Immunitysec, das ist die amerikanische Securityfirma von Dave Aitel die 1994 einen netten Report zu TC0 (Total Cost of 0wnership, PDF) geschrieben haben. 0wnership mit 0 wie Null, nicht O wie Otto. Da geht es nämlich darum, dass Angriffe auf Windows zur Übernahme des Systems (owned) weniger Kosten verursachen als unter Unix.
Immunitysec, das ist auch die Firma, die über ein halbes Jahr auf einem Microsoft WINS LocalSystem Zero Day Exploit (PDF) gesessen sind und nichts gesagt haben. Außer natürlich den viel Geld (~50.000 USD) zahlenden Kunden im Vulnerability Sharing Club.
Immunitysec, das ist auch die Firma, die den Spike-Fuzzer sowie den Spike-Proxy OpenSource unter der GPL veröffentlich hat, einen Protokollfuzzer sowie einen Web-Hacking-Proxy mit denen schon eine Reihe von lustigen Sicherheitslücken aufgetaucht sind.
Also, diese Immunitysec behauptet nun, ein von ihnen entdeckter Zero Day hat eine durchnittliche Lebenszeit von 348 Tagen bevor der Lücke entweder von anderen entdeckt oder vom Hersteller geschlossen wird. Unter der Voraussetzung natürlich, dass sie geheim gehalten wird. Mit persönlich kommt das eher etwas wenig vor, insbesondere wenn ich betrachte mit welcher Geschwindigkeit Microsoft die Lücken behebt. Ach ja, und wer öffentlich drüber quatscht, z.B. auf einer Versteigerungsplattform ist die Lücke oft ganz schnell wieder los. Also eigentlich nichts neues. Aber es stand halt auf Heise.
Please move on, there is nothing special to see here.
Persönliche Anmerkung: Dave Aitels Frau, Justine Aitel, geborene Bone kenne ich noch von einem Penetrationstest in Hamburg. Sie hat damals für ISS X-Force gearbeitet und während die X-Force Jungs Abends auf die Reeperbahn sind saß sie im Hotel und hat Zero Day Buffer Overflows gecoded, mit der die Jungs dann am anderen Tag die Systeme übernommen haben.
Kommentare wegen Spam gesperrt.
Comment by Christian — 24. November 2007 @ 18:35