ZeroDiscIo von YesWeHack in neuer Version

YesWeHack bringt eine neue Version von ZeroDiscIo. Dabei handelt es sich um eine unabhängige Plattform, die gemeinnützig ist und das koordinierte Melden von Sicherheitsschwachstellen möglich macht. Das bedeutet, dass Hacker in die Lage versetzt werden, in einem rechtlich sicheren Umfeld über ZeroDiscIo.com anonym Schwachstellen zu melden. Die Plattform existiert bereits seit 2016.

Grafik: YesWeHack

Die Reports werden verschlüsselt an das zuständige CERT (Computer Emergency Response Team) übermittelt. Seit Bestehen der Plattform wurden mehrere hundert Sicherheitslücken darüber gemeldet. Um diesen Prozess noch einfacher und nutzerfreundlicher zu gestalten, wurde das Angebot komplett überarbeitet und neu strukturiert.

Höchster Schutz für Melder und Empfänger von Schwachstellenreports

ZeroDisclo schlägt eine Brücke zwischen einem ethischen Hacker und einem CERT. Die Plattform formalisiert den Aufdeckungsprozess von IT-Sicherheitsschwachstellen und schützt dabei den Melder der Schwachstelle. Zugleich erhält das zuständige CERT detaillierte Informationen zu Schwachstellen, ohne dass diese an die Öffentlichkeit gelangen. Ein besonderes Augenmerk liegt auf Anonymität und Datenschutz: Dank der Verschlüsselung des Berichts mit den Schlüsseln der Person, die den Bericht einreicht sowie den Schlüsseln der empfangenden Organisation, fungiert ZeroDisclo.com als anonymer „Treibriemen“ für den Meldeprozess.

 ZeroDisclo ist auch als .onion-Instanz verfügbar, was eine koordinierte Meldung von Schwachstellen über den Tor-Browser ermöglicht. Unabhängig davon, welchen Webbrowser der Einsender verwendet, wird der Bericht mit dem öffentlichen Schlüssel der empfangenden Organisation verschlüsselt, dann signiert und mit einem Zeitstempel versehen. Der Zeitstempel wird anhand eines Blockchain-Eintrages erstellt. Die Site sendet den Bericht dann an ein CERT. Der Schwachstellenentdecker erhält ein Zertifikat als Hinterlegungsnachweis.

Dank ZeroDisclo können Schwachstellen offengelegt werden, ohne dass sich auf der Plattform ein gefährliches Wissen über die Fehler in den Informationssystemen Dritter ansammelt. Die Personen, die ZeroDisclo.com verwalten, haben zu keinem Zeitpunkt Zugriff auf die Details der beschriebenen Schwachstelle.

Weitere Informationen:www.yeswehack.com