VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Julian TotzekGoogle-Forscher haben schwerwiegende Sicherheitslücken in den Sicherheitsprogrammen von Symantec und Norton aufgedeckt. Millionen von Privatkunden und Unternehmen sind hiervon betroffen, denn Angreifer könnten den kompletten Rechner übernehmen. Bisher wurden die Schwachstellen noch nicht behoben. Ein Kommentar von Julian Totzek-Hallhuber, Solution Architect bei Veracode.

Wie es immer wieder zu solchen Lücken – gerade in Sicherheitssoftware – kommen kann und was Anbieter in der Entwicklung berücksichtigen sollten, erklärt im Folgenden Julian Totzek-Hallhuber, Solution Architect beim Anwendungssicherheits-Spezialisten Veracode:
„Die schwerwiegenden Schwachstellen, die in den Sicherheitsprogrammen von Symantec und Norton entdeckt wurden, sind für uns keine Überraschung – denn bereits unser Report aus dem Jahre 2011 zeigt, dass gerade Sicherheitssoftware sehr schlecht beim Thema Anwendungssicherheit abschneidet. Mit 72 Prozent steht die Sicherheitssoftware auf Platz 2 der anfälligsten Softwarekategorien.

Varacode

Generell kann man davon ausgehen, dass eingekaufter Code immer anfälliger ist für Schwachstellen als Code, den Unternehmen selbst entwickeln, da jegliche Haftung immer beim Softwarebetreiber liegt und nicht beim Hersteller. Das Eigeninteresse daran, sichere Anwendungen zu entwickeln, ist also für Drittanbieter nicht so hoch wie für Unternehmen selbst. Auch Veracodes Statusbericht zur Softwaresicherheit Band 6 hat dies belegt:

Varacode

Anbieter von Sicherheitssoftware suchen sich ihre Entwickler für gewöhnlich aus einem Pool aus, bei dem nicht davon ausgegangen werden kann, dass die Entwickler bereits in irgendeiner Form Sicherheitstrainings absolviert haben. Hinzu kommt, dass Sicherheitssoftware am häufigsten in C/C++ geschrieben wird. Diese Programmiersprache weist mehr kritische Schwachstellen, wie Puffer- und Integerüberläufe auf, als moderne, typsichere Sprachen wie Java, C# oder Javascript. Zudem sind Schwachstellen in Sicherheitssoftware noch kritischer, weil diese meist auf einer höheren Berechtigungsstufe laufen als durchschnittliche Software. Das heißt, sie haben die Kontrolle über die Daten zu und von anderen Anwendungen. Wenn hier also eine Sicherheitslücke ausgenutzt wird, bedeutet das, dass oft das komplette System gefährdet ist. Das Ausführen von Sicherheitssoftware erfordert oft komplexes Parsing und Musterkennungen, die typischerweise fehleranfällig sind.

All diese Punkte zusammen machen Sicherheitssoftware zu einem attraktiven Ziel für Angreifer. Es gibt reichlich vorhandene Schwachstellen und da Sicherheitssoftware mit weitreichenden Rechten ausgeführt wird, bin ich überrascht, dass solch gravierende Lücken, wie sie nun bei Symantec und Norton entdeckt wurden, nicht häufiger gefunden werden. Vielleicht wären hierfür noch mehr Prämienprogramme für das Aufdecken von Sicherheitslücken nötig.“ 

www.veracode.de

GRID LIST
Industrie Security

Die größten Cybersicherheitsbedenken für industrielle Netzwerke

In Zeiten der Digitalisierung stehen Betreiber industrieller Kontrollsysteme (ICS,…
Connected World

Unternehmen verlagern den Fokus von BI auf Data Analytics

Die Exasol AG, Hersteller von analytischen In-Memory Datenbanksystemen, gab heute die…
Penetrationstest

Penetrationstests offenbaren gefährliches Tor in Unternehmensnetzwerke

Ob Schwachstellen in Webanwendungen oder öffentlich verfügbare Verwaltungsschnittstellen…
Startup

Wie zufrieden sind Startups mit dem Standort Deutschland?

Der Standort Deutschland ist für Startups viel besser als sein Ruf. Ob…
Insurance

Digitalisierung der Versicherungsbranche steckt in den Kinderschuhen

Einen Schaden online melden oder eine Leistungsabrechnung digital bearbeiten: Was für die…
Hacking detected

Neueste Entwicklungen bei von Hackern entdeckten Sicherheitslücken

HackerOne, eine Plattform für Bug-Bounties und Cybersecurity, gab heute die Ergebnisse…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security