Zusammenfassung
Gegen unveröffentlichte – nur wenigen Personen bekannte – Sicherheitslücken (Less-than-Zero-Day Vulnerabilities) und diese ausnutzende Angriffsprogramme (Exploits) können IT-Systeme nicht geschützt werden. In der Vergangenheit wurden Sicherheitslücken meist dem Hersteller gemeldet; dieser stellte (allerdings nicht in allen Fällen) eine Fehlerkorrektur zur Verfügung. In jüngerer Zeit werden Sicherheitslücken systematisch (Tool-gestützt) gesucht und an Behörden, Unternehmen und an die organisierte Kriminalität verkauft – und nicht oder nicht sofort dem Hersteller gemeldet. Durch Ausnutzung dieser unveröffentlichten Sicherheitslücken ist Wirtschaftsspionage und Computersabotage (auch der Steuerungsrechner des Internet) unerkannt möglich [GI 2007]. Praktizierte Anwendungen sind – u.a. auch als Titan Rain – dokumentiert [BfDI 2007, Keizer 2006, NSTAC 2007, Pohl 2007, Rath 2007].
This is a preview of subscription content, log in via an institution to check access.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Preview
Unable to display preview. Download preview PDF.
Literatur
Anderson, R.: Why Information Security is Hard. An Economic Perspective. London 2001 http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/econ.pdf
Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Hrsg.): Technische Aspekte der Online-Durchsuchung. o.O. 2007
Arbaugh, W.A.; Fithen, W.L.; McHugh, J.: Windows of Vulnerability: A Case Study Analysis. IEEE Computer 12, 52 – 59, 2000
Arora, A., Telang, R., Xu, H.: Optimal Policy for Software Vulnerability Disclosure, Arbeitsbericht der H. John Heinz III School of Public Policy and Management, Carnegie Mellon University, Pittsburgh 2004. http://www.dtc.umn.edu/weis2004/xu.pdf
Arora, A.; Telang, R.: Economics of Software Vulnerability Disclosure. IEEE Security and Privacy, 3 (1), 20-25, 2005
Bachfeld, D.: Die Axt im Walde. Einführung in Fuzzing-Tools. Heise Security 18. Aug. 2006 http://www.heise.de/security/artikel/76512
Bächer, P.; Holz, T.; Kötter, M.; Wichersky, G.: Know your Enemy: Tracking Botnets. Using Honeynets to learn more about Bots. 2005 http://www.honeynet.org/papers/bots/
Beirer, S.: Metasploit Framework v3.0. In: GAI NetConsult GmbH (Hrsg.): Security Journal. Berlin 12/2006 http://www.gai-netconsult.de/download/security/secjournal/SecJournal_0628.pdf
BfDI – Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): 21. Tätigkeitsbericht 2005 – 2006. Bonn 2007
BMI – Bundesministerium des Innern (Hrsg.): Entwurf eines IT-Sicherheitsgesetzes. Berlin 30. Mai 2008
Böhme, R.: Vulnerability Markets. What is the economic value of a zero-day exploit? In: Proc. of 22C3. Berlin 2005 http://events.ccc.de/congress/2005/fahrplan/attachments/542-Boehme2005_22C3_VulnerabilityMarkets.pdf
Böhme, R.: A comparison of market approaches to software vulnerability disclosure. In G. Müller (Hrsg.): Proc. of ETRICS, Freiburg, 5. – 9. Juni 2006 298 – 311, Berlin 2006 http://www.springerlink.com/link.asp?id=428k87mr2h103143
Bonner, E.: Streit um Bugtraq-Eintrag: Aufklären oder schweigen. PC Welt 21. Nov. 2002 http://www.pcwelt.de/start/sicherheit/archiv/27470/
Browne, H.K.; McHugh, J.: A Trend analysis of Exploitations. CS-TR-4200, UMIACS-TR-2000-76, 2000
Camp, L.J.; Wolfram, C.D.: Pricing Security: Vulnerabilities as Externalities. Economics of Information Security 12, 2004
Christey, S.; Wysopal, C.: Responsible Vulnerability Disclosure Process. Internet-Draft. MITRE Bedford 2002
Clinton, N.: How Windows Update Keeps Itself Up-to-Date. Microsoft TechNet 2007 http://blogs.technet.com/mu/archive/2007/09/13/how-windows-update-keepsitself-up-to-date.aspx
Core Security Technology (Ed.): Core Impact. Boston 2007 http://www.coresecurity. com/
Coverity Inc. (Ed.): [Homepage] San Francisco 2007 http://www.coverity.com/
Danchev, D.: Malware – future trends. o.O. 2006 http://www.packetstormsecurity. org/papers/general/malware-trends.pdf
Debian (Hrsg.): Werkzeuge für Sicherheit-Audits. http://www.de.debian.org/security /audit/tools
Eidenberg, A.: Exploits für alle. Heise Security 06.01.2006 http://www.heise.de/security/artikel/67984/
Fox, D. (Hrsg.): Secorvo Security News Juli 2007. Karlsruhe 2007 http://www.secorvo. de/security-news/secorvo-ssn0707.pdf
Garfinkel, T.; Adams, K.; Warfield, A.; Franklin, J.: Compatibility is Not Transparency: VMM Detection Myths and Realities. 11thWorkshop on Hot Topics in Operating Systems San Diego, CA May 7–9, 2007 http://www.stanford.edu/~talg/papers/HOTOS07/vmm-detection-hotos07.pdf
Gerkis, A.; Danahy, J.: Software Security Governance in the Development Lifecycle. Boston 2007
GI – Gesellschaft für Informatik (Hrsg.): GI fordert Veröffentlichung von Sicherheitslücken in Software. Bonn 2007 http://www.gi-ev.de/aktuelles/meldungsdetails/meldung/167/
Heise Security (Hrsg.): Untergrundauktionen: Vista-Exploit 20.000 $, eBay-Konto 7 $. Hannover 2006a http://www. heise.de/security/news/meldung/82679
Heise Security (Hrsg.): Rootkit verschiebt Windows in virtuelle Maschine. Hannover 2006b http://www.heise.de/security/news/meldung/79676
Heise Security (Hrsg.): Betreiber von Exploit-Auktionen spricht auf Microsofts Hacker-Konferenz. Hannover 2007 http://www.heise.de/security/news/meldung/96800
IBM Internet Security Systems (Ed.): Cyber Attacks On The Rise: IBM 2007 Midyear Report. Somers 2007 http://www.iss.net/documents/whitepapers/X-Force_Threat_ Executive_Brief_Aug_07.pdf
iDefense Labs (Ed.): Vulnerability Contributor Program. Sterling Va. 2007a http://labs. idefense.com/vcp
iDefense Labs (Ed.): Major Threats and Trends Impacting the 2007 Cyber Security Landscape. Sterling Va. 2007b http://www.verisign. com/static/040800.pdf
Immunity (Ed.): CANVAS. Miami Beach 2007 http://www.immunitysec.com/
ISO/IEC 15408: Information technology – Security techniques – Evaluation criteria for IT security – Parts 1, 2, 3 Genf 2005
Jones, J.R.: Estimating Software Vulnerabilities. IEEE Security & Privacy 5, 4, 28 – 32, 2007
Kannan, K.; Telang, R.: Market For Software vulnerabilities? Think Again. Management Science, 51(5), 726-740 2005 http://www.heinz.cmu.edu/~rtelang/MS_market. pdf
Keizer, G.: UCLA admits Massive Data Hack. Informationweek Dec. 12, 2006 http://www.informationweek.com/shared/printableArticle.jhtml?articleID=196603485
Krebs, B.: A Time to Patch. http://blog.washingtonpost.com/securityfix/2006/01/a_time_ to_patch.html 2006
Ma Huijuan: Handling Less Than Zero Day Attack – A Case Study. Seville 2007 http://www.first.org/conference/2007/papers/huijuan-ma-slides.pdf
Martinez, V.: PandaLabs Report: Mpack uncovered. o.O. 2007 http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf?sitepanda=particulares
McAfee (Hrsg.): Virtual Criminology Report. North American Study into Organized Crime and the Internet. Hamburg 2006 http://www.mcafee.com/de/about/press/corporate/2006/20061208_124141_v.html
Metasploit (Ed.): Bustin shells since 2003. 2007 http://www.metasploit.com/
Miller, B.P.: Fuzz testing of Application Reliability. Madison 2007 http://pages.cs.wisc. edu/~bart/fuzz/
Miller, C.: The legitimate vulnerability market: The secretive world of 0-day exploit sales. 2007 http://weis2007.econinfosec.org/papers/29.pdf
Mitre (Ed.): Common Vulnerabilities and Exposures (CVE). The Standard for Information Security Vulnerability Names. 2007 http://www.cve.mitre.org/
Naraine, R.: Researcher: WMF Exploit Sold Underground for $4,000. February 2, 2006 http://www.eweek.com/article2/0,1895,1918198,00.asp
NSTAC – The Presidents National Security Telecommunications Advisory Committee (Ed.): NSTAC Report to the President on International Communications. Washington 2007
Ozment, A.: Bug Auctions: Vulnerability Markets Reconsidered. In Workshop of Economics and Information Security, Minneapolis 2004 http://www.dtc.umn.edu/weis2004/ozment.pdf
OWASP – Open Web Application Security Project (Ed.): Source Code Analysis Tools. http://www.owasp.org/index.php/Source_Code_Analysis_Tools
Parson, G.; Thorne, G.: Internet Security Threat Report Vol. XI. o.O. 2007 http://cio.vermont.gov/var/cio/storage/original/application/6c785bbe879fc3ddd2c5741435669 af6.ppt
Pohl, H.: Zur Technik der heimlichen Online-Durchsuchung. Datenschutz und Datensicherung 31, 9, 684 – 688, 2007 http://www.dud.de/binary/DuD_Pohl_907.pdf ?sid=9f7bc909e95c652b86ebd9ae5344abba
Porter, B.: Approaching Zero. A Study in Zero-Day Exploits. Origin, Cases, and Trends. Norwich o.J. http://nujia.norwich.edu/current/2_2_art01.pdf
Rath, C.: Der Zoll ist schon drin. In: Kölner Stadt-Anzeiger 7. Okt. 2007 http://www. ksta.de/html/artikel/1190968634161.shtml
Rescorla, E.: Is finding security holes a good idea? In: Workshop on Economics and Information Security. Minneapolis 2004 http://www.dtc.umn.edu/weis2004/rescorla.pdf
Rollins, J.; Wilson, C.: Terrorist Capabilities for Cyberattack: Overview and Policy Issues. CRS Report for Congress. Washington 2007
Royal Canadian Mounted Police (Ed.): Future Trends in Malicious Code – 2006 Report. Ottawa 2006
Rutkowska, J.: Subverting Vista Kernel for Fun and Profit. Black Hat Aug. 2006.
Schechter, S.E.: How to buy better testing: Using competition to get the most security and robustness for your dollar. In: Proceedings of the Infrastructure Security Conference. Bristol 2002
Schneier, B.: Attack Trees. Dr. Dobb's Journal December 1999 http://www.schneier. com/paper-attacktrees-ddj-ft.html
Schneier, B.: Full Disclosure and the Window Exposure. Sept. 15, 2000 http://www. schneier.com/crypto-gram-0009.html#1
Schneier, B.: Business Models for Discovering Security Vulnerabilities. Mountain View 2007 http://www.schneier.com/blog/archives/2007/02/business_models.html
SecurityFocus (Ed.): Bugtraq. 2007 http://www.securityfocus.com/archive/1
shellcode.org (Ed.): [Homepage] 2007. http://shellcode.org/
Shimel, A.: Less Than Zero Threat. Oct. 19, 2006 http://www.stillsecureafteralltheseyears.com/ashimmy/2006/10/less_then_zero_.html
Stone, B.: Moscow company scrutinizes computer code for flaws. International Herald Tribune January 29, 2007 http://www.iht.com/articles/2007/01/29/business/bugs. php
Symantec (Ed.): Symantec Internet Security Threat Report. Trends for January – June 07. Vol. XII. Cupertino 2007 http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xii_exec_summary_09_2007. en-us.pdf
TippingPoint (Ed.): Zero Day Initiative. 2007 http://www.zerodayinitiative.com/
VulnWatch (Ed.): [Homepage]. 2007 http://www.vulnwatch.org/index.html
Wabisabilabi (Ed.): Closer to zero risk. London 2007 http://www.wslabi.com/wabisabilabi/home.do?
Zero Day Initiative (Ed.): Published ZDI Advisories. Austin 2007a http://www.zerodayinitiative.com/advisories.html
Zero Day Initiative (Ed.): Upcoming ZDI Advisories. Austin 2007b http://www.zerodayinitiative.com/upcoming_advisories.html
Author information
Authors and Affiliations
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2009 Physica-Verlag Heidelberg
About this chapter
Cite this chapter
Pohl, H. (2009). Zero-Day und Less-than-Zero-Day Vulnerabilities und Exploits. In: Zacharias, C., et al. Forschungsspitzen und Spitzenforschung. Physica-Verlag HD. https://doi.org/10.1007/978-3-7908-2127-7_12
Download citation
DOI: https://doi.org/10.1007/978-3-7908-2127-7_12
Publisher Name: Physica-Verlag HD
Print ISBN: 978-3-7908-2126-0
Online ISBN: 978-3-7908-2127-7
eBook Packages: Humanities, Social Science (German Language)