Die National Security Agency hat erstmals Angaben zu den von ihr gefundenen Zero-Day-Lücken gemacht. Wie Reuters berichtet, legt der US-Auslandsgeheimdienst 91 Prozent der Anfälligkeiten gegenüber den jeweiligen Softwareherstellern offen. Die Zahl bezieht sich jedoch nur auf die „gravierendsten“ Schwachstellen. Die restlichen 9 Prozent wurden dem Bericht zufolge schon vor der Offenlegung durch die NSA vom Anbieter behoben oder aus Gründen der „nationalen Sicherheit“ geheim gehalten.
Reuters selbst bezeichnet diese Zahlen jedoch als „irreführend“. Mehrere ehemalige und gegenwärtige US-Regierungsvertreter hätten erklärt, die NSA nutze die Sicherheitslücken oftmals zuerst für eigene Zwecke wie Cyberangriffe. Erst danach informiere sie die Technologieanbieter, damit diese die Fehler beheben und Updates an ihre Kunden ausliefern könnten.
Bereits im März 2014 war bekannt geworden, dass die NSA Details zu Zero-Day-Lücken zurückhält. In einer schriftlichen Stellungnahme an den US-Senat bestätigte NSA-Chef Michael S. Rogers, dass der Geheimdienst selbst entscheidet, ob und wann er den Anbieter eines betroffenen Produkts informiert. Den Umgang seiner Behörden mit Zero-Day-Lücken bezeichnete er darin als „ausgereift und effizient“. Er räumte aber auch ein, dass das Zurückhalten von Informationen das Absichern von Systemen erschwere. „Wenn die NSA sich entscheidet, eine Anfälligkeit zum Zwecke der Auslandsspionage zurückzuhalten, dann ist das Verfahren zur Minimierung der Risiken für die USA und ihre Verbündeten komplexer“, sagte Rogers.
Die Enthüllungen des Whistleblowers Edward Snowden hatten Reuters zufolge einen erheblichen Einfluss auf das Verfahren, mit dem die US-Regierung Sicherheitslücken bewertet und über ihre Geheimhaltung oder Offenlegung entscheidet. Die Details zu dem Verfahren seien zwar weiterhin geheim, Michael Daniel, Cybersecurity Coordinator von US-Präsident Barack Obama, habe die Rolle des für den Heimatschutz zuständigen Department of Homeland Security allerdings gestärkt.
Ein Beispiel für zurückgehaltene Sicherheitslücken sind die Schwachstellen, die die mutmaßlich von der NSA und dem israelischen Geheimdienst entwickelte Malware Stuxnet benutzt hat. Die Lücken in Software von Microsoft und Siemens ermöglichten es den Geheimdiensten, das Urananreicherungsprogramm des Iran zu sabotieren.
Mit Windows 10 beginnt eine ganz neue Ära des Enterprise Computing. In Windows 10 werden bisher getrennte Betriebssystemversionen für die traditionellen Windows-PCs, Tablets und Smartphones auf einer Plattform zusammengeführt und von einem EMM-Anbieter verwaltet.
Nicht nur Geheimdienste halten Informationen über neue Sicherheitslücken zurück. Das französische Sicherheitsunternehmen Zerodium zahlte beispielsweise in der vergangenen Woche einer Hackergruppe ein Preisgeld von einer Million Dollar für einen Remote Exploit in Apples jüngstem Mobilbetriebssystem iOS 9. Die Details wird es nun gegen Bezahlung seinen Kunden zur Verfügung stellen, zu denen führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen sollen.
Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…