Abo
  • Services:
Anzeige
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig.
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig. (Bild: Hauke Gierow)

Responsible Disclosure: "Wir sollten die Kriminellen aushungern"

Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig.
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig. (Bild: Hauke Gierow)

Patchdays sind für Administratoren längst zum Alltag geworden. Doch dass immer mehr Informationen über Sicherheitslücken bereitgestellt werden, sei nicht nur positiv, sagt Oded Vanunu. Er ist bei Checkpoint für die Sicherheit der Produkte zuständig - und fordert ein Umdenken.
Ein Interview von Hauke Gierow

Patchdays sind eine große Errungenschaft für die IT-Sicherheit - Sicherheitslücken werden von den meisten Softwareherstellern heute systematisch und deutlich schneller geschlossen als noch vor ein paar Jahren. Doch die Sicherheitsfirma Checkpoint beobachtet einen Trend, der die klassische Disclosure-Politik verändern könnte: Die Informationen über Sicherheitslücken werden von Kriminellen genutzt. Müssen Unternehmen ihren Umgang mit Schwachstellen ändern? Darüber haben wir mit Oded Vanunu, Head Of Products Vulnerability Research bei Checkpoint, am Rande von Checkpoints Hausmesse CPX in Mailand gesprochen.

Anzeige

Golem.de: Die Bedrohungslage im Bereich IT-Sicherheit hat sich in den vergangenen Jahren verändert, mehr Unternehmen schließen Sicherheitslücken regelmäßig an einem Patchday. Was denken Sie darüber?

Oded Vanunu: Ich erwarte von allen Software-Anbietern, dass sie ein organisiertes Patch-Management haben. Sie sollten viel stärker in Bezug auf ihre Sicherheit bewertet werden und nicht so stark nach Features. Das ist im Moment das größte Problem in der IT-Welt. In den vergangenen Jahren hat sich in diesem Bereich viel getan, das begrüße ich. Doch ich sehe ein Problem: Es gibt Unternehmen mit sehr viel installierter Software, Adobe und Microsoft sind Beispiele. Jede noch so kleine Sicherheitslücke kann hier ausgenutzt werden - und nicht nur die Funktion der Software selbst, sondern auch die anderen mit dem Netzwerk verbundenen Geräte.

"Innerhalb weniger Tage werden funktionierende Exploits erstellt"

Golem.de: Gibt es auch Probleme mit den Patchdays?

Vanunu: Ja. In den vergangenen Monaten habe ich immer wieder darüber nachgedacht, ob wir unseren Umgang mit der Veröffentlichung von Sicherheitslücken ändern sollten. Denn es gibt einen neuen Zyklus: Wir sehen immer öfter, dass die detaillierten Informationen, die über Sicherheitslücken veröffentlicht werden, von Kriminellen genutzt werden, um Angriffe zu starten. Mein Problem ist, dass Cybercrime-Banden regelrecht nach kritischen Sicherheitslücken jagen und aktuelle Patches per Reverse-Engineering analysieren.

Sie erstellen dann sofort funktionierende Exploits auf Basis dieser Informationen. Und sie wissen, dass sie ein großes offenes Fenster für Angriffe haben, bis die Patches überall eingespielt werden. Wir als IT-Sicherheitscommunity geben möglicherweise zu viele Informationen weiter - und daraus entsteht eine sehr schlechte Situation. Wir geben sehr viele Informationen weiter, die zum Bauen von Exploits genutzt werden können, teilweise sogar den Namen einer einzelnen, verwundbaren Funktion. Und wir wissen mittlerweile, dass Cybercrime-Banden wenig Ressourcenprobleme haben und solche Exploits in Kampagnen nutzen können.

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein 

eye home zur Startseite
cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Isar Kliniken GmbH, München
  3. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  4. Bundesamt für Verfassungsschutz, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Nvidia

    Keine Volta-basierten Geforces in 2017

  2. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  3. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  4. id Software

    Quake Champions startet in den Early Access

  5. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  6. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  7. Open Source Projekt

    Oracle will Java EE abgeben

  8. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  9. Forum

    Reddit bietet native Unterstützung von Videos

  10. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Öffnungszeiten Online einführen!

    Schrödinger's... | 00:43

  2. Re: Theoretisch eine gute Idee....aber in der Praxis?

    Vollstrecker | 00:38

  3. Re: Sinn

    flow77 | 00:32

  4. Re: Standard-YouTube-Lizenz

    redmord | 00:13

  5. Re: Deshalb braucht man Konkurrenz

    xxsblack | 00:13


  1. 17:56

  2. 16:20

  3. 15:30

  4. 15:07

  5. 14:54

  6. 13:48

  7. 13:15

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel