Fragen? Antworten! Siehe auch: Alternativlos
im Nachgang zum vorweihnachtlichen Blog-Aufreger und den zahlreichen Referenzen in den CCC-/Fnord-Jahresrückblicken hatte ich Frank auf dem Flur noch eine Nachreichung zum verwendeten DAF-Klassifizierungsschema versprochen.Vielen Dank an der Stelle an das BSI, dass sie mir das geschickt haben.Bei der Erstellung unserer Security Advisories verwenden wir das, zugegebenermaßen von einem recht übersichtlichen Nutzerkreis verwendete, "Deutsche Advisory Format".
Da das spezifische Risiko einer Schwachstelle letztlich nur vom Systeminhaber abgeleitet werden kann, ist ein zweistufiges Verfahren vorgesehen. In einem ersten Schritt wird über das beschriebene Verfahren zunächst aus der Kenntnis über Status und Ausnutzbarkeit einer Schwachstelle, sowie dem möglichen Schaden eine klientel-unabhängige Risikostufe berechnet. Das Format sieht dafür 5 Stufen vor (1 - sehr gering bis 5 - sehr hoch). Die errechnete Risikostufe wird in allen unseren Advisories verwendet. Basierend darauf kann der Empfänger in einem zweiten Schritt die spezifische, von der Anwendungsumgebung abhängige Eintrittswahrscheinlichkeit ermitteln und ggf. für die Priorisierung seines Patchmanagements verwenden.
Eine umfassendere Beschreibung des Formats findet sich inzwischen hier: https://www.cert-bund.de/risk
Konkret für die Netgear Schwachstelle heißt das:
Die Summe aus der Veröffentlichung eines Exploits (1) und die Möglichkeit einer automatischen Verbreitung (2) ergibt zunächst eine "hohe" Dringlichkeit.
Die Summe aus der entfernten Ausführbarkeit (3) von beliebigem Programmcode mit Adminrechten ("Systemübernahme") (4) ergibt weiterhin ein "sehr hohes" Schadenspotenzial.
Die Summe aus hoher Dringlichkeit und sehr hohem Schadenpotenzial ergibt dann die Risikostufe "sehr hoch".Ich hoffe, das Konzept wird damit einigermaßen verständlich.
In den "CERT-Bund Kurzinfos" finden sich diese für das Verstehen recht wichtigen Details, in den "BSI für Bürger - Sicherheitsinfos" werden diese allerdings bislang bewusst ausgeblendet.
Wir planen derzeit die Risikobewertung unserer Meldungen durch CVSS zu ergänzen. Hier besteht allerdings die ergänzende Herausfordung, bei Schwachstellen mit ungenauen Herstellerangaben zur Auswirkung einen "sinnvollen" CVSS-Wert anzugeben.