Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen
Allgemeine Bemerkungen
NSA meldet neun Prozent der Zero-Day-Lücken nicht
 
Die größte Gefahr für Computer im Jahre 2016: Eine sieben Jahre alte Windows-Lücke
Zwei Millionen Schadprogramme 2016 enthüllt – Experten
WhatsApp Anfälligkeit zur israelischen Spyware installieren Benutzer aufgefordert, Upgrade
 
20 Jahre alter Fehler entdeckt: PGP-Signaturen ließen sich einfach fälschen

Hack-Brief: Intel behebt einem kritischen Fehler, die für die Dang 7Jahre verweilte

 
 
 

NSA meldet neun Prozent der Zero-Day-Lücken nicht


9. November 2015, 10:47
8 Postings

91 Prozent würden zwar veröffentlicht, dürften zuvor aber vom Geheimdienst ausgenutzt worden sein
Die NSA hat auf Kritik reagiert, Informationen zu Zero-Day-Lücken weitgehend systematisch zurückzuhalten werden. Dem Geheimdienst wird vorgeworfen, dadurch Unternehmen für Hackerangriffe anfällig zu lassen. Nach eigenen Angaben meldet die NSA 91 Prozent dieser Sicherheitslücken. Allerdings verschweigt der Geheimdienst, wann Unternehmen davon informiert werden.

Topkäufer von Zero-Day-Lücken
Bei Zero-Day-Lücken handelt es sich um Schwachstellen, für die Entwickler noch keine Sicherheitsupdates veröffentlichen konnten. Viele sind daher sehr gefährlich und bilden den Boden für ein lukratives Geschäft, das gleichermaßen Hacker und Regierungsorganisationen bedient. Die NSA gehört früheren Berichten zufolge zu den Topkäufern solcher Lücken. Gleichzeitig sucht der Geheimdienst auch selbst nach solchen Lücken, um sie für Spionagezwecke auszunutzen.

Neun Prozent aller Lücken meldet die NSA nach eigenen Angaben also nicht, 91 Prozent werden bekannt gemacht. Aber selbst in diesen Fällen ist nicht klar, wann der Geheimdienst die Entwickler informiert. Wie ein früherer Mitarbeiter des Weißen Hauses zu Reuters sagt, könne man von ausgehen, dass die meisten dieser Lücken bereits von der NSA ausgenutzt wurden, bevor die Unternehmen informiert wurden. Auch der Schutz geistigen Eigentums der USA wird genannt oder das Risiko durch bestimmte Lücken auf noch gefährlichere Schwachstellen zu stoßen.
"Legitime" Situationen, um Lücken zurückzuhalten

Auf ihrer Website führt die NSA Vor- und Nachteile aus, Informationen über solche Lücken preiszugeben. Im den meisten Fällen sei das "verantwortungsvolle Bekanntmachen einer neu entdecken Schwachstelle eindeutig im nationalen Interesse". Es gebe aber auch legitime Situationen, in denen solche Informationen zurückgehalten werden könnten. Indem man eine Sicherheitslücke aufdeckt, könnte der Geheimdienst die Chance verpassen, "ausschlaggebende Informationen aus dem Ausland" zu sammeln, mit denen beispielsweise terroristische Attacken vereitelt werden könnten.

Unternehmen wie Mozilla kritisieren am Vorgehen der NSA, dass die Gefahr wachse, je länger eine Lücke von den Entwicklern unerkannt bleibe. Denn dadurch erhöhe sich das Risiko, dass auch Hacker oder fremde Geheimdienste auf die Schwachstelle stoßen und sie ausnutzen.

 (br, 9.11.2015)
Links
Reuters
NSA-Informationen über Zero-Day-Lücken


http://derstandard.at/2000025333736/NSA-meldet-9-Prozent-der-Zero-Day-Luecken-nicht