Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Tod BeardsleyHackerOne hat sein „Vulnerability Coordination Maturity“-Modell vorgestellt, in dem Bemühen, die Kommunikation zwischen Forschern und Herstellern rund um die Offenlegung von Sicherheitslücken zu verbessern. Ein Kommentar von Tod Beardsley, Security Research Manager bei Rapid7.

Mit dem „Vulnerability Coordination Maturity“-Modell engagiert sich HackerOne für die Formulierung von angemessenen Mindeststandards, wie Unternehmen mit unaufgefordert eingehenden Schwachstellenberichten umgehen sollen. In der physischen Welt werden wir oft beschworen, „etwas zu sehen und etwas zu sagen“. Dies ist oftmals leider nicht der Fall, wenn es um zufällige oder absichtliche Entdeckung von Software-Schwachstellen geht, auch wenn diese Sicherheitslücken am Ende vielleicht Millionen von Endbenutzern betreffen.

Als Quelle für aktuelle Berichte zu neuesten Schwachstellen sind wir oft frustriert, weil ein Standard fehlt, um unsere Erkenntnisse in einer geregelten Weise an Produktanbieter zu kommunizieren. Seit dem Jahr 2000 konnten wir zumindest auf die Rfpolicy 2.0 zurückgreifen, die zu dieser Zeit in Umlauf gebracht wurde. In sieben von zehn Versuchen kamen bislang jedoch Bounce-Nachrichten zurück beim Versuch, einen Anbieter über Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zu erreichen. Selbst bei Open-Source-Projekten mit ausgereiftem Bug-Tracking wird in der Regel mit Überraschung und Argwohn reagiert, wenn wir uns melden, um schlechte Nachrichten zu übermitteln.

Ich bin zuversichtlich, dass das HackerOne-Modell genau die Menschen erreichen wird, die es erreichen soll, eben die Nicht-Sicherheitsspezialisten. Das Material dürfte für Sicherheitsexperten weniger interessant sein, aber umso mehr für neue Software- und Hardwareanbieter. Dies gilt vor allem, wenn diese Anbieter erstmals mit dem Software-Entwicklungszyklus zu tun haben. Dies wären beispielsweise Startups im Bereich IoT (Internet der Dinge) oder Unternehmen, die erst vor kurzem mit der Integration von Internet-Technologie in ihre Produkte begonnen haben. Es ist tatsächlich etwas gewöhnungsbedürftig, dass externe Forscher einige brisante Details über das eigene Produkt des betroffenen Anbieters kennen. Sich daran zu gewöhnen, ist ein wichtiger Schritt in Richtung einer Normalisierung dieses Prozesses.

Die Arbeit, die HackerOne in dieses Dokument gesteckt hat, ist deutlich sichtbar. Es sollte nicht die Angst schüren, die normalerweise die aus heiterem Himmel eintreffende Offenlegung einer Sicherheitsanfälligkeit auslöst. Wir sind zuversichtlich, dass dieses Verfahren sowohl für Anbieter als auch Forscher, die an ihren Produkten interessiert sind, hilfreich ist. Dies wird zu einem gemeinsamen Verständnis beitragen, wie ein normales und nützliches Verfahren aussehen kann, wenn es zur Offenlegung einer Sicherheitslücke kommt.

Tod Beardsley, Security Research Manager bei Rapid7

www.rapid7.com

GRID LIST
Tb W190 H80 Crop Int C8f3ffdc3a280c786644ccb7e47b3b08

Fast jeder Zweite bildet sich online weiter

Smartphone-Apps, Online-Vorlesungen und Webinare sind für viele eine praktische…
Tb W190 H80 Crop Int 9c242ef5a5fad7dbf328a783a1d35090

IT-Manager kapitulieren vor Passwortsicherheit

Mit 73 Prozent knapp drei Viertel der europäischen IT-Führungskräfte haben keine…
Tb W190 H80 Crop Int 24d766b81b29f67867ac92ced7156db1

Banken müssen Mehrwertdienste bieten und neue Geschäftsmodelle entwickeln

CGI (TSX: GIB.A) (NYSE: GIB) stellt die Ergebnisse der globalen Bankkundenumfrage von…
Tb W190 H80 Crop Int 8de1ae23fa36a406ebdedce198e81408

Mit diesen Tipps schützen Nutzer ihr Handy im Winter

Es ist Winter. Smartphone-Nutzer haben ihr Gerät jedoch auch bei tiefen Temperaturen fast…
Tb W190 H80 Crop Int Cd0be40bdc3132e8a43ff79e9c10dc12

Jeder Fünfte will sich gegen Cyberkriminalität versichern

Phishing-Attacken, Schadsoftware oder Kreditkartenbetrug – Cyberkriminalität kann jeden…
Tb W190 H80 Crop Int D325500e0595642e9afa32fcc4da2986

Mitarbeiter kennen IT-Sicherheitsrichtlinien nicht

Lediglich ein Zehntel (12 Prozent) der Mitarbeiter ist sich über Regeln und Richtlinien…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security