Aktuelles

Windows 10, 11 & Server: Sicherheitsforscher veröffentlicht Zero-Day-Exploit

Thread Starter
Mitglied seit
06.03.2017
Beiträge
31.540
guyfawkes100.jpg
Eigentlich sollen Bug-Bounty-Programme die Sicherheit von Systemen erhöhen. Sicherheitsforscher haben so die Möglichkeit, Schwachstellen beziehungsweise Sicherheitslücken bei einem offiziellen Ansprechpartner zu melden und erhalten hierfür ein Kopfgeld beziehungsweise eine Prämie.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Gejmar

Einsteiger
Mitglied seit
19.07.2021
Beiträge
20
Nach welchen Kriterien wählt der Skrobot eigentlich Bilder für solche Artikel aus?
 

Shinsaja

Experte
Mitglied seit
04.10.2012
Beiträge
280
Nein... Windows 7 :sneaky:
 

RcTomcat

Enthusiast
Mitglied seit
22.09.2010
Beiträge
2.433
"Aus diesem Grund hat sich der Sicherheitsexperte Abdelhamid Naceri dazu entschieden, einen Zero-Day-Exploit für die Microsoft-Betriebssysteme Windows 10 und 11 sowie Server zu veröffentlichen. Als Begründung führte der Forscher die von Microsoft seit April 2020 reduzierten Belohnungen auf."
Das Vorgehen finde ich irgendwie heftig und absolut unverständlich.
Frei nach dem Motto "die zahlen mir nicht genug, also mache ich es öffentlich" bestimmt also zukünftig der "Sicherheitsforscher" wie und ob er eine Schwachstelle meldet?
Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Der Herr gibt doch glatt auf Linkedin an Nutzer weltweit schützen zu wollen. "Self educated security researcher, advancing more in malware analysis and low-level research & Hunting more security vulnerabilities in multiple security products while protecting their users around the world". Davon sehe ich in diesem Fall recht wenig.
Für Bugs welche z.b. das Insider Preview Program betreffen zahlt MS bis zu 100.000 Dollar, für Hyper-V bis zu 250.000 Dollar und Azure bis zu 60.000 Dollar. Wem es nur ums Geld geht (was bei Herrn Naceri der Fall zu sein scheint) der war und ist am Exploit Markt meist deutlich besser aufgehoben oder er sucht gleich den direkten Kontakt zu einer der großen Malware as a Service Gruppen.

Da der Herr selbstständig ist scheint tatsächlich der monetäre Aspekt im Vordergrund zu stehen.
 

MENCHI

Anime und Hardware Otaku
Mitglied seit
23.08.2008
Beiträge
17.932
Ort
Winterlingen
Wieso auch nicht? Zeit, Aufwand, know how :shot:

So ist jetzt M$ im Zugzwang. Statt einzelnen ordentlichen zu zahlen, darf
MS eine Horde an Mitarbeiter abstellen,
die den Fehler (auf die Schnelle?) ausbügeln.

Ist natürlich günstiger...
 

pescA

Enthusiast
Mitglied seit
14.06.2009
Beiträge
2.709
Ort
Hamburg
Zudem interessieren sich nicht nur die Hersteller für diese, sondern auch Kriminelle.
In welche der beiden Kategorien fallen deutsche Sicherheitsbehörden?

Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Er nutzt sie nicht aktiv aus oder verkauft sie an Institutionen, welche sie nutzen würden. Sondern er macht es öffentlich um dem Hersteller zu ermöglichen es zu fixen. Finde ich schon einen Unterschied. Vielleicht ist es ja auch Gesellschaftskritik, dass es für ihn finanziell interessanter ist die Lücken an Behörden zu verkaufen welche sie nutzen, als sie dem Hersteller zu melden. Der Marktpreis von Exploits wird durch alle Marktteilnehmer bestimmt und da sind nunmal auch Behörden dabei - warum sollte ich als Bewohner eines Landes moralisch korrekt handeln, wenn meine Regierung genau das Gegenteil macht?
 

mod666

Enthusiast
Mitglied seit
17.03.2008
Beiträge
1.514
MS zahlt zu wenig für das melden solcher Lücken, deswegen veröffentlicht er den Exploit einfach kostenlos im Netz, damit sich jetzt etliche BlackHats drauf stürzen können. Wow.
 

TheBigG

Enthusiast
Mitglied seit
24.05.2010
Beiträge
2.291
Nach welchen Kriterien wählt der Skrobot eigentlich Bilder für solche Artikel aus?
Wieso Bilder? Ist doch immer das selbe Bild? Da aber niemand anderes der Redakteure das Bild nutzt kann man die News zum Glück gut erkennen und erst gar nicht draufklicken.
 

RcTomcat

Enthusiast
Mitglied seit
22.09.2010
Beiträge
2.433
warum sollte ich als Bewohner eines Landes moralisch korrekt handeln, wenn meine Regierung genau das Gegenteil macht?
Der Logik nach müsstest du so einiges tun was für unsere Gesellschaft nicht gerade förderlich wäre. Warum sollst du richtig parken wenn da vorne bereits jemand falsch parkt?
Mit solch einer Einstellung brauchen wir keine Moral und Gesetze mehr, irgendwer wird sie immer brechen und damit den Freifahrtschein für alle anderen generieren.

Und 100000 Dollar sind nicht gerade wenig für eine einzige Lücke, noch dazu wo diese doch nicht remote nutzbar ist.
Ein riesen Unterschied zwischen diesem Herrn und den anderen bekannten Sicherheitsforschern ist eben auch das Anstellungsverhältnis. Der Herr hier lebt scheinbar davon wohingegen andere erfolgreiche Firmen betreiben oder bei solchen als Experten angestellt sind. Da ist dann die Bug Bounty das nette Zubrot und Prestige. Ein kleiner, aber sehr wichtiger Unterschied.

Der Marktpreis von Exploits wird durch alle Marktteilnehmer bestimmt und da sind nunmal auch Behörden dabei

Richtig. Neben Erpressern, professionellen Industriespionen etc etc.
Hat aber nichts damit zu tun dass man eine Lücke lieber an genannte Personenkreise verkauft, die Motivation für solch eine Handlung ist schlicht Geldgier.
Der Logik nach kann man alle Informationen an den Meistbietenden verkaufen, ich bin mir sicher die Konkurrenz zahlt deutlich besser für manch eine Information als der eigene Arbeitgeber.
Vom Waffensektor wollen wir mal gar nicht anfangen.....

Lücken nun schlicht kostenfrei zu veröffentlichen ist unwesentlich besser. Immerhin haben alle genannten Gruppen zeitgleich Zugriff auf diese Informationen und die professionellen Malware Gruppen sind nicht gerade langsam was ihre Implementierungen angeht. Der Herr möchte die Menschheit schützen laut seinem Linkedin Profil! Davon ist recht wenig zu sehen.

Es geht auch anders, das wurde bereits bewiesen. Man kann Lücken öffentlich ansprechen ohne PoC und wichtige Informationen auslassen bzw. diese nur vertrauenswürdigen Dritten zur verifizierung überlassen.

Gesellschaftskritik sieht anders aus!
 

Ycon

Profi
Mitglied seit
26.07.2018
Beiträge
581
Das Verhalten dieses Typen ist natürlich unterste Schublade, aber dennoch muss man auch M$ kritisieren.
Wenn man schon ein Programm fährt, welches Findern von Lücken Geld bezahlt, dann muss man sich eben auch bzgl. der Höhe der gezahlten Beträge am Markt orientieren. Es kann mir keiner erzählen, dass bei M$ niemand eine Ahnung davon hat, was auf dem Schwarzmarkt für solche Lücken gezahlt wird.
Auch wenn M$ dies mittlerweile zur Firmenphilosophie erhoben hat, sind eben NICHT alle anderen auf der Welt nur mit Trostpreisen zufrieden...
 

Mr.Mito

Admiral, Altweintrinker
Mitglied seit
03.07.2001
Beiträge
26.243
Ort
127.0.0.1
@RcTomcat:

Ich finde deine Schlussfolgerungen etwas hart oder kennst du den Herrn? Meiner Meinung nach würde es diese News gar nicht geben, wenn es Naceri nur ums Geld gehen würde. Dann hätte er einen dicken Geldeingang auf seinem Konto und fertig.
Stattdessen hat er sie umsonst veröffentlicht. Wie passt das denn zu reinem Geldwunsch?
Er will scheinbar auf die Misstände hinweisen, die es bei den BB Programmen gibt. Viele Forscher werden es sich halt sicherlich zweimal überlegen, ob sie eine Lücke melden, mit Glück Geld X bekommen und viel nervigen Mist an der Backe haben oder ob sie die Lücke einfach für 200.000€ ohne Stress verkaufen.
Damit BB Programme effektiver sind, müssen sie zwangsläufig lukrativer werden. Und man sollte den legalen Exploit Markt staatlich verbieten, wird aber niemals passieren ...

bestimmt also zukünftig der "Sicherheitsforscher" wie und ob er eine Schwachstelle meldet?
Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Zukünftig? Wer sonst, außer der Entdecker, soll denn entscheiden ob/wo er es veröffentlicht? :fresse:
Wäre er BlackHat, würdest du hier nun nichts davon lesen und er hätte die Lücke einfach für viel Geld verkauft.
Und 100000 Dollar sind nicht gerade wenig für eine einzige Lücke, noch dazu wo diese doch nicht remote nutzbar ist.
Bis zu 100.000$ und "Microsoft sieht die von Naceri entdeckte Sicherheitslücke weniger problematisch"
Also hätte ihm M$ wohl eher was gehustet und wieder X Monate nicht gefixt, weil "nicht so schlimm". Wer weiß, wie oft er die Erfahrung schon gemacht hat.

Es geht auch anders, das wurde bereits bewiesen. Man kann Lücken öffentlich ansprechen ohne PoC und wichtige Informationen auslassen bzw. diese nur vertrauenswürdigen Dritten zur verifizierung überlassen.
Da hast du allerdings vollkommen recht.
 

DragonTear

Enthusiast
Mitglied seit
06.02.2014
Beiträge
15.093
Ort
Im sonnigen Süden
Das Verhalten dieses Typen ist natürlich unterste Schublade, aber dennoch muss man auch M$ kritisieren.
Wenn man schon ein Programm fährt, welches Findern von Lücken Geld bezahlt, dann muss man sich eben auch bzgl. der Höhe der gezahlten Beträge am Markt orientieren. Es kann mir keiner erzählen, dass bei M$ niemand eine Ahnung davon hat, was auf dem Schwarzmarkt für solche Lücken gezahlt wird.
Du kannst doch nicht ernsthaft den legalen Markt mit dem Schwarzmarkt in einen Topf schmeissen. Dazu passt ja RcTomcat's analogie sehr gut: Die Konkurenzfirma zahlt für Infos von deinem Arbeitgeber höchstwahrscheinlich auch mehr als dein Arbeitgeber >_>
Klar, wir wissen nicht so recht wie sich das "bis zu 100k" genau gestalltet, allerdings reden wir zumindest im Maximum von dem gesamten Jahresgehalt eines sehr guten Softwareentwicklers. Für eine einzige Lücke...

@Mr.Mito "ohne Stress" ist zu unser aller Glück der Verkauf nicht, schliesslich begeht man eine landesgefährdende Straftaat und z.B. das FBI hat schon gewisse Tor-Nutzer geschnappt.
 

pescA

Enthusiast
Mitglied seit
14.06.2009
Beiträge
2.709
Ort
Hamburg
Der Logik nach müsstest du so einiges tun was für unsere Gesellschaft nicht gerade förderlich wäre. Warum sollst du richtig parken wenn da vorne bereits jemand falsch parkt?
Mit solch einer Einstellung brauchen wir keine Moral und Gesetze mehr, irgendwer wird sie immer brechen und damit den Freifahrtschein für alle anderen generieren.
Ich stelle an Sicherheitsbehörden, welche mit Geld und weiteren Kompetenzen ausstatt sind damit sie die Bewohner einer der reichsten Industrienationen schützen höhere Anforderungen, als den Falschparker die Straße runter.

Um auch Inhalte zur Diskussion beizutragen hier ein Beispiel, wie in Deutschland mit Personen umgegangen wird die mit gefundenen Sicherheitslücken an Hersteller herantreten:

Doch statt Dank für die Entdeckung eines für 700.000 Endkunden potenziell katastrophalen Datenlecks bekommt der Programmierer richtig Ärger mit den Behörden. Am 15. September steht ein Durchsuchungskommando des Kriminalkommissariats 22 der Polizei Aachen vor der Tür. Die Beamten gaben sich nach Schilderung des Programmierers als Paketboten aus, verschafften sich Zugang zur Wohnung und drückten ihn an die Wand. Die Polizei beschlagnahmte einen PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien – das gesamte Arbeitsgerät des Programmierers.


Wenn meine Exekutive so deutlich gegen Responsible Disclosure vorgeht, warum sollte ich dann das persönliche Risiko eingehen? Es ist eine Situation, welche man kritisieren muss!
 

RcTomcat

Enthusiast
Mitglied seit
22.09.2010
Beiträge
2.433
Ich stelle an Sicherheitsbehörden, welche mit Geld und weiteren Kompetenzen ausstatt sind damit sie die Bewohner einer der reichsten Industrienationen schützen höhere Anforderungen, als den Falschparker die Straße runter.
Natürlich stellt man andere Anforderungen an einen Staat als an seinen Nachbarn wenn es um den Schutz der Allgemeinheit geht, aus einer vermeintlichen Verfehlung jedoch einen Freifahrtschein abzuleiten halte ich für äußerst gefährlich und vermessen.
Wo ist die Grenze zu ziehen wenn "der/die verhält sich meiner Ansicht nach falsch also darf ich das auch" gilt?
Moral ist kein allgemeingültiges Gut. Was manch einer unmoralisch findet ist für andere völlig normal. War es früher doch unmoralisch unverheiratet zusammenzuwohnen ist dies heute in der westlichen Welt für die meisten kein Problem mehr.
Das "moralisch korrekt" aus deinem ursprünglichen Post (auf welches sich mein Falschparken Satz bezieht) existiert nicht bzw. ist völlig individuell.


Wenn meine Exekutive so deutlich gegen Responsible Disclosure vorgeht, warum sollte ich dann das persönliche Risiko eingehen? Es ist eine Situation, welche man kritisieren muss!
Und in wie weit hat das mit diesem Fall zu tun? Der Herr hat doch unter seinem Klarnamen veröffentlicht! Das schützt ihn keinen Deut mehr vor einer Klage als via irgendeinem Bug Bounty Program die Lücke gemeldet zu haben....Das Gegenteil dürfte der Fall sein.
Dem Herrn geht es laut dem Artikel hier und dem originalen Interview auch nicht um den Umgang mit gemeldeten Lücken, er moniert lediglich die Bezahlung durch MS und Co!
"When BleepingComputer asked Naceri why he publicly disclosed the zero-day vulnerability, we were told he did it out of frustration over Microsoft's decreasing payouts in their bug bounty program."
Es ging ihm also nur um die Höhe des "Finderlohns".

Es spricht ja nichts gegen Kritik, lediglich die Art und Weise ist m.M.n völlig falsch. Wie gesagt: Es gab in der Vergangenheit genug Forscher welche die gefundenen Lücken medienwirksam öffentlich gemacht haben, jedoch eben auf eine Art und Weise das die Lücke nicht gleich von ALLEN genutzt werden kann. Da wurden keine vollständigen Proof of Concepts veröffentlicht oder wichtige Informationen weggelassen.
Du schreibst oben er hätte es kostenfrei veröffentlicht um dem Hersteller die Möglichkeit zum Patch zu geben: Dazu muss man nicht alles veröffentlichen bzw. kann dem Hersteller/ vertrauenswürdigen Dritten Details zukommen lassen welche ich der Öffentlichkeit vorenthalte. Auf diesem Weg kann ich es Parteien mit bösen Absichten zumindest deutlich schwerer machen meine gefundene Lücke zeitnah auszunutzen.
In diesem Fall wurde MS bewusst umgangen und außen vor gehalten! Das passt nicht zu "er wollte dem Hersteller die Möglichkeit geben zu patchen".
Mit den veröffentlichten Informationen kann jeder die Lücke sofort nutzen.

Wie gesagt: Der Herr nennt die "niedrige" Bezahlung als Grund für die direkte Veröffentlichung ohne den Hersteller vorher informiert zu haben, alle anderen Aspekte wie eventuelle Strafverfolgung wurden von ihm nicht angeführt.
Die Frage ist natürlich wie man die Bounty Programme fairer gestallten kann? Es gibt keine allgemeingültige Formel nach der eine Lücke zu klassifizieren ist. Was für den einen hochkritisch sein mag kann für andere völlig irrelevant sein. Wonach also die Auszahlungshöhe definieren?

Man kann Lücken auch an diverse Organisationen melden, bei uns in DE beispielsweise an das BSI oder den CCC. Gerade letzterer hat einiges an Erfahrung wenn es um das Thema "wir schlagen mit Rechtsanwälten zurück" geht. Aucxh heise bietet Vermittlungen zwischen Hersteller und Finder an.
Modern Solution ist mit Abstand das größte Negativbeispiel (nach der CDU/CSU App) in der jüngeren Vergangenheit. Das Vorgehen ist völlig zu Recht als absolut falsch anzusehen.
Es bestreitet niemand das in diesem Bereich noch deutlich mehr Schutz für Melder erforderlich ist bzw. eine Sensibilisierung der Staatsanwälte/Richter.
Es geht auch positiv, das liest/hört man nur meist nicht in den Medien.

Meiner Meinung nach vermischt sich in dieser Diskussion das Problem des Allgemeinen Umgangs mit Bugs mit dem konkreten Fall.
Ich bemängele die Vorgehensweise des Entdeckers in diesem konkreten Fall, du übst Kritik am System generell und den vielen negativen Fällen der Vergangenheit. Beides ist meiner Ansicht nach völlig nachvollziehbar
 

DragonTear

Enthusiast
Mitglied seit
06.02.2014
Beiträge
15.093
Ort
Im sonnigen Süden
Wenn es ums Lücken finden in fremden Systemen die man nicht in seinem Besitz hat (die darf man für sich legal hacken) geht, wirds sehr schwierig.
Wenn ein böswilliger Angreifer gefasst wird bevor er wirklich Daten gestohlen, aber eindeutig den Versuch unternommen hat, könnte er immer behaupten "ich wollte die Lücke ganz, ganz sicher melden!!" und käme dann straffrei wenn es unter der Prämisse legal wär... :/
Deswegen sind Penetration Tests durch externe Firmen der eher gangbare Weg...
 
Oben Unten