Sicherheitslücken und veraltete Software

[Tommy]

Ne du meins Java nich Flash xD

[NeoChris]

Achso ja Aber Java ist auch so ein Unding. Egal ich schweife ab.
Ich frage mich allerdings, die vielen Sicherheitslücken die gefunden wurden, wurden meistens von Otto Leuten ich mein von Otto Normalverbraucher gefunden.
Wie machen sie das? Wie findet man solche Sicherheitslücken raus? Sie finden auch Lücken aus quellcode geschlossenen Progs. Benutzen sie bestimmte Tools?

[Tommy]

erstens sind Hacker keine Otto-Normalverbraucher oder Otto-Normalverbraucher sind keine Hacker und zweitens nutzen sie schon Tools. Fuzzing ist zum Beispiel eine Methode um Probleme aufzudecken. Suche mal nach Fuzzing bei Google oder Bing. Einer hat mal folgendes gesagt:

Hierfür werden automatisch mit Tools zufällige Daten erzeugt, die über Eingabeschnittstellen eines Programms verarbeitet werden (z. B. durch Öffnen einer Datei, deren Datenformat das Programm unterstützt).

Es werden also Daten erzeugt und geschaut wie die Anwendung darauf reagiert.

[NeoChris]

Interessant thx
Also findet man Lücken wenn man das Prog mit allen möglichen unterschiedlichen Sachen füttert und wenn keine ausreichende Ausnahmebehandlung gibt dann hat man den Jackpot geknackt. Ich verstehe
Wenn man eine Sicherheitslücke gefunden hat, kriegt man auch eine Belohnung (Geld) ?

@NicTheQuick
Danke fürs Aufräumen du machst ein super Job Weiter so

[Tommy]

@NicTheQuick
Von mir auch.
@NeoChris
Kommt auf die company an. Schon mal gelesen zu haben das es schon Auszahlungen statt fanden. Manche beauftragen Hacker sogar um ihr eigenes Sys sicherererer (Paypal ftw xD) zu machen. Aber wie oft und wie viel kein Plan. xD Du kanst es mal ausprobieren.

[NicTheQuick]

Wenn man eine Sicherheitslücke gefunden hat, kriegt man auch eine Belohnung (Geld) ?

Das kommt auf den Hersteller der Software an. Wenn du gravierende Lücken gefunden hast, durch die man Vollzugriffs auf's System kriegen kann, kriegst du gerade bei den großen Unternehmen Geld dafür. Dabei gehört es sich nur dem Unternehmen die Schachstelle mitzuteilen und sie nicht gleich zu veröffentlichen. Viele Sicherheitsforscher geben den Unternehmen dann eine angemessene Zeit das Problem zu fixen. Tun diese das nicht, veröffentlichen sie die Schwachstelle um dem Unternehmen Druck zu machen und es gleichzeitig in ihrem Ruf zu schädigen.

Siehe auch: Bug Hunting – auf der Jagd nach Software-Fehlern, Ruhm und Geld
Prof. Zeller von unserer Uni betreibt auch Forschung auf diesem Gebiet. Interessant ist dabei das Delta Debugging und Predicting Vulnerable Components.

[NeoChris]

@Tommy
Ne vom Hacking hab ich keine Ahnung. Und ich wills auch nicht machen. Ist doch illegal, verboten und strafbar. Ich will mit der Polizei, SEK, LKA und Anwälten nichts zu tun haben.
Aber es gibt zwei Hackerarten einmal die die die Firmen benachrichtigen und darauf hinweisen, dass eine Lücke in ihrem System gibt, aber es gibt auch eine Sorte von Hackern, die die Lücke eiskalt (mit Eiswürfeln^^) ausnutzen.
Schlimm wirds oder ist, wenn die Lücke jahrelang oder monatelang oder wochenlang unendeckt bleibt und von den schwarzen Hackern (also die bösen Hackern) ausgenutzt wird.

@NicTheQuick
Das mit dem Warten bis das Prob gefixt wurde und Veröffentlichen der Schwachstelle war vor kurzem das Thema, Google hat mal Schwachstellen von Windows und Mac OS X pupliziert weil sie nicht reagiert haben oder zu lange gebraucht haben.

[NicTheQuick]

Das mit dem Warten bis das Prob gefixt wurde und Veröffentlichen der Schwachstelle war vor kurzem das Thema, Google hat mal Schwachstellen von Windows und Mac OS X pupliziert weil sie nicht reagiert haben oder zu lange gebraucht haben.

Genau so was passiert andauernd. In meiner Security-Vorlesung mussten wir auch allerlei Sicherheitslücken in Programmen finden. Die waren natürlich entsprechend klein und in C geschrieben, aber hat Spaß gemacht. Webseiten kompromittieren und Datenbanken auslesen, sowie Social Network Würmer zu schreiben, hat ebenfalls dazu gehört. Coole Sache auf jeden Fall. Lohnt sich!

[xXRobo_CubeXx]

Stimm ich dir zu. Nicht daran gedacht. Man hört sehr oft bei Adobe Flash, dass es eine neue Sicherheitlücke gibt und das immer und immer wieder. omg

Dann nutz doch Flash nicht. Ich sag nur HTML5

[NeoChris]

Problem ist dass man davon abhängig ist. Leider unterstützen nicht alle HTML5 und man ist leider auf Flash angewiesen weil sie ihre Videos noch auf Flash basieren.
Youtube kann zwar HTML5 und paar wenigen Seiten zwar auch aber viele leider nicht z.B. Twitch oder andere Plattformen.