20 Jahre voller Verantwortung: Wir sagen Danke für mehr als 400 Security Advisories
newsEs war ein aufregender Weg!
Der erste Teil dieser Blogpost-Serie würdigt die Mitwirkenden der vergangenen zwei Jahrzehnte des SEC Consult Vulnerability Lab, während der zweite, kommende Teil eine kritischere Reflexion über unsere Erfahrungen mit verantwortungsvoller Offenlegung (Responsible Disclosure) ist (z.B. in Bezug auf nicht reagierende Hersteller, Patches, die mehrere Jahre brauchen, rechtliche Drohungen) und offene Fragen und Wünsche für die Zukunft.
Beide Blogbeiträge wurden von Johannes Greil, Leiter des SEC Consult Vulnerability Lab, verfasst.
20 Jahre SEC Consult Vulnerability Lab
Die Rolle der ethischen Hacker ist in der sich ständig weiterentwickelnden Welt der IT-Sicherheit immer wichtiger geworden. Diese Wächter der digitalen Welt suchen unermüdlich nach neuen Schwachstellen, decken Schwächen auf und stellen die unbesungenen Helden unseres vernetzten Zeitalters dar.
Alles begann 2002 in einer kleinen Bürogemeinschaft in Wien. Es gab nur eine Handvoll IT-Sicherheitsspezialisten in der neu gegründeten Sicherheitsberatungsfirma "SEC Consult", aber sie wuchs schnell zu einem international renommierten Unternehmen. Es wurde schnell klar, dass die Mission des Unternehmens - unsere Kunden zu schützen und die Welt durch Engagement, Expertise und Innovation sicherer zu machen - nur durch ständige Weiterentwicklung erreicht werden kann.
Eine der Möglichkeiten, unser Ziel, besser als Weltklasse zu sein, zu erreichen, besteht darin, eine Kultur des Lernens und des Wissensaufbaus zu pflegen. Es wurde beschlossen, dass wir unsere Ergebnisse auch der Welt zur Verfügung stellen sollten, da jeder von den Forschungsveröffentlichungen profitieren würde, so wie wir von anderen in der Sicherheitsgemeinschaft profitieren.
Das SEC Consult Vulnerability Lab war geboren.
Wir haben bereits 2003 damit begonnen, Sicherheitshinweise (Security Advisories) zu veröffentlichen. Schon bald erkannten wir die Notwendigkeit einer verantwortungsvollen Offenlegung - damals war die vollständige Offenlegung und das Versenden von 0-Days an BugTraq oder andere Mailinglisten durchaus üblich. Letztendlich wollen wir, dass unsere Kunden ihre Systeme rechtzeitig patchen oder neu konfigurieren können, der Community Proof-of-Concept-Material zur Verfügung stellen oder die Erkennungsmechanismen für Verteidiger stärken können.
In den vergangenen zwei Jahrzehnten hat das Vulnerability Lab eine bemerkenswerte Erfolgsbilanz vorzuweisen: Wir haben mehr als 400 Sicherheitshinweise veröffentlicht und noch mehr Interaktionen mit Herstellern durchgeführt. Hinzu kommt eine weitere dreistellige Zahl von Security Advisories mit 0-Day Lücken, die aus verschiedenen Gründen nicht veröffentlicht werden konnten. Viele interessante technische Blogbeiträge, Proof-of-Concept-Videos, Pwnie-Award-Nominierungen und -Gewinne, mehrere Vorträge auf Konferenzen wie Black Hat oder Hack in the Box, veröffentlichte Open-Source-Tools oder Medienartikel können dem Erfolg des SEC Consult Vulnerability Lab hinzugefügt werden.
Aber was ist das Vulnerability Lab? Es besteht aus allen unseren Mitarbeiterinnen und Mitarbeitern, die auf die eine oder andere Weise zu jeder Veröffentlichung beitragen.
Ohne die ersten Mitarbeiterinnen und Mitarbeiter und den damaligen CTO Martin Eiszner und den heutigen Google Red Teamer und Senior Staff Manager Daniel Fabian, die eifrig die ersten Advisories veröffentlichten, wäre es nicht möglich gewesen. Ich möchte auch vielen weiteren Kolleginnen und Kollegen danken, für die ich in den vergangenen Jahrzehnten gearbeitet habe.
Der folgende Überblick enthält alle ehemaligen und aktuellen Forscherinnen und Forscher bei SEC Consult, die einen Sicherheitshinweis oder einen Blogbeitrag veröffentlicht haben, und viele weitere, die in unseren öffentlichen Sicherheitshinweisen nicht genannt werden wollten (die Reihenfolge basiert auf dem Jahr und ist daher etwas zufällig):
Die Veröffentlichung von Ergebnissen der Sicherheitsforschung und Security Advisories ist ein vierfacher Gewinn für unsere Interessensgruppen. Die Hersteller erhalten eine Qualitätsverbesserung, die Kunden von SEC Consult müssen sich nicht um die Koordination und Kommunikation mit den Herstellern kümmern, wir als Unternehmen erhalten Marketingmaterial, und unser Team erhält die CVE-Nummern (Common Vulnerabilities and Exposure) und vertieftes Expertenwissen.
Dennoch wäre es nachlässig, die Hürden und Herausforderungen, die auf diesem Weg aufgetreten sind, nicht zu erwähnen. Das Prinzip der verantwortungsvollen Offenlegung, das einen wichtigen Teil des Ethical Hacking ausmacht, hat nicht immer den Zuspruch erhalten, den es verdient. In unserem nächsten Blogbeitrag werden wir unsere Erfahrungen mit der verantwortungsvollen Offenlegung und verschiedenen Arten von mehr oder weniger sicherheitsbewussten Herstellern näher beleuchten.