Οι εταιρείες λογισμικού είναι συνεχώς σε επιφυλακή για τις λεγόμενες «zero day» επιθέσεις, την άμεση εκμετάλλευση νέων κενών ασφαλείας δηλαδή, προτού αυτά γίνουν αντιληπτά από τις εταιρείες.
Ο όρος «zero day» αναφέρεται σε μία μόνο ημέρα, όπως φαίνεται όμως ο χρόνος που μπορεί να περάσει ανάμεσα στην ανακάλυψη ενός κενού ασφαλείας από τους χάκερς και τη διόρθωση του από την αντίστοιχη εταιρεία πολλές φορές μπορεί να φτάσει και τις 300 ημέρες.
Αυτό αποκαλύπτει νέα μελέτη από δυο ερευνητές της εταιρείας Symantec. Αναλύοντας δεδομένα που συνέλεξαν από 11 εκατομμύρια υπολογιστές που είχαν εγκατεστημένο το antivirus της εταιρείας, ανακάλυψαν 18 διαφορετικά «zero day» exploits, τρωτά σημεία δηλαδή, ανάμεσα στο Φεβρουάριο του 2008 και το Μάρτιο του 2010. Από αυτά, μόνο τα επτά είχαν χρησιμοποιηθεί από χάκερς πριν την ανακάλυψη τους.
Το πιο ανησυχητικό όμως είναι πως οι επιθέσεις αυτές συνέχισαν να πραγματοποιούνται για πάνω από δέκα μήνες, κάποιες για πάνω από 2,5 χρόνια, προτού οι εταιρείες ασφαλείας τις ανακαλύψουν.
Αυτό σημαίνει πως οι χάκερς είχαν το «ελεύθερο» να εκμεταλλευτούν τα κενά ασφαλείας όπως ήθελαν, χωρίς την αντίδραση των εταιρειών για σημαντικό χρονικό διάστημα.
«Στην πραγματικότητα, το 60% των επιθέσεων που αναγνωρίσαμε στη μελέτη μας δεν ήταν ήδη γνωστές, γεγονός που υποδηλώνει πως υπάρχουν πολύ περισσότερες επιθέσεις “zero-day” από όσο νομίζαμε, ίσως οι διπλάσιες» αναφέρει η μελέτη.
«Ενώ η μέση διάρκεια των επιθέσεων είναι περίπου 10 μήνες, το γεγονός πως όλα τα κενά ασφαλείας που αποκαλύφθηκαν μετά το 2010 παρέμεναν άγνωστα για πάνω από 16 μήνες, δείχνει πως μπορεί να έχουμε υποτιμήσει την διάρκεια των “zero day” επιθέσεων».
Όπως αναμενόταν, στόχος των περισσότερων επιθέσεων ήταν δημοφιλή προγράμματα όπως το Adobe Flash, ο Adobe Reader και το Microsoft Word. Συνολικά 16 από τα 18 exploits επηρέαζαν λογισμικά της Microsoft και της Adobe.
Ένα από τα συμπεράσματα της μελέτης είναι και η αξία των «καλοπροαίρετων» χάκερ, οι οποίοι αναλαμβάνουν να βρουν σφάλματα στο λογισμικό προτού αυτά χρησιμοποιηθούν από τρίτους.
Χωρίς κάποιον να «ψάχνει» συνεχώς και να προτείνει τη διόρθωση των κενών ασφαλείας στους προγραμματιστές, τέτοιου είδους επιθέσεις θα ήταν πολύ πιο συχνές και πιο δύσκολες στην αντιμετώπισή τους.