Info vom 19.05.17

Auf Mission gegen Software Sicherheitslücken, um Vorfälle wie WannaCry zu reduzieren!

Interview mit Aral Yaman, Noser Engineering AG Luzern

Vor ein paar Tagen wurde die Welt durch die Verbreitung der Schadsoftware «Wanna Cry» aufgeschreckt. Hunderte Computerexperten waren anschliessend rund um die Uhr damit beschäftigt, die Ausbreitung der Schadsoftware zu bekämpfen. Laut Medienaussagen gab es mindestens 200’000 Geschädigte in 150 Ländern, bevor die Schadsoftware lahmgelegt werden konnte. Wie kann es zu solchen Attacken kommen und gibt es «Hacker» die auf der «guten Seite» stehen?

Aral Yaman gehört der guten Seite an. Er arbeitet seit fünf Jahren bei Noser Engineering als Software Engineer und liebt es, in der Freizeit teilweise monatelang nach Sicherheitslücken zu suchen, um diese dann schliessen zu lassen. Der IT-Crack macht die Software-Welt dadurch ein kleines Stück sicherer. Manchmal springt sogar der eine oder andere Dollar/Franken für ihn heraus. Das ist aber nicht die Hauptmotivation, wie wir noch erfahren werden.

Wie bist Du dazu gekommen, Sicherheitslücken zu suchen?

Für mich waren die Themen Hacking und IT-Security immer sehr faszinierend und «geheimnisvoll», war dies doch zu Beginn noch ein völlig unbekanntes Gebiet. Ich wollte immer wissen, wie es möglich ist z.B. über einen Web-Browser in ein fremdes System einzudringen. Dabei war mein Interesse immer nur der Weg zum Ziel und nicht die Möglichkeiten die man hätte, wenn es tatsächlich auch gelingt. Ich fing an Bücher darüber zu lesen sowie Hacker- und IT-Security-Konferenzen zu besuchen, um mehr zu erfahren. Dabei war mir kein Weg zu weit und ich flog sogar einmal nach Las Vegas, um an einer der weltweit grössten Veranstaltungen (DEFCON) für Hacker zu besuchen. Mir wurde mit der Zeit bewusst, dass gewisse Arten von Softwarefehler als Schlupfloch verwendet werden können, um Programmcode auf einem Fremdsystem auszuführen. Aus Neugier fing ich an, selber solche Sicherheitslücken in Software Programmen zu suchen.

Was ist dabei Deine Motivation?

Meine Hauptmotivation ist,  Software sicherer zu machen, indem ich Sicherheitslücken aufdecke und diese dann dem betroffenen Softwarehersteller melde. Eine weitere Motivation sind sogenannte Bug-Bounty Programme, die von vereinzelten Softwareherstellern geführt werden. Dabei werden gemeldete Sicherheitslücken monetär belohnt.

Was war dein grösster Erfolg?

Ich hatte einige Sicherheitslücken im Firefox Browser durch automatisiertes Testen gefunden (Blogpost 1 und Blogpost 2). Mein persönliches Highlight war aber eine kritische Sicherheitslücke im Windows Betriebssystem.

Profitieren auch Noser Engineering Kunden von Deinem grossen Wissen in Sachen Software-Security?

Für mich ist wichtig, dass ich auch bei der täglichen Entwicklung von Softwareprodukten auf Software-Security achte. Wenn immer möglich lasse ich Aspekte aus der sicheren Softwareentwicklung einfliessen und der Kunde profitiert so von meinem Wissen.

 Was möchtest Du uns auf den Weg geben?

Für viele Softwarehersteller ist Security ein leidiges und teures Thema. Nichtsdestotrotz ist es im Zeitalter von immer mehr vernetzten Geräten – Stichwort IoT –  umso wichtiger, dass man Security, von Anfang an miteinbezieht. Gegebenenfalls holt man sich besser Unterstützung und reagiert vorher, bevor es zu spät ist.

Aral, herzlichen Dank fürs Interview