Hi

Kann mir jemand weiterhlefen? Irgendein Hackerjorge setzt sich paar Monate hin (ein einzelner!) und haut 20 0-day Lecks in OSX. Wahrscheinlich nur 20, weil es nur 4 Wochen waren. Ein anderer in XP oder Win7 oder Vista, Firefox, Apache, irgendwelche Mediaplayer, Flash usw. usw.
Mit Fuzzing, Fätzing, Schrotting ;) und was nicht alles für Tricks. Vieles davon läßt sich schon soweit scripten, daß man im Kode fast wie in einer Datenbank nach Lecks suchen lassen kann. (FAST, wie gesagt)

Meistens sind die "Entdecker" entweder alleine oder oft max. mit 2-3 Leuten dran.
Was machen eigentlich die Hersteller denn selber in ihren stillen Kammerchen? Wenn ich an die Meldungen des letzten Jahres denke war weit mehr als die Hälfte entweder vertraulich oder unvertraulich - über existierende Exploits - entdeckt worden.

Für mich gibt das ein sehr schwaches Licht ab. Haben die keine Ahnung nach welchen Methodik die Hacker vorgehen? Vor allem beim live hacking könnt ich mich immer schlapp lachen. Da setzt sichein Typ für 3h dran und hebt etwas aus, wo Microsoft eine Woche lang vor einem Update geprüft haben soll?

Oder solche Patches, die eine Lücke nur quasi beheben und 1.1 eines KBs nachgeschoben werden muß oder auch so Fälle, wo mit einem Patch 2 Lücken geschlossen und eine erstellt wurde. Wie arbeiten die bitte überhaupt? Haben die security teams nur am Kundenempfang oder wie?

Findet ihr sowas normal, nur weil es mittlerweile zur Tagesordnung gehört? :| Ich finde es total lächerlich.

Bis später mal.

Ich fürchte, sie sparen Geld und setzen dafür nur schlecht ausgebildetes Personal ein.


Bei Hackern muß man wissen, daß diese aus eigenem Antrieb hochmotiviert an die Sache herangehen und sich daher auch mit solchen Themen tiefgreifend auskennen und sich darauf auch spezialisiert haben.
Solche Mitarbeiter kriegst du nicht viele und die, die du kriegen würdest, die sind in der Regel so teuer daß man das nicht bezahlen möchte.
Also bleibt man beim unqualifizierten Personal, also dem gewöhnlichen Programmierer.

Und die brauchen halt länger oder finden nichts.

IMHO ein Problem der Strukturen in Unternehmen. Da sind Funktionen und Marketing wichtiger als Sicherheit. Es betrifft ja nicht das eigene Unternehmen sondern nur den Kunden. Wärend die Programierer wohl noch motiviert sein könnten eine Software sauber zu schreiben, und dem Cheffe sagen "dauert 4 Wochen" sagt Cheffe "machst du in 5 Tagen, sonst suchen wir uns nen anderen Inder und du kannst gehen". Also macht der Programierer es in 5 Tagen, misachtet einige Regeln, ist genervt und steht nicht mehr hinter der Software. So schleichen sich nicht nur Fehler ein die schwer zu finden sind, sondern auch Fehler die man hätte schon beim schreiben erkennen können. Z.b. ne Funktion die dirty mal schnell geschrieben wurde, eigentlich nur als test, und dann vergessen wurde sauber neu zu schreiben und so als "funktioniert" durchgeht.

Man siehts ja schon daran das MS, und Co nicht gewillt sind, Lösungen bei Dienstleistern einzukaufen.

Diese finden ja auch einen Großteil der Leaks, und werden davon von ihren Kunden bezahlt, jedoch nicht von MS.

Letzendlich profitiert nur einer davon, der Sicherheitsdienstleister :>


Darum greife ich lieber zu OpenSource, da kommt der Leak in den meisten Fällen zusammen mit einem Patch ;)

Wärend die Programierer wohl noch motiviert sein könnten eine Software sauber zu schreiben, und dem Cheffe sagen "dauert 4 Wochen" sagt Cheffe "machst du in 5 Tagen, sonst suchen wir uns nen anderen Inder und du kannst gehen".

Und Cheffe sagt dem Programmierer das, weil die Kunden dem Cheffe sagen:
"Was? 50 € soll ich für ein Spiel ausgeben? Ich zahl nur 10 € oder lads mir runter. Basta!"

Also sagt sich Cheffe, wenn ich frühzeitig den Preis senken muß, weil die meisten keine 50 € zahlen wollen, dann muß die Entwicklung eben günstiger sein.

Für mich gibt das ein sehr schwaches Licht ab. Haben die keine Ahnung nach welchen Methodik die Hacker vorgehen?Wieso sollte ein Unternehmen solche Leute einstellen, die jeweils aus Unternehmenssicht 150.000 - 200.000 EUR im Jahr kosten, wenn sie ihre Produkte auch ohne die verkaufen können?
Es gibt wie weiter oben schon erwähnt auch Vereine, die die Ergebnisse ihrer Analysen und Informationen über die gefundenen Schwachstellen verkaufen. Allerdings häufig nicht an den jeweiligen Software-Hersteller, weil der an einem Kauf kein Interesse haben, sondern an Dritte, die die Informationen für ihre eigenen Abwehr- bzw Angriffsstrategien verwenden.

Vor allem beim live hacking könnt ich mich immer schlapp lachen. Da setzt sichein Typ für 3h dran und hebt etwas aus, wo Microsoft eine Woche lang vor einem Update geprüft haben soll?
Bei solchen Veranstaltungen werden Sicherheitslücken in der Regel nicht *gefunden*, sondern *veröffentlicht*. Die Teilnehmer kommen schon mit dem entsprechenden Wissen zum Wettbewerb.

Microsoft hat ganze Rechencluster für Fuzzing-Tests aufgestellt. So einfach findest du einen 0-Day in Windows auch nicht mehr.