Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?

Diskutiere Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? im IT-News Forum im Bereich IT-News; Der angesehene Kryptographie-Experte Bruce Schneier vertritt die Ansicht, ohne die Offenlegung von Sicherheitslücken fehle der nötige Druck auf...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10




Der angesehene Kryptographie-Experte Bruce Schneier vertritt die Ansicht, ohne die Offenlegung von Sicherheitslücken fehle der nötige Druck auf die Hersteller die Schwachstelle zu beseitigen.

Die Diskussion um die Veröffentlichung entdeckter Sicherheitslücken ist und war schon immer kontrovers. Naturgemäß sind die Hersteller betroffener Produkte wenig erfreut, wenn sie quasi aus der Zeitung erfahren, dass ihr Produkt eine Schwachstelle aufweist. Wer das jeweilige Produkt einsetzt, muss mit Angriffen rechnen, bevor er eine Chance hat ein vom Hersteller bereit gestelltes Update zu installieren.

Eine Reihe von Herstellern, allen voran Microsoft, vertreten das Konzept der "verantwortungsvollen Offenlegung". Wer eine Sicherheitslücke entdeckt, soll sie dem Hersteller melden und sein Wissen nicht veröffentlichen. Er soll damit zumindest so lange warten, bis der Hersteller seinen Kunden ein Update oder anderweitige Abhilfe zur Verfügung stellen kann.

Der gerne als "Krypto-Papst" titulierte Sicherheitsforscher Bruce Schneier ist jedoch der Meinung, ohne den Druck einer öffentlich bekannten Angriffsmöglichkeit würden viele Hersteller nicht oder nicht schnell genug reagieren. Die Geheimhaltung einer bestehenden Sicherheitslücke nutze vor allen potenziellen Angreifern, die eine Schwachstelle bereits entdeckt haben könnten.

Nach Schneiers Ansicht ist die verantwortungsvolle Offenlegung ("responsible disclosure") nur so lange eine gute Idee, wie die Androhung einer vollständigen Offenlegung ("full disclosure") existiert. Die von etlichen Sicherheitsforschern praktizierte Veröffentlichung neu entdeckter Sicherheitslücken habe erst die Voraussetzung geschaffen, damit die Hersteller durch verantwortungsvolle Offenlegung zum Handeln gezwungen werden könnten.

Er selbst, beschließt Schneier seine Ausführung, bevorzuge es in einer Welt zu leben, in der er alle Informationen zur Verfügung habe, um seine Sicherheit selbst einschätzen und schützen zu können.

Bruce Schneiers Ausführungen können Sie im einem Themenschwerpunkt von CSOonline nachlesen: The Chilling Effect .

Quelle: IDG Magazine Media GmbH/PC-WELT Online
 
#2
E

emmert

Dabei seit
28.11.2006
Beiträge
3.007
Ja klar veröffentlichen, dann kann man sich im Zweifel darauf einstellen.
 
#3
M

Med2k

Dabei seit
06.04.2007
Beiträge
2
Ich würde sagen erstmal eine angemessene Vorlaufzeit den Herstellern geben und vor allen ihnen als erstes bescheid geben. Allerdings sollte diese Zeit nicht zu lange sein. Ich sag mal 1-2 Wochen reichen voll und ganz, vor allem wenn es sich um große Konzerne handelt. Danach dann direkt die Lücke so bekannt wie möglich machen, damit auch der letzte Hersteller gezwungen ist ein Patch rauszubringen.

Nicht so wie bei M$`s letzten Coup mit dem Mauszeigerexploid der schon seit Dezember bekannt ist, seit letzter Woche nochmal durch alle Medien ging und dann innerhalb von 2 Tagen durch nen schnellen Patch behoben werden sollte, der einige Systeme nach dem installieren unbrauchbar macht. Das ist ein gutes Beispiel, wie es nicht laufen sollte!

mfg
Med2k
 
#5
L

longi

Dabei seit
05.04.2007
Beiträge
11
Was bringt es dem User, wenn sie veröffentlicht werden und nichts passiert?
http://secunia.com/product/22/
http://secunia.com/product/11/
Fehler sind eigentlich dazu da um behoben zu werden.

Die ANI Lücke wurde vermutlich aus werbestategischen Gründen nicht vorher veröffentlich.
War es doch so evtl. möglich, eine gefakte Statistik zu veröffentlichen (90 Tage) und eigene Erkenntnisse einfach aus dem Zeitraum zu schieben. Wieviel Lücken fehlen denn in dieser noch?
Zu der Werbestrategie darf man wohl auch den ausgefallenen März-Patchday zählen.
a. Die Signatur des Ani-Patch soll aus März sein ;)
b. User = oh mein System ist sicher weil nix Patch bzw. nur unerheblich

Eine bis zwei Wochen halte ich aber für einen zu kurzen Zeitraum. Diese Zeit sollte Closed Source schon haben, um den Fehler zu analysieren. Die gleiche Zeit dann auch für eine Fehlerbereinigung. Nach einem Monat sollte sie aber veröffentlicht werden.

Grundsätzlich halte ich einen Fehler in Software und die nicht Behebung inerhalb des zugesicherten Supportzeitraum für einen Mangel. Bei kritischen Fehlern sogar für einen erheblichen Mangel.
Sollte der Fehler schon beim Kauf bestehen und der Hersteller hat davon Kenntnis und veröffentlicht nicht, dann ist es ein versteckter Mangel bzw. man könnte sorgar schon von arglistiger Täuschung sprechen.
 
#6
M

MvSt1234

Dabei seit
24.04.2006
Beiträge
1.060
Alter
45
Ort
Dorsten
Grundsätzlich halte ich einen Fehler in Software und die nicht Behebung inerhalb des zugesicherten Supportzeitraum für einen Mangel. Bei kritischen Fehlern sogar für einen erheblichen Mangel.
Sollte der Fehler schon beim Kauf bestehen und der Hersteller hat davon Kenntnis und veröffentlicht nicht, dann ist es ein versteckter Mangel bzw. man könnte sorgar schon von arglistiger Täuschung sprechen.
Wenn das so ist, hat man auch ein grundsätzliches Recht auf Nachbesserung innerhalb eines angemessenen Zeitraumes.
Sollte ein Mangel nicht vollständig oder nur Teilweise behoben werden können ergibt sich das Recht auf Wandlung bzw. man könnte versuchen vom Hersteller etwas Geld wieder zu bekommen. Besonders M$ dürfte dies richtig schmerzen...
 
#8
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
Naja man wird ja auch sehr bekannt, wenn man Sicherheitslücken in Microsoft-Produkten findet und diese meldet, weil sich die Presse ja nur so drauf stürzt. Das Veröffentlichen von Sicherheitslücken kann also auch ne gute Werbung sein.

Einerseits sollte man den Hersteller insofern unter Druck setzen, dass er ein Update veröffentlicht. Aber auch nicht dermaßen unter Druck setzen, dass er ein Update überstürzt veröffentlichen muss und es nicht richtig implementieren kann und sofgfältig testen kann.

Wenn es halt im Internet 20 Websites gibt, die eine Lücke in den animierten Cursors ausnutzen muss man ja nicht gleich so einen Hype machen ... Von animierten Cursors hatte ich noch nie was gehört und hab es glaub auch noch nie benutzt. Sind die eigentlich standardmäßig aktiviert ?!?

Gruß

Tikonteroga
 
#10
Nemesis13

Nemesis13

Dabei seit
30.01.2006
Beiträge
99
Alter
54
Ich bin dafür, das es kurzfristig veröffentlicht wird. Denn wenn ich weiss das z.B. der Messenger eine Lücke hat über die ich angreifbar bin, kann ich solange ein anderes Produkt nehmen oder die Funktion nicht nutzen.:up
Wenn ich aber aus falschverstandener Rücksicht auf die Softwarefirma erst später davon erfahre und meine Platte formatieren darf, Herzlichen Dank.....:wut

Jedem Benutzer soll die Möglichkeit gegeben sein, sein System sauber zu halten. Und das geht nur wenn die Informationen über Lücken da sind.
 
#11
E

eifelyeti

Dabei seit
10.03.2006
Beiträge
1.187
Alter
60
Na klar soll man alle Schwachstellen veröffentlichen! Bei jedem Betriebssystem handelt es sich um ein (leider!) unheimlich kompliziertes System , und da müssen zwangsläufig Fehler auftreten. Und da ist es doch ehrlich , wenn ein Hersteller zugibt , dass sein Produkt NOCH(!) fehlerhaft ist und mir eine kostenlose Nachbesserung anbietet - was ja auch gängige Praxis ist !
Dass im Falle von XP die Raubkopierer (!) da " nackend in den Erbsen" stehen - nun ja !!!
 
#13
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?
Ganz klare Sache...JA!!
Warum..wir habens ja gekauft und haben Anspruch darauf.
Wenn ich mir zb.ein neues Auto kaufe möchte ich auch informiert sein was Sache ist.Wenn da nach kurzer Zeit sich ein Fehler rausstellt,dann werde ich ja auch informiert.
 
#14
L

Lenny

Gast
G
Wenn ich mir zb.ein neues Auto kaufe möchte ich auch informiert sein was Sache ist.Wenn da nach kurzer Zeit sich ein Fehler rausstellt,dann werde ich ja auch informiert.
Den Fehler an deinem Auto wird auch kein Anderer ausnutzen, um Dir zu schaden...passt also nicht wirklich der Vergleich. Wie ich schon gesagt habe, Warnhinweis und Reaktion ja, detailierte öffentlich Machung nein,man muß Leute ja nicht mit der Nase drauf stoßen, welche und wie Lücken für ihre miesen Zwecke auszunutzen sind.
 
#15
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Den Fehler an deinem Auto wird auch kein Anderer ausnutzen, um Dir zu schaden...
Na das sag mal nicht.möglich wäre es schon. :D
Ok war ein blöder Vergleich.
 
#16
Michel

Michel

Gallery / Moderator
Team
Dabei seit
09.11.2006
Beiträge
12.595
Alter
37
Ort
Wetterau
Die Leute, die wissen, wie man Sicherheitslücken ausnutzt, tun dies auch ohne eindeutige Beschreibung der Sicherheitslücke. Außerdem stehen die untereinander in Kontakt, wahrscheinlich über das Internet... ;)
 
#17
L

Lenny

Gast
Die Leute, die wissen, wie man Sicherheitslücken ausnutzt, tun dies auch ohne eindeutige Beschreibung der Sicherheitslücke. Außerdem stehen die untereinander in Kontakt, wahrscheinlich über das Internet... ;)
Klar, aber man muß andere die es nicht wissen, auch noch mit der Nase drauf stoßen...zB. Script Kiddies...
 
#18
DiableNoir

DiableNoir

Dabei seit
18.01.2004
Beiträge
6.069
Script Kiddies (auch wenn der Teil "Kiddie" nur selten bei diesen Typen zutrifft.) sind wohl da die kleinste Gefahr. Deren Qualifikation reicht oft nicht aus um sowas auszunutzen.

Allerdings musst du auch bedenken, dass Admins/User auch ihre Systeme schützen müssen bis endlich ein Patch herauskommt. Wenn man da nicht weiß wie ein potenzieller Angreifer diese Sicherheitslücke ausnutzen kann bzw. ob man überhaupt dadurch gefährdet ist, dann ist man bis zum nächsten Pach den bestens informierten Angreifern ausgeliefert.
 
#19
L

Lenny

Gast
Allerdings musst du auch bedenken, dass Admins/User auch ihre Systeme schützen müssen bis endlich ein Patch herauskommt. Wenn man da nicht weiß wie ein potenzieller Angreifer diese Sicherheitslücke ausnutzen kann bzw. ob man überhaupt dadurch gefährdet ist, dann ist man bis zum nächsten Pach den bestens informierten Angreifern ausgeliefert.
Das ist mir schon klar, ich bin ja auch nicht gegen Information..nur eben das veröffentlicht wird, wie eine Lücke ausgenutzt werden kann. Es sollte doch reichen, mitzuteilen was getan werden muß um das System bis zum Patch zu sichern..
 
Thema:

Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?

Sicherheitslücken: veröffentlichen oder nicht veröffentlichen? - Ähnliche Themen

  • Windows 10 August Patchday mit aktuellen Bugfixes und integrierten Updates gegen Spectre V2 Sicherheitslücke

    Windows 10 August Patchday mit aktuellen Bugfixes und integrierten Updates gegen Spectre V2 Sicherheitslücke: Im Rahmen des monatlichen Patch-Days hat Microsoft noch am gestrigen Abend neue, kumulative Updates für Windows 10 veröffentlicht. Die mit den...
  • Entpacker 7-zip: Update gegen Sicherheitslücke - richtige Version gibt es hier

    Entpacker 7-zip: Update gegen Sicherheitslücke - richtige Version gibt es hier: Auf vielen Rechnern hat 7-zip das 'kurzzeitig kostenlose' WinRAR als Packer und Entpacker abgelöst. In der bisherigen Version des Programms ist...
  • Spectre Next Generation (Spectre-NG): neue, noch riskantere Sicherheitslücken bei Intel-CPUs entdeckt - UPDATE

    Spectre Next Generation (Spectre-NG): neue, noch riskantere Sicherheitslücken bei Intel-CPUs entdeckt - UPDATE: Die zu Beginn diesen Jahres aufgedeckten Sicherheitslücken Spectre und Meltdown scheinen nur der Anfang einer langen Odyssee gewesen zu sein...
  • AMD kündigt BIOS-Updates an, um die von CTS Labs veröffentlichten Sicherheitslücken in Kombination mit Windows-Patch zu schließen - UPDATE

    AMD kündigt BIOS-Updates an, um die von CTS Labs veröffentlichten Sicherheitslücken in Kombination mit Windows-Patch zu schließen - UPDATE: Mark Papermaster, seinerseits Technik-Chef bei AMD, hat sich in einem Blogbeitrag ausführlich zu den von CTS Labs veröffentlichten...
  • Spectre-Sicherheitslücke: Mainboardhersteller veröffentlichen BIOS-Versionen mit Intels neuem Microcode gegen Spectre

    Spectre-Sicherheitslücke: Mainboardhersteller veröffentlichen BIOS-Versionen mit Intels neuem Microcode gegen Spectre: Nachdem die aktuellen Windows-Versionen von Microsoft mit dem einen oder anderen Update gegen die Sicherheitslücke Spectre versorgt hat, wurde nun...
  • Ähnliche Themen

    Oben