Οι εταιρείες λογισμικού είναι συνεχώς σε επιφυλακή για τις λεγόμενες «zero day» επιθέσεις, την άμεση εκμετάλλευση νέων κενών ασφαλείας δηλαδή προτού αυτά γίνουν αντιληπτά από τις εταιρείες.
Ο όρος «zero day» αναφέρεται σε μια μόνο ημέρα, όπως φαίνεται όμως ο χρόνος που μπορεί να περάσει ανάμεσα στην ανακάλυψη ενός κενού ασφαλείας από τους hackers και την διόρθωση του από την αντίστοιχη εταιρεία πολλές φορές μπορεί να φτάσει και τις 300 ημέρες.
Αυτό αποκαλύπτει νέα μελέτη από δυο ερευνητές της εταιρείας Symantec. Αναλύοντας δεδομένα που συνέλεξαν από 11 εκατομμύρια υπολογιστές που είχαν εγκατεστημένο το antivirus της εταιρείας, ανακάλυψαν 18 διαφορετικά «zero day» exploits, τρωτά σημεία δηλαδή, ανάμεσα στον Φεβρουάριο του 2008 και τον Μάρτιο του 2010. Από αυτά, μόνο τα επτά είχαν εκμεταλλευτεί από hackers πριν την ανακάλυψη τους.
Το πιο ανησυχητικό όμως είναι πως οι επιθέσεις αυτές συνέχισαν να πραγματοποιούνται για πάνω από δέκα μήνες, κάποιες για πάνω από 2.5 χρόνια, προτού οι εταιρείες ασφαλείας τις ανακαλύψουν. Αυτό σημαίνει πως οι hackers είχαν το «ελεύθερο» να εκμεταλλευτούν τα κενά ασφαλείας όπως ήθελαν, χωρίς την αντίδραση των εταιρειών για σημαντικό χρονικό διάστημα.
«Στην πραγματικότητα, το 60% των επιθέσεων που αναγνωρίσαμε στην μελέτη μας δεν ήταν ήδη γνωστές, γεγονός που υποδηλώνει πως υπάρχουν πολύ περισσότερες επιθέσεις «zero-day» από όσο νομίζαμε, ίσως οι διπλάσιες» αναφέρει η μελέτη. «Ενώ η μέση διάρκεια των επιθέσεων είναι περίπου 10 μήνες, το γεγονός πως όλα τα κενά ασφαλείας που αποκαλύφθηκαν μετά το 2010 παρέμεναν άγνωστα για πάνω από 16 μήνες, δείχνει πως μπορεί να έχουμε υποτιμήσει την διάρκεια των «zero day» επιθέσεων».
Όπως αναμενόταν, στόχος των περισσότερων επιθέσεων ήταν δημοφιλή προγράμματα όπως το Adobe Flash, ο Adobe Reader και το Microsoft Word. Συνολικά 16 από τα 18 exploits επηρέαζαν λογισμικά της Microsoft και της Adobe.
Ένα από τα συμπεράσματα της μελέτης είναι και η αξία των «καλοπροαίρετων» hacker, οι οποίοι αναλαμβάνουν να βρουν σφάλματα στο λογισμικό προτού αυτά χρησιμοποιηθούν από τρίτους. Χωρίς κάποιον να «ψάχνει» συνεχώς και να προτείνει την διόρθωση των κενών ασφαλείας στους προγραμματιστές, τέτοιου είδους επιθέσεις θα ήταν πολύ πιο συχνές και πιο δύσκολες στην αντιμετώπιση τους.