Information Security Society Switzerland (ISSS)
menu

ISSS Security Lunch

"The Known Unknowns & Outbidding Cyber Criminals"

Dieser Anlass ist ein ISSS Security Lunch mit Vortrag und Mittagessen.

Datum: 23. September 2014, 12:00-14:00 Uhr
Ort: Zunfthaus zur Schneidern, Stüssihofstatt 3, 8001 Zürich
Anmeldeschluss: 23. September 2014, 12.00 Uhr
 
Kosten: Der Unkostenbeitrag für den Security Lunch beträgt CHF 55.- (inklusive 2-Gang Menü, Mineralwasser, 1 Kaffee oder Tee). Dieser Betrag wird Ihnen nach dem Security Lunch in Rechnung gestellt werden, zahlbar innert 10 Tagen.
 
Referent:  
  • Dr. Stefan Frei, Dozent ETH, Contractor 
 
 
Slides: werden gegebenenfalls nach der Veranstaltung in der Member Area verlinkt
Video: wird gegebenenfalls nach der Veranstaltung in der Member Area verlinkt


Kurzbeschreibung:

Laufend werden neue Sicherheitsschwachstellen entdeckt, die von Cybercriminals ausgenutzt werden und dadurch erhebliche finanzielle Verluste für Anbieter, Nutzer und die Gesellschaft als ganzes mit sich bringen.


Der klassische Lösungsansatz, mit dem versucht wird das Problem in den Griff zu kriegen, besteht oft darin, immer mehr und komplexere Sicherheitstechnologien einzusetzen, in der Hoffnung Attacken zu verhindern oder zumindest einzugrenzen. Die Erfahrung zeigt uns aber, dass damit zumindest bisher kein durchschlagender Erfolg verzeichnet werden konnte.


Dr. Stefan Frei wird in seinem Referat auf eine andere, neuartige Möglichkeit eingehen um mit der Bedrohung durch Softwareschwachstellen umzugehen. Die Ergebnisse basieren auf einer umfassenden Studie, die er im Rahmen seiner Funktion als Research Director von NSS Labs geleitet hat. Dabei wird er zuerst aufzeigen, dass aktuelle Ansätze um die Problematik einzugrenzen tatsächlich einen begrenzten Nutzen bringen. So verfügten z.B. privilegierte Gruppen im Durchschnitt an jedem Tag der letzten drei Jahre über mehr als 100 noch nicht publizierte und damit den Betroffenen noch nicht bekannte Schwachstellen, sogenannte “Known Unknowns”.


Basierend auf dieser Erkenntnis präsentiert Herr Frei einen ganz anderen Lösungsansatz. Die Überlegung ist die, dass man noch nicht öffentlich bekannte Softwareschwachstellen, welche auf dem Cyber Black Market gehandelt werden, systematisch den Cybercriminals „wegkauft“, indem man konsequent höhere Preise bietet – man versucht also, die Cybercriminals durch ökonomische Massnahmen zu schlagen, so dass diese gar nie in den Besitz ausnutzbarer Schwachstellen geraten.

 

Um dies empirisch zu untermauern wurden im Rahmen der Studie bereits verfügbare Vulnerability Purchase Programs analysiert. Dies erlaubt Aussagen, welcher Anteil der Schachstellen bereits heute über diese Kanäle verkauft werden, wieviel Geld dabei fliesst und was umgekehrt die Preise auf dem Cyber Black Market sind. In seiner Analyse kommt Herr Frei zum Schluss, dass es einen Softwarehersteller typischerweise weniger als 1% seines Umsatzes kostet, wenn er sämtliche „seine“ Schwachstellen zu USD 150'000 pro Stück selbst zurückkaufen würde. Selbst wenn alle Schwachstellen durch ein internationales Bug-Bounty Programm gekauft würden, betragen die damit verbundenen Kosten weniger als 0.01% des Bruttosozialprodukts in der USA oder der EU, oder weniger als 1% der geschätzten Kosten von Cybercrime. Es ist für die Hersteller und die Gesellschaft  deshalb ökonomisch durchaus sinnvoll, die Schwachstellen selbst im grossen Stil zu kaufen um die Verluste zu reduzieren, legale Incentives für den Verkauf von Schwachstellen zu schaffen und um Transparenz zu bieten.

Slides:

werden gegebenenfalls nach der Veranstaltung hier verlinkt

Biografische Angaben zum Referenten

 

Dr. Stefan Frei, Dozent ETH, Contractor
Seit mehr als 10 Jahren untersucht Dr. Stefan Frei Entwicklungen im Bereich Cybercrime aus der Sicht der Angreifer um Trends und Bedrohungen frühzeitig zu erkennen und Geschäftsentscheide mit Daten und Fakten zu unterstützen, zuletzt als Research VP bei NSS Labs oder Research Director bei Secunia. Dr. Frei verfügt über umfangreiche Erfahrung im Bereich Internet Security und entwickelte Kernkompetenzen in den Bereichen Penetration Testing, Datamining und Security Consulting auf Stufe Technik und Management. Er ist angesehener Sicherheitsexperte und spricht regelmässig an führenden Konferenzen wie ISF, BlackHat, Defcon, FIRST und RSA. Dr. Frei ist Dozent für Netzwerksicherheit an der ETH Zürich und hat Abschlüsse in Elektrotechnik und Technologie & Business Management; zudem er ist Autor mehrerer anerkannter Publikationen.

Ort:
Zunfthaus zur Schneidern
Stüssihofstatt 3
CH-8001 Zürich
Karte

Erreichbarkeit:
Das Zunfthaus zur Schneidern liegt im Herzen von Zürich.  Sie erreichen es mit den Tramlinien 4 oder 15 bis Haltestelle Rathaus.

Falls Sie mit Ihrem Personenwagen anreisen empfehlen wir Ihnen das öffentliche Parkhaus Urania in der Uraniastrasse 3 oder das Parkhaus Hohe Promenade zu benutzen. Das Zunfthaus zur Schneidern hat keine hauseigenen Parkplätze.


Preis:
Der Unkostenbeitrag für den Security Lunch beträgt CHF 55.- (inklusive 2-Gang Menü, Mineralwasser, 1 Kaffee oder Tee). Dieser Betrag wird Ihnen nach dem Security Lunch in Rechnung gestellt werden, zahlbar innert 10 Tagen.

Eine Abmeldung kann ohne Kostenfolge bis 3 Arbeitstage vor dem Anlass (bis 12:00 Uhr) erfolgen. Bei einer späteren Abmeldung oder bei Nichterscheinen ohne Abmeldung wird der volle Betrag in Rechnung gestellt.

 

Menu:
Menu 1 = Fleisch
Menu 2 = Vegetarisch


Anmeldeformular: