Die Schweizer Forscher Stefan Frei, Bernard Tellenbach und Bernhard Plattner der ETH Zürich haben auf der Black Hat Europe in Amsterdam eine neue Metrik zur Bewertung der Sicherheit von Betriebssystemen vorgestellt, bei der sie insbesondere auf die 0-Day Problematik eingehen.
Fairerweise werden nur proprietäre geschlossene Betriebssysteme von Microsoft und Apple verglichen und dabei zeigt sich wenig überraschend, dass Microsoft deutlich besser abschneidet. Interessant finde ich jedoch auch die Begrifflichkeiten, die gefunden werden.
Grundsätzlich werden mehrere Meilensteine im Lebenszyklus definiert:
- Discovery, die Entdeckung einer Sicherheitslücke
- Exploit, die Entwicklung und Verfügbarkeit eines nicht-öffentlichen Exploits
- Disclosure, die Veröffentlichung der Sicherheitslücke (mit oder ohne Exploit ist grundsätzlich egal)
- Patch available, die Veröffentlichung bzw. Verfügbarkeit eines Patches vom Hersteller
- Patch installed, der Patch wurde vom Anwender installiert und das System ist bzgl. dieser Lücke wieder sicher.
Die Zeitspanne zwischen Discovery und Disclosure wird als Black Risk bezeichnet, da nur im Untergrund bei Black Hat Hackern die Lücke bekannt ist. Die Zeit von der Veröffentlichung (Disclosure) bis zur Patchverfügbarkeit wird als Gray Risk bezeichnet. Das ist das sogenannte Windows of Exposure, d.h. die Lücke ist allgemein bekannt aber der Anwender kann nichts dagegen tun, da er keinen Patch hat. Hier wird von einem sogenannten 0-Day gesprochen. Sobald der Patch verfügbar aber noch nicht installiert ist, beginnt das White Risk. Sämtliche Gefährdungen sind bekannt, es liegt in der Verantwortung der Anwender zu entscheiden, welche Patches sie installieren oder nicht.
Die Begriffsdefinitionen erscheinen mir alle sehr sinnvoll, man sollte sie allgemein übernehmen.