Recent searches
Search options
Responsible Disclosure ist aus meiner Sicht das einzige Verantwortungsvolle. Nicht auszudenken was passiert wäre bei den heiklen CPU Sidechannel attacks in den letzten Jahren
@Jain @adfichter @exception@mastodon.savvy.ch @marcel
Leider funktioniert #responsibleDisclosure nur dann wie gehofft, wenn es keinen Markt für #zeroDays und keine Geheimdienste gibt.
Deshalb: #fullDisclosure.
@chpietsch @Jain @adfichter @exception @marcel
Inwiefern hilft hier full disclosure? Angenommen zum Zeitpunkt X entdeckt jemand die Lücke. Vendoren brauchen 2 Monate um Patch zu erstellen und zu verteilen.
Bei Full Disclosure: sowohl Geheimdienste als auch alle anderen haben 2 Monate Zeit exploit zu entwickeln und einzusetzen.
Bei Responsible Disclosure: Geheimdienste haben Zeit 2 Monate Exploit zu entwickeln.
Es gibt nur ein Unterschied wenn es eine Mitigation via Config etc gibt.
@chpietsch @Jain @adfichter @exception @marcel und wie schnell es geht ein Exploit zu entwickeln manchmal, zeigt log4shell. Wir hatten innerhalb von 6h nach Veröffentlichung tausende Versuche das auszunutzen im AccessLog. Und gleichzeitig war nur noch on call aktiv, da abends. Und der guckt nicht in die Terrabytes an Access Logs. Dafür ist da zu viel anderer Noise drin.
Wären wir verwundbar gewesen, wir hätten keine Zeit gehabt.