Fortbildung im Bereich IT Security

gaunt

Lt. Commander
Dabei seit
Aug. 2007
Beiträge
2.005
Hi
ich mach mich mal wieder bei der Board Aristokratie undbeliebt und packe wieder mal ein bereits geschlossenes Thema unter neuem Scope an;-)
https://www.computerbase.de/forum/threads/hacker.590397/

OK. Hacken will ich nicht. Ich kann coden und wenn es sein müsste dann schreibe ich diverse Schadsoftware in ein paar Stunden in einer dem Zweck angepassten Sprache.
Aber:
Um effektiv arbeiten zu können würde ich entsprechende Schwachstellen der anvisierten Software benötigen. Das wären in dem Falle den ihr soeben vor euch habt die Forensoftware oder aber integrierte Komponenten wie Beispielsweise die Tracking- oder Add-Dienste. Als nächstes müsste man Schwachstellen der diversen Client Software kennen um hier den im Angebot verbauten Code auszuführen und neben dem gestolenen Accout noch mehr Schaden anzurichten.

Schwachstellen suchen und in Exploits gießen braucht aber Zeit. In vielen Fällen ist das nichtmal schwer, aber wenn man berufstätig ist, Familie und Hobbies hat die nix mit Computern zu tun haben dann hat man dafür einfach keine Zeit. Und die hat heute kaum noch ein normaler Mensch.

Die wirksamen Exploits findet man jedoch kaum noch frei im Netz. Denn ein guter Angriff ist bares Geld wert. Also wird er nicht veröffentlicht, sondern verkauft. Würden wir hier in diesem Forum genauer über Angriffsvarianten diskutieren wäre der Thread sofort dicht oder gelöscht. Und so ist das in vielen (fast allen) Foren. Also kann man nichtmehr öffentlich über Schwachstellen diskutieren.

Kriminelle können das. OK. Auch hier nur gegen Geld. Aber das funktioniert mittlerweile recht gut. Heutzutage bekommt man Accouts diverser Dienste ohne auch nur eine Zeile Code schreiben zu müssen. Illegale Abrechnungssysteme unterstützen den Handel mit Kreditkartendaten ebenso wie mit Kinderpornografie. Ist ja auch wurscht. Man handelt im Endeffekt nur beliebige illegale digitale Güter (unterscheiden sich nur in der KB Menge) welche bezahlt werden müssen. Und das übernehmen ausländische Banken welche ebenso einfach nur verdienen wollen (ggf. unmoralisch aber legitim).

Ergo:
Der Zugang zur Information wird Leuten wie mir (ich zähle micht einfach mal zu den Guten) erschwert. Die Bösen (also die, die euch das Geld[um nix anderes geht es hier] aus der Tasche ziehen) haben aber mit wenig Aufwand weiterhin Zugriff.

Diskussionsfrage:
Veröffentlichen von wirklich sicherheitskritischen Information!
Sollte man es tun und der Community (Hat lange funktioniert. Siehe Open Source) die Möglichkeit geben zu reagieren?
Oder doch lieber verbergen und der Masse der Kleinkriminellen (echte Kriminelle außen vor) den Boden unter den Füßen wegziehen, aber damit auch die Arbeit der guten (z.B. legale Händler) erschweren?

Welches Risiko schätzt ihr höher ein? Oder habt ihr einen ganz anderen Blickwinkel?
Wie kann sich der ambitionierte Laie (legitim) fortbilden wenn er keine Infos merh bekommt?

Greetz
Gaunt

PS: Bitte keine Hinweise auf konkrete Angriffsvarianten. Sonst ist der Thread eh sofort weg.
 

charmin

Admiral
Dabei seit
Mai 2004
Beiträge
8.183
Bezeichnest du dich als "Guten" weil du für entwickelte Schadsoftware kein Geld verlangst oder weil du die Informationen suchst um Angriffe unwirksam zu machen?
 

Fu Manchu

Rear Admiral
Dabei seit
Feb. 2005
Beiträge
5.512
IMO: auf jeden Fall sollte jeder Fehler öffentlich gemacht werden. Die Anwender können sich dann informieren, der Hersteller wird gezwungen sein zu reagieren, weil der Fehler öffentlich ist und Gauner das ausnutzen könnten. Der Anwender weiß um den Fehler bescheid und kann die Funktion oder das Programm meiden, um den Angreifern keine Fläche zu bieten.

Geheime Fehler bleiben nie geheim, wer das glaubt irrt. Solche Fehler sprechen sich in den Kreisen herum, der Hersteller erfährt auch davon, muss aber nicht (schnell) reagieren, weil der Druck der Öffentlichkeit fehlt.
 

CoolHandLuke

Lt. Commander
Dabei seit
März 2008
Beiträge
1.634
Öffentlich machen von Fehlern kann auch kritisch sein, dann nämlich, wenn z.B. MS nicht in der Lage ist, schnell genug Patches zu liefern (und den Benutzern der MS-Produkte Zeit zu geben, die Patches auch einzuspielen)

Da sind Opensource Lösungen mit Bugtrackern usw. und einer großen Community besser - aber auch nicht in allen Fällen ideal.
 

Fu Manchu

Rear Admiral
Dabei seit
Feb. 2005
Beiträge
5.512
Öffentlich machen von Fehlern kann auch kritisch sein, dann nämlich, wenn z.B. MS nicht in der Lage ist, schnell genug Patches zu liefern (und den Benutzern der MS-Produkte Zeit zu geben, die Patches auch einzuspielen)...
Was aber dennoch heißt, das die Benutzer reagieren können. Wenn nicht in Form von Updates, dann in Form von Vermeidung der Software/Funktionen oder der besonderen Vorsicht beim verwenden. Aber völlig unbekannte kritische Bugs können das Problem verschärfen und auf die Betroffenen User abwälzen und den Hersteller freistellen von seiner Verantwortung.

Beim öffentlich machen hat der User wenigstens eine Chance, aber geheime Fehler lassen ihm keine.

Und gerade weil die ClosedSource Gemeinde so klein ist (Hersteller) muss umso dringender das Problem angegangen werden. Das ist Vergleichbar mit Autos und ihren Systemen. Sollte ein Bremsfehler bekannt gemacht werden? Ja, damit der Hersteller reagieren muss und die Autofahrer reagieren können durch vorsichtigere und angepasstere Fahrweise, bis der Fehler behoben ist durch Rückruf und Reparatur - so wie der Software durch ein Update.


...Da sind Opensource Lösungen mit Bugtrackern ...
Haben auch ClosedSouce Lösungen, das ist kein Privileg der OpenSource Gemeide, sondern ein einfaches System zur Verfolgung von Meldungen über (kritische) Fehler und ihrer Bearbeitung und Lösungsstand. Das setzt heute jede halbwegs kleine Softwareklitsche ein.

Bugtracker: sind Fallbearbeitungssysteme (engl. trouble ticket system) für die Softwareentwicklung, die als Werkzeug eingesetzt werden, um Programmfehler zu erfassen und zu dokumentieren. Mit ihnen werden – oft interaktiv und im Internet – auch Zustands- oder Feature-Berichte geschrieben. (Wiki)
 
Zuletzt bearbeitet:
Top