Abo
  • Services:
Anzeige
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig.
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig. (Bild: Hauke Gierow)

Responsible Disclosure: "Wir sollten die Kriminellen aushungern"

Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig.
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig. (Bild: Hauke Gierow)

Patchdays sind für Administratoren längst zum Alltag geworden. Doch dass immer mehr Informationen über Sicherheitslücken bereitgestellt werden, sei nicht nur positiv, sagt Oded Vanunu. Er ist bei Checkpoint für die Sicherheit der Produkte zuständig - und fordert ein Umdenken.
Ein Interview von Hauke Gierow

Patchdays sind eine große Errungenschaft für die IT-Sicherheit - Sicherheitslücken werden von den meisten Softwareherstellern heute systematisch und deutlich schneller geschlossen als noch vor ein paar Jahren. Doch die Sicherheitsfirma Checkpoint beobachtet einen Trend, der die klassische Disclosure-Politik verändern könnte: Die Informationen über Sicherheitslücken werden von Kriminellen genutzt. Müssen Unternehmen ihren Umgang mit Schwachstellen ändern? Darüber haben wir mit Oded Vanunu, Head Of Products Vulnerability Research bei Checkpoint, am Rande von Checkpoints Hausmesse CPX in Mailand gesprochen.

Anzeige

Golem.de: Die Bedrohungslage im Bereich IT-Sicherheit hat sich in den vergangenen Jahren verändert, mehr Unternehmen schließen Sicherheitslücken regelmäßig an einem Patchday. Was denken Sie darüber?

Oded Vanunu: Ich erwarte von allen Software-Anbietern, dass sie ein organisiertes Patch-Management haben. Sie sollten viel stärker in Bezug auf ihre Sicherheit bewertet werden und nicht so stark nach Features. Das ist im Moment das größte Problem in der IT-Welt. In den vergangenen Jahren hat sich in diesem Bereich viel getan, das begrüße ich. Doch ich sehe ein Problem: Es gibt Unternehmen mit sehr viel installierter Software, Adobe und Microsoft sind Beispiele. Jede noch so kleine Sicherheitslücke kann hier ausgenutzt werden - und nicht nur die Funktion der Software selbst, sondern auch die anderen mit dem Netzwerk verbundenen Geräte.

"Innerhalb weniger Tage werden funktionierende Exploits erstellt"

Golem.de: Gibt es auch Probleme mit den Patchdays?

Vanunu: Ja. In den vergangenen Monaten habe ich immer wieder darüber nachgedacht, ob wir unseren Umgang mit der Veröffentlichung von Sicherheitslücken ändern sollten. Denn es gibt einen neuen Zyklus: Wir sehen immer öfter, dass die detaillierten Informationen, die über Sicherheitslücken veröffentlicht werden, von Kriminellen genutzt werden, um Angriffe zu starten. Mein Problem ist, dass Cybercrime-Banden regelrecht nach kritischen Sicherheitslücken jagen und aktuelle Patches per Reverse-Engineering analysieren.

Sie erstellen dann sofort funktionierende Exploits auf Basis dieser Informationen. Und sie wissen, dass sie ein großes offenes Fenster für Angriffe haben, bis die Patches überall eingespielt werden. Wir als IT-Sicherheitscommunity geben möglicherweise zu viele Informationen weiter - und daraus entsteht eine sehr schlechte Situation. Wir geben sehr viele Informationen weiter, die zum Bauen von Exploits genutzt werden können, teilweise sogar den Namen einer einzelnen, verwundbaren Funktion. Und wir wissen mittlerweile, dass Cybercrime-Banden wenig Ressourcenprobleme haben und solche Exploits in Kampagnen nutzen können.

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein 

eye home zur Startseite
cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...



Anzeige

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  2. MRU GmbH, Neckarsulm-Obereisesheim
  3. Robert Bosch GmbH, Weilimdorf
  4. Robert Bosch GmbH, Böblingen


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Sägefirma verklagt Kunden bei falscher Verwendung

    Bradolan | 19:09

  2. AVM-Statement

    Vögelchen | 19:09

  3. Re: hört hört

    Lasse Bierstrom | 19:04

  4. Re: Präzedenzfall überfällig

    DAUVersteher | 19:01

  5. Re: Deutsche Konkurenz

    Der Held vom... | 19:01


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel