PRESSEKONTAKTE
Nathan Misner
Fr. Direktor für globale Kommunikation
F5 Networks
(206) 272-7494
n.misner@F5.com
BELMONT, KALIFORNIEN - 9. April 2014 - Defense.Net, das einzige Unternehmen, das den zunehmenden Umfang und die zunehmende Raffinesse moderner DDoS-Angriffe (Distributed Denial of Service) eindämmen soll, veröffentlichte heute eine Stellungnahme des Unternehmensgründers Barrett Lyon zur gestern Abend bekannt gegebenen Heartbleed"-Schwachstelle, die mehr als eine halbe Million Websites gefährdet und möglicherweise einer der katastrophalsten Fehler in der Geschichte der sicheren Datenverarbeitung ist.
Lyon, dessen Verfolgung von Hackern, die als Teil der russischen Mafia operieren, in dem Bestseller Fatal System Error festgehalten wurde und der vor mehr als 10 Jahren die heute 1 Milliarde Dollar schwere DDoS-Abwehrindustrie ins Leben rief, bemerkte Folgendes:
- Solange eine OpenSSL-Implementierung nicht gepatcht wurde, kann jeder aus der Ferne 64K-Blöcke des Speichers einsehen. Anders ausgedrückt: Alles, was im Speicher des verwundbaren Servers zurückgelassen wurde, wird zu öffentlichen Daten... Das können Passwörter, Konten, persönliche Daten und die privaten SSL-Schlüssel des Servers selbst sein! Um Ihnen eine Vorstellung davon zu geben, wie groß das Problem ist, wird diese Software in allen Bereichen eingesetzt, von Websites, VPNs, speziellen Netzwerkgeräten, E-Mail-Kommunikation bis hin zu Telefonanwendungen."
- Ob es sich dabei um einen Fehler oder eine absichtliche Hinzufügung handelt, ist zum jetzigen Zeitpunkt reine Spekulation, und es befindet sich seit über zwei Jahren in der Software, so dass jeder, der OpenSSL verwendet, gefährdet ist."
- Erschwerend kommt hinzu, dass, sobald der Fehler weltweit gepatcht ist, höchstwahrscheinlich jedes SSL-Zertifikat, das sich auf einem gefährdeten Server befand, neu ausgestellt werden muss, was einen absoluten logistischen und sicherheitstechnischen Albtraum darstellt. Die Kosten für die Ersetzung einer halben Million SSL-Zertifikate könnten sich auf mehrere hundert Millionen Dollar belaufen, und es ist unklar, wann dies geschehen kann oder wird."
- Aber es gibt eine sofortige Lösung, die bereits Millionen von Websites vor Heartbleed geschützt hat. Ein Nebeneffekt der DDoS-Abwehr von Defense.Net ist ein besseres und besser geschütztes Netzwerk. Bei der Bereinigung von ungültigen Bots und der Beseitigung von Angriffsverkehr validiert die DDoS-Abwehr von Defense.Net auch legitime Netzwerkprotokolle gegenüber illegitimen. Dies wird durch einen Prozess erreicht, bei dem wir auf einer Ebene unseres Netzwerks eine proprietäre SSL/TLS-Implementierung erstellen und auf einer anderen Ebene unseres Netzwerks das Verhalten von Datenverkehr überwachen und blockieren, der versucht, den Heartbleed-Bug auszunutzen."
Weitere Einzelheiten finden Sie in Lyons Blog, der aktualisiert wird, sobald mehr über diese Sicherheitslücke bekannt wird.
Nachtrag: F5 Networks übernahm Defense.Net im Mai 2014
Über F5
F5 (NASDAQ: FFIV) sorgt dafür, dass Apps für die weltweit größten Unternehmen, Dienstanbieter, Regierungen und Verbrauchermarken schneller, intelligenter und sicherer werden. F5 liefert Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die Anwendungsinfrastruktur ihrer Wahl zu nutzen, ohne dabei auf Geschwindigkeit und Kontrolle verzichten zu müssen. Weitere Informationen finden Sie unter f5.com. Sie können @f5networks auch auf Twitter folgen oder uns auf LinkedIn und Facebook besuchen, um weitere Informationen zu F5, seinen Partnern und Technologien zu erhalten.
F5 ist eine Marke oder Dienstleistungsmarke von F5 Networks, Inc. in den USA und anderen Ländern. Alle anderen hierin genannten Produkt- und Firmennamen können Marken ihrer jeweiligen Eigentümer sein.
# # #
Diese Pressemitteilung kann zukunftsbezogene Aussagen zu zukünftigen Ereignissen oder zur zukünftigen finanziellen Entwicklung enthalten, die mit Risiken und Unsicherheiten verbunden sind. Derartige Aussagen sind an Begriffen wie „kann“, „wird“, „sollte“, „erwartet“, „plant“, „nimmt an“, „glaubt“, „schätzt“, „sagt voraus“, „potenziell“ oder „fortsetzen“ bzw. der Verneinung dieser Begriffe oder vergleichbarer Begriffe zu erkennen. Bei diesen Aussagen handelt es sich lediglich um Vorhersagen. Die tatsächlichen Ergebnisse können aufgrund einer Reihe von Faktoren, einschließlich der in den Unterlagen des Unternehmens bei der SEC genannten, erheblich von den in diesen Aussagen erwarteten Ergebnissen abweichen.