"Softwarefirmen sind Hackern völlig ausgeliefert"
Streit um Zeitpunkt der Veröffentlichung von Sicherheitslücken
Washington
(pte/27.03.2007/12:15) -
Der Zeitpunkt für die Veröffentlichung von Sicherheitslücken ist seit langem ein Streitpunkt zwischen Softwareanbietern und Entdeckern der Lücken. Einmal mehr wurde die Problematik auf der Hacker-Konferenz Shmoocon http://shmoocon.org diskutiert. "Die Macht liegt in den Händen der Entwickler, die Software analysieren", sagte die Security-Chefin von Mozilla, Window Snyder. Wenn es um die Veröffentlichung von Sicherheitslücken geht, seien Softwarefirmen Hackern völlig ausgeliefert. "Sie bestimmen, wann sie eine Lücke veröffentlichen, und sie kontrollieren diese Information. Dabei ist es egal, ob ein Software-Anbieter rechtzeitig reagiert oder nicht", so Snyder.
Für die Industrie ist eine sofortige Veröffentlichung bitter, denn damit bleibt kaum Zeit, die Lücke zu stopfen. Die Veröffentlichung spielt zudem Kriminellen in die Hände, die dadurch wissen, wo sei angreifen müssen, um das System zu brechen, so das Argument. Daher setzt sich die Softwareindustrie dafür ein, gefundene Lücken zunächst vertraulich zu behandeln. Der betroffenen Firma wird somit Zeit zugestanden, um den Fehler per Patch zu beheben. Diese Vorgehensweise wird "verantwortungsvolle Offenlegung" (responsible disclosure) genannt.
"Beim Entdecken einer Softwareschwachstelle sollte zuallererst der Hersteller informiert werden, um diese möglichst schnell durch einen Patch schließen zu können", meint Olaf Lindner, Senior Director Symantec Consulting Services Central EMEA, auf Anfrage von pressetext. "Symantec informiert die Öffentlichkeit über eine Schwachstelle erst dann, wenn wir einen Patch entwickelt, gründlich getestet und unseren Lizenzkunden zur Verfügung gestellt haben. Ferner raten wir unseren Kunden, eine Schwachstelle bei Erscheinen des Patches auch sofort zu schließen, denn sobald sie bekannt ist steigt auch die Gefahr des Ausnutzens durch andere." Symantec ist Gründungsmitglied der Organization for Internet Safety (OIS) http://www.oisafety.org, von der die Richtlinien der verantwortungsvollen Offenlegung entwickelt wurden.
Diese Vorgehensweise wird natürlich nicht von allen gut geheißen. Dave Aitel vom Sicherheitsunternehmen Immunity kanzelt die verantwortungsvolle Offenlegung als Marketing-Ausdruck der großen Softwarehersteller ab. "Sie spielt Microsoft und anderen Herstellern in die Hände, die so versuchen, den Prozess unter Kontrolle zu bekommen", so Aitel. Anstatt die Lücken dem Hersteller zu melden, sollen Bug-Jäger diese Informationen lieber ihm geben. Sein Unternehmen nutzt diese Informationen für eigene Produkte, darunter Tools, mit denen die Sicherheit von Netzwerken durch simulierte Hacker-Angriffe getestet wird.
Gegen das Argument, dass Hacker prinzipiell am längeren Hebel sitzen würden, wehrte sich Chris Wysopal, Gründer des Security-Unternehmens Veracode. "Wir werden sehr häufig angegriffen. Es ist kein Spaß, laufend mit rechtlichen Schritten bedroht zu werden", wird Wysopal vom Branchenportal Cnet zitiert. "Fehler werden oft nicht beseitigt, solange sie nicht öffentlich werden", ärgert sich Wysopal. "Es ist zwar verantwortungsbewusst, wenn man den Hersteller benachrichtigt, der Prozess kommt dann allerdings zum Stehen. Bevor der Hersteller nicht die Drohung hat, dass der Fehler öffentlich gemacht wird, passiert nichts. Die Veröffentlichung ist der einzige Weg, damit Sicherheitslücken tatsächlich geschlossen werden."
(Ende)
|
