i å beskytte amerikanske interesser mot angrep fra andre. Dette til tross for at CIAs nå avslørte, men noe utdaterte lager med sårbarhetsinformasjon og angrepskode peker i motsatt retning.
Heather West, senior policy manager hos Mozilla, mener at vi bekymrer oss for mye over nulldagssårbarheter framfor andre mer alvorlige problemer.
– Myndighetene [de amerikanske, journ. anm.] overleverer en mengde sårbarheter, men de fleste bedrifter fjerner dem ikke. Minst 99 prosent av angrepskoden som brukes, utnytter kjente sårbarheter. Det er veldig sjelden at nulldagssårbarheter blir benyttet. Det meste som gjøres er rett og slett sårbarheter som ikke er lappet, sa West.
Spesielt trakk hun fram sårbarheter i produkter som er ved slutten av sin levetid eller sårbarheter hvor nytteverdien av en sikkerhetsfiks ikke kan forsvare kostnadene ved å utvikle og tilby den.
FBI-direktør: – Det er ikke noe som heter privatliv
