Abo
  • Services:

Responsible Disclosure: "Wir sollten die Kriminellen aushungern"

Patchdays sind für Administratoren längst zum Alltag geworden. Doch dass immer mehr Informationen über Sicherheitslücken bereitgestellt werden, sei nicht nur positiv, sagt Oded Vanunu. Er ist bei Checkpoint für die Sicherheit der Produkte zuständig - und fordert ein Umdenken.

Ein Interview von veröffentlicht am
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig.
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig. (Bild: Hauke Gierow)

Patchdays sind eine große Errungenschaft für die IT-Sicherheit - Sicherheitslücken werden von den meisten Softwareherstellern heute systematisch und deutlich schneller geschlossen als noch vor ein paar Jahren. Doch die Sicherheitsfirma Checkpoint beobachtet einen Trend, der die klassische Disclosure-Politik verändern könnte: Die Informationen über Sicherheitslücken werden von Kriminellen genutzt. Müssen Unternehmen ihren Umgang mit Schwachstellen ändern? Darüber haben wir mit Oded Vanunu, Head Of Products Vulnerability Research bei Checkpoint, am Rande von Checkpoints Hausmesse CPX in Mailand gesprochen.

Golem.de: Die Bedrohungslage im Bereich IT-Sicherheit hat sich in den vergangenen Jahren verändert, mehr Unternehmen schließen Sicherheitslücken regelmäßig an einem Patchday. Was denken Sie darüber?

Oded Vanunu: Ich erwarte von allen Software-Anbietern, dass sie ein organisiertes Patch-Management haben. Sie sollten viel stärker in Bezug auf ihre Sicherheit bewertet werden und nicht so stark nach Features. Das ist im Moment das größte Problem in der IT-Welt. In den vergangenen Jahren hat sich in diesem Bereich viel getan, das begrüße ich. Doch ich sehe ein Problem: Es gibt Unternehmen mit sehr viel installierter Software, Adobe und Microsoft sind Beispiele. Jede noch so kleine Sicherheitslücke kann hier ausgenutzt werden - und nicht nur die Funktion der Software selbst, sondern auch die anderen mit dem Netzwerk verbundenen Geräte.

"Innerhalb weniger Tage werden funktionierende Exploits erstellt"

Golem.de: Gibt es auch Probleme mit den Patchdays?

Stellenmarkt
  1. Lechwerke AG, Augsburg
  2. MÜNCHENSTIFT GmbH, München

Vanunu: Ja. In den vergangenen Monaten habe ich immer wieder darüber nachgedacht, ob wir unseren Umgang mit der Veröffentlichung von Sicherheitslücken ändern sollten. Denn es gibt einen neuen Zyklus: Wir sehen immer öfter, dass die detaillierten Informationen, die über Sicherheitslücken veröffentlicht werden, von Kriminellen genutzt werden, um Angriffe zu starten. Mein Problem ist, dass Cybercrime-Banden regelrecht nach kritischen Sicherheitslücken jagen und aktuelle Patches per Reverse-Engineering analysieren.

Sie erstellen dann sofort funktionierende Exploits auf Basis dieser Informationen. Und sie wissen, dass sie ein großes offenes Fenster für Angriffe haben, bis die Patches überall eingespielt werden. Wir als IT-Sicherheitscommunity geben möglicherweise zu viele Informationen weiter - und daraus entsteht eine sehr schlechte Situation. Wir geben sehr viele Informationen weiter, die zum Bauen von Exploits genutzt werden können, teilweise sogar den Namen einer einzelnen, verwundbaren Funktion. Und wir wissen mittlerweile, dass Cybercrime-Banden wenig Ressourcenprobleme haben und solche Exploits in Kampagnen nutzen können.

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. 6,99€
  2. 11,19€ inkl. USK18-Versand
  3. 0,00€
  4. 0,00€

cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...


Folgen Sie uns
       


Vayyar Smart Home - Hands on

Vayyar hat auf der Ifa 2018 Vayyar Home vorgestellt. Die Box kann in einem Raum eine gestürzte Person erkennen und Hilfe rufen.

Vayyar Smart Home - Hands on Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

Sky Ticket mit TV Stick im Test: Sky kann's gut, Netflix und Amazon können es besser
Sky Ticket mit TV Stick im Test
Sky kann's gut, Netflix und Amazon können es besser

Gute Inhalte, aber grauenhafte Bedienung: So war Sky Ticket bisher. Die neue Version macht vieles besser, und mit dem Sky Ticket Stick lässt sich der Pay-TV-Sender kostengünstig auf den Fernseher bringen. Besser geht es aber immer noch.
Ein Test von Ingo Pakalski

  1. Comcast Bezahlsender Sky für 38,8 Milliarden US-Dollar verkauft
  2. Videostreaming Wiederholte Sky-Ausfälle verärgern Kunden
  3. Sky Ticket TV Stick Sky verteilt Streamingstick de facto kostenlos

    •  /