05 Mar

Pro Responsible Disclosure

Hallo Welt, Hallo Buschhacker,

Seit Monaten nun ist es ein Graus. Der §202c des StGB hat keinerlei Verbesserung in Sachen IT Sicherheit gebracht. Wie auch .. Wenn man versucht eine regionale Ecke eines international agierenden Netzes per Gesetz zu regulieren, dann hat man entweder keine Ahnung oder ist Stur .. oder beides. Auch deshalb draengt das Thema Responsible Disclosure wieder verstaerkt an die Oberflaeche.

Folgendes Szenario:
Software Hersteller XY schafft eine neue Version seiner Software. Testet lustlos und unmotiviert (Bueroarbeit kann sehr trocken sein!), ob die noetigsten Angriffe standgehalten werden koennen und verkauft das OS dann fuer teures Geld. Im Paket befindet sich angeblich umfassender Support und regelmaessige Security Updates.

Nun, es braucht kein Studium um zu sehen, dass der §202c eigentlich fuer Firmen dasein sollte, die sich nicht darum kuemmern ihren Endverbrauchern ein sicheres System zur Verfuegung zu stellen. Jedes Auto, jeder Toaster, ja sogar jeder Schnuller muss durch 1000 Tests, benoetigt eine Hand voll Zertifikate und wird beim kleinsten Anzeichen von Unsicherheit vom Markt genommen.

Sicherheitsluecken gibt es immer wieder, das ist normal. Aber wenn 98% aller Botnetcomputer Windowsrechner sind, dann spricht das meiner Meinung nach Baende ...

Und wenn nun ein findiger Hacker herausgefunden hat, wo die Luecke sich befindet? Was macht er dann?

Nun gehen wir mal davon aus, dass es sich um einen Hacker handelt, der nach der Hackerethik agiert.

In diesem Falle wuerde er die Herstellerfirma ueber den Fehler benachrichtigen. 30 Tage warten und diese Luecke dann in oeffentlichen Listen ausgeben. Full Disclosure oder Bugtraq sind die beiden gaengigsten Varianten. Diese Seiten kennt jeder halbwegs interessierte Admin.

Warum? Nun, wenn einer diese Luecke finden kann, dann koennen es auch andere! Und besagte "andere" sind unter Umstaenden nicht auf dem Pfad der Hackerethik. Es ist unmoeglich, dass jeder Systemadmin weltweit jede Luecke findet. Nur wie soll er sich dann gegen diese Luecken schuetzen? Man kann sich nur gegen etwas schuetzen, das man auch kennt. Und genau deshalb wird veroeffentlicht!

Veroeffentlichung hat Wissen zur Folge!

Die 30 Tage Vorinformation an die Softwarehersteller sollen garantieren, dass diese bis zum Zeitpunkt des Full Disclosure auch einen Bugfix oder ein Patch zur verfuegung stellen koennen.

Und trotzdem muss man derzeit damit rechnen bei der Veroeffentlichung einer Luecke (inklusive dem damit verbundenen Angriffsszenario) vor Gericht zu landen, weil man der Ansicht unserer Regierung nach "Strafbares Material verbreitet". Was fuer ein Unsinn ...

Nur was, wenn sich der Hersteller einen Sch...dreck darum kuemmert? Apple, HP und IBM haben bekannte Sicherheitsluecken offen, die bis zu 1079 Tage (ausgeschrieben: eintausendundneunundsiebzig Tage!) alt sind. Warum duerfen diese Firmen weiterhin Software herstellen? Warum werden diese Firmen nicht kriminalisiert? Wie viele Kreditkarteninformationen wurden schon gestohlen, weil der Adobe Acrobat Reader unzureichend gepatcht wurde? Meines erachtens nach handelt es sich bei diesen Firmen, welche fahrlaessig mit den Daten der User umgehen, um die wahren Kriminellen.

Ein Gesetz das Softwarefirmen verpflichtet umfassende Tests laufen zu lassen kann so schwer nicht sein. Ebenso fuer regelmaessige Updates. Warum stellt Microsoft nur Dienstags Updates zur Verfuegung? (An dieser Stelle wuerde ich gern erzaehlen, wie meinem Nachbarn ein solches Security Update dazu verholfen hat, das sein System kompromittiert wurde, darf es aber wegen 202c nicht ...) 2 Wochen mussten IE Nutzer auf einen Fix gegen den Aurora Exploit warten. Und das auch erst nach dem oeffentlichen bekannt werden. Dabei wusste Microsoft schon 4 Monate von der Luecke.

Linuxderivate koennen auch taegliche Security Updates bereitstellen und die haben kein Milliardenetat wie Microsoft.

Aber was will man von einer Regierung verlangen, die schon als Fachkundig gilt, wenn die Kanzlerin mal eine SMS schickt. Weiss die Kanzlerin auch, dass A5/1 geknackt wurde und was fuer Folgen das fuer die Geschaeftsleute dieser Welt hat?

Versteht Herr Schaeuble was multi-factor authentication beim Online banking veraendern koennte? Weiss Guido Westerwelle was Identity Theft ist?

Warum ist es so schwer die die Position eines "Minister fuer Digitale Medien" vorzustellen? Es geht ja hier nicht nur um den Endverbraucherschutz. Es geht vor allem darum zu Kontrollieren, dass kein Datenmissbrauch begangen wird. Ist es der deutschen Regierung nach Okay, dass die amerikanische Regierung jederzeit Zugang zu allen Gmail accounts hat? Auch die Grundbildung in diesen Bereichen an Schulen muss dringend verbessert werden. Die Zeiten haben sich geaendert und IT braucht dringend eine hoehere Schulfach Fokusierung. Ich moechte garnicht wissen, wie viele ahnungslose Kinder/Teenager ihre persoenlichen Daten im Netz verbreiten, weil sie keiner darueber informiert hat, dass diese Daten gegen sie verwendet werden koennen .

Besagtes Ministerium fuer Digitale Medien koennte auch die Schirmherrschaft fuer eine deutsche Full Disclosure Seite uebernehmen. Eventuell koennte man ja mal Vorreiter sein und eine Disclosure Seite anbieten, die auch gleich Loesungen bereitstellt. Eventuell auch ein Tuev fuer Betriebssysteme. Ich bin mir sicher, die Hacker in Deutschland wuerden gern dazu beitragen, dass ihre Umgebung sicherer wird. Aber will das auch die Bundesregierung?

Unter umstaenden ist die Gruendung einer Internet-Kommission (Link submit by neon) der erste richtige Schritt in die richtige Richtung. Nur wie lange soll das dauern? Nochmal 20 Jahre?

Pro Full Disclosure!

Gruesse
Falk

Posted at 00:03 by Falk Hammer

Kommentare

Derzeit existieren keine Kommentare.