Forensic Investigations / Fi Blog

Fi Blog

Google bläst zum Angriff auf Chrome berichtete Heise Online heute. Wer ein Sichheitsleck in Google Chrome entdecke, bekäme 500 US-Dollar, in Einzelfällen 1337 Dollar. Google tut es damit der Mozilla Foundation gleich, die im Rahmen des "Security Bug Bounty Program" bereits seit 2004 Belohnungen an Entdecker von Sicherheitslücken bezahlt .

Was auf den ersten Blick wie eine gute Initiative aussieht, ist dennoch eine absolute Farce aus meiner Sicht. Mag dies für Skript-Kiddies neben der Schule eine schöne Aufstockung des Taschengelds darstellen, ist dies für professionelle Sicherheitsforscher wohl einfach zu wenig. Als professionelle Sicherheitsforscher könnten wir für diesen Betrag nur eine oberflächliche Begutachtung durchführen.

Hinzu kommt, das es nur ein Trick der Industrie ist, sich billig an der wesentlich gelungeneren Zero Day Initiative vorbeizumogeln, die verantwortungsbewußten "White Hat " Hackern mehrere tausend Euro pro gefundenem Sicherheitsleck bezahlt und sich durch die Zusammenarbeit mit den Herstellern refinanziert. Erst recht, wenn man jetzt noch in Betracht zieht, das für solche exklusiven "0day " Lücken in Untergrundkreisen z.T. sechsstellige Beträge bezahlt werden.

Die Cyberkriminellen benutzen diese Sicherheitslücken dann, um weltweit Rechner mit Schadsoftware zu infizieren um Bankdaten auszuspähen oder/und andere Betrügereien über andere Dienste wie ebay, Skype etc. zu begehen. Im Durchschnitt wurde JEDES der Opfer dabei nach Angaben des "FBI Internet Crime Report 2008 " um 1000 US-Dollar erleichtert, JEDES Opfer hatte also DOPPELT so viel Schaden, wie es dem Browser-Hersteller wert ist, ALLE Anwender WELTWEIT zu schützen. In Anbetracht dieser Zahlen kann man das wohl nur als Marketing-Gag bezeichnen, der nicht einmal lustig ist.

Bei einer [auch schon millionenschweren] Non-Profit Organisation wie der Mozilla Foundation kann man das ja vielleicht gerade noch verstehen, aber beim Kontostand des Suchmaschinenriesen wäre mir persönlich die Sicherheit und das Vertrauen meiner Anwender mehr wert. Auch in Hinblick darauf, dass Chrome noch ein vergleichsweise sehr junges Produkt ist, und eine entsprechende Anwenderschaft erst noch überzeugen muss.

UPDATE 03.09.2010: Man hat hier doch etwas nachgebessert, Mozilla zahlt jetzt immerhin 3000 US$ , auch Google hat nachgelegt und zahlt nun ebenfalls 3000 US$ (englischer Artikel bei The Register, Heise online scheint die Meldung irgendwie verpasst zu haben).


Haitis Top Level Domain (TLD) arbeitet mit Einschränkungen auch nach dem verheerenden Erbeben weiter , berichtete Heise Online am heutigen Tage. Nachdem sich vier der sechs Nameserver nicht auf der Insel befänden, arbeite die TLD weiterhin.

Im ersten Augenblick ist man vielleicht geneigt zu denken, dass Haitis Bewohner momentan ganz andere Probleme hätten, dennoch ist funktionierende Kommunikationsinfrastruktur für die Katastrophenhilfe wesentlich . Auch ein Ausfall der ".ht" TLD wäre sicher nicht so dramatisch gewesen, der Verlust der Verbindung zur Außenwelt stellt hier ein wesentlich größeres Problem dar. Dennoch stellt das Domain Name System das Herz des Internets dar, Dienste wie WWW oder Email sind ohne das DNS nicht oder nur erschwert nutzbar, es gibt deshalb gute Gründe, dass es redundant und geographisch verteilt betrieben wird.

UPDATE 20.01.2010: Link zu "OpenStreetMap-Projekt als Katastrophenhelfer " oben eingefügt.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31