Industrie fordert mehr Verantwortung von Hackern

Shmoocon: Diskussion über die Veröffentlichung von Sicherheitslücken

Wenn es um die Veröffentlichung von Sicherheitslücken geht, sind Softwarefirmen Hackern völlig ausgeliefert. Das stellt die Security-Chefin von Mozilla, Window Snyder, auf dem Hacker-Treffen Shmoocon in Washington D.C. fest. „Die Macht liegt in den Händen der Entwickler, die Software analysieren,“ so Snyder. „Sie bestimmen, wann sie eine Lücke veröffentlichen, und sie kontrollieren die Information, egal, ob ein Software-Anbieter rechtzeitig reagiert oder nicht.“

Die Veröffentlichung von Details über Sicherheitslücken ist seit Jahren ein heißes Eisen. Die Software-Industrie plädiert dafür, dass gefundene Bugs zunächst vertraulich bleiben und die betroffene Firma Zeit bekommt, den Fehler zu beseitigen, bevor ein Entwickler an die Öffentlichkeit geht. Dieses Vorgehen wird „verantwortungsvolle Offenlegung“ („responsible disclosure“) genannt. Immerhin kann eine zu frühe Veröffentlichung Kriminellen bei ihren Angriffen helfen und das Ansehen eines Herstellers schädigen.

Nicht jeder findet die Politik der „verantwortungsvollen Offenlegung“ gut. Dave Aitel vom Sicherheitsunternehmen Immunity meint, dass das eine Falle der Software-Hersteller sei. „‚Verantwortungsvolle Offenlegung“ ist ein Marketing-Ausdruck,“ sagt er. „Sie spielt Microsoft und anderen großen Herstellern in die Hände. Sie versuchen, den Prozess unter Kontrolle zu bekommen.“ Anstatt eine Sicherheitslücke dem Hersteller mitzuteilen, sollten Bug-Jäger diese Informationen lieber ihm geben. Immunity bezahlt Bug-Jäger für Details über Sicherheitslücken. Diese Informationen benutzt das Unternehmen für seine Produkte, darunter Tools für Penetrationstests, die in fremde Netzwerke eindringen können.

Chris Wysopal, CTO und Gründer des Sicherheitsunternehmens Veracode, bestreitet, dass die Hacker immer am Drücker sind. „Wir werden häufig angegriffen,“ sagt er. „Immer derjenige zu sein, der mit rechtlichen Schritten bedroht wird, ist kein Spaß.“ Wenn ein Unternehmen die Schale seines rechtlichen Zorns über einem Sicherheits-Analytiker ausschütte, dann sei das ein Beispiel für ein Unternehmen, das nicht wisse, was es tue, so Rohit Dhamankar, Manager of Security Research bei Tipping Point, einem Hersteller von Intrusion-Prevention-Systemen. „Es gibt geschickte Hersteller wie Microsoft oder Mozilla, und es gibt Hersteller, die keine Ahnung von guten Geschäftsabläufen haben.“

Zu guter Letzt würden Fehler nicht wirklich bereinigt, wenn sie nicht veröffentlicht würden, sagt Wysopal. „Es ist verantwortlich, wenn man den Hersteller benachrichtigt. Aber dann steht der Prozess, weil der Hersteller nichts unternimmt, bevor er nicht die Drohung hat, dass der Fehler öffentlich gemacht wird. Die Veröffentlichung ist der einzige Weg, damit Sicherheitslücken tatsächlich geschlossen werden.“

Themenseiten: Hacker

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Industrie fordert mehr Verantwortung von Hackern

Kommentar hinzufügen
  • Am 26. März 2007 um 16:15 von Lutz

    Hacker und Verantwortung???
    Na ist das nicht etwas unwahrscheinlich. Hacker wollen an Daten ran – wenn auch mit unterschiedlicher Zielsetzung. Wo soll dann die Verantwortung hin???
    Sollen etwa bestimmte Firmen verschont bleiben oder wie stellen es sich die Herren vor.
    Hacken ist immer gegen Ziele – es sei Hingestellt ob Personen, Firmen oder Organisationen -gerichtet. Sogar staatliche Organisationen bedienen sich dieser Mittel und wollen sie auch noch abgesegnet haben.

    Ich kann hier in keiner Weise den Ansatz von Verantwortung sehen – auch nicht wo sie Beginnen und wo sie aufhören soll. Hacken ist nicht produktiv sondern destruktiv und sollte prinzipiell unter Strafe stehen, auch für Staatsorgane übrigens. Egal ob Polizei, Militär oder Staatsanwaltschaft. Legalität erreichen mit illegalen oder falschen Methoden ist nicht Ausdruck für Demokratie und Recht – es steht eher für totalitären Machtanspruch!!!!!

    • Am 26. März 2007 um 16:32 von B@uleK

      AW: Hacker und Verantwortung???
      viel von dem was du geschrieben hastist totaler blödsinn, sprich du hast keine ahnung, also erbreite hier kein halbwissen. das ganze muss man schon etwas diferenzierter sehn. nicht alle deutschen sind notwendiger weise nazis – genuaso so wenig ist ein hacker "kriminell".
      viel spass noch beim ‚hacken des internets‘ ~.~

    • Am 26. März 2007 um 16:39 von Diddmaster

      AW: Hacker und Verantwortung???
      *seufz* hoffe, du meinst deinen Stuss nicht ernst, sondern versuchst dich bloß auch mal als Troll

    • Am 28. März 2007 um 9:26 von DerClyde

      AW: Hacker und Verantwortung???
      Kleiner tip auch mal (öfter) über den Tellerrand schaun. "Hacker" sind, klingt komisch is aba so, ein Konterpart gegenüber den vermeindlichen "normalen" I-net Firmen. Eigentlich ""gut"", den ohne problem (Programmsicherheit) keine Veranlassung etwas daran zu ändern oda verbessern. Aber mir scheint Du hast nicht wirklich verstanden worum es geht.
      Is auch lustig die einen wollen Geldscheffel Pausen + Plannungszeit (inklusive Wissen um das Problem/e) um Probleme zu beheben und Gewinn zu machen anstatt das meiste vom Gewinn zu reinvestieren, andere verdienen wiederrum durch genau diese Phasen (User/Firmen ohne Schutz!!) ihr Geld.
      Schöne neue WELT Money rulz the World.
      Graue Phasen sind überall.

    • Am 2. April 2007 um 14:54 von Watis?

      AW: AW: Hacker und Verantwortung???
      "Totalitärer Machtanspruch = Nazis"
      Das deutet aber auch auf eine primitive Denkweise!

  • Am 31. März 2007 um 12:10 von hmm

    RE: Hacker und verantwortung??
    ich find es gut das es hacker (neutrale) gibt, die wenigstens aufdecken, was sonst lange zeit unentdeckt bleibt.
    Meine meinung is, wenn ein Software Entwickler einfach was auf den Markt loslässt was so viele Lücken hat, anstatt sein Produkt vorher zu überprüfen. Und auf die ahnungslosen User loslässt.
    <<was ist wenn es keine Hacker geben würde, die Ihr wissen zu nutzen wissen<<< Und ein Amok User richtig gefährliches anstellt, nur weil keiner die Lücken entdeckt. schon einmal daran gedacht?
    greeze

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *