Responsible Disclosure: "Wir sollten die Kriminellen aushungern"
Patchdays sind für Administratoren längst zum Alltag geworden. Doch dass immer mehr Informationen über Sicherheitslücken bereitgestellt werden, sei nicht nur positiv, sagt Oded Vanunu. Er ist bei Checkpoint für die Sicherheit der Produkte zuständig - und fordert ein Umdenken.
Patchdays sind eine große Errungenschaft für die IT-Sicherheit - Sicherheitslücken werden von den meisten Softwareherstellern heute systematisch und deutlich schneller geschlossen als noch vor ein paar Jahren. Doch die Sicherheitsfirma Checkpoint beobachtet einen Trend, der die klassische Disclosure-Politik verändern könnte: Die Informationen über Sicherheitslücken werden von Kriminellen genutzt. Müssen Unternehmen ihren Umgang mit Schwachstellen ändern? Darüber haben wir mit Oded Vanunu, Head Of Products Vulnerability Research bei Checkpoint, am Rande von Checkpoints Hausmesse CPX in Mailand gesprochen.
- Responsible Disclosure: "Wir sollten die Kriminellen aushungern"
- Wir sollen mit der Veröffentlichung von Details zurückhaltender sein
- Security-Firmen sollten bessere interne Sicherheitsprozesse haben
Golem.de: Die Bedrohungslage im Bereich IT-Sicherheit hat sich in den vergangenen Jahren verändert, mehr Unternehmen schließen Sicherheitslücken regelmäßig an einem Patchday. Was denken Sie darüber?
Oded Vanunu: Ich erwarte von allen Software-Anbietern, dass sie ein organisiertes Patch-Management haben. Sie sollten viel stärker in Bezug auf ihre Sicherheit bewertet werden und nicht so stark nach Features. Das ist im Moment das größte Problem in der IT-Welt. In den vergangenen Jahren hat sich in diesem Bereich viel getan, das begrüße ich. Doch ich sehe ein Problem: Es gibt Unternehmen mit sehr viel installierter Software, Adobe und Microsoft sind Beispiele. Jede noch so kleine Sicherheitslücke kann hier ausgenutzt werden - und nicht nur die Funktion der Software selbst, sondern auch die anderen mit dem Netzwerk verbundenen Geräte.
"Innerhalb weniger Tage werden funktionierende Exploits erstellt"
Golem.de: Gibt es auch Probleme mit den Patchdays?
Vanunu: Ja. In den vergangenen Monaten habe ich immer wieder darüber nachgedacht, ob wir unseren Umgang mit der Veröffentlichung von Sicherheitslücken ändern sollten. Denn es gibt einen neuen Zyklus: Wir sehen immer öfter, dass die detaillierten Informationen, die über Sicherheitslücken veröffentlicht werden, von Kriminellen genutzt werden, um Angriffe zu starten. Mein Problem ist, dass Cybercrime-Banden regelrecht nach kritischen Sicherheitslücken jagen und aktuelle Patches per Reverse-Engineering analysieren.
Sie erstellen dann sofort funktionierende Exploits auf Basis dieser Informationen. Und sie wissen, dass sie ein großes offenes Fenster für Angriffe haben, bis die Patches überall eingespielt werden. Wir als IT-Sicherheitscommunity geben möglicherweise zu viele Informationen weiter - und daraus entsteht eine sehr schlechte Situation. Wir geben sehr viele Informationen weiter, die zum Bauen von Exploits genutzt werden können, teilweise sogar den Namen einer einzelnen, verwundbaren Funktion. Und wir wissen mittlerweile, dass Cybercrime-Banden wenig Ressourcenprobleme haben und solche Exploits in Kampagnen nutzen können.
| Wir sollen mit der Veröffentlichung von Details zurückhaltender sein |
Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...
Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...
Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...
Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...
Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...