Sinn und Unsinn von CVSS, SSVC, EPSS und Co

00:00:00:

00:00:09: Hallo, liebe Hörerinnen und Hörern.

00:00:10: Willkommen zu einer neuen Folge von Passwort dem Podcast von Heise Security.

00:00:15: Ich bin Christopher Kunz vom Heise-Security

00:00:17: Und ich bin Sylvester Trimmel vom Computermagazin CT.

00:00:22: Heute machen wir mal was ganz ausgefallenes, das wir schon ein Weilchen nicht hatten.

00:00:26: Eine monothematische Folge.

00:00:28: Also richtig gehört Wir reden die ganze Folge nur über ein Thema Wenn auch mit natürlichen paar kleinen Unterthemen.

00:00:36: Das ist für uns alle.

00:00:37: jetzt kommt ein ganz, ganz schlechter Wortwitz.

00:00:39: Den muss ich aber bringen!

00:00:40: Ein Schock-Podcast.

00:00:42: Ein Schokpodcast?

00:00:44: Ja,

00:00:44: ein Schock das ist ja die...das alte Wort für sechzig Stück von etwas.

00:00:48: und das hier ist nach der traditionellen Zählung ohne SideQuests, Spinoffs, Bonusfolgen usw.

00:00:56: Ist es hier unsere Folge Sechzig also die Schockfolge.

00:01:00: Okay, das ist eine Menge Einheit, die ich nicht kannte.

00:01:04: Danke dafür.

00:01:06: Sind fünf Dutzend Schock.

00:01:11: Fünf Dutzend... Absurd, also nicht mal ein halbes Dutzen-Dutzen oder so ne?

00:01:15: Also eine halbes Gruß oder keine

00:01:15: Ahnung.

00:01:16: Du bist Dutzndutzen!

00:01:17: Naja, ein Dutzn-dutzen ist ein Krohn, ne?

00:01:20: Ja genau aber ich glaube also fünf Dutzenden sind

00:01:22: ein Schocker.

00:01:23: Okay, gut.

00:01:24: Aber ich muss mich zuerst einmal entschuldigen.

00:01:26: Ich habe hier leider vor den Fenstern jemanden mit so einem Rasenmäher auf dem man drauf sitzen kann und der dreht da unten insofern wenn es ab und zu irgendwie hier brummt.

00:01:34: Es tut mir leid Aber ich kann das eine Route nicht beeinflussen.

00:01:41: Apropos Routes geht's schon los, na?

00:01:42: Ich muss mich auch dafür entschuldigen... Also niemand von euch hat geschrieben netterweise bei mir selber als die Szenegel hochgedreht.

00:01:49: Ich weiß natürlich dass das Live in Time to live ausgesprochen wird.

00:01:57: Ich weiss nicht warum ich im letzten Podcast die ganze Zeit Time To Life gesagt hab.

00:02:01: Beim Probehören hat es mich selber geschüttelt.

00:02:04: Es tut mir leid!

00:02:05: Ich weiß es eigentlich besser, das wollte ich loswerden.

00:02:08: Na ja so lange du bei Routen oder Router auch bleibst und nicht jetzt anfängst, Rautas zu sagen.

00:02:15: Hast du was gegen Rauta?

00:02:16: Das ist gutes britisches Englisch aus dem achtzehnten Jahrhundert!

00:02:26: Gut, nehme ich zur Kenntnis.

00:02:29: Vielen Dank.

00:02:31: Also, sind wir mit dem linguistischen jetzt durch.

00:02:34: Jetzt kommen wir wieder zu bunten Farben oder für ein weiteres oder kleines Update?

00:02:38: Genau!

00:02:38: Wir passen unsere Route an und gehen zur bunte Farbe über.

00:02:43: Kleines Update bevor wir mit unserem monothematischen Folge loslegen.

00:02:47: ich wollte nochmal über Yellow Key mit Pin reden oder auch ohne Pin.

00:02:53: Wir breiten jetzt hier, weil wir eben keine Newsfolge machen.

00:02:55: Nicht weiter aus was mit Nightmare Eclipse und so noch passiert ist.

00:02:59: Mal schauen ob wir das in einem späteren Podcast nochmal aufgreifen werden.

00:03:02: euch einen Zwischenstand interessiert?

00:03:04: ich habe es aufgeschrieben packen wir in die Show Notes Aber Yellow Key wollte ich aus zwei Gründen nochmal erwähnen.

00:03:11: Das eine ist uns hat ein Hörer geschrieben dessen Name mir leider gerade entfallen ist.

00:03:16: Es tut mir sehr leid.

00:03:19: Wir hätten irgendwie Also das, wahrscheinlich haben wir es einfach versprochen.

00:03:23: Wir hätten davon geredet dass man sozusagen da die Platte ausbauen könne und dann Dialoki an einem anderen Rechner einsetzen könnte.

00:03:31: Und das stimmt nicht.

00:03:33: also das ist ja gerade der Punkt daran.

00:03:34: dieses tpm sitzt ja in dem jeweiligen rechner drin und wenn ich die platte aus diesem rechna rausbaue und sie von diesem tpm trenne Dann komme ich natürlich an die Inhalte nicht ran.

00:03:43: dann kann auch das tpm von einem anderen rechnen diese platte nicht entschlüsseln oder so.

00:03:48: Das ist ja einer der gründe die ich sehe warum man sagt na er so So BitLocker ohne Pin ist nicht völlig sinnlos, weil es hat halt den schönen Effekt.

00:03:54: Ich kann die Platte ausbauen wegschmeißen sonst was und muss mich nicht drum kümmern ob irgendjemand von dieser Platte alleine Daten unterkriegen kann oder nicht?

00:04:04: Das war der Bernhard.

00:04:04: Danke Bernhard!

00:04:07: Das andere ist wir hatten letzte Woche ja drüber geredet dass Nightmare Eclipse auch sagt ihr oder sie habe auch ein... Also diese Barg lasse sich auch ausnutzen wenn eine BitLocke Pin gesetzt ist.

00:04:22: und da habe ich mich sehr skeptisch gezeigt und gesagt, naja das glaube ich wenn ich sehe.

00:04:25: Und ich gehe sozusagen davon aus dass der Back halt auch mit PIN existiert aber man muss die PIN halt kennen.

00:04:33: gesehen haben wir es immer noch nicht.

00:04:35: also seit mehr Clips hat es nicht veröffentlicht aber er hatte ein bisschen oder sie hatten ein bisschen Kontext dazu geschrieben und das klingt dann gruseliger als ich Alexa gedacht hab.

00:04:44: und zwar war das Vorgehen von Yellow Key mit Pinn wohl so dass man eine ausführbare Datei, also als Angreifer im Recovery-Environment ausführen musste.

00:05:00: Die konnte dann spezielle Transaktionsdateien generieren und sie in der Wiederherstellungsparteation ablegen.

00:05:06: Dann musste man dem Opfer den Rechner zurückgeben oder halt sozusagen sich wieder von dannhin machen und darauf warten, dass das Opfer halt wieder an seinen Rechners geht.

00:05:15: Das durfte also keinen Verdacht schöpfen seine Rechner wieder hernehmen und dort die Pin eingeben.

00:05:22: Und wenn es das getan hat, dann haben irgendwelche Manipulationen der Windows Recovery Partition dafür gesorgt dass nach der Pin-Eingabe der Rechne wiederholt abgestürzt ist so dass Windows dann wieder einen Boot in Windows RE eingeleitet hat.

00:05:39: und dabei blieb offenbar die Platte entsperrt weil das Opfer ja gerade die Pin eingegeben hatte.

00:05:47: dort platzierten Transaktionsdateien, konnte man dann auf der Entsperrtenplatte beliebige Dateien überschreiben.

00:05:55: Also als Angreifer musste sozusagen im Vorhinein wissen was man überschrieben will aber konnte das eben alles so manipulieren und scheinbar auch relativ easy.

00:06:03: also wenn man diese x-mal hatte die hat es dann für einen gemacht Und dann konnte man den Rechenheit zurückgeben.

00:06:08: offen gibt hin ein und dann wird es kompomentiert.

00:06:11: Das schon ziemlich gruselig muss ich sagen ist natürlich ein aufwendiger Angriff mit so eine Also EvilMate und Rückgabe und so, ne?

00:06:20: Weil man ja dann... naja es kommt darauf an was man da machen will aber im Regelfall noch mal den Rechner ran muss um irgendwie die Daten auch also den Effekt sich abzuholen.

00:06:31: Aber als ich wollte nochmal erzählt haben weil das scheinbar doch kritischer und gewiefter war ist man muss halt die Pinnen kennen.

00:06:39: Mein Schluss aus diesem ganzen Zeug mittlerweile ist, weil auch das ja sozusagen die Verschlüsselung von BitLocker nicht bricht.

00:06:46: Es war offenbar ein Riesenfehler das Windows RE automatisch immer diese BitLocker Sachen aufhaben zu lassen.

00:06:53: Man müsste eigentlich das DPM da anders einsetzen, sodass es halt nicht die Platte freigibt wenn Windows RE bootet auch weil man dann halt wahrscheinlich sehr viel mehr Leute hat die sagen ich das Ding sagt ich brauche eine Recovery Key und ich weiß nicht wo mein Recovery Key ist aber dass die Angrifffläche offenbar zu groß wäre.

00:07:12: jetzt meinen Schluss daraus.

00:07:16: Nightmare Clips selber denkt wohl ähnlich.

00:07:18: Das schreibt, ich bin selbst auf BitLocker angewiesen.

00:07:22: BitLocer ist großartig.

00:07:23: das Problem ist dass es für seine Funktion auf bekloppte Software angewiesen ist was ein großer Fehler ist.

00:07:46: Auch bekannt gegeben, dass sie auch mit der Portierung von Graphino S auf Android SE schon fertig sind.

00:07:52: Das heißt es kommt quasi taggleich zu Android SE raus und man kann dann also sein Gerät auch mit dem neuesten GraphinOS unterher auf Android Sev Basis, kann man so sagen, betreiben.

00:08:05: nur für die Graphino-S Fans hier und für den Herrn, der mir gegenüber sitzt mit dem Graphin OS Telefon hast du schon gekannt?

00:08:12: Nee, ist glaube ich noch nicht fertig.

00:08:13: Der Bild ist noch nicht fertig aber du könntest dann heute Abend updaten?

00:08:16: Ne also ich habe noch kein Update bekommen und ich hab's auch so aufgefasst von wegen Sie haben es noch nicht publiziert und vor allem haben sie das glaube ich auch noch nicht auf allen Geräten oder auf allen Modellen die sie unterstützen getestet.

00:08:28: Ich weiß eigentlich auch nicht sonst ob sie da jetzt noch warten und dass dann für alle gleichzeitig freigeben oder ob sich erst mal für die Freigeben wo sie schon getestete haben weiss ich nicht.

00:08:39: Also im Forum stand ungefähr um zwanzig Uhr gestern Abend, dass sie das getestet haben auf sechs A-Sieben, Sieben A-Zehn und Zehnt pro Fold und auf dem acht.

00:08:51: Und dass man later to date, das muss ja dann irgendwie heute sein also am sevzehnten, das testen kann und dann gibt es öffentliche Tests ab den sevzehn und achzehnden oder sowas.

00:09:05: Wir werden's sehen.

00:09:05: ich glaube wenn ihr diese Folge hört dann sind wir da auf jeden Fall schon einen Schritt weiter.

00:09:10: Das waren schon alle kurzen Sachen, jetzt

00:09:12: steigen wir ein in die vollkommen

00:09:13: lange Sachen.

00:09:14: Lange Sachen mit kurzen Akronymen.

00:09:16: Jetzt geht es ganz ganz tief.

00:09:17: Wir tochen jetzt ganz tief an einen Thema ein dass wir uns auch schon eine Weile immer wieder vorgenommen haben und das auch tatsächlich eine Fortsetzung eines einer unserer ersten Folgen ist Und zwar geht es um das Tja.

00:09:31: wie nennen wir denn das ist sicherheit zu lücken Händungs Kennzahlen Universum.

00:09:37: Wir gucken uns heute mal die das CVSS System an und wie das zusammenhängt mit CVEs.

00:09:45: Und was es noch so alles gibt, EPSS und Es gibt auch noch SSVC.

00:09:53: Also ist ein bisschen wie dieser Song von den fantastischen vier denen sing ich jetzt aber hier nicht.

00:09:57: ihr wisst ja alle was gemeint ist.

00:10:01: Das CVSS.

00:10:02: damit fangen wir glaube ich gleich mal oder damit werden wir gleich die meiste Zeit verbringen, ist das Common Vulnerability Scoring System.

00:10:10: Also eine Punktbewertung für Vulnerabilitäten und Sicherheit zu tun.

00:10:15: Kleinen Schritt zurück noch zum Thema CVE.

00:10:17: Das ist ja an dem alles aufgehängt wird also der Datenpunkt, die Kennung für eine Sicherheitslücke, an der diese ganzen Metriken über die wir gleich sprechen werden, aufgehängt werden.

00:10:29: Das Common Vulnurabilities Enumeration.

00:10:36: Ich hätte die Folge selber hören sollen.

00:10:39: Folge fünf haben wir lange darüber gesprochen, allerdings weniger langer als wir wahrscheinlich heute drüber sprechen werden.

00:10:43: da waren die Folgen glaube ich noch insgesamt ein bisschen kürzer und da hatten wir auch schon Ein bisschen eine Diskussion die immer noch existiert und über die wir sicherlich heute auch nochmal sprechen werden.

00:10:54: Denn wie ist dieses tvesystem seitdem gealtert?

00:10:58: Wie sinnvoll ist es noch?

00:10:59: was sind Sachen die vielleicht nicht so sinnig sind?

00:11:01: wie stehen große spieler wie zum beispiel microsoft?

00:11:04: Das wird heute weniger vorkommen, denke ich.

00:11:05: Aber das Linux-Körneteam dazu und wir befassen uns heute auch so ein bisschen eben mit diesem... Wie kann man es eigentlich so einsetzen?

00:11:15: Dass man in seiner eigenen Risikoplanung, in seinem eigenen Patchzyklus sinnvolle Informationen aus diesen ganzen Einträgen ziehen kann um zu sehen, dass muss ich erst patchen und da kann ich vielleicht ein bisschen mit warten und kleiner Spoiler, so einfach ist das alles nicht.

00:11:33: kann man glaube ich so sagen, also ich bin wahrscheinlich sogar kritisch als du eingeschältigt.

00:11:37: Ich habe zweifel ob das System sich auf dem richtigen Weg befindet aber da kommen wir dann gegen Ende.

00:11:42: dazu würde ich sagen.

00:11:43: Genau!

00:11:44: So nur dass wir es nochmal einmal ganz kurz gesagt haben die CVE also das ist eigentlich nur eben eine ID ein eindeutiger Identifikator für eine Sicherheitslücke und nach meiner... Nach meinem Verständnis auch wirklich eine Sicherheizlücke Nicht irgendwie eine Kombination oder eine Killchain, aber das ist auch glaube ich gar nicht so einheitlich.

00:12:07: Microsoft zum Beispiel macht es öfter auch mal anders.

00:12:10: Und dass irgendwas eine CVE-ID bekommt?

00:12:14: Das ist keine Wertung!

00:12:17: Also dadurch wird das nicht zu einer wichtigeren Sicherheitslücke als solche die keine CVE ID bekommen.

00:12:22: und da haben wir in den letzten Jahren also zumindest nach meiner Wahrnehmung speziell im letzten Jahr auch tatsächlich eine kleine Verlagerung gesehen.

00:12:31: Weil zum Beispiel sich die Github-IDs, also diese GHSA-ID für Security Advisories bei GitHub an manchen Stellen so weit entwickelt haben in ihrer Akzeptanz dass viele schon auf CVE's verzichten und sagen wir machen unseren ganzen Vulnerability Disclosure Workflow sowieso mit GitHub und nutzen GHSA´s Und dann schenken wir uns diesen ganzen CVEC Nova und im Zweifelsfall überlassen wir es halt GitHub noch CVI diesen nachzubestellen.

00:12:59: Aber manchmal sieht man das schon, dass es gar keine CVIs mehr gibt für

00:13:02: Sicherheitslücken.".

00:13:03: Insofern ist das vielleicht auch ein Zeichen, dass das System seinen Zenit überschritten hat?

00:13:07: Man weiß es nicht!

00:13:10: Du hast hier noch ein schönes Zitat und eine Gesetzmäßigkeit notiert.

00:13:15: Das musst du mal kurz erklären weil da weiß ich dich genau...

00:13:21: Genau, da bin ich nicht sicher ob wir diesen Zenit überschritten haben.

00:13:27: Dass halt die Tatsache dass man was gefunden hat und es dann so ein globales Label bekommt also sei das jetzt eine CVE-ID oder halt so ne Github Vulnerability ID... ...dass als Status Symbol verwendet wird.

00:13:41: So nach dem Auto guck mal wie viel CVEs ich in diesem oder jenem Projekt irgendwie ans Revier heften kann gefunden zu haben.

00:13:49: Und das ist halt behemmert.

00:13:54: Diese ganzen IDs, die sollen einfach nur wertfrei erlauben einen an deutlich von der Lücke zu reden ohne dass diese Lücke besonders schwer oder besonders nicht schwer oder sonst was sein.

00:14:04: also es gibt überhaupt keine Anforderungen außer dass es halt eine Lücke sein soll.

00:14:09: und jetzt gibt's dieses Guthards Law.

00:14:11: Das ist dieser Satz jede Maßzahl die zum Selbstzweck wird verliert ihren Wert.

00:14:17: Also ich glaube der hat es original ein bisschen anders formuliert, aber das ist ja nicht so.

00:14:20: Der Punkt ist halt dass die Metrik ihren Nutzen verliert wenn die Leute anfangen auf die Metik zu optimieren weil sie dann nicht mehr ordentlich messen kann was auch immer sie messen soll.

00:14:32: Das trifft andauernd auf.

00:14:34: also wenn man zum Beispiel sagt irgendwie wir bezahlen unsere Entwickler nach lines of code Dann funktioniert das ganz gut, so lange die Entwickler hat einfach nur Kot schreiben.

00:14:41: Aber sobald sie merken, ich kann meine Code so schreiben dass er möglichst viele Zeilen in Anspruch nimmt gibt halt die Metrik den Geist auf.

00:14:49: Mal abgesehen davon, dass es fragwürdig ist überhaupt sozusagen nach Kotmenge zu bezahlen.

00:14:53: aber der Witz ist ich kann nicht mal Kotmenger mehr gut messen wenn die Leute darauf reagieren und halt die Zeilenzahlen hochtreiben.

00:15:02: Das Lustig, also dieser Effekt ist eben wohl bekannt.

00:15:05: Das Absurde ist ja dass die CVEs nicht mal eine Maßzahl sein sollten!

00:15:10: Also sie sollten ja eigentlich nur eine ID sein und trotzdem verlieren Sie irgendwie ihre Funktionalität weil sie sich zu so einem Status-Hymbol entwickelt haben Und das ist natürlich ungut.

00:15:24: Die Frage ist aber so ein bisschen wenn die Cve Nur ein Indikator sein soll was genau sagt mir dann ob ne Lücke Schlimm ist oder nicht so schlimm.

00:15:34: Und das ist eben genau das worüber wir heute reden sollen, also die Systeme, die zumindest mal als Maßzahl gedacht waren und da kann man dann auch gucken ob die ihren Werk schon verloren haben weil sie zum Selbstzweck wurden.

00:15:46: aber da war zumindest die Intention dahinter.

00:15:48: diese Zahl die soll nicht in dies eine ID sondern dieser zahl die soll sagen wie schlimm es so ne Lücke.

00:15:57: Ich wollte nur nur sagen Das System ist im Prinzip, also diese Maßzahlen sind im Prinzip von CVE unabhängig.

00:16:06: Also du hast ja auch schon gesagt man kann auch irgendwie Github-IDs hernehmen aber sie brauchen halt irgendeine ID.

00:16:10: Wenn ich eine Maßzahl habe um zu sagen Lücke X ist so und so schwer muss sich halt irgendwie sagen können von welcher Lücke rede ich?

00:16:19: Was ist X?

00:16:20: Und üblicherweise ist das dann halt die CVE.

00:16:24: Das heißt so ne Sicherheitslücke kriegt eine CVE-ID, dann wissen alle von welche Lücke wir reden.

00:16:31: Und wenn ich diese ID habe, dann kann ich die halt anreichern.

00:16:34: Wenn wir das also da weitere Informationen dran binden zum Beispiel solche Maßzahlen, die sagen wie schlimm ist diese Lücke und das machen üblicherweise sogenannte Authorized Data Publisher.

00:16:45: Also die können Cvis Enrichen.

00:16:52: Das gucken wir uns heute mal an oder?

00:16:54: Genau,

00:16:54: also zu den Orflers Data Publishes kommt aber auch in diesem Fall noch eine weitere ein weiterer Akteur in diesem CVS System.

00:17:03: Das will ich auch nur einmal kurz eben abräumen damit was gesagt haben.

00:17:07: CVEs werden ja beantragt, also vergeben von den sogenannten CNRs, CVE Numbering Authorities.

00:17:17: und dann gibt es noch die cna lr die numbering authority of last resort.

00:17:22: Die geben dann CVR, die auswendig irgendwo eine Sicherheitslücke meldet.

00:17:25: irgendeinem Produkt wird das sich niemand zuständig führen.

00:17:28: also wenn ich ne Sicherheitslücke in dem Microsoft-Produkt finde oder Microsoft selber, die findet dann ist die CNA.

00:17:33: und dafür Microsoft sind sozusagen Mitglied im CVE Projekt und sind da eben CNA.

00:17:36: Wenn ich jetzt aber in irgendeinen aufgegebenen Open Source Projekt von diesem, weißte dieser Programmierer in Nebraska der alle digitale Infrastruktur auf seinen Schultern hat, wenn er sein Projekt aufgibt und ich finde dann CVE, dann fühlt sich keiner zuständig Und möglicherweise muss ich dann zu einer CNA auf Last Resort gehen.

00:17:52: Das ist dann zum Beispiel Red Hat und die sind sozusagen so der, wie heißt das Fall Through beim Programmieren?

00:17:58: Wenn kein anderer zuckt, dann müssen die ran.

00:18:01: Und diese CNAs können zusammen mit der CV-EID auch schon anfangen, die Lücke zu Wallenrich also die mit Metadaten anzureichern, wie zum Beispiel dem CVSS.

00:18:12: wenn das Unternehmen selber eine CNA es wird natürlich immer versuchen tief zu stapeln und die Kritikalität möglichst nur dann hochzusetzen, wenn es wirklich richtig kritisch ist.

00:18:25: Weil man natürlich ungern ständig kritische Sicherheitslücken in der eigenen Software publizieren muss.

00:18:30: Und diese Authorized Data Publishers sind ein bisschen angetreten um diese Anreicherung zu machen, wenn kein anderer Bock drauf hat.

00:18:39: also wenn die Hersteller selber nicht machen Und dazu gehört, soweit ich mich erinnere, die CISA ist glaube ich ADP und Mitre ist meine ich auch ADP.

00:18:54: Die können dann sich einen CVI nehmen und sagen wir sehen das aber kritischer.

00:18:58: zum Beispiel also wir erhöhen den Score oder wir fügen erstmal einen dran oder betroffene Softwareversionen oder sowas.

00:19:03: Also all diese Metaldaten, diese Sachen, die wir gleich besprechen werden, können sie dann anreichern.

00:19:14: Ja, ich überlege jetzt gerade was ich aus dieser Notiz mache die du hier noch hast mit den Linux Entwicklern bzw.

00:19:18: Mit Dragon und Thor Hartmann.

00:19:20: Okay dann schenken wir uns die.

00:19:23: Ich habe mir der folgendes vorgestellt wie wird es heute machen?

00:19:27: weil das... Ich hab ein bisschen die Sorge dass es ein kleines bisschen unübersichtlich wird Und damit wir etwas haben woran wir uns entlang hangeln können bei diesem Ganzen Wir haben eine CVE und dann machen wir da irgendwelche Punktwerte dran und dann Machen wir noch andere Punktwerten dran.

00:19:40: Dann nehmen wir uns eine Sicherheitslücke aus der jüngeren Zeit, die gut dokumentiert ist und die auch schon gut angereichert wurde.

00:19:49: Und da habe ich mir Chosen by Fair Dice Roll hast du dran geschrieben?

00:19:53: Habe ich mir blind auf die heiße Security-Meldung in den letzten Wochen tippend rausgesucht, die CVE-CVE-SCHW.

00:20:04: Das ist ein Authentication Bypass via Login Flow C-Panel und WHM, also WHM.

00:20:12: Das sind so webbasierte Server-Administrationsportale für so Rootserver bei Ostern.

00:20:20: Und das ist eine ganz ordentliche Sicherheitslücke.

00:20:23: die ist nämlich auch ordentlich kritisch und die hat auch ganz viele einige betroffene Produkte.

00:20:29: da kann man sich an diesen ganzen Metadaten dran lang hangeln.

00:20:33: Wir fangen mit dem Zentralen Punkt unserer Folge an, nämlich diesen CVSS Score.

00:20:41: Und der CVSS Common Vulnerability Scoring System ist etwas und er isst auch etwas nicht.

00:20:52: also was er ist eine synthetische Bewertung von Sicherheitslücken anhand vorgegebener Kriterien Also einem festen Katalog.

00:21:02: da kannst du auf niedrig mittel hoch klicken an bestimmten stellen und dann kommt da ein punkt wert raus.

00:21:09: Und dieser punktwert, der fühlt sich wenn man darüber berichtet oder wenn man sich das aus gegebenen im interesse anguckt manchmal bisschen geraten an.

00:21:19: Manchmal fühlt er sich an wie gut geraten, manchmal fühlt es sich an die absichtlich untertrieben und manchmal fühlter sich sehr zufällig an je nachdem wer da so dran war.

00:21:31: Das finde ich wichtig zu sagen gleich am Anfang.

00:21:37: Ich und ich glaube du auch sehen das so, der CVSS ist keine gute Annäherung für die tatsächliche Gefahr, die von einer Sicherheitslücke ausgeht.

00:21:48: Das ist einfach nur ein synthetischer Wert zwischen zero und zehn, der nicht sagt wie häufig diese Sicherheitslücke im realen Leben ausgenutzt werden wird oder sowas sondern dass es eigentlich nur ja Ein Punkt wert.

00:22:07: Aber also Flapsick gesagt, was soll denn das?

00:22:11: Ich will doch wissen wie kritisch eine Lücke ist.

00:22:13: Was habe ich von dem synthetischen Wert DM-iertes nicht sagt?

00:22:18: Jaa... Das ist eine gute Frage!

00:22:21: Die hast auch glaube ich nicht nur du gestellt.

00:22:23: die haben wahrscheinlich auch viele Hörer und die haben aber auch viele Security Leute.

00:22:28: Das wird immer mal wieder diskutiert und es gibt auch immer wieder Leute, die sagen ne wir scoren unsere Lücken einfach gar nicht.

00:22:37: Wir spielen bei diesem Spielchen nicht mit weil wir das einfach nicht für in irgendeiner Weise einen Mehrwert halten diesen CVSS.

00:22:47: Im Endeffekt ist CVSS ein Indikator wie kritisch eine Sicherheitslücke auf dem Papier auf der grünen Wiese noch ISO-Siebendzwanzigtausendeins gemacht habe.

00:22:59: Als ich mich, als ich angefangen hab mit Risikoanalysen zu beschäftigen da hat mir unser, das hab' ich in dem Kurs gelernt du stellst dir einfach vor dass du einen Computer draußen auf den Parkplatz stellst und wenn der draußen auf dem Parkplatz steht ohne irgendwelche weiteren Sicherheitsmaßnahmen Da ist kein Sound drum, da ist kein Dach drüber, da is keine Firewall davor dann machst Du eine Risikobewertung auf der grünen wiese und wenn du überhaupt keine zusätzlichen maßnahmen machst also sagen wir mal gegen du bist da natürlich nicht gegen umwelter eignisse geschützt wie Regen oder sowas und dann musst du sagen okay es gibt ein hohes risiko dass der rechner bei regen kaputt geht.

00:23:43: Wenn wir das jetzt wieder zurück mapen in unsere sicherheitslücken.

00:23:46: schauen wir uns vielleicht mal bevor wir uns diese c-Panelgeschichte angucken eine an die wir gerade eben hatten nämlich diese yellow key Geschichte.

00:23:56: Yellow Key hat einen CVSS-Wert von sechs Komma Acht, das ist dann eine Lücke mit Medium also mittleren.

00:24:04: Man sollte vielleicht sagen diese der Wert geht streng genommen von Null bis zehn und hat so eine Nachkommastelle

00:24:11: Genau geht von von null bis zehn.

00:24:13: Und hier sind wir bei six Komma acht.

00:24:16: Das ist nicht Gleichverteilten es ist nicht von nul bis drei Low und von drei bis sechs medium sondern es gibt low medium high and critical Und Critical ist nur von neun bis zehn.

00:24:28: Also auch nicht in gleichen Schritten auf dieser Skala, sondern die Felder sind nicht ganz gleich verteilt.

00:24:35: So wenn ich jetzt also mir so eine Sicherheitslücke wie Yellow Key anschaue da haben wir ja gerade drüber gesprochen dann gibt es sowieso nur ein Risiko wenn der Rechner für den Angreifer verfügbar ist, also physisch verfügbaist er kommt da dran und Ruh für den Angriff hat, also die Zeit, die ihm die Zeit eingeräumt wird.

00:25:00: Und dann natürlich auch den technischen Angriff ausführen kann weil diese verwundbare WinRee Umgebung und die verwundbarer Windows Version auf dem Rechner aufgespielt ist.

00:25:09: Dann gibt es ein mittleres Risiko für das Unternehmen oder die Person, die da angegriffen wird.

00:25:16: Wenn ihr aber jetzt nur eine Schutzmaßnahme dazwischen kommt.

00:25:19: zum Beispiel der Rechna steht in einem abgeschlossenen Büro und der Angreifer hat keinen Schlüssel.

00:25:25: Dann ist das Risiko ja schon nicht mehr ein mittleres Risiko, sondern dann ist es schon ein geringes Risikon weil Der muss jetzt erstmal an diesem Schloss vorbeikommen Und dass eine wirksame Schutzmaßnahme wenn das ein gutes Schloss ist dann ist das risiko vielleicht sogar mehr oder weniger vernachlässigbar.

00:25:41: Das heißt diese dieser ganze CVSS der is im Grunde so einen Wert auf der grünen wiese in einer Ich kann das hier jetzt nicht idealen umgebungen nennen Sondern in einer Umgebung ohne weitere Sachen, die positiv auf die IT-Sicherheit einwirken.

00:25:59: Und dementsprechend ist das auch in praktisch keiner real existierenden Organisation geeignet um dass tatsächlich der Risiko für diese Organisation oder für diese Systeme zu berechnen und einzustufen.

00:26:12: du musst immer den CVSS wert als so eine Art Basiswert nehmen, von dem du ausgehst und wo du dann nochmal deine eigenen Überlegungen und Berechnung anstellst um zu überlegen wie gefährlich ist das für meine Organisation.

00:26:25: Und Du weißt trotzdem auch noch nicht wie wahrscheinlich es ist dass es überhaupt ein Exploit für irgendeine Sicherheitslücke geben wird.

00:26:30: dafür ist dann da kommen wir gleich zu Das EPSS Exploid Prediction Scoring System besser geeignet weil einfach auch viele CVE selbst kritische CVEs da schreibt nie jemanden Exploit.

00:26:43: derzeit kann sein, dass es im halben Jahr mit mehr LLM und mehr Mythos und dem kleinen Mythos.

00:26:48: Wie heißt das kleine Mythos noch?

00:26:50: Ich vergesse den Namen immer.

00:26:53: Fable.

00:26:54: Stimmt eine Farbe ist sowas wie ein kleiner Mythos oder so ein Baby-Mythos.

00:26:58: Das kann dann einfach routinemäßig für jeden veröffentlichen.

00:27:02: CVE vielleicht mal Exportgeber aus.

00:27:04: ich kann's mir moment nicht vorstellen.

00:27:06: Das heisst viele kritische CVEs die dann so neun Komma Acht Wertung haben.

00:27:12: Dafür gibt es nie einen Exploit und eine Sicherheitslücke ohne Exploid stellt zwar ein Risiko dar, aber die Eintrittswahrscheinlichkeit ist halt null.

00:27:20: Das heißt also im eigentlichen Risikomanagement für das Unternehmen ist es irrelevant.

00:27:26: Um zu gucken wie ich jetzt in meiner eigenen Organisation meinetwegen auch für meinen Home Lab oder so diese Bewertung durchführe was ist jetzt eigentlich eine kritische Sicherheitslücke wo ich sofort ran muss?

00:27:37: braucht es dann eben noch Zusatzmechanismen, um die eigene Umgebung ein bisschen zu modellieren.

00:27:41: Auch das sieht CVSS vor aber eben nicht in diesem Basiswert, der aus so einem heißes Security-Artikel rausfällt.

00:27:48: Wenn ich da in irgendwas schreibe hier weiß ich nicht kritischer exploit in Winchel PLC oder wie das Ding damals hieß wo der LKA vorgefahren ist und was war denn das im April oder März?

00:28:01: Wenn ich dann da schreibe, das hat ne Neun Komma eine Neuen Komma vier und ist eine kritische Sicherheitslücke.

00:28:05: Dann ist das einfach nur ein Basiswert der wenig Aussage Kraft hat für irgendwas im echten Leben.

00:28:13: so Das als einleitende Wortung.

00:28:17: und dass gleich noch mal so ein bisschen Erwartungsmanagement zu betreiben.

00:28:20: jetzt CVSS ist ein Standard.

00:28:24: Der standard ist gerade aktuell in der Version Vier Und es gab sehr lange vorher die CVSS Version drei Punkt eins.

00:28:34: CVSS drei Punkt Eins, obwohl der seit drei Jahren streng genommen veraltet ist oder archiviert ist so heißt es bei Firsty den Standard verwalten und auch die entsprechenden Dokumentationen pflegen.

00:28:50: das ist drei Jahre alt.

00:28:52: aber ich habe das Gefühl dass diese Version vier Punkt Null sich immer noch nicht durchgesetzt hat hat sicherlich Sachgründe, aber auch einfach vielleicht seinen Grund in der Trägerheit dieses ganzen Systems was da dahinter steht.

00:29:07: Also der ganzen Leute und den ganzen Unternehmen die sich an drei Punkt eins oder das CVSS drei gewöhnt haben Und wir jetzt nicht so schnell adaptieren wie es vielleicht ginge.

00:29:18: Die Ideen dahinter sind aber dieselben.

00:29:20: Wir schauen uns beide Systeme an und gucken vielleicht auch mal Hat diese Version vier überhaupt irgendeinen Vorteil gegenüber drei Punkt eins, also in der Realität oder ist es nur künstlich komplexer geworden?

00:29:36: und fangen wir jetzt mal mit CVSS drei Punkt Eins an.

00:29:41: Wir haben übrigens einen langen Artikel von unserer Kollegin Olivia auf Heise Plus über die Unterschiede zwischen CVSS Drei-und Vier.

00:29:51: Der ist natürlich auch schon ein paar Jahre alt aber das ist ja egal...

00:29:56: Nicht geändert.

00:29:58: Zum Glück ist es bei der vier Punkt Dull geblieben und wir haben keine vier Punkte eins oder so?

00:30:02: Ja, vielleicht gibt's ja bald CVSS fourworkgroups oder sowas.

00:30:09: Dann gibt's CVSSXP und dann CVSS.

00:30:15: Den verlinke ich euch in den Show Notes, den Artikel schaut euch gerne mal an.

00:30:18: Der setzt eine heiße Plus-Mitgliedschaft voraus.

00:30:20: aber wie wir ja schon verschiedentlich gesagt haben die ist es definitiv wert.

00:30:25: und da geht Olivia nochmal sehr detailliert auch noch einmal an manchen Stellen sicherlich detaillerter als wir das hier tun werden auf die Unterschiede und Gemeinsamkeiten von CVSS.

00:30:33: drei Punkt eins und vier so.

00:30:37: Grundsätzlich ist es ja so.

00:30:39: dass sollte mir vielleicht mal sagen für Leute die sich mit dem System noch gar nicht befasst haben wie das funktioniert, also cvss hat als Annahme oder als Idee es gibt so Metriken.

00:30:51: Es gibt so Parameter anhand deren man eine Lücke bewerten kann, kann man sagen das trifft auf die Lücke zu.

00:30:58: dieser Parameter ist irgendwie ja und diese Parameters nein, dieser Paramet ist irgendwie hoch und dieser Parameters niedrig Und all die Parameter von so einem zusammen ergeben dann einen Vektor Und das habt ihr vielleicht auch schon mal gesehen, wir hatten es im Podcast auch schon drüber gewitzelt.

00:31:16: Ich glaube ich habe mal einen Vektor vorgelesen.

00:31:18: aus Spaß ist dann halt also diese diese Parameter haben alle Namen aber im Vector werden die dann halt auf ein oder zwei Buchstaben zusammengekürzt und dann kann man da halt so eine lange Kolonne von Buchstabend Vorlesen.

00:31:30: Das ist ja nicht dafür gedacht dass man selber da irgendwie das die ganze Zeit liest sondern dass das halt einigermaßen passbar ist.

00:31:38: Aber der witz ist sozusagen Aus diesem vector wird dieser Zahlen wird berechnet.

00:31:44: Also diese unterschiedlichen Parameter, diese unterschiedliche Metriken die haben dann einen Einfluss darauf ob die Zahlen halt irgendwie höher oder niedriger ausfällt.

00:31:52: und Die Formel anhand der es berechnet wird ist halt auch so eine Formel die zumindest bei CVSS-III glaube ich relativ vom Himmel fiel.

00:32:02: das haben sie sich halt irgendwie ausgedacht.

00:32:03: Dieser Parameter geht mit um Koma-Sieben-Sieben ein und jener Parametergeht mit keine Ahnung was für den Faktor ein.

00:32:09: So dass halt wenn wir nicht sozusagen alle Paramete auf Das schlimmstmögliche Sätze dann land ich halt bei dem Zinnkommonull Wert.

00:32:17: Und wenn nicht alle Parameter auf das leichtes mögliche Setze, dann land' ich bei einem Null-Kommonoll Wert.

00:32:22: Also es gibt wohl auch einige Parameter... Wenn die nicht gegeben sind, kann der Wert gar nicht sich über Null erheben.

00:32:29: Genau und das ist auch ein wichtiger Punkt denn diese drei Parameter, die modellieren die Auswirkungen auf Das System, das da angegriffen wird bzw.

00:32:41: dass die Sicherheitslücke hat und zwar anhand der drei klassischen also dieser Sicherheit Triade CIA Confidentiality Integrity und Availability Also Vertraulichkeit Integrität und Verfügbarkeit.

00:32:58: wenn für alle Drei dieser Kategorien keine Auswirkungen zu befürchten sind durch diese Sicherheitslücke dann ist der punktwert automatisch null und bleibt null egal ob die übers netzausnutzbar ist.

00:33:12: wenn sie keine auswirkung hat dann hat sie kriegt sich auch kein cvss punktwert.

00:33:16: das ist ja.

00:33:18: man muss ja auch sagen wenn wenn ich eine eine lücke quote unquote habe, die weder confidentiality noch integrity noch availability bedroht habe ich dann überhaupt eine Lücke.

00:33:32: Also das finde ich konsequent, dass der Wetter da auf Null rausfällt und man muss sich eigentlich überlegen wieso hat das Ding überhaupt nicht CVE-Nummer bekommen?

00:33:40: CVE Nummern gibt es für Lücken, dass da scheint keine zu sein.

00:33:45: also um es philosophisch auszudrücken wenn ein Puffer im Kernel überläuft oder niemand hört ist er denn überhaupt übergelaufen?

00:33:54: ne oder wie war das?

00:33:57: Ein Back kann natürlich ein Back sein, aber einen Back kriegt er keine CVE-ID.

00:34:00: Also es geht hier... das ist vielleicht eine Unterscheidung die schon relevant ist und da kommen wir vielleicht nachher noch mal drauf in mehr drüber reden was die Linux Leute machen, aber grundsätzlich liegt diesem ganzen CVE und CVSS System schon die Idee zugrunde Es gibt halt Bugs und es gibt Sicherheitslücken Und dass es nicht identisch und nicht jeder Bug ist ne Sicherheitslücke Ein Wasser immer, also irgendwas was aus welchem Grund auch immer ich jetzt ein CVSS Score berechnen will aber es verletzt halt keinen Aspekt der klassischen CIA Triade.

00:34:36: Dann hat ist es halt entweder halt keine Sicherheitslücke oder eine Sicherheitslücke mit dem Wert Null kann man sich jetzt eben drüber philosophieren was das also Obst an Unterschied gibt.

00:34:45: Aber ich finde es konsequent zu sagen Also wenn das keine Auswirkungen haben kann dann dann hat's halt auch einfach den Wert null.

00:34:55: Okay, also es gibt den Wert Null.

00:34:58: Der kann also tatsächlich passieren.

00:34:59: das ist natürlich dann einfach nicht mehr so richtig eine sinnvolle Sicherheitslücke.

00:35:04: aber jetzt gehen wir mal zu einer Sicherheitslücke wieder zurück die durchaus nicht den Wert null bekommt und zwar unsere C-Panel-Lücke Also die zwanzig sechsundzwanzig vierneunzehnvierzig Und gehen jetzt mal diese verschiedenen Tupel dieses Vectors Stück für Stück gemeinsam durch und da können wir sie auch immer mal wieder so ein bisschen erklären.

00:35:28: Und bei einem dieser Dinger, da weiß ich genau das wird mit der Silvester erklären.

00:35:32: Das habe ich nämlich auch noch Ich weiß nicht wie vielen Jahren CVE und CVSS Interaktion immer noch nicht kapiert.

00:35:37: also es geht los.

00:35:40: Ja aber du deswegen erklärst uns jetzt die restlichen Welt.

00:35:45: Wir fangen an mit dem Attack Vektor.

00:35:48: Der Attack Vector also der Angriffsvektor kann viel Werte haben.

00:35:52: netzwerk oder network adjacent also, angrenzende also netzwerke ist ein netwerk ist übers netz adjacent ist irgendwie an direkt angrenzen also im gleichen.

00:36:07: Logischen netz oder eben über das gleiche physische also zb bluetooth angreif wäre adjacent und.

00:36:14: Das lokale ip subnetz also wenn ich zum beispiel meine fritzbox angreifen kann nur auch von innerhalb meines eigenen lans also meines fritz box netzes dann wäre da auch adjacent zu wählen.

00:36:25: also dass angrenzende.

00:36:28: Netzwerk subsystem.

00:36:31: wie auch immer

00:36:32: wenn du die fritz books von außen aus dem Internet angreifen könnte, ist dann wäre das eben

00:36:37: ein Network.

00:36:40: Oder wenn ich die Fritzbox ... Nee, ich ziehe den Halbsatz zurück.

00:36:46: Dann gibt es Local.

00:36:48: Local hat gesagt da ist nix mit Netzwerk sondern das ist quasi nicht ein lokaler Privilegienescalation.

00:36:56: Du musst da eingelockt sein aber das kann auch bei SSH sein.

00:37:01: als User eine interaktive Shell haben und dann kannst du da irgendwie einen LPE durchführen.

00:37:07: Das wäre lokal, das vierte ist physikal und da ist es bedeutelbar auch wirklich physischen Zugriffen.

00:37:13: Und da sind wir natürlich bei YellowKey dabei, da wäre dieses Physikel anzuhaken.

00:37:18: In diesem Fall ist es Attack Vector Network denn man kann dieses C-Panel übers Internet, wenn dieses seitbasierte Verwaltungsportal über das Internet erreichbar über das Internet auch angreifen.

00:37:33: So, da machen wir jetzt mal Network.

00:37:35: Dann gibt es die Attack-Complexity.

00:37:40: Wie schwierig ist der Angriff?

00:37:42: Und dann gibts Low und High.

00:37:44: Das ist schon wieder so einer von diesen Werten wo ich manchmal arg zweifle ob diejenigen die sie vergeben schonmal ein Exploit für irgendwas geschrieben haben.

00:37:53: weil wenn dann da steht Attack- Complexity high.

00:37:55: aber das High bedeutet einfach nur dass du zwei verschiedene Zeilen irgendwo reinpasten musst muss ich mich immer so ein bisschen wundern.

00:38:02: Also

00:38:03: es zeigt halt zumindest sehr deutlich, dass das Auslegungssache ist.

00:38:10: Ist ja auch irgendwie logisch wenn ich sage all diese Komplexität von allen möglichen Attacken in der Welt die werden jetzt bitte runtergebrochen auf den Wert Low oder den Wert High und dann frage ich hundert Leute dann krieg ich natürlich nicht hundert mal dieselbe Einschätzung.

00:38:25: also wie sollte ich?

00:38:27: Genau hier ist bei dem CVE auch low gewählt.

00:38:34: Ich habe noch keinen Foof of Concept dafür gesehen, ich hab aber auch nicht gesucht.

00:38:38: Deswegen weiß ich gar nicht wie schwierig diese Angriffe sind, weil es nicht so ein Angriff der im Grunde einen Zweizeiler per Curl ist oder sowas.

00:38:47: Das ist dann typischerweise einfach Attack-Complexity Low und wenn du sowas hast wie diese... Ich weiß gar nicht was die bei Copy Fail gemacht haben.

00:38:56: das könnte man sich nochmal angucken ob da Attack-Complexity High oder Low war Aber in diesem Fall ist es also low.

00:39:02: So, dann dritter Punkt.

00:39:03: da geht's um Public Relations weil das PR abgekürztes in Wirklichkeit ist aber Privileges Required gemeint.

00:39:09: Also welche Privilegien braucht der Angreifer Um den Angriff ausführen zu können?

00:39:15: Also kann der angreifer von außen übers an der Login Maske vorbeikommen um den Angriffe auszuführen oder muss ja einen Nutzer haben wenn überhaupt keine Privilegien notwendig sind.

00:39:27: Wenn einfach jeder von außen oder an das System, der an das system dran kommt diesen Angriff ausführen kann dann wird privileges required none gesetzt also keine priviläge notwendig.

00:39:38: wenn niedrige privilegien also zum beispiel ein lokaler lokales benutzerkonto oder einen konto hier in dieser webanwendung wie wir in der wir jetzt hier gerade befinden notwendig ist dann gibt es privileges required low niedriger privilegieren.

00:39:52: Und wenn Administrator oder Administratorequivalente Privilegien notwendig sind für den Angriff, dann wird High gesetzt.

00:39:59: Das gibt es ja auch immer mal wieder – das hatten wir bei diesen Insecurity-Appliants – dass ein Administrator, der einen Administratorkonto hatte, auf der Appliance eigenen Schadkode ausführen konnte und das wäre dann so ein typisches Beispiel für PRH, also Privileges required high.

00:40:16: Du musst schon Administrator sein, kannst aber noch einmal einen Angriff ausfüllen um zum Beispiel die ganze Maschine zu kompromittieren oder zum Absturz zu bringen.

00:40:24: So, hier ist natürlich Privilegious Required None.

00:40:27: Das ist eine richtig saftige Lücke!

00:40:32: Jetzt kommt User Interaction der ... Sie wässt das schon ganz zappelig weil ich habe nämlich etwas überschlagen... Ich mache jetzt erstmal User Interactions, weil ich die Reihenfolge einhalte wie sie im CVSS Calculator ist.

00:40:43: User Interaktion bedeutet muss der Nutzer also ein legitimer Benutzer irgendwas machen damit der Angriff ausgeführt werden kann.

00:40:50: Fishing Angriff zum Beispiel, da muss ja der Nutzer irgendwie auf einen Link in einer E-Mail klicken.

00:40:54: Wenn ich aber ein Angriff habe, der irgendwie in der Übersichtseite von seinem Web Outlook oder sowas schon ausgeführt wird weil der irgendwie die E-mail Renderer kaputt ist dann bräuchte ich keine Nutzerinteraktion wäre dann also beinahen.

00:41:12: In diesem Fall bin ich auch bei User Interaction NAN für die Lücke und Jetzt kommt das was ich nie verstehe, aber jetzt übergebe ich unser Beste.

00:41:21: Ich

00:41:21: wollte kurz sagen also auch da merkt man schon ein bisschen man muss sich natürlich ein bisschen befassen wenn ich zum Beispiel eine Lücke habe in irgendwie im Outlook und es reicht sozusagen dass als ich ja angreifert an den Mail hinschick... ...und dann kann ich das Programm crashen zb.

00:41:36: Dann hab' ich einen Availability-Problem.. ..und ich hab ne Userinteraction aufeinander weil der muss die E-Mail nicht öffnen oder so.

00:41:43: Aber natürlich muss er Outlook vorher starten oder so.

00:41:47: Das soll es nicht irgendwie heißen, dass ein ausgeschaltetes System von der Lücke betroffen sein muss.

00:41:53: damit User Interaction nann ist und das geht halt darum um die konkrete Lücke loszutreten, muss der Nutzer nichts machen.

00:42:03: aber natürlich kann's da Vorbedingungen geben wie Programm X das normalerweise läuft muss auch wirklich gestartet worden sind.

00:42:12: Jetzt kommen wir zum Scope.

00:42:14: Ich würde es jetzt hier auch nur knapp machen und dann weiter unten drauf eingehen, wie haarig der eigentlich ist.

00:42:21: So habe ich zumindest das in den Notizen geplant.

00:42:24: Grundsätzlich geht's beim Scope darum... Also dieser Parameter kann der Wert changed oder den Wert unchanged haben.

00:42:34: Und die Idee ist erlaubt mir die Lücke aus dem Berechtigungssystem des Betroffenen-Systems auszubrechen oder nicht.

00:42:44: Wenn sie das erlaubt, dann habe ich einen Scope Change.

00:42:47: Wenn Sie es nicht erlaubten, dann nicht.

00:42:49: und was man sozusagen sich so als gedankliches Beispiel heranziehen kann und auch soll ist sowas wie eine Sandbox oder so.

00:42:56: wenn ich ein System das in der Sandbox läuft angreifen kann Und ich kompromittiere diese Systeme aber ich kann aus der Sand Box damit nicht raus Dann hab' ich halt keine Scope change.

00:43:06: Und wenn ich dieses System aber auf eine Art und Weise kompromittiere, die es dann erlaubt Dinge zu tun, die die Sandbox eigentlich verhindern sollte.

00:43:13: Dann habe ich einen Scope Change.

00:43:16: Dabei würde ich jetzt mal belassen warum keine Sau versteht wie man diese Metric korrekt anwendet, würde ich dann weiter unten erklären, wenn wir auf die Probleme davon kommen oder dass wir hier immer mit dem Vektor weiterkommen?

00:43:26: Ja ja das kriegen nach einem guten Plan, dann können wir da gleich... Das ist einfach auch Teil der ongoing Diskussion um den Sinn und Unsinn von CVSS.

00:43:35: So!

00:43:36: Jetzt haben wir den, haben wir unser scope.

00:43:38: das ist in diesem fall nämlich auch Unchanged weil der angreifer nicht aus diesem rep interface rauskommt.

00:43:51: Also der kann da sozusagen über irgendwelche berechtigungen hinwegsetzen aber er ist halt immer noch danach.

00:43:57: also hat er vielleicht mehr rechte oder so Innerhalb des Berechtigungssystem von c-Panel als er kann es wahrscheinlich jetzt irgendwie auf eine Datenbank zu schreiben, auf die ihr eigentlich nicht schreiben können sollte.

00:44:14: Weil halt die Datenbank auch irgendwie Zugriffsrechte hat.

00:44:17: Das wäre ein Scope Change wenn der sozusagen da was ausnutzen kann dass er plötzlich einen System das unter so einem anderen Berechtigungsmanagement steht beeinflussen kann.

00:44:29: Und jetzt geht schon die Debatte los, warum dieser Scope hier unchanged ist und so.

00:44:33: Wir machen es schnell weiter...

00:44:36: Das ist mal gucken dass wir in der ersten Stunde des Podcasts mal wenigstens die Vektoren durch haben.

00:44:43: Gut also wir bleiben hier mal bei Unchanged.

00:44:44: und jetzt kommen die drei Auswirkungen und diese Impact-Metriken können jeweils nennen Also keine Auswirkung Low niedriger Auswirkungs oder High hohe Auswirkungen haben für jedes der drei Schutzziele.

00:45:00: Verfügbarkeit, Integrität und Vertraulichkeit also CI und A in diesem Fall weil vermutlich die diese dieser Authentication Bypass der macht ja der kann dafür dafür sorgen weil du dann einfach atmen bist mit dem C Panel das zu den Server runter fährst.

00:45:20: es heißt hohe Auswirkung auf die verfügbarkeit dieses auch dieser C Panel Installation weil die läuft ja oft im Server.

00:45:27: Bei Confidentiality werden natürlich auch die ganzen anderen Nutzern wahrscheinlich in so einer Nutzerliste aufgelistet und dann kannst du dir deren Daten einsehen, kannst möglicherweise auch Daten verändern.

00:45:38: Da ist dann deine Auswirkung auf die Ithegrität des Systems und der Daten.

00:45:43: Und kann sich ja aber dann wahrscheinlich auch andere Admins hinzufügen oder löschen oder sowas.

00:45:47: bis da so im Grunde Administrator und dadurch haben wir eben diese drei Hohnen Auswirkungen und kommen jetzt auf unseren Gesamtwert von neun, acht.

00:45:59: Und zehn.

00:46:00: also das ist schon sehr nah an der an dem perfekten score.

00:46:04: der wird nur dadurch ein bisschen geringer dass diese dieser scope change nicht mit drin ist.

00:46:09: wenn wenn ich das jetzt auch noch auf changed setzen würde dann wären wir bei zehn comma null ist aber so auch schon eine lücke die in auf der grünen wiese bei einem server mit einem c-panel, der ohne weitere schutzmaßnahmen frei im internet steht.

00:46:25: Ein ein hohes risiko birgt wenn jemand dafür einen exploit findet.

00:46:28: und jetzt haben wir unseren vector.

00:46:31: Möchtest du ihn vorlesen oder möchtest gleich lieber den cvss vier vektor vorleset?

00:46:34: das darf sie dir auch so

00:46:35: nicht.

00:46:35: ich lege es ihnen jetzt hier mal vorne.

00:46:37: also die idee ist ja sozusagen dieser diese neun komme acht die kommen halt daraus her dass die werte die ich den verschiedenen parameter dazu gewiesen habe halt Faktor versehen werden und dann miteinander errechnet werden.

00:46:49: Und ich kann eben, wenn ich das kompakt darstellen will, kann ich halt den Vektor sagen cvs s drei Punkt eins a v n also attack vector netwerk acl attack complexity low und so geht es weiter.

00:47:03: prn uin su also scope unchanged ch i h a h also ci und e alle hi und so Ist das dann halt ein Vektor?

00:47:15: Was ich jetzt nicht vorgelesen habe, ist dass da jeweils noch einen Doppelpunkt dazwischen steht und zwischen den einzelnen Parametern steht ein Slash.

00:47:23: Aber ich glaube... Also schau dich so'n Vector halt mal an!

00:47:27: Wenn ihr irgendwie cvss-dreibundeins-vektor googelt, dann findet ihr sofort welche.

00:47:32: Genau

00:47:32: Es gibt einen Kalkulator dafür wo man sich zusammenklicken kann und wenn man da oben einfach in der URL nach dem Poundzeichen einen fertigen Vector reinpasted wird automatisch alles eingesetzt auch der Score angezeigt, dass es aus den Sinn und Zweck.

00:47:45: Das ist im Grunde ja auch ein maschinenlesbares Formatis.

00:47:49: So das ist CVSS drei Punkt Eins also die alte aber trotzdem immer noch sehr gebräuchliche Version.

00:47:56: jetzt kommt CVSS vier Punkt Null.

00:47:59: CVSS four Punkt NULL macht ein paar Sachen etwas anders und nennt ein Paar Sachen etwas anderes.

00:48:06: Aber Es kommt einem schon alles noch so ein bisschen bekannt vor.

00:48:11: Wir fangen an wieder mit dem Attack Vector, Attack Complexity, Privileges Required.

00:48:17: Das ist erstmal alles wie gehabt das kennen wir schon.

00:48:20: Da brauchen wir glaube ich jetzt auch nicht die Werte noch mal runter zu beten sondern das können wir.

00:48:25: und dann gibt es aber etwas schon direkt etwas Neues oder eine Umbennennung.

00:48:31: Attack Requirements gibt es.

00:48:34: Das was echt neues.

00:48:36: Attack requirements sind ein Wert was für Vorbedingungen existieren außerhalb von Privilegien.

00:48:43: CvSS-S III.I hatte halt dieses Privileges required, das gibt es auch weiterhin.

00:48:48: aber hier gibt es noch irgendwelche anderen Vorbedigungen die passiert sein müssen damit man den Angriff ausführen kann oder die Sicherheitslücke ausnutzen kann und damit kann man alles was nicht unter einen der anderen Teile dieser Vektorenfeld modellieren also wenn es irgendwelcher anderen Vorbedingungen gibt dass zum Beispiel ein anderer Nutzer auf dem System gerade eingeloggt sein muss oder dass sich das System in einem bestimmten Zustand, in seinem Zustandskraft zu befinden hat.

00:49:16: Also die Vorbedingung muss sein, dass das System vorher zweimal in den letzten vierundzwanzig Stunden rebooted wurde oder so etwas.

00:49:24: Oder hier bei YellowKey mit PIN.

00:49:26: dann wäre diese Vorbedingerung, da war es bei Yellow Key.

00:49:32: Irgendwo gab es bei einem dieser Nightmare Eclipse Explorers, gab's doch die Vorbedingung dass der Nutzer irgendwann in der Vergangenheit mal einen Defender Offline Scannen ausgeführt hat.

00:49:42: Ich glaube das war irgendwie eine Erweiterung von...

00:49:46: Das hieß über XML.

00:49:47: hießt es ne?

00:49:48: Ja ja das war diese XML Lücke genau, aber auch eine Defender Lücke.

00:49:52: Aber das ist dann so eine Vorbedingung, die muss dann erfüllt sein.

00:49:55: und in dem Moment, indem solche Vorbedienungen existieren für einen um die Sicherheitslücke scharf zu schalten.

00:50:01: Da muss man hier Attack Requirements Present auswählen ansonsten bleibt es bei None.

00:50:08: Genau, alles ist auch ganz wichtig.

00:50:10: Man fängt jetzt nicht an hier irgendwie reinzuschreiben welche Bedingungen muss erfüllt werden sondern da geht's nur darum Gibt es überhaupt irgendeine Bedingung, die erfüllt sein muss?

00:50:20: Dann habe ich Attack Requirements Present.

00:50:23: Und wenn's halt keinerlei Bedingungen gibt dann hab' ich Attack Requirements Nann und Feiner löst das nicht auf.

00:50:29: Ja... So!

00:50:33: Das war aber jetzt mal was Neues.

00:50:35: Dann gibt es unsere Privileges required, die kennen wir schon.

00:50:38: Und dann gibt es jetzt aber eine etwas verfeinerte Variante dieser User Interaction.

00:50:43: Das war vorher ja bei drei Punkt eins.

00:50:46: War das relativ einfach Da war es ja oder nein.

00:50:51: Also entweder der Nutzer, der legitime Nutzer muss was machen um den Angreifer zu enablen oder er muss das eben nicht.

00:50:57: bei vier Punkt Null ist ein bisschen abgestuft.

00:50:59: Es gibt passive und active Und weil bei dieser User Interaction Active muss der Nutze also aktiv irgendwas machen und bei passive Muss also im Grunde Ja irgendwas unfreiwillig machen.

00:51:17: also vielleicht ist der unterschied wenn man wieder zu den mails zurück geht eine mail im vorauswahlfenster auszuwählen und aber nicht zu öffnen und das aktiv wäre dann auf einen link in einer mail zu klicken oder sowas.

00:51:30: Das ist auch wieder sicherlich Auslegungssache was der unterschied zwischen passive und active ist und wo der nutzer da noch als passiv oder unfreiwillig zu betrachten ist, vielleicht auch zum beispiel wenn eine aktion durch so ein Mausover ausgeführt wird, da gehe ich nun mit dem Mauszäger irgendwas drüber und dann passiert schon irgendetwas.

00:51:47: Das wäre vielleicht passive weil der Nutzer nicht aktiv freiwillig und absichtlich auf irgendwas geklickt hat.

00:51:54: Genau also sie geben das sogar als Beispiel.

00:51:57: Also einen Grund für User Interaction Passive könnte sein wenn man eine Applikation ausführt die dann ein bösartiges Binary startet Und das wäre halt so.

00:52:09: genau dieser Fall von, ja gut der muss halt Outlook öffnen und wenn es reicht dann ist das User Interaction Passive.

00:52:17: So, dass ist also auch ein bisschen erweitert worden gegenüber CVSS-Drei.

00:52:22: Punkt Eins.

00:52:23: und jetzt kommen wir wieder zu unserem Impact.

00:52:26: und hier hat sich auch etwas getan.

00:52:28: denn hier gibt es nicht nur diese Auswirkungen entlangt der CIA Triade auf die System, daß sie Sicherheitslücke hat sondern es gibt Subsequent System Impact, also Auswirkungen auf nachgelagerte Systeme oder nachgelangerte Komponenten auf demselben Rechner die dann auch davon betroffen sind.

00:52:49: Also wenn ich jetzt zum Beispiel mir dieses C-Panel Lücke anschaue und mir überlege möglicherweise wird über diese webbasierte Administrationsoberfläche auch für jeden Benutzer der SSH Key verwaltet SSH-Kies hinterlegen, dann würde ich sagen ist das eine Auswirkung auf ein nachgelagertes System.

00:53:14: Nämlich den SSH Server auf der gleichen Maschine oder möglicherweise auch weiteren über Siebpanel verwalteten Maschinen und dann gäbe es eben nicht nur eine Auswirkung auf direkt das was da jetzt von der Sicherheitslücke betroffen ist nämlich SiebPanel sondern auch eben auf dem SSH server.

00:53:27: Oder wenn über C-Panel den Web Server stoppen kann oder irgendein anderen Server diese Datemang server stoppen, oder da das Passwort ändern kann.

00:53:35: Auch das wäre wieder Subsequent System Impact und würde wieder entsprechend in CVSS SIV zusätzlich modelliert.

00:53:44: Hier ist es jetzt so dass der CVSS IV Vektor Das nicht macht für dieses C-panel look, sondern da ist gesetzt nur die die Auswirkungen auf das direkte System, also auf Siebpende selber.

00:54:03: Nämlich jeweils mit High und so kommen wir in CVSS-IV auf einen neuen Basispunktwert von neun Komma drei.

00:54:10: Ich hätte es anders gescored Also ich hätte tatsächlich... ich habe mir jetzt Siebpenner nicht im Detail angeguckt aber so wie ich das imaginiere was das alles kann oder nicht kann Kann ich mir schon vorstellen dass hier auch Auswirkung auf weitere Systeme gegeben hätte.

00:54:25: Das müssen wir jetzt der CNA einfach glauben, die das gescored hat und die die CVSS-Werte eingereicht hat.

00:54:31: Dass sie das schon gründlich genug sich angeschaut haben.

00:54:35: Man merkt wie die Debatte geht schon los und wir sind noch nicht mal irgendwie mit den Vektoren eigentlich wirklich durch.

00:54:44: denn es gibt neben diesen ganzen jetzt gerade vorgelesenen Metriken, die nötig sind muss man setzen um so einen Score zu kriegen auch noch weitere Metrigen, die optional sind.

00:54:59: Zum Beispiel gibt es bei CVSS drei temporale Metriken, die sich sozusagen also mit der Zeit ändern können.

00:55:09: und da geht's eben darum Gibt schon einen Exploit Und wie fortschrittlich ist diese Exploid?

00:55:15: Gibt es schon ein Patch solche Sachen wo man als explizit sagt das sind Werte, die sind irgendwie für die Bewertung dieser Lücke wichtig.

00:55:25: Aber sie sind nicht zeitlich stabil.

00:55:29: und dann gibt es noch Environmental Scores wo man sagt na gut Nicht jede Lücke betrifft jedes... also jedes Opfer dieser Lüge gleichermaßen je nachdem wie das Betroffene System eingesetzt wird oder isoliert ist oder eben nicht isoliertes und so.

00:55:47: Und dass es eben dieses Environment um das da geht.

00:55:49: und damit können zum Beispiel dem Unternehmen dann den Wert feintunen, spezifisch für ihre Nutzungssituation.

00:55:59: Da können Sie einmal diese Basemetrics modifizieren und dann können sie halt auch so ein Requirement angeben.

00:56:06: So nach dem Motto, wie ich das System einsetze ist Availability einfach wurscht wenn der halt abschmiert, dann spielt er ab und deswegen betrifft mich sozusagen der Scoring da nicht oder so.

00:56:17: Und das können die dann in dieser Environmental Metric Group mit die Berechnung einfließen lassen.

00:56:26: Im Endeffekt laufen diese, also wenn man die setzt und jetzt Christopher in meinen Eindruck ist, die werden relativ selten verwendet.

00:56:35: Wir haben aber da auch nicht überall einen Blick in die Praxis.

00:56:39: Insofern schreibt uns gerne, wenn ihr sagt, das stimmt doch gar nicht!

00:56:42: Wir haben hier irgendwie ein System am Laufen und die ganze Zeit setzen wir Temporal und Environmental Scores dann sagt uns gerne Bescheid.

00:56:50: Unser Eindruck ist jedenfalls, dass wenn sie genutzt werden dann in der Regel um den CVSS Score zu senken.

00:57:00: Einerseits weil das glaube ich ganz probatisch damit irgendwie senken will, dass man da halt irgendwie dran rumfummelt.

00:57:06: Andererseits aber auch weil es sozusagen eigentlich vom System so gedacht ist.

00:57:12: also die Idee ist, dass der Basis-Score jetzt ohne diese zeitlichen und Umweltfaktoren dass der den worst case abbildet und das deswegen notwendigerweise alles was ich an zeitliche Entwicklung oder einen veränderten umfeld sozusagen noch habe dann diesen worstcase halt nur weniger schlimm machen kann.

00:57:34: Das ist beim temppro score auch fortgeschrieben, der kann den Wert nur absinken.

00:57:39: die environmental scores können den im Prinzip glaube ich erhöhen aber sollten es halt in der Regel sozusagen nicht weil ja der base score der worst case sein sollte.

00:57:49: Da geht es meiner Meinung nach schon los.

00:57:50: Ich bin mir nicht sicher wie sehr das in der Praxis gelebt wird, dass der CVSS Score wirklich... ...der Worst Case ist und nicht halt so ein reusable Medium-Case, so nach dem Auto wird das System üblicherweise eingesetzt, so wird es jetzt gescored.

00:58:08: Also ich würde jetzt vermuten, dass das schon in der praxis regelmäßig geliebt wird wenn wir uns mal ganz kurz versuchen, ein paar Sachen ins Gedächtnis zu rufen wie diese Security Appliance ist.

00:58:22: Wenn ich mich nicht vollkommen falsch erinnere wenn ich jetzt wieder so eine Lücke.

00:58:26: hier in Palo Alto hat es mal dieses Jahr getroffen.

00:58:29: Ich glaube Checkpoint hatte auch was.

00:58:31: Früher war's dann immer Ivanti und die anderen Ivanti... Na wie heißen sie noch?

00:58:35: Die Anderen Ivanti.

00:58:36: Sag schnell!

00:58:37: Egal Die haben

00:58:40: sowas nicht.

00:58:41: Da ist ein Tech Vector üblicherweise Network gesetzt und dann macht das natürlich auch gleich immer den Score extrem schwer, die haben sich auch häufig, häufig damit gerechtfertigt dass sie sagen ja ihr seid hier alle mit dem Klammerbeutel gepudert wenn ihr eure Management Interfaces eurer Security Appliances ans Internet anschließt.

00:59:02: Das soll man ja nicht machen und das schreiben wir ja auch im Installationsauto.

00:59:05: Wir verhindern es halt nicht mit technischen Mitteln aber wir schreiben's überall rein Bei so Sachen wie SSL-VPN, es kommt ja eh nicht drum herum.

00:59:11: Weil der VPN Endpunkt muss ja übers Internet zugänglich sein.

00:59:13: aber bei diesen Management Interfaces war trotzdem immer Attack Vector Network gesetzt obwohl in vielen Organisationen das sicherlich nicht der Fall ist.

00:59:21: da ist dann wahrscheinlich tatsächlich dieses Management Interface nur aus dem Netzwerkssegment zugänglig indem sich befindet maximal noch aus einem Benachbarten und dann wäre das eben Attack Vectors zum Beispiel adjacent oder sowas.

00:59:32: ich habe schon das Gefühl dass dieser worst case teilweise einfach aus der Bequemigkeit heraus, dass man sich nur mit diesen Basiswerten beschäftigen will in aller Regel auch angenommen wird.

00:59:42: Und wenn ich Sicherheit zurücksehe die unabhängig gescored werden von Institutionen zum Beispiel wie dem Zärtbund das das immer mal wieder macht, wenn es noch keine CVSS-Werte gibt um ihren barmen Informationsdienst die entsprechende Anreicherung verpassen zu können habe ich auch das Gefühl, dass tendenziell da eher höher gescord wird als es dann vielleicht in der Praxis ist.

01:00:05: Also, dass man dann vielleicht doch eher statt sechs Komma fünf da eine Acht oder sowas sieht und in Wirklichkeit ist es dann vielleicht noch nicht ganz so schlimm.

01:00:13: Aber das ist auch einfach immer Ermessensspielraum, glaube ich.

01:00:16: Und mein Gefühl ist, dass dieser reasonable worst case der ja auch wirklich in der Standarddefinition mit drinsteht.

01:00:22: Das ist ja Teil des Standards.

01:00:24: Und das ist ein Grundmechanismus von CVSS, dass es immer ein reasonable worst-case als Defaultferne annimmt und dass das auch so geliebt wird.

01:00:34: mal so jetzt

01:00:35: also ich

01:00:37: muss

01:00:37: sagen, ich habe bei sowas halt eher an sowas wie attack complexity gedacht.

01:00:41: Also bei sowahs wie dem attack vector wo man dem risiko ausgesetzt ist das dann würde sagen moment mal die kommt ja darauf hier adjacent zu setzen wenn doch offensichtlicherweise es auch übers netzwerk passieren kann Dann ist es halt irgendwie schwierig zu argumentieren warum man hier zu niedrig gescored hat weil sowas wir attack complexity ob man da wirklich sozusagen immer High einträgt, weil halt im worst case ist die irgendwie low weiß ich nicht.

01:01:08: Also da kann man eh anfangen zu debattieren und keinem Zeitfall leichter verteidigen warum man hier high gesetzt hat obwohl low der worstcase wäre oder so.

01:01:20: Da gab es auch immer mal wieder Diskussionen darüber also zwischen Unternehmen und Security Forschern.

01:01:27: Da meine ich mich schon zu erinnern, dass es auch immer mal wieder diskutiert wird.

01:01:30: Und das ist ja auch wichtig für ein Ökosystem, das einigermaßen healthy ist und man da dann auch Sachen vielleicht ein bisschen ausdiskutiert.

01:01:38: Ich gucke jetzt mal gerade eben... Also zum Beispiel Yellow Key ist gescored als Attack-Complexity Low.

01:01:44: Und da hätte ich schon gesagt, das ist schon an der oberen Grenze von Attack-Complexity low.

01:01:50: Echt?

01:01:50: USB-Stick einstecken und hochfahren?

01:01:52: Ja gut stimmt!

01:01:52: Ist eigentlich nur USB-Steak einsteckend.

01:01:53: Das ist richtig.

01:01:55: Da hätte ich uns die Debatte angefragt, wenn da jemand das auf Heil gesetzt hätte.

01:02:01: Genau aber hier ist der Attack-Vector natürlich dann auch Physiker und das ist auch so korrekt im Zifferierantrag besetzt.

01:02:07: Okay

01:02:09: ja solche Sachen also diese ganzen Sachen gibt es bei CPSS IV auch.

01:02:17: Also dieser Temporal Group heißt ein Threat metric group Und das hält nur noch einen Parameter, nämlich sozusagen wie ausgereift ist der Exploit oder also gibt es überhaupt einen.

01:02:30: Ich weiß nicht so richtig warum sie das unbenannt haben.

01:02:31: aber das ist halt ein Wert, dass ich auch mit der Zeit ändern kann.

01:02:36: und außerdem ist bei CFSSIV noch die Supplemental Metric Group hin dazugekommen, die enthält zu Sachen wie Safety.

01:02:46: Betrifft diese, diese Lücke halt irgendwie Safety im Unterschied zu Security.

01:02:51: Also was ist das ich?

01:02:53: Ist es ein Zugsteuerungssystem und dann habe ich da eine Safety-Implikation weil wenn der Zug nicht mehr bremst, dann sind halt die... Wie sage ich in Deutschland kann man's nicht gesagt sagen, die Sicherheit von Leuten in Gefahr aber halt nicht die IT-Sicherheit von Leuten sondern Äh, die Überlebens...

01:03:11: Die physische Sicherheit hätte ich jetzt gesagt oder so.

01:03:14: Leib und Leben sind dann gefahren?

01:03:15: Genau!

01:03:16: Leib-und-Leben sind eigentlich gefahren.

01:03:17: Also...

01:03:19: Entschuldigung, da ist sich der Einhake, weil das passt gerade gut in der Norm.

01:03:25: Es gibt eine Norm, die auch diese Auswirkungen auf Safety beschreibt also auch ne feste Nomenklatur dafür einführt dass sie dienen E-N-I-E-C-Sechzig Fünf Null Acht Und da heißt, da wird Safety mit Funktionalsicherheit umschrieben.

01:03:42: Also nicht sowas wie IT-Sicherheit sondern die funktionale Sicherheit.

01:03:46: Weil jemand der vom Zug überrollt worden ist, der funktioniert nicht mehr, wenn es so...

01:03:50: Ja, da hat der Zug auch nicht ... Die funktionale Sicherheitszugswahl dann halt nicht großartig.

01:03:57: Aber

01:03:57: ich glaube ihr wisst was gemeint ist.

01:04:00: Das ist ja auch ein altes Thema das irgendwie Safety und Security sich beide mit Sicherheit übersetzen.

01:04:05: Schwierig, weil es ein wichtiger Unterschied ist.

01:04:07: Es gibt jedenfalls bei CHSS IV dafür eine zusätzliche Metrik in der Supplemental Metric.

01:04:14: Diese sind auch so Sachen.

01:04:14: wie kann ich das den Exploit automatisieren?

01:04:18: Wie schwierig ist die Recovery und so eine... Die kann nicht alle angeben aber die Idee ist glaube ich eher so.

01:04:25: Ich habe da halt Felte dafür damit ich diese Informationen bereitstellen kann.

01:04:28: Die fließen aber nicht in den Score ein.

01:04:33: Und dann haben sie die Environmental Group, die ist ja bei CLVSS, drei Punkt eins und null glaube ich auch.

01:04:38: Also da gibt noch mal deutlich aufgebohrt.

01:04:42: Unter anderem gibt es dann den kompletten Satz Modified Base Metrics, die sozusagen einfach die setzen kann.

01:04:49: Wenn Sie gesetzt sind, dann überschreiben Sie die Scores aus dem Base Matrix damit man halt als Unternehmen sagen kann, naja bei uns wird das so und so eingesetzt.

01:04:59: Das heißt obwohl irgendwie Der Score hier eigentlich voll für Confidentiality High ist es bei uns anders eingesetzt und wir können den jetzt auf Low setzen oder halt andersrum.

01:05:09: Da kann man sozusagen den Score einfach an die eigenen Gegebenheiten anpassen, wenn man Workflows hat um das zu tun.

01:05:19: also ich bin da so ein bisschen... Das macht halt Sinn in dem Umfeld, wo man sagt so ja und mit diesem Score den gebe ich dann wiederum.

01:05:26: irgendwie stelle ich jemand anderem zur Verfügung.

01:05:28: Und dann ist es vernünftig dass sich da halt ein standardisiertes Format hat.

01:05:31: und so wenn ich das nur für mich mach Dann kann ich das eben machen und halt machen wie ich mag und muss mich nicht an irgendein CVSS-Fürnullformat halten oder so.

01:05:39: Aber wenn ich halt in den größten System eingebettet bin, wo ich sage so Ja aber ich bin hier sozusagen in der Position nochmal diesen Score modifiziere und diesen modifzierten Score an anderen Leuten zukommen lassen will, dann ist es halt sinnvoll, da ein Format dafür zu haben.

01:05:53: Ich stelle mir gerade vor wie in so einem groß internationalen Großkonzern eine Arbeitsgruppe über fünf Zeitzonen hinweg die eigenen environmental metrics für jede Sicherheitslücke festlegen muss manuell.

01:06:06: das bestimmt lustig.

01:06:07: und dann sitzen sie da und diskutieren Ist es bei uns attack vector adjacent oder vielleicht doch network?

01:06:13: Und dann gibt's krasse Diskussionen.

01:06:16: Dann guckt einer hoch und sagt, hey!

01:06:18: Wir haben zwei CVEs geschafft.

01:06:19: Wir haben noch diese Woche zu erledigen, dass wir mal fertig werden.

01:06:24: Ich

01:06:24: glaube die haben da so einfach einen... Würfel?

01:06:29: Das Wort ist Würfel.

01:06:30: Ja genau aber halt so ein Würfel mit richtig vielen Seiten und dann kann man da einfach rollen.

01:06:38: Da kommen einfach zufällige CIA-Trippe raus und da kann man das nicht mehr.

01:06:42: Genau.

01:06:43: Ich glaube, es gibt für CVSS-Dreibung eins, für die Vektoren irgendwie keine Ahnung ein paar Hundert Kombinationen.

01:06:49: der Würfel müsste also relativ viele Seiten haben Der wird dann auch recht schnell unhandlich.

01:06:53: Eine große Kugel diese Räume.

01:06:58: Aber wir kommen hier völlig uns verblödeln zu einer anderen Metrik in dem ich diese Richtung mit diesen Modified Base Matrix schon geht dass das halt irgendwie offensichtlicherweise sinnvoll sein kann zu sagen, so ja hier bei mir ist es aber anders und das kann ich dann mit diesen modified base matrix machen oder ich greife zu ganz was anderen zugreifig.

01:07:22: Genau

01:07:23: Ich würde es gerne noch ein kleines bisschen anders überleiten denn Also wir schließen jetzt einen Kapitel ab und dieses kapitel würde ich gerne einmal abschließen damit dass wir mal kurz recapitulieren.

01:07:37: Was haben wir jetzt eigentlich?

01:07:37: Wir haben jetzt ein punkt wert zwischen null und zehn.

01:07:40: was wir nicht haben ist Wissen darüber, was jetzt zu tun ist mit dieser Sicherheitslücke.

01:07:46: Also wir wissen immer noch... Wir haben eine Sicherheitslücke und das ist ne Neun Komma Acht!

01:07:50: Aber was machen wir denn jetzt?

01:07:51: Was müssen wir jetzt

01:07:51: machen?!

01:07:52: Und diese Supplemente-Werte der zum Beispiel Exploit Miturity also wie Rife ist ein... Wie fortgeschritten ist schon einer der Exploit?

01:08:04: die geben ja schon so'n bisschen Richtung vor.

01:08:06: wie dringend.

01:08:06: könnte es sein diese Sicherheitsluke jetzt abzudichten?

01:08:10: Genau, also ich wollte sagen sozusagen fairerweise.

01:08:12: Ich mein oft wird nur werden nur die basemetrics gesetzt und dann habe ich halt ein score.

01:08:17: aber wenn man das voll im vollausbau nutzt und dieses implemente werte setzt und so Dann habe ich einen score und so ein paar zusatzinformationen die sie aus dem wektor dann irgendwie ergeben

01:08:28: genau Und dann hab ich schon ein bisschen vorarbeit geleistet wenn nicht aber jetzt nur diesen Base-Score nehme.

01:08:34: Das ist eben dieser Vektor, den wir einmal vorgelesen haben ohne diese Supplemental-Werte die selten gesetzt werden durch die Hersteller und ohne meine Environmental Werte, die vermutlich selten besetzt werden für die entsprechenden Kunden.

01:08:45: dann habe ich hier eine Neuen Komma Acht.

01:08:46: Und jetzt kann ich natürlich hingehen und sagen so mein Unternehmensrichtlinie ist jeder CVE mit einem Score von mehr als neun muss innerhalb von drei Tagen gefixt werden.

01:08:56: Dann werde ich aber vermutlich in einem ausreichend großen Unternehmen Die ganze Zeit nur Feueraustreten beschäftigt sein und vielleicht auch an Stellen für Betriebsunterbrechungen sorgen müssen, weil ich ständig diese SSL-VPN-Appliance resette die möglicherweise gar nicht notwendig sind.

01:09:12: Weil die Sicherheitslücken de facto gar nicht in meinem Unternehmen relevant oder angreifbar werden um hier die Entschritte.

01:09:19: Und ich werde vermutlich das Problem haben dass irgendwo irgendwelche Angreifer Lücken bei mir ausnutzen, weil sie halt einen Wert von acht Komma bekommen haben und unter meiner magischen Linie lagen und ich sehe auf den langen Bank geschoben habe.

01:09:32: Oder was noch schlimmer ist, denn das betrachtet ja auch... Das haben wir später noch irgendwo in den Notiz entstehen.

01:09:38: Dieser CVSS-Wert betrachtet nur die eine Sicherheitslücke.

01:09:41: und wenn dann zum Beispiel eine Sicherheitslücke eine SIX, drei bekommt weil ein authentifizierter Angreifer eine irgendwie eigenen Code aus Schadcode ausführen kann, dann klingt das erstmal naja mittleres Risiko.

01:09:54: es schon nicht so schlimm, wenn aber gleichzeitig bei der gleichen Appliance oder bei der gleichen Software noch eine Sicherheitslücke mit ebenfalls mittleren Risiko existiert, die es erlaubt, eine Login-Session zu übernehmen durch einen Angreifer.

01:10:06: Kann der die ja verketten und hat dann statt ein authentifizierter Angreiver kann Code ausführen, einen unauthentifizierter Angreiber kann Code Ausführen?

01:10:13: Und das ist in der Regel ne Zehn!

01:10:16: Das betrachtet CVSS Standalone nicht und auch diese isolierte Betrachtung ich habe hier eine Sicherheitslücke greift da dann einfach zu kurz und deswegen gibt es mehrere andere Möglichkeiten, um hier zu einer Entscheidung zu gelangen.

01:10:30: Was mache ich denn eigentlich?

01:10:31: Denn das ist ja... Wir sind jetzt in einer eher theoretischen Welt in unserem Podcast.

01:10:39: Ich bewerte irgendwas und am Ende will ich doch wissen was mache ich mit dieser Lücke.

01:10:45: Muss ich die fixen oder nicht?

01:10:46: muss mein Atmen heute Nacht weil er um zwei Uhr angerufen wurde irgendwo aus Bonn oder aus Karlsruhe.

01:10:53: Muss der jetzt diese Sicherheitsdücke wirklich beheben mitten in der Nacht oder kann er das der Tagschicht überlassen?

01:10:58: Und da gibt es eben verschiedene Möglichkeiten zu dieser Entscheidung, um diese Entscheidung irgendwie zu systematisieren und eine davon ist dieser nächste Punkt.

01:11:07: Das sind die sogenannten Stakeholder Specific Vulnerability Categorizations SSVC.

01:11:13: Das ist rein zufällig CVSS umgekehrt.

01:11:18: absoluter Zufall nur das hat keiner so engeniert im städterisierungsprozess dass das so dass das akronym funktioniert und das macht im grunde einen entscheidungsbaum für die Entscheidung.

01:11:30: Für die triage von einer sicherheitslücke.

01:11:32: also muss ich sie jetzt behandeln oder kann ich sie beim nächsten regulären update fenster behandeln und das geht eben sofort, dass du Da gibt es auch einen grafischen Kalkulator, dass du auch ein paar Ja-Nein-Fragen beantwortest oder mit mehreren zwei-, drei Antwortmöglichkeiten.

01:11:48: Und dann im Grunde am Ende eine Entscheidung oder eine Entscheidungsvorlage für dich steht wie du zu handeln hast oder wie du handeln solltest die natürlich darauf basiert wie schwer die Lücke ist und wie schwere Auswirkungen sind.

01:12:01: Und das finde ich dann.

01:12:02: da wird's dann praxisnäher.

01:12:03: Dann steht am Ende Act oder Watch.

01:12:08: Das wollte ich noch einmal kurz durchgehen.

01:12:10: Das geht los, damit du diesen Entscheidungsbaum beginnen kannst.

01:12:19: Da musst du ein paar Datenpunkte haben.

01:12:22: Typischerweise eben von demjenigen der die Sicherheitsluke gemeldet hat also der CNA oder den ADP der diese Anreicherung gemacht hat.

01:12:29: das ist einmal Informationen über Exploitation.

01:12:32: Also gibt es keinen Exploit, gibt es einen Proof of Concept irgendwo auf Github oder so hier von Nightmare Eclipse oder exploitation active, das heißt werden aktiv in the wild Angriffe gegen diese Sicherheitslücke gesichtet.

01:12:48: Die ist dann typischerweise natürlich auch in den Caesar known exploited vulnerabilities aufgenommen und da kommen wir gleich nochmal zu.

01:12:54: Das ist der erste Punkt, der zweite Punkt ist Automatical.

01:12:57: also kann die Ausnutzung der Sicherheitslücke automatisiert werden?

01:13:00: Ich sage immer Ausnutzung, weil wir sind ja jetzt wirklich schon bei Exploits.

01:13:04: Wir sind nicht nur dabei wie ist die Sicherheitslücke aufgebaut sondern hier geht es wirklich darum wie wird sie ausgenutzt und was für Exploids existieren?

01:13:12: Da geht's um Ja oder Nein.

01:13:13: also entweder ist automatisierbar oder eben nicht.

01:13:15: Also da gibt es keine Abstufe in dieser Teilautomatisierung oder so haben wir ja in CVSS IV auch diesen Datenpunkt Und dann gibt es Technical Impact Total oder Partial.

01:13:26: Im Grunde ist das die Schwere der Auswirkungen, also wird das System zum Beispiel komplett kompromittiert oder nur irgendwelche Teile.

01:13:33: Also ein subsystem und Das sind vorgegebene Werte.

01:13:39: so wie ich das verstehe sind das Sachen die du einfach aus dem CVS aus dem angereicherten CVSS Eintracht kriegst.

01:13:45: jetzt gucken wir noch mal in unseren CVSS.

01:13:47: eintrag von unserer

01:13:50: Entschuldigung

01:13:51: muss man gerade einmal scrollen von unserer C-Panel Lücke.

01:13:55: Da habe ich nämlich auch SSVC-Daten, was habe ich es richtig gesagt?

01:14:01: Und die SSVCDaten sind exploitation active.

01:14:06: Es gibt Exploits in the wild, Automatible Yes und Technical Impact Total.

01:14:11: Diese drei Ausgangspunkte kann man dann also für seine Betrachtung erstmal nutzen.

01:14:17: Die sind vorgegeben.

01:14:18: Das ist wie als wären die Teil des CVSS... Das ist nicht nur so wie es ist auch.

01:14:25: Jetzt kommen aber individuelle Parameter dazu und zwar Mission und Well-Being, das finde ich irgendwie überraschend, weiß ich nicht so... ...zwei tausend Szenar Work and Life Balance Culture, aber da geht's natürlich nicht um das Wohlbefinden der Mitarbeiter oder sowas sondern da geht es um was anderes und zwar dass eine sind Die Auswirkungen auf das eigene Geschäft, das ist Mission.

01:14:54: Also ist diese Sicherheitslücke betrifft die einen Kernbestandteil meiner Wertschöpfung?

01:15:02: Ist das also zum Beispiel der Server, auf dem mein Webshop läuft?

01:15:05: Ohne den Webshop kann ich kein Geld verdienen.

01:15:08: Das wäre dann also essential, dass es keinen unterstützenden System ist.

01:15:11: Ein unterstützendes System wo dann der Impact auf die Mission unterstützen, also Support wäre.

01:15:17: Das wäre dann zum Beispiel das CRM oder so.

01:15:19: Das ist zwar blöd, wenn das kaputt ist aber ich kann trotzdem weiter meine Ware verkaufen.

01:15:25: Der zweite Punkt

01:15:27: ist... Genau

01:15:28: und es gibt Minimal?

01:15:28: Klar also wenn ich jetzt... Also Minimal wäre, fände ich zum Beispiel weiß ich nicht, meine Besucherstatistiken für meinen Online Shop.

01:15:37: Das war auch eine Sache.

01:15:38: natürlich basierter vielleicht mein Marketing drauf aber wenn ich mal zwei Tage nicht weiß wie viel Besucher ich aus Burkina Faso hatte, dann ist das vielleicht überlebbar.

01:15:45: Also das wäre ein Beispiel für Minimal.

01:15:48: Wenn man den gesetzt hat, also wenn sich das überlegt hat, muss ich mir dann jetzt überlegen und das Teil meines eigenen Know-Haus.

01:15:59: Dann gibt es noch das Public Wellbeing Und das kann auch wieder minimal sein, also minimale Auswirkungen auf die Öffentlichkeit, auf andere, auf meine Kunden zum Beispiel oder auf die wirklich Öffentlichkeit at large.

01:16:12: Das kann Material sein.

01:16:13: Also was ist ja Material deutlich?

01:16:17: Das gibt's auch bei Material Effect oder

01:16:18: so.

01:16:19: Ja, oder relevant genaut irreversible wäre ja unumkehrbar.

01:16:25: also zum Beispiel ein Datenleck das bei Heverwind Pound landet oder im den üblichen Darknet-Foren das ist de facto irreversable.

01:16:33: wenn die Daten einmal in der Welt sind weil sie aus meiner Kundendatenbank rausgelegt sind dann kann ich das nicht wieder zurückholen.

01:16:41: diesen Geist krieg' ich nicht mehr da in die Flasche zurück.

01:16:44: Wenn ich aber zum Beispiel über meinen Online-Shop in DDoS Angriffe versehentlich unterstütze, weil da irgendwann mal wer installiert hat und dann wird heise.de ge-DDoS oder so... Dann würde ich sagen es sind diese Auswirkungen Material, aber sie sind eben nicht unumkehrbar, das schalte ich ab!

01:17:05: Ich setz die Kiste neu auf und dann sind die Auswirkung beseitigt.

01:17:09: So und diesen Baum kann man also.

01:17:12: damit macht man dann so einen Baum?

01:17:14: Und wenn man diesen Baum dann hat, also ich habe hier Automatik und ich setze es mal gerade.

01:17:18: Das ist da auch so ein hübsches grafisches Ding.

01:17:20: So wird diese kleinen Äste so hingehen.

01:17:23: Also exploitation active technical automatical yes!

01:17:28: Technical impact total.

01:17:31: Dann kann ich jetzt sagen okay das ist essential und irreversible.

01:17:35: Kann das auswählen?

01:17:36: Und dann komme ich zu einer Entscheidungsvorlage.

01:17:40: Diese Entscheidungs vorlage kann zum Beispiel heißen track Also behaltet das im Auge.

01:17:47: Oder Tracksternchen, behalt es genau in dem Auge, steht wirklich so in der Standarddefinition track closely.

01:17:54: Dann gibt's noch Attent.

01:17:57: also man sollte sich darum kümmern Informationen an den entsprechenden Stakeholder zum Beispiel Systematministrator weitergeben damit die sich kümmeren.

01:18:03: und Das höchste ist Act.

01:18:05: da muss sofort auf Management Ebene jemand sagen wir müssen das jetzt sofort behandeln das Thema So dass es dann so eine Art ja Entscheidungsbaum die man durchgehen kann für seine Sicherheitslücke, die man da hat und sagen kann okay dann muss ich mich jetzt drum kümmern oder später.

01:18:27: Und diese Handreichung ist inzwischen auch in den USA mit einer leichten Modifikation verbindlich geworden weil die CISA sie ganz vor einer ganz neuen Binding Operational Directive hernimmt um genau solche Entscheidungsbäume die Behandlung von Sicherheitslücken durch US-Bundesbehörden zu systematisieren.

01:18:52: Das ist die BIO, die S.E.C.U.D.S.I.N.O.L Vier Prioritizing Security Updates Based on Risk und im Grunde ist es genau dieser SSVC Baum.

01:19:01: der sieht aber ein kleines bisschen anders aus und die Sachen wie hinten rauskommen sind ein bisschen anders.

01:19:05: Aber die Grundidee finde ich ist genau die gleiche.

01:19:09: Aber Die Auswirkungen sind ein bißchen andere.

01:19:11: denn so eine binding operational directive Wie der Name schon sagt, Beinding.

01:19:16: Das heißt die ist für US-Bundesbehörden vorgeschrieben.

01:19:18: und was da... Die müssen diesen Entscheidungsbaum jetzt für Sicherheitslücken durchlaufen und sie müssen sich auch an das halten, was dahinten als Handlungsanweisung rauskommt.

01:19:26: Für die Privatwirtschaft würde ich sagen es ist vielleicht eher sowas zwischen Orientierung und Best Practice.

01:19:31: man wird sich aber schwer tun wenn da eine Sicherheitslücke mit... Du musst die übermorgen behandelt haben heraus kommt als Privatunternehmen zu sagen ne wir machen das erst in zwei Monaten.

01:19:41: Das ist dann vielleicht auch so eine Sache, wo es nicht mehr der Stand der Technik und die Best Practices ist.

01:19:46: Das einfach zu ignorieren!

01:19:51: Ich glaube das zeigt ganz gut, dass das jetzt ein leicht modifizierter Baum ist.

01:19:57: Meine Einschätzung wäre... Es ist gar nicht so wichtig ob ich genau SSVC mache mit dem Baum wie dieses vorgegeben haben oder halt irgendwas anderes aber ich sollte halt irgendeinen strukturierten Triage mir überlegt haben.

01:20:12: Das ist so, geh ich davor.

01:20:16: Genau und weil die CISA nun mal CISA-Dinge tut, ist für sie ganz vorne erstmal dieses Ist das Ding der exploit öffentlich verfügbar und wird ausgenusssprich?

01:20:34: Ist es in der CISA Kev also in den known exploited vulnerabilities?

01:20:40: Das ist erst einmal einer der wichtigen Teile.

01:20:44: ist diese Sicherheitslücke publicly exposed.

01:20:47: Das heißt, ist es über das Internet verfügbar?

01:20:50: Dieses System über das wir gerade reden also wieder die Security Plans, das C-Pen oder so was und das steht ganz vorne.

01:20:55: und dann kommt die Kev.

01:20:56: Das bedeutet ich frage mich erstmal ist das Ding über das internet erreichbar?

01:21:00: ja nein ist die Sicherheitslücke schon in den known exploited vulnerabilities?

01:21:04: Und dann gehts weiter mit Ist sie automatisierbar?

01:21:07: und wie ist der Die technischen Auswirkungen?

01:21:11: Diese Wellbeing-Geschichten, also Mission und Wellbeing die gibt es da nicht.

01:21:15: Das wird ausgeklammert wahrscheinlich einfach abends zu erleichtern um da Ambivalenz vielleicht ein bisschen rauszunehmen.

01:21:24: Und ganz am Ende steht dann bei diesem Entscheidungsbaum tatsächlich eine Timeline.

01:21:28: Da steht entweder drei Tage und forensische Triage.

01:21:33: Also du musst die Sicherheitslücke innerhalb von drei Tagen behandeln Und zudem prüfen, ob Bereitsysteme kompromittiert wurden.

01:21:39: Das ist natürlich der Maximalscore.

01:21:41: bei einer automatisierbaren Lücke die in den Non-Exploited Vulnerabilities ist wo dir ein System das ans Internet angeschlossen ist betrifft und wo da die technischen Auswirkungen hoch sind dann musst du innerhalb von drei Tagen reagieren und eben auch schauen ist da schon was passiert?

01:21:58: Ansonsten gibt es noch reagieren innerhalb von dreitagen reagierten innerhalb von vierzehn tagen sechszig tagen oder beim nächsten System Upgrade.

01:22:08: Das gibt dann für Bundesbehörden in den USA schon relativ strikte Timeline.

01:22:12: Also bei so einer Neun Komma Acht, die entsprechend dann in diesem Entscheidungsbaum, wo dann rausfällt, die muss in drei Tagen behoben sein, dann müssen sie halt auch wirklich innerhalb von drei Tagen ihre Systeme gepatched haben.

01:22:23: Mal sehen ob das so klappen wird weiß ich nicht so genau.

01:22:25: aber am Ende ist das ja auch nur eine Auswirkung und das ist auch Teil dieser Binding Operational Directive der Flut von Sicherheitslücken und Exploits, die mithilfe von KI gefunden und oft eben auch gleichzeitig mehrfach gefunden werden.

01:22:41: Da haben wir alleine in dieser Woche wieder ein größeres Beispiel gehabt wo eine Sicherheitslücke unabhängig voneinander von zwei oder mehreren Forschern gefunden und gemeldet wurde praktisch gleichzeitig also mehr oder weniger Tag gleich.

01:22:54: das passiert also immer häufiger ja so.

01:23:00: Also ist das es glaube ich auch was.

01:23:04: Das finde ich absolut sinnvoll, wir kommen nachher noch.

01:23:07: Es ist halt auf angewiesen dass ich sozusagen die Daten habe um sie in meinen Entscheidungsbaum zu stopfen aber ich sollte mir irgendwie... Also wenn der Kriage drin besteht das ist jetzt ihr neues S-Wert größer als X oder kleiner als X, das ist kein gutes Vorgehen.

01:23:23: So ein Entscheidungsraum ist natürlich schon sehr viel sinnvoller.

01:23:26: Ich wollte, also es gibt ja noch eine Reihe von anderen Werten.

01:23:30: Ich glaube du willst auf einen noch länger eingehen aber ich wollte einen kurz erwähnen.

01:23:36: Also einfach aus Zeit könnten würde ich die jetzt hier nicht ausbreiten.

01:23:38: Aber das ist einer der hat immer wieder auftaucht und zwar... ...die Common Weakness Enumeration.

01:23:44: Das ist auch etwas was ganz gerne an so ne Lücke noch dran gehängt wird.

01:23:47: Also zusammen mit dem TVS Escore und weiter eigentlich in andern Sachen.

01:23:52: Und falls ihr dann mal so ein CVE seht Das ist eben diese Common Leakness Immuneration, das bedeutet das Versuch zu klassifizieren.

01:24:00: Was für eine Art von Lücke ist es?

01:24:02: Also ist das eine SQL Injection oder ist es eine Cross-Site Scripting Lücke?

01:24:08: und es gibt über tausend von diesen CVEs mittlerweile und eine Lücke kann auch in mehrere CVE Kategorien fallen.

01:24:19: Und das hast du hier aufgeschrieben, dass das Beispiel der C-Panel Lücke, das wäre wohl CVE three zero sechs Missing Authentication for Critical Function.

01:24:28: Also es fehlt halt eine Authentifizierung und ja, mir würde ich das auch nicht sagen wollen weil es glaube ich hier auch zu weit vom Thema wegführt.

01:24:37: aber wenn euch so ein CWE-Wert begegnet der sagt im Prinzip was für eine Art von Lücke ist es?

01:24:42: Und wenn wir mal irgendwann Zeit schinden müssen dann lesen wir einfach mal alle CVEs vor dass PDF mit allen CVE's und deren Erklärungen umpasst nämlich Da kommen wir endlich auf unsere Silmarillion Folge.

01:24:58: Ja, machen wir als Weihnachtsbeschle oder so?

01:25:01: Nein, machen nicht!

01:25:02: Also da würde ich dann wirklich eine KI-Stimme für generieren lassen glaube ich.

01:25:06: Ich glaub das möchte ich dich vorlesen.

01:25:11: Es gibt noch mehr Werte und tatsächlich einen würde ich gerne noch ein bisschen länger vielleicht nicht ganz so lange wie in den Notizen ausbreiten.

01:25:17: Das machen wir mal zum Ende weil ich würde jetzt gerne abweichen vom Skript und eine kurze Sache noch machen.

01:25:26: Es gab diese Common Weakness Enumeration und es gibt aber auch die CPE, das ist die Common Platform Enumération.

01:25:34: Die besagt nicht welche Art von Sicherheitslücke das ist sondern das ist ein standardisiertes Format um aufzulisten, welche Produkte Produktrevisionen und Produktversionen welcher Hersteller von einer Sicherheitslücke betroffen sind.

01:25:52: Die geht auf von einer Art Datenbank, einem Dictionary die auch da in diesem ganzen CVE Ökosystem mit gepflegt wird.

01:26:02: Bei unserer Beispiel-Lücke liest sich das so dass es alles Doppelpunkt separiert jetzt nicht Schrägstriche wie bei den CVSS.

01:26:10: CPE Doppelpunkt zwei Punkt drei das ist die Version von CPE die verwendet wird aber nicht die Version der Software sondern die Version des Standards.

01:26:19: dann ist es A die Application C-Panel, nochmal C-panel.

01:26:23: Das eine ist der Hersteller das andere ist die Software Stern Stern Stern und X. was das X hinten weiß ich gar nicht mehr Was sie da gesetzt haben.

01:26:32: aber bei den ganzen Sternchen Da könnten zum Beispiel Revisionen und solche Geschichten drin stehen Und so kann Ich wenn ich das sauber Bauer relativ genau sagen, welche Versionen, welche Patch Level, welche Editionen also zum Beispiel bei Windows vierundzwanzig h zwei oder sowas von einer Software.

01:26:51: Von einer Sicherheitslücke betroffen sind auch hier wieder.

01:26:54: natürlich gibt es kann ist und wird häufig eine Sicherheitslücke mehrere Versionen betreffen.

01:27:00: dann gibt's auch mehrere CPS Strings für diese Sicherheitsluke und Es gibt eben Wildcards wie diese wie diese Sternchen.

01:27:06: wenn ich sage alle Versionen von C-Panel sind verwundbar und ich machs mir jetzt mal einfach Dann mache ich dieses Sternchen und liste die nicht einzeln auf.

01:27:14: das Problem ist, dass darf man sich nicht einfach ausdenken und das reinschreiben sondern das steht irgendwie das ist agreed upon.

01:27:20: Das heißt es gibt ein zentrales Dictionary und du musst erstmal gucken Gibt es diese Software Revisions Versions Kombination schon wie is deren CPE String?

01:27:29: Und dann pastest du den in der Anreicherung deiner Sicherheitslücke an den CVE dran wie das bei solchen Datenbanken immer so ist, jeder der eine Datenbank mit mehr als einer Person mal gepflegt hat wo man irgendwelche Zeichenketten reinpacken kann und die normalisieren sollte.

01:27:45: Der weiß dass die Normalisierung selten gut funktioniert.

01:27:49: Und dann gibt es eben sowas wie Microsoft als Hersteller doppelt Punkt Windows doppelt punkt sieben.

01:27:54: Das ist nach meiner Lesart Microsoft Windows Sieben.

01:27:56: Es gibt aber auch Microsoft als hersteller und dann als Produktname windows unterstrich sieben beschreibt beides.

01:28:02: Windows sieben macht zum Beispiel Microsoft auch irgendwie nicht einheitlich und nutzt auch so diese Editions-Tax nicht.

01:28:13: Also es gibt dann halt sowas wie Microsoft Doppelpunkt, Windows Unterstrich X, Unterstriche Sechzehn Null Sieben.

01:28:19: da könnte ich aber das ist ja eine Version String also eine Edition von Windows also keine Ahnung wie das genau heißt bei Windows.

01:28:26: Und dann gibts Windows Unter Strich Server.

01:28:28: Das wäre aus meiner Sicht das Produkt.

01:28:30: und dann nochmal mit Unterstrichen abgetrennt Und was zudem auch noch keine vernünftigen Suchfilter erlaubt, also es ist irgendwie weiß ich auch nicht wer sich das ausgedacht hat.

01:29:00: Ich finde's Nicht besonders Nicht besonders prima.

01:29:04: Aber das gibt es und dass ist ein weiterer Datenpunkt der an CVE-Einträge dran editiert werden kann, um eben zu sagen für welche Software und welche Versionen dieser CVE gültig ist.

01:29:17: So!

01:29:18: Das wollte ich aus dem Weg haben.

01:29:19: jetzt kommt... muss ich mal bisschen versuchen es zu straffen weil sonst wieder lang unmöglicherweise weilig wird.

01:29:28: Jetzt kommt noch etwas.

01:29:30: also wir hatten Ja, danach sind wir nur noch diskutiert.

01:29:35: Und im Diskutieren da sind wir ja immer sehr schnell fertig wenn wir diskutieren.

01:29:38: insofern alles gut.

01:29:42: Ich möchte aber trotzdem nochmal einmal kurz recapitulieren was Sie jetzt schon angeguckt haben weil ich verliere langsam selber die Übersicht.

01:29:46: Wir haben jetzt diesen CVSS Score also den Punkt Wert zwischen zero und zehn.

01:29:51: Wir haben die Entscheidungsfindung.

01:29:55: Was mache ich damit über SSVC?

01:29:58: Also muss ich handeln oder muss sich nicht handeln?

01:30:01: Wir haben die Art der Sicherheitslücke über CWE und wir haben die betroffenen Produkte- und Versionen über CPE.

01:30:14: Was wir noch nicht haben ist, wir wissen vielleicht dass es einen Exploit gibt?

01:30:19: Wir wissen aber nicht wie wahrscheinlich es ist das diese Sicherheitslücke ausgenutzt wird.

01:30:24: Wenn man jetzt sagt naja wenn ein Exploit da ist wird sie auch aus genutzt werden dann ist es einfach.

01:30:28: Aber bei vielen Sicherheitslycken gibt es Keinen öffentlichen exploit.

01:30:32: die bleiben.

01:30:33: die exploits bleiben irgendwo im gift schrank oder sie werden von cybercrime gruppen eingesetzt Ohne dass man das sieht und ist die dann auf dieser cesar keffliste landen vergeht oft viel zeit in der es Dann die große unsicherheit gibt.

01:30:44: Ist das überhaupt eine sicherheitsdücke, die sehr wahrscheinlich ausgenutzt werden wird?

01:30:46: und dazu Gibt es jetzt als letzte pussel teil?

01:30:49: Das ist das sogenannte exploit prediction scoring system.

01:30:52: epss des EPSS is ein ja Wahrscheinlichkeitsbasiertes vorhersagesystem das versucht eine Indikation zu geben, wie wahrscheinlich eine bestimmte CVE-ID, also die Sicherheitslücke hinter einer bestimmten CVE ID ab dem Veröffentlichungsdatum in den nächsten dreißig Tagen exploitet werden wird.

01:31:16: Also es einen exploit geben wird der verwendet wird und das modellieren sie indem Sie die CVE Daten aus allen Anreicherungsstufen nutzen in die Vergangenheit bei anderen CVEs schauen, die zum Beispiel die gleichen CVSS-Vektoren hatten.

01:31:32: Den gleichen Score hatten wie ob und wie die exploitet wurden?

01:31:36: Und dann sagt man so anhand dieser Werte wir haben jetzt hier den CVE NC Panel.

01:31:41: Wir haben zehn andere ältere CVE's ins NC Panel.

01:31:44: Jetzt können wir sehen für acht von denen hatten wir einen exploit irgendwann.

01:31:49: Dann können wir sagen okay auch dieser elfte CVE wird mit einer Wahrscheinlichkeit von in den nächsten dreißig Tagen ausgenutzt werden.

01:31:58: Ganz so einfach ist es nicht.

01:32:00: und ehrlich gesagt, also ich sag's mal so an der Uni habe ich die Stochastik-Klausur viermal geschrieben.

01:32:06: das sagt vielleicht einiges aus über meine Liebe zur Wahrscheinlichkeitsrechnung.

01:32:10: Insofern sage ich nur so viel dass er arbeitet mit einem statistischen Modell Dass sich alle vergangenen CVEs anguckt und eben auch dieses exploit data anguckt aus verschiedenen Quellen Und versucht diese Zusammenhänge zwischen cve und exploit zu erkennen einen Wert zwischen Null und Eins, also einer Wahrscheinlichkeit von Null Prozent und Hundert Prozent auszuspucken wie wahrscheinlich eine Sicherheitsducke in der nächsten Zeit ausgenutzt werden wird.

01:32:36: Das wird täglich gemacht.

01:32:38: Also dieses EPSS werden zentral von... Wer macht's denn?

01:32:42: Macht's Mitre First?

01:32:44: Wer macht den EPSs?

01:32:45: Wer das berechnet?

01:32:46: Ich glaube...

01:32:48: Also zumindest die Garten sind auch bei first.org, ne?

01:32:51: Genau!

01:32:52: Und die veröffentlichen Jeden Tag die neuen Scores, die kannst du dir dann auf GitHub runterladen.

01:32:57: Kannst dann auch gucken... Auf einer Übersichtseite bei First was sind die krassesten?

01:33:02: Also die top-rated CVEs aus den letzten Tagen.

01:33:05: und wo ändert sich gerade viel?

01:33:08: weil zum Beispiel neue Exploitdaten dazugekommen sind oder sowas.

01:33:11: Und kann es daran entsprechend ein bisschen sehen?

01:33:14: wie wahrscheinlich werden in nächster Zeit wohl die und die Sicherheitslücken ausgenutzt Die mir so untergekommen sind.

01:33:22: Da raus kann man dann ein paar Faktoren mit rein modellieren, die bei CVSS ein bisschen zu kurz kommen.

01:33:31: Nämlich zum Beispiel die Verbreitung von Software.

01:33:33: also wenig verbreitete Software wird weniger wahrscheinlich explodiert werden.

01:33:37: Also irgendwie bei sich nicht einen WordPress Plug-in das zwanzig Leute auf der Welt benutzen.

01:33:41: da ist die Wahrscheinlichkeit nicht ganz so hoch wie bei Microsoft Windows Elf und

01:33:49: oder eine WordPress Plug-in, was zwanzig Millionen Leute weltweit nutzen.

01:33:52: Oder ein Wordpress, was zweihundert Millionen Menschen weltweit benutzen?

01:33:56: Genau und so kann es zum Beispiel passieren dass einen CVSS mit einem CVE also eine Sicherheitslücke die einen sehr, sehr hohen Punkt wert hat von neun Komma acht.

01:34:07: da habe ich mir als Beispiel einen

01:34:08: CVS Punkt Wert.

01:34:10: Ja genau hab ich mir einer Sicherheitslücke in einem Fujitsu Storage von zwei tausendzwanzig Jahren geschaut.

01:34:18: EPSS-Wert, also eine Exploitwahrscheinlichkeit von praktisch null.

01:34:22: Und bei CVEs mit niedrigen CVSS Scores sind Ruhe-Exploid-Wahrscheinlichkeiten relativ selten weil das lohnt sich nicht so richtig die auszunutzen.

01:34:30: und da sieht man auch ein bisschen in diesen Verteilungen.

01:34:33: es gibt dann auch ein paar Diagramme und Grafen auf der Webseite von FIRST zur EPS S wo man diese verteilung auch ganz gut sehen kann und daran kann man dann eben auch sehen was dieses modell Kann und was es was ist nicht macht.

01:34:47: Und das wird natürlich, bei schweren sicherslücken häufiger eine hohe exploit-Wahrscheinlichkeit vorher sagen.

01:34:55: Das ist halt einfach so irgendwie klickt schon klingt schon irgendwie sinnvoll So Was man auch machen kann da würde ich die diskussion jetzt ein bisschen abkürzen aber wir sollten auf jeden fall kurz darüber sprechen ist Ich kann mir auch die Herstellerdaten angucken, denn wie Sade sagte EPSS Scores werden aus allen möglichen Anreicherungsformen von CVEs rausgezogen.

01:35:18: Unter anderem eben auch den CPI-Information also welcher Herstellers hier betroffen.

01:35:23: und dann kann man so einen Diagramm machen welche Hersteler haben besonders viele Sicherheitslücken die häufig oder sehr wahrscheinlich ausgenutzt werden um ein bisschen so ein Herstella Risiko zu modellieren Das natürlich auch stark schwankt über die Zeit, wenn irgendeine Hersteller dann weiß ich nicht mal alle seine Produkte einigermaßen auf dem aktuellen Stand hat.

01:35:48: Und da sieht man zum Beispiel das Microsoft relativ weit rechts liegt an einem Tag und am nächsten Tag sieht es für Microsoft schon wieder besser aus weil diese Daten offenbar sehr stark schwanken.

01:35:58: Da hat sich der Silvester ein bisschen drüber gewundert als er sich das angeguckt

01:36:03: hat.

01:36:03: dieses Diagramm in unsere Notizen gepackt und dann habe ich die Webseite einen Tag später selber aufgemacht.

01:36:10: Und mir gedacht um also nicht nur, dass sich die sehr keine Balken aber halt sozusagen diese

01:36:16: punkte Wolken... Die heißen dir den jammenen Namen dieser Diagon

01:36:19: Form?

01:36:19: Also das ich die Diagramme halt ein bisschen verschoben hatten sondern die sehen teilweise komplett anders aus.

01:36:27: da sind also jetzt.

01:36:28: in deinem Fall war Adobe auf Platz zwei nach Microsoft Und einen Tag später war Adobe nicht mal mehr in der Liste und stattdessen wäre Apache auf Platz zwei.

01:36:40: Und jetzt ist gerade auf Platz Zwo HP, und auf Platz Drei ist plötzlich Canonical aufgetaucht.

01:36:47: die waren in unseren in den beiden Vortagen auch jeweils nicht in der Liste.

01:36:50: also

01:36:51: es kann auch sein dass das einfach kein dass das keine Topliste ist sondern dass das Einfach ein Randomes dass sie sich einfach irgendwelche Hersteller aus dem Hut zaubern.

01:37:02: dagegen spreche allerdings Sehr konsequent Microsoft immer ganz oben in der Liste steht.

01:37:07: In diesem Diagramm.

01:37:07: Ja,

01:37:07: also ich glaube vielleicht sollten wir es kurz fassen mit?

01:37:10: Wir verstehen diese Diagramme nicht ganz oder ist es kaputt.

01:37:14: Ich würde auf erstes wetten und ihr könnt uns ja sehr gerne schämen wenn ihr wisst wie man die EPSS Scores Across the Windows von First.org korrekt liest.

01:37:27: Aber an sich ist das halt so zu sagen man sieht zumindest was für Wie man sie Sachen aufbereiten kann, wenn man halt all dieses course zusammen trägt.

01:37:36: Was halt sinnvoll funktioniert weil man die alle eine cvnummer hängen kann und so

01:37:40: ja.

01:37:41: Und man kann auch weil es alle historischen epss scores für alle cvs immer zur verfügung gibt.

01:37:47: also du kannst dir die einfach als csv herunterladen was ich natürlich gemacht habe.

01:37:52: aber ich hab ja nichts besseres zu tun.

01:37:54: und Das sind dann ich wollte mal gerade gucken das sind immer pro tach immer so zwei mb CSV GZIPT und dann kann man auch seine eigenen historischen Scores darüber machen.

01:38:05: Ich habe mir das jetzt für unsere Sicherheitslücke, also diese Ziebhände-Sicherheitslücke mal angeschaut.

01:38:09: der aktuelle Wert ist ungefähr Null.

01:38:12: Komma Neun hat die Ausnutzung durch einen Exploit ist also sehr wahrscheinlich.

01:38:18: Das ist bei doch immer ein Patientil.

01:38:20: dabei steht in diesen Punktwerten.

01:38:25: Dieser Score ist höher als bei neuneinzig Prozent aller anderen Sicherheitslücken, die gescored wurden mit EPSS also ist im neun und neunzigsten Perzentil.

01:38:35: Ist das richtig oder ist es dann dem ersten Perzentiel?

01:38:37: Nein, im Neun und Neunzigste Perzentile.

01:38:39: Siehst du ich kann keine Stelle... Ich kann das einfach nicht, diese Statistikzeug.

01:38:42: Ich

01:38:42: äußere mich dazu nicht!

01:38:43: Okay, er verweigert die Aussage und ich entschuldige mich bei meinem Stochastikproff.

01:38:50: Man sieht dass sich das über die Zeit Einpendel das ist über die zeit gestiegen.

01:38:55: interessanterweise hat angefangen bei nulkommar zwei also beinahe ausnutzungswahrscheinlichkeit von ungefähr zwanzig prozent.

01:39:02: An dem tach an dem dass zum ersten mal in diesen eps werten auftauchte war es aber auch schon in der zisakäffliste.

01:39:09: also da hätte ich dann auch schon gesagt okay kann eigentlich sofort auf hundertprozent oder auf nahen hundert prozent weil wenn die zisa schon exploids in the wild gesehen hat, dann ist ja die Ausnutzung wahrscheinlich aus meiner sicht automatisch hundert prozent.

01:39:20: es dauert aber noch Bis zum sechsten zwanzigsten Mai oder bis zum achtenzwanzigste Mal sogar, bis das sich in diesen statistischen Daten in dieser Modellierung niederschlägt und ab da ist dann eben diese Auslastungswahrscheinlichkeit ungefähr neunzig Prozent.

01:39:33: Auch hier sieht man also die Zuverlässigkeit von EPSS, die schwankt auch offensichtlich über Zeit arg Und dass es dann im Wesentlichen auch wieder nur ein weiterer Marker den man bei der Einschätzung zu Hilfe nehmen kann jemanden freispricht von der Behandlung einer Sicherheitslücke.

01:39:54: Also, man sollte jetzt nicht hingehen und sagen hier die Sicherheitslücke hat ja EPSS Null Komma Null Fünf.

01:40:00: da muss ich nichts machen Sondern man sollte sagen wenn Ich schon sehe Da ist ein hoher CVSS wert vergeben worden Und Ein hohe epss Wert dann Ist das auf Jeden fall.

01:40:08: was war sich mehr angucken Muss Aber Ein niederer Wert in Einer Der beiden kategorien.

01:40:13: der heißt Nicht dass man es automatisch Auf Die langen Bank Schieben Sollte und Das sieht man auch schön, dass das so killchains auch mit epss nicht gut modellierbar sind denn es gibt eine weitere sicherheitslücke in c-panel da.

01:40:30: das ist eine sachschnell für ein plugin namens light speed ne local privilege escalation zu ruht.

01:40:39: keine ahnung wie das funktioniert über dieses web interface aber ich nehme jetzt einfach mal so hin diese Sicherheitsluke is seit den fünften juni in den CSER Kev und hatte da einen EPSS Score von null, zero sechs drei Prozent an zu diesem Zeitpunkt.

01:40:55: Und ist aber trotzdem eben in Verbindung mit dieser anderen Beispiel-Sicherheitslücke ein echtes Problem weil über die Missing Authentication kommst du rein bist atmen und dann kannst Du auch noch gut werden.

01:41:09: das heißt du hast dann auch diesen Scope Change mit drin.

01:41:11: Hast also eine richtige Kill Chain ins C Panel.

01:41:15: Man sieht also, auch das kann man schlecht mit EPSS modellieren.

01:41:17: Es ist nur ein weiterer Datenpunkt und ich verspreche es jetzt der Letzte den wir uns rausgesucht haben diese letzte Metadatum bei CVEs.

01:41:26: Und jetzt habe ich immer noch viele Punkte wo ich mir denke so richtig toll durchmodelliert ist und es sich heißt du gehst immer noch nicht oder?

01:41:35: Ja also ich wollte kurz zu diesem EPS S noch sagen sozusagen zu seiner kleinen Ehrenrettung Nur weil die ZISA sieht dass als Ausnutzung in the wild gibt heißt es ja nicht, dass jede Insanz ausgenutzt werden muss.

01:41:48: Also ich... Es ist zumindest logisch denkbar zu sagen Ja gut!

01:41:52: Es gibt Fälle wo das schon aus genutzt wird.

01:41:53: Insofern ist natürlich vorher am Dach aber trotzdem ist die Ausnitzungswahrscheinlichkeit bei zwanzig Prozent weil er halt irgendwie gerade ungefähr alle ... also zwanzi Prozent der exponierten Systeme auch tatsächlich angegriffen werden oder so.

01:42:05: Das kann ja also die Welle von so einem Angreifer kann ja auf tausende Arten beschränkt sein je nachdem wie viele Ressourcen der hat oder so.

01:42:12: Aber klar, ich stimme den natürlich voll zu.

01:42:14: Das auch EPSS oder all diese Werte sollte man meiner Meinung nach nur so einsetzt dass man sagt okay das ist jetzt ein weiteres Datum, dass sich irgendwie vielleicht besonders Aufmerksamkeit drauf richten muss und nie so hernehmen, dass man dann sagt naja das ist ja hier unterschwellen wird X oder Y dann interessiert es mich nicht.

01:42:37: So jetzt haben wir einen Haufen Zahlen durchgekaut.

01:42:43: Einfach um mal so einen Überblick zu geben, weil wir das ja auch immer wieder erwähnen wenn wir über irgendwelche Sachen reden dass dann der CVS-Escore diese Soläne sein soll.

01:42:52: ich wollte aber oder wir wollten nochmal auf die anfängliche Diskussion zurückzukommen sind es in gute Kennzahlen also schlimm genug das CVE sich irgendwie zu seiner Kennzahl entwickelt hat dies nie sein sollte?

01:43:03: Aber sind denn die echten Kennzahlen gut gekennzahlen?

01:43:06: und da gibt's halt eine Reihe von grundsätzlichen Problemen, mit denen ich mich irgendwie auseinandersetzen muss wenn ich diese Zahlen hernehmen will.

01:43:13: Also zumindest sinnvoll hernehmen Will.

01:43:16: und das eine ist angenommen Ich will jetzt Kennzahl X nutzen was es wenn nicht an allen Lücken die mich betreffen überhaupt ne CVE hängt also ich die Lücke identifizieren kann Und Wenn Nicht An allen lücken Mit der CVE auch Diese Von mir Präferierte Kennzahl Hängt.

01:43:38: Das ist nämlich was, was einfach der Fall ist.

01:43:43: Und ich kann dann im Prinzip muss ich dann sagen, naja so ein Score wenn ich den nicht habe jetzt im fall von CVSS zum Beispiel, da nehme ich den halt mit null an oder ich nehm ihn halt mit zehn an Oder für mich das auch mit fünf.

01:43:53: aber ich muss mir da irgendwas überlegen.

01:43:56: Es scheint üblich zu sein den mit Null anzunehmen.

01:43:58: also alles was kein scoring kriegt wird dann irgendwie ignoriert.

01:44:05: es gibt einen schönen fall Copy-Fail, das war eine Lücke wo außenweise die Kernel Entwickler, also die Linux Kernel-Entwickler tatsächlich einen CVS Score selber bereitgestellt haben.

01:44:20: Und sie wurde dann trotzdem ignoriert.

01:44:23: was Greg Croer hat man sehr verwirrt hat weil er immer noch ignoriert sozusagen unsere Lücken ja eh konstant aber jetzt ignoriert ihr sogar mit Außenweise mal ein Score dran hängt oder so na?

01:44:33: Aber ich habe das Zitat hier eigentlich nur reingebracht weil ich halt sagen wollte es ist Ein ganz reales Problem, dass halt viele von den Lücken einfach keine Score aufheißen und man muss sich dann irgendwie überlegen wie ich damit um.

01:44:48: Der nächste Punkt ist was mache ich wenn die von mir gewünschte Kennzahl kein gutes Signal liefert?

01:44:55: Auch das ist nämlich einfach oft der Fall.

01:44:58: Die Antwort auf Greg dir gemeint hat sowieso ignoriert ihr das jetzt auch noch, wenn ihr ausnahmsweise mal eine Score anschreiben ist.

01:45:04: Dass jemand sagt naja an dem Einen Samstag, da habt ihr hundertsechzig Lücken gescored.

01:45:13: Freundlicherweise steht er.

01:45:15: Freundlicherweise.

01:45:16: Also eine ungenannte Zahl wurde nicht gescord.

01:45:21: Aber diese Hundertsechtzig haben alle Scores zwischen sieben Komma Eins und neun Komma Acht bekommen.

01:45:28: Und Copy Fail hat halt sieben Komma Acht.

01:45:30: also die war halt so ein bisschen im unteren Mittelfeld Und da wird eben auch schon klar so, dass ich kann dann zumindest nicht irgendwie hingehen und sagen naja.

01:45:41: Ich beschäftige mich primär mit Sachen die irgendwie in eine CVSS-Score von dies oder jenem haben wenn dann einfach alles oder nix da reinfällt weil wenn ich halt irgendwie hundertsechzig Stück an einem Tag kriege und die liegen alle zwischen sieben und dem fast maximal Wertung Also ist vielleicht vorher plausibel zu sagen, naja wenn es irgendwie unter eine fünfe ist.

01:46:05: Ist mir egal aber die regel hilft mich halt gar nichts weil Die liegen alle über der fünf.

01:46:11: Das ist ganz allgemein was man sich einfach irgendwie auf also überlegen muss vorher Wenn man mit so in kennstall irgendwas machen will.

01:46:18: Was macht man wenn die kennzahl fehlt weil das wird passieren?

01:46:23: desnächstes natürlich kann man diese kennzahl überhaupt berechnen Weil das ist natürlich auch eine möglichkeit die man haben kann zu sagen na ja wenn sie kennstahl fehlt dann Bewechne ich sie halt.

01:46:32: Dafür ist er definiert, wie diese Scores zustande kommen und da haben wir vorher schon immer wieder so ein bisschen darüber geredet dass es halt in Departations- ins Auslegungssache ist und de facto geht halt oft irgendwie dann so einen Gerate und teilweise auch eine Gefeilsche um die Werte für dieses Parameter los.

01:46:49: Jetzt kommen wir endlich zu dem Scope bei dem nämlich also ich behaupte mal einfach niemand weiß wie der Scope korrekt gesetzt wird.

01:46:59: Das liegt an der Reihenwunddinge.

01:47:01: Es liegt einmal daran, dass sie zwischen CVSS-dreitpunkt Null und Dreitpunkt Eins noch mal angepasst haben also ihre Formulierung was der Scope eigentlich genau soll weil das nämlich vorher keine Sauverstanden oder einheitlich angewendet hat.

01:47:14: Das Problem ist es danach immer noch keine Sau verstanden oder eine Einheitliche angewendete hat.

01:47:18: Es gab so zwanzig dreinzwanzig vierzwanzige eine ganz schöne Studie dazu wo knapp zwei Hundert Leute, die halt regelmäßig mich CVS sich beschäftigen gebeten wurden Lücken zu scoren.

01:47:30: und dann hat man so geguckt.

01:47:32: Wie weit stimmen sie überein oder nicht?

01:47:34: Also allgemein war das Ergebnis der Studie, dass da das Streut schon stark was halt man eigentlich nicht haben will.

01:47:40: Die Leute sollten sich einig sein welcher Score an welche Lücke rankommt.

01:47:44: aber gerade beim Scope war es halt mehr oder weniger unabhängig von der Lücke haben die Leute zu vierzig Prozent Changed und zu sechszig Prozent an Changed, an den Scope ran geschrieben.

01:47:55: Das war also gerade... Man könnte auch eine Münze werfen insofern man also die nicht ganz fair ist und die halt nicht Fifty-Fifty sondern Forty-Sixdie ergibt.

01:48:04: aber das ist einfach alt als wert.

01:48:09: In der Praxis scheinbar ziemlich nutzlos weil die Leute ihn beraten nach Belieben vergeben.

01:48:17: Grundsätzlich, das habe ich schon gesagt was der Wert eigentlich soll ist eben zu gucken ob eine Lücke Auswirkungen auf Komponenten unter einem anderen Berechtigungssystem hat.

01:48:28: Und da geben sie auch Beispiele dafür was so ein anderes Berechtigung System ist.

01:48:32: also das nennen Sie Security Authority und das kann zum Beispiel eine Applikation sein oder ein Betriebssystem oder eine Firmware oder eines Handboxes Ein Liste von Beispiel, die so breit streut, dass ich mich frag.

01:48:49: Also fast alle Lücken, die ich mir betrachte sind in irgendeine Applikationen Die auf einem Betriebssystem läuft möglicherweise in der Sandbox.

01:48:58: eine Firmware wird auf dem System auch hier vorhanden sein also What?

01:49:03: Nachdem welche Security Authority ich da ins Auge nehme komme ich vermutlich zu unterschiedlichen Schlüssen Aus der Definition von diesem Scope.

01:49:13: sagen sie dann Naja, intuitiv kommt es immer dann zu einem Scope Change wenn die Auswirkungen einer Sicherheitslücke eine Sicherheits- oder Vertrauensgrenze überschreiten und sich auf Komponenten außerhalb des Sicherheitsbereichs auswirken indem sich die anfällige Komponente befindet.

01:49:29: Und zumindest den ersten Teilsatz finde ich also der ist ja tautologisch ne?

01:49:36: Also was ist denn eine Sicherheizlücke die keine Auswirkung auf eine Sicherheit oder Vertraunsgrenze hat?

01:49:42: dann ist es doch keine Sicherheitslücke.

01:49:45: Also ich glaube, Sie haben's einfach auch in Version drei eins nicht geschafft gut zu definieren was dieser Scope jetzt eigentlich genau sagen soll weil sie auch mit dieser... also ich glaub die Leute intuitiv nimmt man zu anderen, naja werden da irgendwelche Rechte sozusagen also irgendwelchen Berechtigungssysteme verlassen.

01:50:07: aber das geht ja nicht darum ob man oder werden irgendwelche Rechtsbereiche verlassen.

01:50:11: Aber es geht ja nicht darum, ob man die eigenen Rechte ausweiten kann sondern es geht darum, sich unter der Kontrolle des aktuellen Berechtigungssystems entkommt und das ist halt schon so.

01:50:22: eine komische finde ich relativ schwierig.

01:50:25: zu verschiedenen Definitionen dass es mich auch nicht wundert dass die Leute nicht wissen wie sie das scoren sollen.

01:50:32: Sie sagen zum Beispiel dann auch explizit beispielsweise wird eine Datenbank die ausschließlich von einer Anwendung verwendet wird, als Teil des Sicherheitsbereichs in dieser Anwendungen betrachtet.

01:50:45: Selbst wenn die Datenbanken über eine eigene Sicherheitsbefugnis verfügt!

01:50:49: Das heißt sogar, wenn ich es geschafft habe zu sagen naja hier ist irgendwie meine Security Authority und hier ist de facto ne andere.

01:50:57: aber dann bin ich in der Situation dass das die Datenmacher Luft und dieses einen App genutzt wird.

01:51:01: dann ist es scheinbar doch kein Scope Change.

01:51:03: d.h.

01:51:03: irgendwie ob das jetzt ein Scope change ist oder nicht hängt davon ab.

01:51:06: Also ob ein Lücke in dieser Datenbank, einen Scope Change beinhaltet, hängt davon ab wie diese Datenbank genutzt wird.

01:51:13: Das heißt im Prinzip ist das ein environmental Ding.

01:51:17: Ich kann den nicht setzen ohne zu wissen wie die Datenbank benutzt würde.

01:51:24: Ich gehe da jetzt schneller drüber weil wir sind schon so weit fortgeschritten in der Zeit.

01:51:27: aber es gibt was ja an sich sehr gutes zu all diesen Spezifikationen von CVSS.

01:51:34: Ein Haufen Beispiele, wo sie sagen okay diese Lücke und das sind dann echte Lücken wird so gesquart.

01:51:40: Aber auch da wird zum Beispiel dann dran geschrieben okay Scope Changed bei so einem XML-Parser Lücke in Apache Tomcat.

01:51:50: Unchanged wenn man annimmt es handelt sich um einfache Web Anwendungen die keine separator Autosierungsberechtigung haben.

01:51:57: Das heißt ob jetzt eine Lücke im XML parser vom Apache TomCat scopechanged oder unchanged hat, hängt davon ab welche webanwendung ich auf diesem Apache Tomcat fahre.

01:52:07: Das ist ja irgendwie total behämmert.

01:52:10: Ist zumindest meine Meinung.

01:52:14: Die anderen Beispiele lasse ich jetzt aus.

01:52:16: na es gibt also da sind ein Haufen Beispiele und da wird immer wieder erklärt sondern ja weil man muss da schon sozusagen richtig definieren was die betroffene Komponente und das ist halt die hier.

01:52:25: und deswegen kommen wir zu folgendem Schluss Man muss schon irgendwie sagen, hier sind irgendwelche Randbedingungen und unter diesen Randbedienungen ist dann das übrigens der korrektive Wert.

01:52:33: Also es wundert mich kein Stück dass die Leute mit diesem Scope überhaupt nicht zurande gekommen sind.

01:52:37: und also es wäre ja schön wenn man sagen könnte was redet er hier so ewig drüber?

01:52:42: Das ist ja eh das veraltete System.

01:52:44: aber wir haben es am Anfang gesagt CVSS-Drei Eins ist halt immer noch eigentlich das verbreiterte Scoring System und da hängt halt immer nur dieser Scope drin Der auf den Wert einen deutlichen Einfluss hat und der halt irgendwie mehr oder weniger random gesetzt wird.

01:52:58: Und jedes Mal, wenn er gesetzt ist, wird drüber gestritten, ob er jetzt korrekt gesetzt worden ist oder nicht bzw.

01:53:04: es wird darüber geschritten weil Leute sagen, der wurde nicht korrekte gesetzt.

01:53:08: An sich hatten sie mit CVS S-IV-Null einsehen.

01:53:12: Es gibt auch sehr aus den Folien zur Vorstellung von CVS-IV Null einen sehr schönen Slide.

01:53:17: da steht dann drin.

01:53:18: Scope war möglicherweise die am wenigsten beliebte und am wenigstens verstandene CVSS Metrik aller Zeiten Und sie verursachte eben inkonsistente Bewertungen zwischen Produktanbietern.

01:53:29: Ja, also ist sicher so kann ich auch nachvollziehen warum das so war.

01:53:34: Sie haben den Scope bei COVS Sv einfach rausgeschmissen und sie haben ihn halt ersetzt und dass es jetzt ein bisschen... Also in diesen Folien hätte ich vielleicht sagen sollen geht's noch weiter mit.

01:53:44: was der Scope leider auch für uns hat sozusagen war eine implizite Verlust behaftete Komprimierung der Auswirkungen anfälliger und betroffener Systeme.

01:53:55: Und sie scheinen mir primär dagegen vorgegangen zu sein und gesagt, wir müssen das ausbauen.

01:54:00: Wir müssten da irgendwie ordentlich unterscheiden zwischen den anfälligen und betroffenen Systeme.

01:54:06: Und haben deswegen jetzt in CFOSES IV den Scope ersetzt indem Sie die gesamte CAE Triade eben doppeln... Das hatten wir ja schon einmal für Vulnerable System und für Subsequent System Und diese beiden Triaten werden ja dann nochmal dupliziert in die Modified Base Matrix.

01:54:24: Also, die kann ich ja dann in meinem Environment noch mal überlagern und zwar beide also sowohl vom Vulnerable System als auch vom Subsequent System.

01:54:31: Wenn ich irgendwie steil gehen will, dann kann ich an so ein CVS-S IV Wert viermal eine CAA-Triadenbewertung dran kleben und das mag diese verlustbehaftete Komprimierung der Auswirkungen bekämpfen aber Also meiner Meinung nach bekämpftes überhaupt nicht.

01:54:48: das Grundproblem ist, dass.

01:54:51: Dass es wahnsinnig kompliziert ist und schon bei cvss drei eins die Leute gesagt haben so war ist das alles müsste ich mir jetzt durchlesen.

01:54:59: irgendwie tausend Beispiele.

01:55:00: ich score das einfach irgendwie.

01:55:03: Und und jetzt haben sie halt noch viel mehr Sachen diese irgendwie eintragen können und meine man nach wird der effekt eher sein dass ihr halt auch des dann irgendwie ein tragen oder halt mit so einem großen Wie viel Side Dice auch immer halt einfach rollen und dann kommt da halt eine CIA Triate draußen.

01:55:21: Grundsätzlich ist es aber halt auch so, also auch bei weniger berüchtigten Parametern an dieser Scope ist es halt verschrien.

01:55:27: Ist es oft einfach schwierig diesen Parameter korrekt zu oder sie überhaupt einfach nur sinnvoll zu setzen?

01:55:34: Es gibt ein schönes relativ aktuelles Beispiel von Sasha Levin.

01:55:38: der ist Co-Maintenor von den Linux Stable und LTS Trees.

01:55:42: Der sagt halt, wenn man eine Netfilter Schwachstelle betrachtet die die Capability netatmen erfordert.

01:55:49: Muss ich jetzt den Privilegesmetrik auf hoch und auf niedrig setzen?

01:55:55: Jetzt kann man sagen, wenn nicht privilegierte Nutzernamespaces aktiv habe was zum Beispiel unter Ubuntu Standard ist dann kann jeder lokale Nutzer Anshare minus u minus n aufrufen und hat netatman capabilities.

01:56:10: also is privilege requirement low weil das kann einfach jeder Nutzer machen.

01:56:15: Wenn ich jetzt aber retted bin, wo standardmäßig privilegierte Nutzernahmspaces deaktiviert sind... dann kann ich das nicht machen!

01:56:22: Dann baue ich echte Berechtigungen und da muss sich halt irgendwie Ruht sein oder so.

01:56:25: Dann ist Privilege-Requirement Hi!

01:56:29: Ich muss aber da als Low oder High eintragen.

01:56:32: Ich bin ja hier nicht im Environmental Scoring, wo ich sagen kann, so naja, kommt auf an ob du Bundo fährst oder nicht?

01:56:37: Das halt ... Schwierig.

01:56:39: Und Sascha Levin sagt auch explizit, ist das überhaupt wirklich eine Environmentanpassung oder ist es einfach eine grundsätzliche Meinungsverschiedenheit über diesen Basisvektor?

01:56:50: Ich würde ihm zustimmen.

01:56:52: aber ich meine wir kommen so ein bisschen dazu was meine Sicht der Dinge einfach ist.

01:56:57: Aber gut, wir nehmen an ich kann diese Kennzahl irgendwie berechnen.

01:57:03: dann ist natürlich die nächste Frage Kann ich sie irgendwie allgemeingültig berechnet?

01:57:07: Und da ist es auch wieder, das geht umso schlechter wie je variabler die betroffene Software irgendwie eingesetzt werden kann.

01:57:14: Weil umso mehr müsste das sozusagen streuen, je nachdem welches Szenario hier vorliegt.

01:57:19: Die Linux Kernel Entwickler und der Kernel ist natürlich ein extremes Beispiel weil dann Kernels sagen halt sie können das gar nicht.

01:57:27: Also Sie können einfach die Einsatzmöglichkeiten oder die faktischen Einsatzszenarien von dem Linux Kernal sind so breit gestreut.

01:57:36: Es ist ihnen nicht möglich, da eine sinnvoll allgemeingültige oder auch einfach nur sozusagen prinzipiell gültige Zahl draus zu berechnen.

01:57:45: Und sie sagen auch also jeder der an einer Linux TVE ein Severity Score welcher Art auch immer dran schreibt lückt euch an es sei denn er kennt euren individuellen Anwendungsfall ganz genau und schreibt ja diesen Schweregrad für euch daran.

01:58:02: Und Greg geht auch sogar weiter und sagt, jeder Versuch von NIST oder NVD zu versuchen an so Linux Lücken CVSS Scores dranzukleben sollte man einfach ignorieren.

01:58:14: Diese Nummern sind falsch und sie geben ein falsches Gefühl von Sicherheit.

01:58:21: Weiß ich nicht ob man da so steil mitgehen muss aber das Problem ist sehr real.

01:58:24: wenn man eine Software hat die in verschiedenen Szenaren zum Einsatz kommen dann ist es wahnsinnig schwierig einen Wert dranzusetzen Also der irgendwie sinnvoll ist als mittelwert oder durchschnittswert oder sonst irgendwas.

01:58:40: Und auch wenn man also, wenn man sagt okay das geht alles irgendwie nicht dann wäre es halt sinnvoll Nicht allgemeingültige spezifische Kennzahlen dran zu schreiben.

01:58:51: Das ist doch was die Linux Leute doch aus für sinnvolle achten.

01:58:54: die sagen also ja klar Wenn du genau weißt wie du den kernel einsetzt dann kannst du natürlich da kennenzahlen berechnen.

01:59:01: Dafür gibt es ja auch diese Modified Waste Matrix und so, dafür sind die da.

01:59:04: Also das System C++ kann das abbilden.

01:59:07: Die Frage ist halt wird das gemacht?

01:59:09: Und da würde mich jetzt aber interessieren was ihr uns hoffentlich vielleicht so sagen könnt aus eurer Praxis oder so wird das gemacht.

01:59:16: Ich habe hier wieder nur vom Linux Kernel des Beispiel wo's wohl früher Gruppen gab die das getan haben und diese Vorhaben aber eingeschlafen sind.

01:59:30: Greg Crow Hartmann sagt, weil die Gruppen, die das getan haben zu einem Schluss gekommen sind ist es einfacher einfach immer auf den neuesten stabilen Kernel zu gehen also sich aufzuhören zu versuchen das einfach nur irgendwie zu scoren oder so sondern sie nehmen einfach jeden Backfix mit und das verursacht weniger Schmerzen als die ganze Zeit versuchen irgendwie umgebungsspezifische Scores zu ermitteln und dann daraus irgendwie abzuleiten welchen Backfx man jetzt mitnimmt oder nicht.

01:59:56: Und das ist auch so ein bisschen, wo meine Grundsätzlich Kritik ansetzt.

02:00:01: Ich habe das Gefühl diese Systeme tendieren dazu komplexer und komplex zu werden.

02:00:06: Man kann immer mehr Metriken setzen und die überlagern sich oder überlaggen sich nicht Oder können von nachgelagern Instanzen gesetzt werden und dann gibt es Zusatzmetrigen Die gar nicht in den Score eingehen aber die vielleicht auch wichtig sind für irgendwelche Folgezahlen.

02:00:18: und so Ist es denn noch wert?

02:00:22: Die Idee war ja eigentlich irgendwie Ich will die Komplexität dieser Sicherheits, also Lücken irgendwie so runterbrechen dass ich mir nicht jede Lücke individuell angucken muss sondern halt irgendwie was klassifizieren kann.

02:00:35: Da irgendwie Feuer triage machen kann das einsortieren kann ohne mir jede Lücke und Detail angucken zu müssen.

02:00:42: Und jetzt muss ich nochmal kurz hier aufmachen von von CVS S-IV Null.

02:00:46: Was haben wir da?

02:00:47: Eins zwei drei vier fünf sechs sieben acht neun zehn elf.

02:01:01: Wenn ich jetzt für jede Lücke wirklich zweiunddreißig Metrigen setzen will, um dann ein Score zu haben und alle Meterinformationen die ich so brauche.

02:01:10: Dann muss ich mir sie doch eh im Detail angucken und kann nicht gleich sagen naja gut ich gucke mir halt die Lücke an und dann entscheide ich was damit getan werden muss.

02:01:17: gerne von mir aus anhand von irgendeinem Entscheidungsbaum wie du es hervorgestellt hast mit S SSVC, aber was also ist es wirklich sinnvoll diese diese Berechnungen von diesem von dieser eigenen Zahl auf über mehr und mehr Parameter zu stützen die zumindest meiner wahrnehme nach Die leute sozusagen.

02:01:38: Also diese zusätzlichen parameter weniger und weniger nutzen?

02:01:42: Aber vielleicht siehst du das ganz anders

02:01:46: Leider nicht.

02:01:47: ich glaube Und das macht ja auch die Problematik immer mit CVSS aus.

02:01:56: Diese ganze zusätzliche Komplexität fühlt sich immer so dran geschustert an, also auch bei diesen Sachen wie EPSS weil am Ende ist es dann ja auch wieder alles nicht zuverlässig, du baust dir ein System aus.

02:02:11: Was haben wir jetzt hier?

02:02:12: fünf verschiedenen Komponenten, wenn man jetzt so Hilfsachen wie CPE und CBE mit einberechnet aber aus im Wesentlichen zwei oder drei Kern-Scores Punktzahlen Wahrscheinlichkeiten.

02:02:27: Und dann die kannst du ja auch noch nicht mal irgendwie miteinander multiplizieren oder so um zu sagen okay das ist wirklich mein Risikoscore.

02:02:40: Das alles extrem... Unnötig komplex.

02:02:43: und am Ende muss ich auch wirklich sagen wir haben jetzt zwei stunden drüber gesprochen Wir haben das ja jeder auch noch mal stundenlang vorbereitet.

02:02:49: Ich fühle mich jetzt auch im nachhinein nicht viel schlauer bei der konkreten frage Wie finde ich denn jetzt eigentlich raus ob eine sicherheitslücke, ob ich eine sicherzlücke sofort behandeln muss oder nicht?

02:02:59: wo auf welchen set guck ich?

02:03:00: Und am ende aus darauf hinaus dass sich dann auch wieder zurückfalle auf ist sie über neun Oder ist unterneuen im cvss drei?

02:03:08: punkt eins weil irgendwas also irgendeinen tot musste sterben und alles andere macht nur Komplexität ohne mehr Entscheidungs-Sicherheit zu bringen.

02:03:18: Zumindest ist das mein Gefühl.

02:03:19: und dass es dann auch wirklich die Fundamentalkothek an dem ganzen System, es ist Komplexkeit hinzugefügt worden in jeder neuen Version des Standards in allen Addenda-, in allen Zusatzmetriken, die für jemanden der morgens aufsteht und einen Katalog von Sicherheitslücken vor sich sieht und sich entscheiden muss, muss ich das heute patchen oder nicht?

02:03:42: Irgendwie... dass es nicht leichter macht, das ist zumindest mein Gefühl.

02:03:47: Ja also insbesondere ich meine... Also ich bin ja ganz dabei.

02:03:51: Ich glaube wenn man einfach nur eine Klassifizierung haben würde die Sack halt passt mal auf und es gibt irgendwie Low Medium High Und du schreibst halt irgendwie da dran über hast also hast ein Argument warum das jetzt seine Meinung nach medium ist einer Schreibzeit dran und dann kann man drüber debattieren.

02:04:06: weil die Debatten haben wir E ne?

02:04:08: Die debatten haben wir auch.

02:04:09: mit den CVSS scores Würde das auch, also diese Zahl gerade mit dieser Nachkommastelle die suggeriert irgendwie so eine Präzision.

02:04:21: Das ist glaube ich sehr dazu verleitet zu sagen naja gut Alles unter x oder y kann nicht schon einigermaßen sicher ignorieren und es ist halt das hatten wir jetzt mehrfach Nicht der Fall weil wir es nützt euch dass wenn der Wert relativ niedrig ist weil die Die attack complexity halt irgendwie sehr hoch ist und keine ahnung was gesetzt ist aber das auf euch halt zutrifft Bei euch ist halt dieser Angreifer irgendwie vorhanden und bei euch fehlt auch irgendwie eine... oder bei euch ist auch irgendwas komisch, was halt die Auswirkungen der Lücke vergrößert.

02:04:58: Normalerweise siehst du irgendwie confidentiell nicht relevant aber bei euch halt schon oder so.

02:05:03: Ihr müsst euch das eh... ihr müsst die Lücke verstehen und dann könnt ihr irgendwie beurteilen ob ihr das auf die lange Bank schieben könnt oder nicht.

02:05:10: Wir als Journalisten haben perverserweise finde ich von diesen scores sogar noch ein bisschen mehr, weil wir sagen natürlich auch so.

02:05:18: Das ist neun Komma achter reden wir eher drüber als über irgendwie eine.

02:05:22: drei Komma weiß was ich was.

02:05:24: aber Wir schreiben ja auch nicht für jedes einzelne individuum.

02:05:29: wir versuchen ja sozusagen über die Sachen zu berichten die möglichst viele leute gerade Wissen sollten Und prägen natürlich hoch wenn irgendwas ist was ganz viele Leute gerade wissen müssen.

02:05:40: Aber jeder einzelne Betroffene, für den ist er völlig unerheblich.

02:05:43: Ob viele andere Leute auch gerade betroffen sind oder nicht?

02:05:46: Die Frage ist, ist euer System betroffen?

02:05:48: und danach müsst ihr priorisieren.

02:05:50: Und dafür sind diese Werte halt finde ich nicht so gut.

02:05:54: Ja also ich glaube der sinnvollste Rat eigentlich immer oder kann eigentlich mehr oder weniger nur sein bringt euch in die Lage dass ihr diese Betrachtung überhaupt nicht machen muss sondern das ihr wisst welches Software einsetzt Peaches rauskommen einfach einspielen irgendwie sowas so dieses.

02:06:13: ich glaube dass das ganze thema mit wir gucken erst mal welche patches wir ein spielen welcher updates wir einspilen welche wen noch auf die lange bank schieben.

02:06:22: das wird sowieso ja in den nächsten monaten weiter zu einem ding und möglichkeit werden weil die schlag zahlen und auch die mengen an cvs.

02:06:30: So massiv steigen.

02:06:31: ich habe doch gerade Als wir hier aufgenommen haben, da flog doch irgend so eine Desktop-Bennacht, die man mir vorbei das Oracle mehrere hundert Sicherheitslücken gepatched hat.

02:06:42: Wie will ich denn da als admin oder IT verantwortlicher noch bei zweihundert Sicherheizlücken in einem Patch rausfinden?

02:06:49: Welche für mich relevant sind welche nicht?

02:06:53: Ja und vor allem also ich glaube die ursprüngliche... Also es ist viel von der Motivation dahinter ist ja ein bisschen so naja aber wenn ich halt irgendwie die ganze Zeit zuhundert Pages einspiel habe ich halt eine gewisse Wahrscheinlichkeit dass mir irgendwas kaputt geht, weil halt irgendeine Regression drin ist oder so.

02:07:07: Und ich könnte diese Wahrscheinlichheit sozusagen sinnvoll senken indem ich sage ja ich gucke mir die alle an und stellt sich raus Ich brauche nur den Patch und den Patch oder so.

02:07:19: aber wenn wir halt also ah glaube ich nicht das diese Rechnung sinnvoll isst.

02:07:23: Aber wenn man sich auf dieser Rechnungen einlässt und dann aber jetzt in der Situation ist hinterher aktuell sind das halt nicht.

02:07:29: irgendwie Zehn Lücken kommen, ich sage die acht und die neun bei euch sogar nicht.

02:07:34: Ich spiele die eine ein.

02:07:37: Sondern jetzt kommen halt zweihundert und du sagst na gut, ich wühle mich da durch.

02:07:42: dann habe ich irgendwie drei Tage vergeutet und bin zum Schluss gekommen diese fünfunddreißig muss ich einspielen Dann hab' ich auch eine erhebliche Regressionsproblematik weil ich halt grad fünfunddreßig Patches reingeklappen muss.

02:07:51: also ist es nicht besser die Systeme so umzuziehen, dass ich sage, ich kloppe da halt hundert und ich klopp da zweiein oder tausend Patches rein.

02:07:58: Mein System ist auch ausgelegt wie das wenn irgendwas auf die Nase fällt, halt gute Failover funktioniert und so... Und vielleicht noch ein System in der Hinterhand?

02:08:04: Das hat ihr ab jetzt noch nicht eingespielt und so!

02:08:06: Also dass ich einfach meine Organisation drauf auslege, dass sie gut damit zu Rande kommt schnell viele Patches einzuspielen ...und weniger versuche die Zahl der notwendige Einzuspielenden Patches geringzuhalten.

02:08:21: Ja, ich glaube wir bewegen uns einfach ganz rapide aus diesem Zeitalter heraus wo sich irgendeine Organisation noch leisten kann zu sagen.

02:08:29: Der Windows-Patchteil war am Mittwoch und wir gucken aber erstmal und testen alles erst mal ausgiebig weil ja nicht nur die Menge der Patches, die Menge dieser Sicherheitslücke pro Patch extrem gestiegen ist in den letzten Monaten sondern auch der Zeitraum zwischen einer Sicherheitslücke die gepatched wird Und es gibt einen Exploit für eben jene Sicherheitsluke massiv sinkt.

02:08:50: Das ist ja durch Reverse-Engineering der jeweiligen Patches, bei Linux natürlich besonders einfach aber auch bei Windows innerhalb von Stunden evident.

02:08:58: Dass man dann das die ganzen Exploritschreiber durch die Patches-Reverse engenieren und sich dann in Explorit schreiben und wenn ich den Patch am Mittwoch... kriege und sage auch ich spiele den erst zum nächsten wochen.

02:09:09: ende einer sind das drei tage in denen angreifers schon die aus nutzen können und das passiert ja schon.

02:09:16: im grunde kann ja der rad eigentlich nur sein guckt euch diese ganzen maßzahlen nicht an lasst euch nicht von cvss ist nur sechs kommer acht ins boxhorn jagen wenn patch dann patchen Und auch gar nicht so dieses ich mach das in vierzehn Tagen, ich mache das in sechzig tagen und ich mache hier eine Triage sondern wenn patch da dann einspielen.

02:09:36: Wenn eure Organisationen eurer euer euere IT Anlagen davon kaputtbrechen regelmäßig oder immer wieder anpassungsarbeiten notwendig sind oder sowas Dann ist das glaube ich der Fehler.

02:09:49: und dass es dann ist das wo man anfassen muss weil sonst überlebt das ja die nächsten zwei Jahre nicht.

02:09:54: so ein System

02:09:56: Ja, sehe ich genauso.

02:09:57: Also ich würde auch weitergehen und ich glaube wir bewegen uns aus dem Zeitraum da raus.

02:10:00: vielleicht hätten wir auch nie in diesem Zeitraum sein sollen.

02:10:03: Ich habe das Konzept nie so ganz verstanden.

02:10:04: aber wo es sowas wie den Patch Day gibt ne?

02:10:08: Ich befürchte halt große Organisationen die halt sagen ja wieso wir patch'n?

02:10:13: nicht wenn es einen dringenden Patch gibt sondern wir patch mal der Patch Day weil das der Patch day... dass die das noch relativ lange beibehalten Können wenn sie wollen und zum schaden ihrer kunden.

02:10:26: aber, das ist also ich.

02:10:29: Ich befürchte uns werden die patches erhalten bleiben obwohl man finde ich einig sagen müssen was soll der kram?

02:10:35: Ihr patcht halt so schnell wie möglich und die leute spielen die patches zu schnell wie möglichst ein.

02:10:39: Ja

02:10:42: ja Ist ja jetzt auch wieder nicht so dass also ich Nichts als das positivste Fazit?

02:10:48: wir haben keine Wir haben keine gute idee.

02:10:56: Wenn ihr alles gut gescoredt und überall Metadaten getackert habt, dann wisst ihr ganz sicher was für ein Risiko eine Sicherheitslücke hat.

02:11:02: Insofern ist es nach wie vor so, dass wir beide diesen CVSS-Thema und der Bedeutung dieser ganzen Scores sehr kritisch gegenüberstehen und es da einfach grundsätzliche Probleme gibt.

02:11:20: Ich find's jetzt nicht so, also ja natürlich sehen wir das sehr kritisch.

02:11:23: Ich muss mich entschuldigen für den Scheinbar werde ich gleich vom Rasen mehr überfahren.

02:11:27: Ich weiß nicht was die da draußen treiben aber es ist jetzt sehr laut.

02:11:31: Aber bevor ich das zeitliche segne wollte noch sagen so negativ finde ich gar nicht.

02:11:35: Also was was hier glaube ich mitgeben wollten ist betrachte dieses scores halt auch kritisch.

02:11:41: Das heißt nicht die sind irgendwie völlig nutzlos und ihr müsst irgendwie aufhändig her zu nehmen.

02:11:45: Aber ihr solltet ihr halt nicht hernehmen als sozusagen Zweifelsfreie Maßzahl darf für ob euch eine Lücke auf die Füße fällt oder nicht, weil sie das nicht leisten können auch nie geleistet haben und vermutlich immer weniger leisten werden.

02:12:02: Aber wenn ihr sozusagen euch kritisch mit diesen Dingern auseinandersetzt dann könnt ihr die durchaus einen Wert haben oder so.

02:12:12: Und es ist auch eigentlich unerheblich der Punkt dieses Kurschen in der Welt die werden vergeben.

02:12:16: man sollte wissen wie man die zu interpretieren

02:12:18: hat

02:12:19: oder wie man die ja besten interpretiert.

02:12:21: Und dafür haben wir euch jetzt hoffentlich das Handwerkzeug und ein paar mehr Hintergründe gegeben, auch einen kleinen Überblick darüber was es jenseits der reinen Scores gibt.

02:12:32: ich weiß nichts mehr zu sagen.

02:12:36: Ich glaube wir sind durch und der Silvester hört uns sieht sowieso schon fast nichts mehr weil der Rasenmäher schon vor der Tür steht im Studio.

02:12:45: Dann würde ich sagen verabschieden wir Silvester unter den Balkenmäher und ansonsten, wir beide uns von euch.

02:12:53: Das war's dann für heute bis zum nächsten Mal.

02:12:59: und denkt daran!

02:13:01: Dieser Podcast ist das einzige Passwort dass ihr teilen solltet.

02:13:04: Achso und weil du es vergessen hast Feedback bitte an password-podcastatheise.de.

02:13:11: Wie gesagt, wir freuen uns gerade hier sehr über Feedback.

02:13:14: Erzählt uns gerne wie ihr euer CVSS-Score noch erweitert oder nicht oder anderweitig weiterverwendet.

02:13:21: Ciao ciao!

02:13:22: Tschüss bis dann.