Als Zero Day Exploits bezeichnet man – in aller Kürze – kritische Sicherheitslücken in IT-Software oder Hardware die zwar von einem Akteur entdeckt, allerdings durch diesen (noch) nicht veröffentlicht und damit auch nicht dem Hersteller des betroffenen Produktes zur Kenntnis gelangt sind um dieses Problem zu beheben. Damit sind potentiell alle Systeme die von dieser Sicherheitslücke betroffen sind für den Akteur angreifbar. Als Zero-Day-Exploits werden dabei zumeist solche Sicherheitslücken bezeichnet, die es ermöglichem im betroffenen Systeme System-Zugriff zu erlangen und damit einen Hintertür zu etablieren (bspw. in dem man durch die Lücke an Administratoren-Rechte gelangt). Aus Sicht der aktuellen Militatisierung des Cyberspace und der Entwicklung offensicher Cyber-Wirkmittel („Cyberwaffen“) stellen Zero-Day-Exploits damit de-facto das „waffenfähige Grundmaterial“ dar, mit Hilfe dessen man Zugriff auf fremde IT-Systeme erlangt um dort die nötige Wirkung (den sog. „Payload“) zu erzielen. Zero-Day-Exploits zu suchen und aufzudecken ist i.a.R. nur mit erheblich technischem Aufwand und Know-How möglich, entsprechend „wertvoll“ wird das Wissen über die Sicherheitslücken in Nachrichten- und Militärkreisen (und ganz sicher auch bei „Cyber-Kriminellen“) gehandelt.
Tatsächlich habe sich einige Unternehmen darauf spezialisiert dieses Wissen zu suchen oder aufzukaufen um es ihrerseits an Bedarfsträger weiter zu vermarkten. Zu den bekanntesten Unternehmen zählt die ehemals in Frankreich ansässige Firma „Vupen“. Der Handel mit den Sicherheitslücken wird seit Ende 2013 allerdings im Rahmen des sog. Wassenaar-Abkommens von den 41 Unterzeichner-Staaten kontrolliert und der Export in einige kritisch betrachtete Staaten durchaus auch unterbunden. Vupen hatte sich unter anderem mit Verweis auf diese Beschränkungen 2015 entschlossen den Firmenhauptsitz zu verlagern.
Auf heise.de gibt es seit kurzem eine längere Analyse zu lesen, die sich mit verschiedenen Studien zu Lebensdauer von Zero-Day-Exploits: „Im Mittel vergehen rund 7 Jahre zwischen Geburt eines 0days – also Entdeckung der Lücke und Umsetzung des Exploits – und dessen Ableben. Diese 7 Jahre sind der Zeitraum, über den Busby beziehungsweise deren Kunden den 0day praktisch nutzen konnten.“ (Q: heise.de). Eine der analysierten Studien beschäftigte sich dabei mit anonymen Informationen eines – im Artikel „Busby“ genannten – Unternehmens, das genau wie Vupen „eine Organisation im Umfeld von Militär und Geheimdiensten [ist], die solche 0day-Lücken systematisch sucht und verwertet“.
Der gesamte, sehr lesenswerte Artikel ist hier zu finden (lokale Kopie).