HACKINAR SAP Attack

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

log4j : Oder wie ein Dutzend Hacker es verhindern könnte

log4j : Oder wie ein Dutzend Hacker es verhindern könnte

Die Sicherheitslücke log4j wirft viele Fragen auf. Es ist eine extrem intelligente Lücke, die Schwachstelle kann extrem ausgenutzt werden und bietet immer noch vielen Hackern eine kreative Spielwiese. Und – wie auch die deutsche IT-.Zeitschrift heise.de festgestellt hat “works as designed” – die Schwachstelle ist eigentlich genau für so einen dynamischen Abruf – im Guten wie im Schlechten.

Komplexität schlägt Sicherheit

So naheliegend, wie die Ausnutzung dieser Schwachstellen aktuell ist, so schwierig wäre dessen Entdeckung, selbst in einem kontrollierten Entwicklungsumfeld. DIe Komplexität von Bibliotheken, die in öffentlich benutzten Repositories und Github-Includes liegen, ist schwierig zu verfolgen, geschweige denn auf alle möglichen Schwachstellen zu kontrollieren, selbst von erfahrenen Entwicklern.
Was aber, wenn ein Dutzend Hacker den Kopf zusammen stecken und gezielt solche komplexen Architekturen attackieren? Was, wenn ein “Angriff von Vielen” die Einzelanalyse ersetzt?

Bug Bounty für alle (guten) Hacker

Bug-Bounty Programme, die orchestrierte Suche nach Schwachstellen, für die man (ausreichend) bezahlt wird, sind heute im Standard vieler Unternehmen zu finden. Wer nicht schnell auf solche gefundenen Schwachstellen reagiert und diese Suche belohnt, läuft Gefahr, dass auch der freundlichste Hacker dann zu dunklen Aufkäufern geht, die einen sehr hoch entlohnen.
Neben dem Effekt der kontrollierten Aufdeckung hat aber dies den weiteren Vorteil, dass man sich so vieler Hacker bedienen kann. Hundert Augenpaare sehen mehr als nur eines – und ein Dutzend koordinierter Hacker sehen so ziemlich viel.

YesWeHack und log(2) – Partner bei der Jagd nach Schwachstellen

Wir haben mit der europäischen (in Paris ansässigen) Firma YesWeHack solch ein Programm , dass gerade sich im Nachgang zu den log4j-Vorfällen bewähret hat.

Mit YesWeHack organisieren wir eine kontrollierte Hack-Kampagnen, die aufzeigen, welche Schwachstellen die Zielanwendung hat.

Was glauben SIe, was passiert, wenn ein Dutzend Hacker Ihre Zielanwendung ins Visier nehmen?
In einem Webinar, das demnächst von log(2) und YesweHack als Gästen stattfindet, zeigen wir, wie effektiv und wie umfassend das Ergebnis ist.

 

Interesse: Fragen Sie einfach an über das Kontaktformular

Teilnahme am Webinar

Hier können Sie die Teilnahme am Webinar buchen

    Mit der Nutzung dieses Formulars erklären Sie Sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.