Interviewartikel mit Wladimir Palant über die Offenlegung von Schwachstellen in koreanischen Sicherheits-Apps
(thereadable.co)Inhalt eines schriftlichen Interviews mit Wladimir Palant aus dem Januar über die Offenlegung mehrerer Schwachstellen in koreanischen Sicherheitsanwendungen:
- „Das Team für Schwachstellenanalyse der Korea Internet & Security Agency erklärte in einer E-Mail an The Readable, dass es die von dem Cybersicherheitsforscher gemeldeten Sicherheitsprobleme bewertet und daraus geschlossen habe, dass es sich nicht um Hochrisiko-Schwachstellen handele, die schweren Schaden verursachen könnten.“
- Ein Vertreter des Korea Financial Security Institute, der diese Probleme eingehend untersucht, sagte: „Wir gehen davon aus, dass die Wahrscheinlichkeit gering ist, dass diese Schwachstelle tatsächlich von Angreifern ausgenutzt wird.“ „Unabhängig von ihren Auswirkungen bleibt es dennoch eine Schwachstelle, die behoben werden muss.“
- Palant warnte: „Es ist nur eine Frage der Zeit, bis einige Kriminelle die Anwendungen entdecken und anfangen, sie auszunutzen.“
- Palant erklärte entschieden: „Man kann nicht erwarten, dass Unternehmen sich ethisch verhalten und in guter Absicht sichere Software entwickeln.“ Er betonte, wie wichtig es ist, dass unabhängige Forscher die Sicherheitslücken in wichtigen Anwendungen überprüfen.
Deutsche Übersetzung: https://github.com/alanleedev/KoreaSecurityApps/…
4 Kommentare
Was bedeutet es, dass die Schwachstelle zwar eindeutig ist und alles offengelegt wurde, die Wahrscheinlichkeit einer tatsächlichen Ausnutzung aber gering ist?
„Dass es in der Praxis eher unwahrscheinlich ausgenutzt wird“, ist eine häufige Antwort, wenn man fragt, warum die Prämien im KISA-Bug-Bounty-Programm so niedrig sind. Nach deren Maßstab gilt eine Schwachstelle erst dann als hochriskant und wahrscheinlich ausnutzbar, wenn sie bis zu Remote Code Execution durch Memory Corruption führt.
Wahrscheinlich kann Herr Palant als Ausländer keine Prämie für die Meldung von Schwachstellen erhalten, aber Koreaner können Geld über das Bug-Bounty-Programm bekommen, wenn sie solche Sicherheitslücken an KISA melden.
Wenn Koreaner also beim Melden von Schwachstellen sogar Geld bekommen (natürlich würde die Tatsache, dass es eine solche Schwachstelle gab, stillschweigend unter den Teppich gekehrt werden), warum hat dann ein Ausländer so ein Problem öffentlich thematisiert (...)
Als ich dem Link zur koreanischen Übersetzung folgte, sah ich den Satz: „In diesem Fall seien verschiedene Voraussetzungen erforderlich, etwa Nutzer über eine raffiniert gestaltete Phishing-Website anzulocken, erklärte dieser Verantwortliche. Außerdem sei es selbst bei erfolgreicher Verbreitung des Exploits unwahrscheinlich, dass dies zu schwerwiegenden Schäden führt.“
Daraus schließe ich, dass es sich ungefähr nach dem Motto anfühlt:
„Die Tür ist nicht abgeschlossen, aber der Weg zu dieser Tür ist sehr beschwerlich.“
Das scheint mir keine besonders gute Antwort zu sein.