ZDNet hat sich mit Litchfield über seine Motivation unterhalten, die Lücken an die Öffentlichkeit zu bringen, obwohl einige der Beobachter ihn als „Unruhestifter“ sehen.
ZDNet: Beobachten Sie die Sicherheitsprobleme von Oracle schon seit einiger Zeit?
Litchfield: Es gab einige Presseberichte, in denen behauptet wurde, ich hätte erst mit dem Start ihrer „Unbreakable“-Kampagne angefangen, auf Sicherheitslücken hinzuweisen. Aber das ist nicht wahr. Ich habe schon vorher nach Sicherheitslücken in Oracle-Produkten gesucht, nicht nur in Produkten von Oracle, sondern auch von IBM, Microsoft und anderen. Wenn sie sich die Oracle-Security-Alerts ansehen, werden Sie meinen Namen schon vorher in Zusammenhang mit der Aufdeckung verschiedener Lücken finden. Die meisten wurden erst während der Oracle-Unbreakable-Kampagne darauf aufmerksam, einfach deswegen, weil diese großes Medieninteresse auf sich gezogen hat.
ZDNet: Was ist der Hintergrund Ihrer neuesten Rede, die alle diese Diskussionen ausgelöst hat?
Litchfield: Letztes Jahr um diese Zeit wollte ich auf der Black Hat-Konferenz ein Papier über einige Sicherheitslücken herausgeben. Oracle hat versprochen, dass die Patches vor meiner Rede bereitstehen würden. Fünf Minuten bevor ich weitermachen wollte, sagten sie mir, dass die Patches nicht bereitstehen würden. Ich musste also meine Notizen wegwerfen und mir eine Rede aus dem Ärmel schütteln. Glücklicherweise hatte ich genügend Material, um über etwas anderes zu sprechen. Ich habe mich so entschieden, weil ich durch die Bekanntgabe der Sicherheitslücken Kunden einem Risiko ausgesetzt hätte. Ich habe nicht darüber gesprochen, was der richtige und verantwortungsbewusste Weg war.
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…