White-Hat lohnt sich nicht…?

Veröffentlicht: 25. August 2013 in Netzwerke

„◾Protect society, the common good, necessary public trust and confidence, and the infrastructure.
Code of Ethics Canons

Nach der Geschichte mit dem arbeitslosen palästinensischen Programmierer Khalil Shreateh
sollte so ziemlich jedem klar geworden sein, dass sich das Aufdecken von Sicherheitslücken
praktisch kaum noch lohnt.

Ethical Hacking

Ethical Hacking

Zu groß ist die Angst der Firmen vor schlechter PR, oder zu arrogant und hochnäsig gibt sich
leider so mancher Verantwortlicher, dessen Kopf eigentlich hätte rollen müssen, wenn er für
derartige Sicherheitslücken verantwortlich ist (oder wie in diesem Fall die Augen und Ohren
davor verschließt).

Aus teils leidvoller Erfahrung kann ich nur bestätigen, dass neben einem „…dann Danke nochmal!“ nichts
weiter dabei rum kommt, wenn man eine Firma warnt. Das muss wohl einer der Gründe sein, warum
Hacker dazu neigen entweder die Lücke im Untergrund zu verkaufen, oder selbst (böswillig) auszunutzen.

Firmen sollten nicht nur in einem Einzeiler geheuchelte Dankbarkeit zeigen, sondern Motivation schaffen,
damit die White-Hat sich 1. positiv zu dem Unternehmen und dem Umgang mit dem Fall äußern und
2. auch künftig gewillt sind den Verantwortlichen zu berichten, wenn etwas möglicherweise Firmenschädigendes
entdeckt wurde.

Erst vor 2 Wochen entdeckte ich bei einer Firma für Datenschutz und IT-Security eine nicht unerhebliche
Lücke in der Webseite. Ich bekam auf meine EMail hin 6 (!!) Lesebestätigungen von verschiedenen Personen
dieser Firma (darunter ein Vorstandsmitglied der AG).

Außer einem banalen Einzeiler in einer knappen Mail gab es kein Feedback. Es ist nicht so, dass man sich
nun Reichtümer erhofft – nein – es ist so, dass man sich zumindest aufrichtige Dankbarkeit wünscht!

Der Ehrliche ist der Dumme!

So geschehen vor etwa 2 Jahren, als ich zugriff auf die Datenbank eines Onlinespieles erlangte, da der
Entwickler und gleichzeitig Webseitenbetreiber schlichtweg nicht fähig genug war seine Backups vom Server
zu entfernen und auch noch das Directory-Listing aktivierte. Der Dank für die Meldung an ihn war eine direkte
Drohung. Wenn ich dieses „Datenleck“ offenlegen würde, dann würde ich in Probleme geraten usw.

Anschließend folgten noch wüste Beschuldigungen….bis zum heutigen Tage frage ich mich, ob ich nicht
doch hätte publik machen sollen, dass die auf seiner Seite im „Liveticker“ genannten „PayPal-Spenden“
reine FAKES waren. In der Datenbanktabelle wurden diese sogar als solche intern benannt „DonateFake1 ff.“.

Das nicht jeder Datenleak bekannt gegeben werden sollte, das leuchtet mir ein. So war es auch, als ich dem
CERT.at meldete, in den Besitz von FTP-Zugangsdaten zu Axel Springer, DFB-Team, HSV.tv, Werder.tv, RedBull,
Adobe, Sky, Eurosport, ORF und weiteren TOP-Unternehmen gekommen zu sein.

Auch die Firma QNAP hat sich nicht mit Ruhm bekleckert, als ich gleich drei ihrer sog. Apps für NAS-Systeme
zerlegte und in jeder mindestens eine XSS-Lücke finden konnte.

Liebe Unternehmer und solche die es werden (und mit Erfolg bleiben) wollen: Erst denken, dann angemessen handeln!

Die Menschen, die euch die Leaks oder Exploits melden haben selbst dabei auch so einiges zu verlieren.
Schnell wird man in die Ecke des Erpressers gerückt, oder die Tatsachen komplett verdreht und verklärt.

Ja, es gibt sie noch (die Betonung liegt auf „noch„) – Menschen die sich dem Codex eines z.B. CISSP oder CEH
verpflichtet fühlen. Auch wenn, wie in meinem Fall, noch keines der beiden Zertifikate offiziell auf meinem
Briefpapier stehen, so sehe ich mich dennoch in der Pflicht auch weiterhin ethisch korrekt zu handeln.
Ethisch korrekt, aus meiner Sicht der Dinge…..

Dear Manager, for your further education (as i think hope is not lost):

Advertisements

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s