Thema: Durchnittliche Haltbarkeit von Zero-Day-Lücken liegt bei einem Jahr

[SiLæncer]

Nach Angaben des Sicherheitsdienstleister Immunity beträgt die durchschnittliche Lebensdauer einer Zero-Day-Lücke 348 Tage. Als Zero-Day-Lücken werden Sicherheitslecks bezeichnet, die vom Entdecker nicht öffentlich bekannt gemacht werden und für die es keinen Patch oder Schutz gibt. Damit ist es etwa möglich, mehr oder minder unerkannt in Systeme einzubrechen und Daten zu manipulieren oder zu kopieren. Gegenüber US-Medien erklärte Justine Aitel, CEO von Immunity, am Rande der Sicherheitskonferenz SyScan, dass große Summen für Informationen über Zero-Day-Lücken gezahlt würden. Mittlerweile gibt es sogar erste Versuche, öffentliche Auktionsplattformen für Lücken zu etablieren.

Auch Immunity kauft Informationen über solche Lücken zum Schutze der eigenen, zahlenden Kundschaft, hält aber ansonsten den Deckel drauf, wenn es um die Weitergabe von Details geht. So kann der Dienstleister auch ermitteln, wie lange es dauert, bis jemand anderes die Lücke nochmals entdeckt und möglicherweise Informationen für alle veröffentlicht. Der kürzeste Zeitraum war dabei laut Immunity 99 Tage, der längste hingegen 1080 Tage – fast drei Jahre.

Leider würden die meisten Unternehmen laut Aitel nicht nach Schwachstellen in der eigenen Infrastruktur suchen. Ein Hindernis sei zudem, dass das Suchen nach Schwachstellen in zugekaufter Software oftmals durch die Lizenzbedingungen verboten sei. Firmen sollten sich aber keinen Illusionen hingeben, dass es bei ihnen keine Lücken gebe. "Geh immer davon aus, dass es überall Lücken gibt. Es ist einfach so!", erklärte Aitel.

Quelle : www.heise.de

[Chrisse]

Die Suche nach Lücken im eigenen System ist doch strafbar 

[Jürgen]

...und sollte man doch einmal eine solche zufällig finden und darüber berichten, wird man vermutlich alsbald verklagt, weil die Betriebsgeheimnis sind.

Immer wieder beschleicht mich der starke Verdacht, einige wichtige Polit-Donkeys stehen unter dem Einfluss der Abzocker- und Internet- und Dialer-Betrüger-Szene.
Anders sind die immer unsinnigeren Regelungen kaum zu erklären.
Immerhin hat der jahrelange Dialer-Betrug überhaupt nur stattfinden können, weil die Regierung genau dafür passende Rahmenbedingungen geschaffen hat.
Und ebenso für die leidigen 0190- bzw. 0900-'Mehrwert-Dienste'.

Als Rechtfertigung für solche überteuerten Beschiss-Nummern wurde immer wieder angeführt, dass Rechtsanwälte ihre Arbeit auch am Telefon bezahlt bekommen sollten, und zwar direkt und unkompliziert .
Aber noch viele Jahre lang war Rechtsberatung am Telefon grundsätzlich verboten.
Also war das Argument schlicht eine dreiste Lüge. 
Wen wundert's ...

Jetzt alle wichtigen Sicherheits-Werkzeuge zu kriminalisieren, passt zu 100% in diese Linie.

Wahrscheinlich muss auch der Sch@uble demnächst die Todesstrafe und Internierungslager ohne Rechtsmittel einführen, anschliessend beides zügig privatisieren, allein schon wegen der 'Freien Wirtschaft' und der vielen bislang arbeitslosen Henker und Folterknechte...

Und höchstwahrscheinlich wird schon daran gearbeitet, die schlimmste Form von Terrorismus zu unterbinden, die freie Meinungsäusserung.
Wozu sollte sonst wohl ein Staats-Trojaner gut sein?

So beknackt kann ein grosser Haufen Abgeordneter garnicht sein, dass die nicht genau wüssten, gegen welche Wand die unsere verfassungsmässigen Rechte gezielt fahren.
Und dazu gehörte nämlich bisher auch, dass unsere privaten und steuerlichen Daten, die Privatsphäre überhaupt, und das Eigentum und unsere soziale Sicherheit staatlich aktiv gegen Rechtsbrecher geschützt zu werden haben, nicht praktisch aufgehoben...

Vermutlich dürfen wir demnächst nicht einmal mehr an unserer eigenen Tür rütteln, um festzustellen, ob die richtig zu ist