20 Jahre voller Verantwortung: Wir sagen Danke für mehr als 400 Security Advisories

news

Das SEC Consult Vulnerability Lab spielt seit zwanzig Jahren in der obersten Liga der IT-Sicherheitsforschung mit, indem es unermüdlich 0-Day-Schwachstellen aufspürt und verantwortungsvoll veröffentlicht.

Das Lab wurde im Jahr 2003, in den frühen Tagen der allgemeinen Verbreitung des Internets, gegründet und hatte einen klaren Auftrag: 

Die digitale Welt für alle sicherer zu machen.

Es war ein aufregender Weg! 

Der erste Teil dieser Blogpost-Serie würdigt die Mitwirkenden der vergangenen zwei Jahrzehnte des SEC Consult Vulnerability Lab, während der zweite, kommende Teil eine kritischere Reflexion über unsere Erfahrungen mit verantwortungsvoller Offenlegung (Responsible Disclosure) ist (z.B. in Bezug auf nicht reagierende Hersteller, Patches, die mehrere Jahre brauchen, rechtliche Drohungen) und offene Fragen und Wünsche für die Zukunft. 

Beide Blogbeiträge wurden von Johannes Greil, Leiter des SEC Consult Vulnerability Lab, verfasst. 

20 Jahre SEC Consult Vulnerability Lab 

Die Rolle der ethischen Hacker ist in der sich ständig weiterentwickelnden Welt der IT-Sicherheit immer wichtiger geworden. Diese Wächter der digitalen Welt suchen unermüdlich nach neuen Schwachstellen, decken Schwächen auf und stellen die unbesungenen Helden unseres vernetzten Zeitalters dar. 

Alles begann 2002 in einer kleinen Bürogemeinschaft in Wien. Es gab nur eine Handvoll IT-Sicherheitsspezialisten in der neu gegründeten Sicherheitsberatungsfirma "SEC Consult", aber sie wuchs schnell zu einem international renommierten Unternehmen. Es wurde schnell klar, dass die Mission des Unternehmens - unsere Kunden zu schützen und die Welt durch Engagement, Expertise und Innovation sicherer zu machen - nur durch ständige Weiterentwicklung erreicht werden kann. 

Eine der Möglichkeiten, unser Ziel, besser als Weltklasse zu sein, zu erreichen, besteht darin, eine Kultur des Lernens und des Wissensaufbaus zu pflegen. Es wurde beschlossen, dass wir unsere Ergebnisse auch der Welt zur Verfügung stellen sollten, da jeder von den Forschungsveröffentlichungen profitieren würde, so wie wir von anderen in der Sicherheitsgemeinschaft profitieren.  

Das SEC Consult Vulnerability Lab war geboren. 

Wir haben bereits 2003 damit begonnen, Sicherheitshinweise (Security Advisories) zu veröffentlichen. Schon bald erkannten wir die Notwendigkeit einer verantwortungsvollen Offenlegung - damals war die vollständige Offenlegung und das Versenden von 0-Days an BugTraq oder andere Mailinglisten durchaus üblich. Letztendlich wollen wir, dass unsere Kunden ihre Systeme rechtzeitig patchen oder neu konfigurieren können, der Community Proof-of-Concept-Material zur Verfügung stellen oder die Erkennungsmechanismen für Verteidiger stärken können. 

In den vergangenen zwei Jahrzehnten hat das Vulnerability Lab eine bemerkenswerte Erfolgsbilanz vorzuweisen: Wir haben mehr als 400 Sicherheitshinweise veröffentlicht und noch mehr Interaktionen mit Herstellern durchgeführt. Hinzu kommt eine weitere dreistellige Zahl von Security Advisories mit 0-Day Lücken, die aus verschiedenen Gründen nicht veröffentlicht werden konnten. Viele interessante technische Blogbeiträge, Proof-of-Concept-Videos, Pwnie-Award-Nominierungen und -Gewinne, mehrere Vorträge auf Konferenzen wie Black Hat oder Hack in the Box, veröffentlichte Open-Source-Tools oder Medienartikel können dem Erfolg des SEC Consult Vulnerability Lab hinzugefügt werden. 

Aber was ist das Vulnerability Lab? Es besteht aus allen unseren Mitarbeiterinnen und Mitarbeitern, die auf die eine oder andere Weise zu jeder Veröffentlichung beitragen. 

Ohne die ersten Mitarbeiterinnen und Mitarbeiter und den damaligen CTO Martin Eiszner und den heutigen Google Red Teamer und Senior Staff Manager Daniel Fabian, die eifrig die ersten Advisories veröffentlichten, wäre es nicht möglich gewesen. Ich möchte auch vielen weiteren Kolleginnen und Kollegen danken, für die ich in den vergangenen Jahrzehnten gearbeitet habe.  

Der folgende Überblick enthält alle ehemaligen und aktuellen Forscherinnen und Forscher bei SEC Consult, die einen Sicherheitshinweis oder einen Blogbeitrag veröffentlicht haben, und viele weitere, die in unseren öffentlichen Sicherheitshinweisen nicht genannt werden wollten (die Reihenfolge basiert auf dem Jahr und ist daher etwas zufällig):

[Translate to German:] Martin Eiszner Daniel Fabian Johannes Greil Bernhard Müller Thomas Kerbl lofi42 Clemens Kolbitsch Sylvester Keil Gerhard Wagner Stefan Streichsbier David Matscheko L.Weichselbaum Michael Kirchner Kestutis Gudinavicius Elisabeth Demeter Miroslav Lučinskij Povilas Tumenas Stefan Viehböck Florian Lukavsky V.Paulikas C.Schwarz Bernhard Schildendorfer Johannes Dahse Andreas Nusser A.Antukh S.Temnikov Wolfgang Ettlinger M.Heinzl Andreas Falkenberg T.Lazauninkas R.Giruckas A.Kolmann A.Baranov Manuel Hofer B.Kopp C.Kudera Stefan Riegler C.A.Valentin Habsburg-Lothringen Mindaugas Liudavicius René Freingruber P.Morimoto J.Krautwald M.Niederwieser Daniel Schwarz Thomas Weber Samandeep Singh Siddhartha Tripathy Mingshuo Li Raschin Tavakoli M.von Dach A.Nochvay Werner Schober Matthias Klinski Daniel Ostovary Mantas Juskauskas Roman Ferdigg Malte Batram M.Tomaselli Johannes Moritz Jean-Benjamin Rousseau Thongchai Silpavarangkura Sabine Degen Marius Schwarz N.Rai-Ngoen Mathias Frank Ahmad Ramadhan Amizudin Fikri Fadzil Wan Ikram Jasveer Singh David Haintz Guillaume Crouquet Andreas Kolbeck Ting Meng Yean Thanaphon Soo Florian Lienhart Aida Mynzhasova Marc Nimmerrichter Steffen Robertz Markus Koplin Tamas Jos T.Serafin Gerhard Hechenberger Stefan Michlits Daniel Teuchert Calvin Phang Ying Shen Khalil Bijjou Farhan Rahman Azrul Ikhwan Zulkifli Eneko Cruz Elejalde Philipp Espernberger Johannes Kruchem C.Svoboda Nik Ramadhan Nik Idris Anastasia Melnikova Mohd Ali Ramlan Jaafar Sham Maskan Armin Stock Daniel Teo Ian Chong Oualid Lkhaouni Sutthiwat Panithansuwan Oliver Boehlk Moritz Friedmann Natsasit Jirathammanuwat Yew Chung Cheah Fabian Hagg Anna Hartig Constantin Schwarz Niklas Schilling Michael Baer Timon Vogel Hrvoje Filakovic Daniel Hirschberger Timo Longin Alexander Meier Sandro Einfeldt D.Zalmanov A.Vodyasov A.Ovsyannikova Armin Weihbold Stefan Michlits Gorazd Jank Paul Serban Fabian Densborn Bernhard Gründling Christian Hager Constantin Schieber-Knoebl Heiner Liesegang Florian Roth Marius Bartholdy Lukas Donaubauer Leonard Eschenbaum Angelo Violetti Tobias Friese Yuri Gbur Sven Bernhard

Schauen Sie genauer hin:

Die Veröffentlichung von Ergebnissen der Sicherheitsforschung und Security Advisories ist ein vierfacher Gewinn für unsere Interessensgruppen. Die Hersteller erhalten eine Qualitätsverbesserung, die Kunden von SEC Consult müssen sich nicht um die Koordination und Kommunikation mit den Herstellern kümmern, wir als Unternehmen erhalten Marketingmaterial, und unser Team erhält die CVE-Nummern (Common Vulnerabilities and Exposure) und vertieftes Expertenwissen. 

Dennoch wäre es nachlässig, die Hürden und Herausforderungen, die auf diesem Weg aufgetreten sind, nicht zu erwähnen. Das Prinzip der verantwortungsvollen Offenlegung, das einen wichtigen Teil des Ethical Hacking ausmacht, hat nicht immer den Zuspruch erhalten, den es verdient. In unserem nächsten Blogbeitrag werden wir unsere Erfahrungen mit der verantwortungsvollen Offenlegung und verschiedenen Arten von mehr oder weniger sicherheitsbewussten Herstellern näher beleuchten. 

Interessieren Sie sich für eine Karriere bei SEC Consult?

SEC Consult ist immer auf der Suche nach talentierten Sicherheitsexpert:innen, die unser Team verstärken möchten.
Mehr Informationen

Aktuelle Veröffentlichungen des Vulnerability Lab

Über den Autor

Johannes Greil
SEC Consult Group
Head of SEC Consult Vulnerability Lab | Team Lead

Mit knapp 20 Jahren Erfahrung verantwortet er das gesamte Innenleben des SEC Consult Vulnerability Lab, verwaltet unermüdlich die Stellschrauben im Hintergrund und sorgt auch als Teamleiter dafür, dass im Team alles reibungslos läuft.

Zurück