Az ún. nulladik napi biztonsági rések átlagosan 384 napig lappanganak, mielőtt leírnák vagy befoltoznák őket, de egyesek ennél jóval tovább húzzák – állítja egy IT-biztonsági cég, az Immunity vezérigazgatója. Ez igen riasztó adat, hiszen ez idő alatt a rossz fiúk elméletileg észrevétlenül garázdálkodhatnak az érintett szoftvereket használó számítógépeken. A nulladik napi sebezhetőségek ugyanis széles körben nem ismert és ezért szabadon kihasználható hibák, amelyeknek komoly piaca van. „Nagy összegeket szokás ajánlani a zero-day biztonsági résekért” – mondta egy szingapúri biztonsági konferencián Justine Aitel cégvezető.

Az Immunity sokat támadott üzleti modellje is ezek értékesítésére épül: a cég – amelynek egy támadásokat szimuláló és ezzel az informatikai infrastruktúra sebezhetőségének felmérését segítő alkalmazása is van – a fizetős ügyfeleit rendszeresen tájékoztatja az általuk használt szoftverekben újonnan felfedezett hibákról, az érintett szoftverek gyártóit viszont nem értesítik.

Aitel elmondta – írja a PC World –, hogy míg az átlag 384 nap, a legrövidebb életű nulladik napi rések 99 napig élnek, mielőtt ismertté válnának, de vannak olyanok is, amelyek 1080 napig lappanganak. „A hibáknak vége, amint nyilvánosságra kerülnek, és amint befoltozzák őket” – magyarázta.

Szerinte a vállalati adatok biztonságát csak úgy lehet garantálni, ha az IT-biztonsági szakemberek felkutatják a nulladik napi réseket – de ezzel csak kevesen foglalkoznak. Belső és külső biztonsági auditokra van szükség a zero-day hibák levadászására, aminek a fontosságáról a legfelsőbb vezetést is meg kell győzni. Fontos továbbá – teszi hozzá – a jogi osztály bevonása a munkába, nehogy megszegjék a licencszerződéseket a biztonsági rések utáni kutakodás során. „Azt kell feltételezni, hogy mindenben van hiba. És ez így is van” – mondja.