Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Einer der Sicherheitsforscher, die diese Vorwürfe erheben, ist Gabor Szappanos. Szappanos schreibt in einem Blog-Posting, Blackhole sei alles andere als originell in Bezug auf die verwendeten Exploits. Kein einziger der von der Schadsoftware verwendeten Exploits tauche bei Blackhole zum ersten Mal auf; diese seien ausnahmslos schon anderenorts dokumentiert worden.
Sicherheitsforscher untersuchten daher, wo die von gängigen Exploit Kits verwendeten Exploits das erste Mal auftauchten. Demnach wurden drei der bei den Top 15 derartiger Schädlinge genutzten Exploits zum ersten Mal bei gezielten Angriffen (Advanced Persistent Threats oder APTs) eingesetzt. Zehn wurden durch White Hats in Form von Proof-of-Concept-Exploits dokumentiert. Kein einziger stammt von den Malware-Entwicklern selbst. Der Code sei in den allermeisten Fällen unverändert aus öffentlich verfügbarer Dokumentation kopiert worden, schreibt Szappanos.
Szappanos betont, er sei nicht gegen die Dokumentation von Sicherheitslücken. Diese könne, wenn sie verantwortlich betrieben werde, helfen, die Gesamtsituation in Bezug auf die IT-Sicherheit zu verbessern. "Aber das muss nicht heißen, dass wir das Leben von Malware-Entwicklern - wie denen, die das Blackhole Exploit Kit verbreiten - so einfach machen müssen," schreibt er.
Müssten Exploit-Kit-Entwickler ihre Exploits selbst entwickeln, sei dies weitaus teurer und würde die Gewinnspanne extrem verschlechtern, argumentiert Szappanos. Es sei daher wünschenswert, die Kriminellen dazu zu zwingen, diesen Weg zu gehen, statt ihnen den Quellcode kostenlos zur Verfügung zu stellen.
Szappanos' Aussagen dürften sich innerhalb der IT-Sicherheitsgemeinde als durchaus kontrovers erweisen.
Annika Kremer (g+) am Freitag, 07.12.2012 12:12 Uhr
Und wie oft kommt es vor dass Whiteheads Schwachstellen mit dem Hinweis veröffentlichen, dass sie vor 1-2 Monaten dem Entwickler mitgeteilt wurden und diesem einfach am Arsch vorbei gingen... ...
Interessant in Bezug auf die Anschluldigungen ist meines Erachtens insbesondere, ob für die Schwachstellen der öffentlich verfügbaren Exploits bereits Patches veröffentlicht waren. Gemäss dem Blog-Posting war das zumindest zu einem Grossteil der Fall, es handelte sich um ältere Exploits. Ich bin im ...
Ohne White- und Greyheads wüssten die ja teilweise nicht mal von ihren Codefehlern. Wo soll man also ansetzen, wenn Hinweise ignoriert werden? Schlucken und nichts sagen ist nach Kenntnisnahme des Betroffenen dann der richtige Weg oder wie? Es liegt doch wohl am Anbieter Lücken auch zu stopfen. Es i ...
Abgesehen davon sind gerade die angesprochenen proof-of-concept Exploits dafür da zu beweisen, dass da jemand nich nur Bullshit erzählt sondern das auch in der Praxis funktioniert so wie der Entwickler das behauptet.Ohne das würden die meisten das Problem wohl komplett ignorieren. ...
Sind Greyhats nicht eigentlich die, die selbst die Sicherheitslücken nicht ausnutzen, aber dafür veröffentlichen? Whitehats melden die doch in der Regel, oder nicht? Da hast du recht, in der regel Melden die White Hats den entwicklern die Bugs und nachdem sie gefixt sin ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Sener Dincer am 14.06.2013, 11:47 Uhr
Bezugnehmend auf die anhaltende Protestbewegung gegen Ministerpräsident Erdogan hat nun auch der StudiVZ-Gründer Ehssan Dariani seine Ansichten offenbart. Via Facebook-Mitteilung teilt er mit, dass möglicherweise die Zeit für einen bewaffneten Kampf gegen die türkische Regierung gekommen sei – und zwar „Stauffenberg-like“.
mehr lesen...
