1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Onlineshops mit…

"Hacker Approved"

  1. Thema

Neues Thema Ansicht wechseln


  1. "Hacker Approved"

    Autor: /mecki78 25.10.18 - 11:40

    Statt Hacker immer zu verteufeln, sollte ein Unternehmen einfach mal solche Leute massenhaft einstellen, am besten solche, die für bekannte Hacks verantwortlich sind, die sogar durch die Presse gegangen sind, und dann selber so ein Siegel anbieten, das nur Webseiten bekommen, wo es dem Team an Profi Hackern nicht möglich war, irgendwie die Seite unter ihre Kontrolle zu bringen oder Zugriff auf Kundendaten zu bekommen. Das wäre dann eine Aussage! Denn der TÜV verfügt nicht über solche Hacker, der TÜV verfügt über hochgezüchtete, studiert "Sicherheitsexperten", also die Leute, die sonst Systeme entwickeln und diese als absolut sicher verkaufen, bis dann oben genannte Hacker kommen die die Systeme in 15 Minuten auseinander nehmen.

    Die Webseiten zahlen dann das Unternehmen dafür, dass deren Hacker sie angreifen, entweder erfolglos, dann gibt es das Siegel oder erfolgreich, dann gibt es eine Liste mit Vorschlägen, wie man die Seite absichern sollte; nach deren Umsetzung kann man dann den nächsten Angriff in Auftrag geben. Die Hacker werden dafür bezahlt das zu tun, was sie am liebsten tun und was sie auch am besten können; mach dein Hobby zum Beruf. Und für die Kunden gibt es endlich ein Siegel, das wirklich etwas aussagt und dem man auch wirklich vertrauen kann, was wiederum das Vertrauen in die Webseite stärkt. Ich sehe hier also eine komplette Win-Win-Win Situation.

    /Mecki



    1 mal bearbeitet, zuletzt am 25.10.18 11:41 durch /mecki78.

  2. Re: "Hacker Approved"

    Autor: tomatentee 25.10.18 - 12:01

    Das nennt man Sicherheitsaudit bzw Pentest und ist ein Standardprodukt so ziemlich aller Security-Cunsulter (in unterschiedlicher Qualität selbstverständlich).
    Gütesiegel wird da aber keiner anbieten. Wenn der Websitebetreiber was verändert und es danach löchrig ist, will sich keiner damit den Ruf ruinieren...

  3. Re: "Hacker Approved"

    Autor: Iruwen 25.10.18 - 12:05

    Dafür gibt es Bug Bounty Plattformen, z.B. https://www.bugcrowd.com

  4. Re: "Hacker Approved"

    Autor: /mecki78 25.10.18 - 12:26

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Das nennt man Sicherheitsaudit bzw Pentest und

    wird in der Regel von den gleichen "Sicherheitsexperten" durchgeführt, die beim TÜV arbeiten und die genauso wenig etwas taugen, da diese Leute ihr Wissen aus Büchern und einer Ausbildung haben, damit sie sich ganz tolle Titel wie "Senior Expert for Computer Security Management" oder was auch immer geben können. Diese Leute haben aber nur Wissen aus dritter Hand, sie haben vor ihrer Ausbildung oft kein einziges mal versucht irgendwas zu hacken, geschweige denn, dass sie damit Erfolg gehabt hatten. Ihnen macht Hacken oft nicht einmal Spaß, sondern für sie ist das nur ein gut bezahlter Job. Sie testen nur auf bekannten Wegen nach bekannten Schwachstellen, und eben nicht abseits davon. Und alles was sie in ihrer Ausbildung jemals gelernt haben, ist schon hoffnungslos veraltet am Tag, an dem sie ihr Abschlusszeugnis erhalten. Von diesen Leuten habe ich hier nicht gesprochen, sorry.

    /Mecki

  5. Re: "Hacker Approved"

    Autor: /mecki78 25.10.18 - 12:41

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Dafür gibt es Bug Bounty Plattformen

    An denen aber 99,9% aller Internetseiten nicht teilnehmen werden, weil sie eben am Ende nichts bekommen, das einen direkten Gegenwert für sie darstellt (kein anerkanntes Prüfsiegel z.B.). Es nützt nichts sicher zu sein, wenn man damit nicht beim Kunden werben kann, weil dann ist das kein Wettbewerbsvorteil mehr und genau das sollte es aber sein: Sichere Seiten sollten gegenüber unsicheren einen Wettbewerbsvorteil haben.

    Seitenbetreiber sind auch nicht daran interessiert ständig und permanent von irgendwelchen Leuten irgendwie unter Beschuss genommen zu werden, so wie bei offenen Bounties. Sie wollen gezielte Angriffe mit einer gezielten Auswertung am Ende und zwar auch dann, wenn dieser nicht erfolgreich war, so dass man Ende entweder was hat womit man Arbeiten kann oder ein Siegel, mit dem man beim Kunden für Sicherheit werben kann.

    Bei nicht erfolgreichen Angriffen würde sich auf offenen Plattformen schon niemand melden, allein hier versagt das System schon. Und selbst wenn eine Shopseite auf so einer Plattform eine Belohnung aussetzt, bekommt der Endnutzer nichts davon mit, d.h. er weiß nicht, dass diese Seite das getan hat und er weiß nicht, dass es kein Hacker geschafft hat. Außerdem woher will denn der Seitenbetreiber wissen, ob irgendwer überhaupt das Angebot angenommen und sich wirklich auf die Suche nach Schwachstellen gemacht hat? Bei offenen Seiten meldet sich nicht vorher jemand und teilt dir mit "So, ich versuche jetzt ihre Seite zu hacken." Vor allem nützt dir diese Info nichts, weil was weißt du denn was das für ein unfähiger Noop ist, der sich jetzt hier an's Werk macht. Nur weil der das nicht schafft, ist das doch keine Aussage.

    Das mag jetzt bei deiner verlinkten Seite anders sein, aber das ist auch keine typische Bug Bounty Seite, da sie eben gezielte Produkte anbietet, d.h. sie geht schon in die Richtung, die ich beschrieben habe, allerdings gerade mal so etwas über 50% des Weges.

    /Mecki



    1 mal bearbeitet, zuletzt am 25.10.18 12:42 durch /mecki78.

  6. Re: "Hacker Approved"

    Autor: hans10 25.10.18 - 12:46

    Ich arbeite bei einer Sicherheitsfirma. Unser Ziel ist es, Schwachstellen zu finden, damit wir keine dieser Siegel ausstellen müssen. Klappt in weit über 90% der Fälle. Falls doch einmal etwas "nicht gefunden" wurde liegt es meistens daran, dass der Dienstleister des Seitenbetreibers neue, kaputte Funktionen ohne Tests (und nach der Prüfung) auf die Seite gepackt hat.

    PS: In der Branche genießen nicht alle IT-Sicherheitsdienstleister einen guten Ruf ;)

  7. Re: "Hacker Approved"

    Autor: Iruwen 25.10.18 - 13:27

    Es gibt momentan (seit Inkrafttreten der DSGVO) auch keine AV-Prüfsiegel (Zertifizierungen) mehr, trotzdem weiß ich von unserem Dienstleister und Kunden, dass praktisch alle Auditierungen weiterlaufen. Das machen die Leute aus eigenem Interesse, keiner will mit einem Zwischenfall und evtl. Bußgeldern in Verbindung gebracht werden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz
  2. HERMA GmbH, Filderstadt
  3. CCS 365 GmbH, München
  4. akquinet AG, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)
  2. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  3. 749€


Haben wir etwas übersehen?

E-Mail an news@golem.de