Schwachstellen Einige Zero Day bitte nicht melden !
Hooepage Cybersecuritv Cyberpace
Cybersecurity theo. Grundlagen Sicherheitstest ? prakt. Tatsachen  Sicherheitstraum... Überwachung interne Verschlüssel. Risikobarometer
Sicherheitstest

"Warum testen ?"

Aufruf: zu Angriffen auf die Computersystem der USAF (Sicherheitstest)
52 Hacker griffen US-Armee-Netzwerke mit 146 Schwachstellen in einem Monat an

Guidelines for Smart Grid Cyber Security
Die interne Verschlüsselung zum Schutz sensibler Daten
Die Überwachung in der virtuellen Welt
Die Schwachstellen in den Programmen
Standard

NSA meldet neun Prozent der Zero-Day-Lücken nicht


9. November 2015, 10:47
8 Postings

91 Prozent würden zwar veröffentlicht, dürften zuvor aber vom Geheimdienst ausgenutzt worden sein
Die NSA hat auf Kritik reagiert, Informationen zu Zero-Day-Lücken weitgehend systematisch zurückzuhalten werden. Dem Geheimdienst wird vorgeworfen, dadurch Unternehmen für Hackerangriffe anfällig zu lassen. Nach eigenen Angaben meldet die NSA 91 Prozent dieser Sicherheitslücken. Allerdings verschweigt der Geheimdienst, wann Unternehmen davon informiert werden.

Topkäufer von Zero-Day-Lücken
Bei Zero-Day-Lücken handelt es sich um Schwachstellen, für die Entwickler noch keine Sicherheitsupdates veröffentlichen konnten. Viele sind daher sehr gefährlich und bilden den Boden für ein lukratives Geschäft, das gleichermaßen Hacker und Regierungsorganisationen bedient. Die NSA gehört früheren Berichten zufolge zu den Topkäufern solcher Lücken. Gleichzeitig sucht der Geheimdienst auch selbst nach solchen Lücken, um sie für Spionagezwecke auszunutzen.

Neun Prozent aller Lücken meldet die NSA nach eigenen Angaben also nicht, 91 Prozent werden bekannt gemacht. Aber selbst in diesen Fällen ist nicht klar, wann der Geheimdienst die Entwickler informiert. Wie ein früherer Mitarbeiter des Weißen Hauses zu Reuters sagt, könne man von ausgehen, dass die meisten dieser Lücken bereits von der NSA ausgenutzt wurden, bevor die Unternehmen informiert wurden. Auch der Schutz geistigen Eigentums der USA wird genannt oder das Risiko durch bestimmte Lücken auf noch gefährlichere Schwachstellen zu stoßen.
"Legitime" Situationen, um Lücken zurückzuhalten

Auf ihrer Website führt die NSA Vor- und Nachteile aus, Informationen über solche Lücken preiszugeben. Im den meisten Fällen sei das "verantwortungsvolle Bekanntmachen einer neu entdecken Schwachstelle eindeutig im nationalen Interesse". Es gebe aber auch legitime Situationen, in denen solche Informationen zurückgehalten werden könnten. Indem man eine Sicherheitslücke aufdeckt, könnte der Geheimdienst die Chance verpassen, "ausschlaggebende Informationen aus dem Ausland" zu sammeln, mit denen beispielsweise terroristische Attacken vereitelt werden könnten.

Unternehmen wie Mozilla kritisieren am Vorgehen der NSA, dass die Gefahr wachse, je länger eine Lücke von den Entwicklern unerkannt bleibe. Denn dadurch erhöhe sich das Risiko, dass auch Hacker oder fremde Geheimdienste auf die Schwachstelle stoßen und sie ausnutzen.

 (br, 9.11.2015)

Links
Reuters
NSA-Informationen über Zero-Day-Lücken


http://derstandard.at/2000025333736/NSA-meldet-9-Prozent-der-Zero-Day-Luecken-nicht