Aktuelles

Windows 10, 11 & Server: Sicherheitsforscher veröffentlicht Zero-Day-Exploit

Thread Starter
Mitglied seit
06.03.2017
Beiträge
30.513
guyfawkes100.jpg
Eigentlich sollen Bug-Bounty-Programme die Sicherheit von Systemen erhöhen. Sicherheitsforscher haben so die Möglichkeit, Schwachstellen beziehungsweise Sicherheitslücken bei einem offiziellen Ansprechpartner zu melden und erhalten hierfür ein Kopfgeld beziehungsweise eine Prämie.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Gejmar

Einsteiger
Mitglied seit
19.07.2021
Beiträge
18
Nach welchen Kriterien wählt der Skrobot eigentlich Bilder für solche Artikel aus?
 

Shinsaja

Experte
Mitglied seit
04.10.2012
Beiträge
280
Nein... Windows 7 :sneaky:
 

RcTomcat

Enthusiast
Mitglied seit
22.09.2010
Beiträge
2.422
"Aus diesem Grund hat sich der Sicherheitsexperte Abdelhamid Naceri dazu entschieden, einen Zero-Day-Exploit für die Microsoft-Betriebssysteme Windows 10 und 11 sowie Server zu veröffentlichen. Als Begründung führte der Forscher die von Microsoft seit April 2020 reduzierten Belohnungen auf."
Das Vorgehen finde ich irgendwie heftig und absolut unverständlich.
Frei nach dem Motto "die zahlen mir nicht genug, also mache ich es öffentlich" bestimmt also zukünftig der "Sicherheitsforscher" wie und ob er eine Schwachstelle meldet?
Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Der Herr gibt doch glatt auf Linkedin an Nutzer weltweit schützen zu wollen. "Self educated security researcher, advancing more in malware analysis and low-level research & Hunting more security vulnerabilities in multiple security products while protecting their users around the world". Davon sehe ich in diesem Fall recht wenig.
Für Bugs welche z.b. das Insider Preview Program betreffen zahlt MS bis zu 100.000 Dollar, für Hyper-V bis zu 250.000 Dollar und Azure bis zu 60.000 Dollar. Wem es nur ums Geld geht (was bei Herrn Naceri der Fall zu sein scheint) der war und ist am Exploit Markt meist deutlich besser aufgehoben oder er sucht gleich den direkten Kontakt zu einer der großen Malware as a Service Gruppen.

Da der Herr selbstständig ist scheint tatsächlich der monetäre Aspekt im Vordergrund zu stehen.
 

MENCHI

Anime und Hardware Otaku
Mitglied seit
23.08.2008
Beiträge
17.897
Ort
Winterlingen
Wieso auch nicht? Zeit, Aufwand, know how :shot:

So ist jetzt M$ im Zugzwang. Statt einzelnen ordentlichen zu zahlen, darf
MS eine Horde an Mitarbeiter abstellen,
die den Fehler (auf die Schnelle?) ausbügeln.

Ist natürlich günstiger...
 

pescA

Enthusiast
Mitglied seit
14.06.2009
Beiträge
2.708
Ort
Hamburg
Zudem interessieren sich nicht nur die Hersteller für diese, sondern auch Kriminelle.
In welche der beiden Kategorien fallen deutsche Sicherheitsbehörden?

Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Er nutzt sie nicht aktiv aus oder verkauft sie an Institutionen, welche sie nutzen würden. Sondern er macht es öffentlich um dem Hersteller zu ermöglichen es zu fixen. Finde ich schon einen Unterschied. Vielleicht ist es ja auch Gesellschaftskritik, dass es für ihn finanziell interessanter ist die Lücken an Behörden zu verkaufen welche sie nutzen, als sie dem Hersteller zu melden. Der Marktpreis von Exploits wird durch alle Marktteilnehmer bestimmt und da sind nunmal auch Behörden dabei - warum sollte ich als Bewohner eines Landes moralisch korrekt handeln, wenn meine Regierung genau das Gegenteil macht?
 

mod666

Enthusiast
Mitglied seit
17.03.2008
Beiträge
1.508
MS zahlt zu wenig für das melden solcher Lücken, deswegen veröffentlicht er den Exploit einfach kostenlos im Netz, damit sich jetzt etliche BlackHats drauf stürzen können. Wow.
 

RcTomcat

Enthusiast
Mitglied seit
22.09.2010
Beiträge
2.422
warum sollte ich als Bewohner eines Landes moralisch korrekt handeln, wenn meine Regierung genau das Gegenteil macht?
Der Logik nach müsstest du so einiges tun was für unsere Gesellschaft nicht gerade förderlich wäre. Warum sollst du richtig parken wenn da vorne bereits jemand falsch parkt?
Mit solch einer Einstellung brauchen wir keine Moral und Gesetze mehr, irgendwer wird sie immer brechen und damit den Freifahrtschein für alle anderen generieren.

Und 100000 Dollar sind nicht gerade wenig für eine einzige Lücke, noch dazu wo diese doch nicht remote nutzbar ist.
Ein riesen Unterschied zwischen diesem Herrn und den anderen bekannten Sicherheitsforschern ist eben auch das Anstellungsverhältnis. Der Herr hier lebt scheinbar davon wohingegen andere erfolgreiche Firmen betreiben oder bei solchen als Experten angestellt sind. Da ist dann die Bug Bounty das nette Zubrot und Prestige. Ein kleiner, aber sehr wichtiger Unterschied.

Der Marktpreis von Exploits wird durch alle Marktteilnehmer bestimmt und da sind nunmal auch Behörden dabei

Richtig. Neben Erpressern, professionellen Industriespionen etc etc.
Hat aber nichts damit zu tun dass man eine Lücke lieber an genannte Personenkreise verkauft, die Motivation für solch eine Handlung ist schlicht Geldgier.
Der Logik nach kann man alle Informationen an den Meistbietenden verkaufen, ich bin mir sicher die Konkurrenz zahlt deutlich besser für manch eine Information als der eigene Arbeitgeber.
Vom Waffensektor wollen wir mal gar nicht anfangen.....

Lücken nun schlicht kostenfrei zu veröffentlichen ist unwesentlich besser. Immerhin haben alle genannten Gruppen zeitgleich Zugriff auf diese Informationen und die professionellen Malware Gruppen sind nicht gerade langsam was ihre Implementierungen angeht. Der Herr möchte die Menschheit schützen laut seinem Linkedin Profil! Davon ist recht wenig zu sehen.

Es geht auch anders, das wurde bereits bewiesen. Man kann Lücken öffentlich ansprechen ohne PoC und wichtige Informationen auslassen bzw. diese nur vertrauenswürdigen Dritten zur verifizierung überlassen.

Gesellschaftskritik sieht anders aus!
 

Ycon

Profi
Mitglied seit
26.07.2018
Beiträge
581
Das Verhalten dieses Typen ist natürlich unterste Schublade, aber dennoch muss man auch M$ kritisieren.
Wenn man schon ein Programm fährt, welches Findern von Lücken Geld bezahlt, dann muss man sich eben auch bzgl. der Höhe der gezahlten Beträge am Markt orientieren. Es kann mir keiner erzählen, dass bei M$ niemand eine Ahnung davon hat, was auf dem Schwarzmarkt für solche Lücken gezahlt wird.
Auch wenn M$ dies mittlerweile zur Firmenphilosophie erhoben hat, sind eben NICHT alle anderen auf der Welt nur mit Trostpreisen zufrieden...
 

Mr.Mito

Admiral, Altweintrinker
Mitglied seit
03.07.2001
Beiträge
26.236
Ort
127.0.0.1
@RcTomcat:

Ich finde deine Schlussfolgerungen etwas hart oder kennst du den Herrn? Meiner Meinung nach würde es diese News gar nicht geben, wenn es Naceri nur ums Geld gehen würde. Dann hätte er einen dicken Geldeingang auf seinem Konto und fertig.
Stattdessen hat er sie umsonst veröffentlicht. Wie passt das denn zu reinem Geldwunsch?
Er will scheinbar auf die Misstände hinweisen, die es bei den BB Programmen gibt. Viele Forscher werden es sich halt sicherlich zweimal überlegen, ob sie eine Lücke melden, mit Glück Geld X bekommen und viel nervigen Mist an der Backe haben oder ob sie die Lücke einfach für 200.000€ ohne Stress verkaufen.
Damit BB Programme effektiver sind, müssen sie zwangsläufig lukrativer werden. Und man sollte den legalen Exploit Markt staatlich verbieten, wird aber niemals passieren ...

bestimmt also zukünftig der "Sicherheitsforscher" wie und ob er eine Schwachstelle meldet?
Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Zukünftig? Wer sonst, außer der Entdecker, soll denn entscheiden ob/wo er es veröffentlicht? :fresse:
Wäre er BlackHat, würdest du hier nun nichts davon lesen und er hätte die Lücke einfach für viel Geld verkauft.
Und 100000 Dollar sind nicht gerade wenig für eine einzige Lücke, noch dazu wo diese doch nicht remote nutzbar ist.
Bis zu 100.000$ und "Microsoft sieht die von Naceri entdeckte Sicherheitslücke weniger problematisch"
Also hätte ihm M$ wohl eher was gehustet und wieder X Monate nicht gefixt, weil "nicht so schlimm". Wer weiß, wie oft er die Erfahrung schon gemacht hat.

Es geht auch anders, das wurde bereits bewiesen. Man kann Lücken öffentlich ansprechen ohne PoC und wichtige Informationen auslassen bzw. diese nur vertrauenswürdigen Dritten zur verifizierung überlassen.
Da hast du allerdings vollkommen recht.
 

DragonTear

Enthusiast
Mitglied seit
06.02.2014
Beiträge
15.066
Ort
Im sonnigen Süden
Das Verhalten dieses Typen ist natürlich unterste Schublade, aber dennoch muss man auch M$ kritisieren.
Wenn man schon ein Programm fährt, welches Findern von Lücken Geld bezahlt, dann muss man sich eben auch bzgl. der Höhe der gezahlten Beträge am Markt orientieren. Es kann mir keiner erzählen, dass bei M$ niemand eine Ahnung davon hat, was auf dem Schwarzmarkt für solche Lücken gezahlt wird.
Du kannst doch nicht ernsthaft den legalen Markt mit dem Schwarzmarkt in einen Topf schmeissen. Dazu passt ja RcTomcat's analogie sehr gut: Die Konkurenzfirma zahlt für Infos von deinem Arbeitgeber höchstwahrscheinlich auch mehr als dein Arbeitgeber >_>
Klar, wir wissen nicht so recht wie sich das "bis zu 100k" genau gestalltet, allerdings reden wir zumindest im Maximum von dem gesamten Jahresgehalt eines sehr guten Softwareentwicklers. Für eine einzige Lücke...

@Mr.Mito "ohne Stress" ist zu unser aller Glück der Verkauf nicht, schliesslich begeht man eine landesgefährdende Straftaat und z.B. das FBI hat schon gewisse Tor-Nutzer geschnappt.
 
Oben Unten