Wie man Sicherheitsmeldungen NICHT absetzt

Bedingt durch meinen Job habe ich relativ viel mit IT-Sicherheit, Angriffstechniken, 0-Day-Attacken und deren Meldung zu tun. Persönlich bin ich ein großer Fan von Full Disclosure, d.h. eine neu gefundene Sicherheitslücke wird mit allen dazu verfügbaren Informationen für jedermann zugänglich gemacht. Allerdings gibt es meiner Meinung nach eine Einschränkung:

Der Entdecker, oft ein Hacker (und ich meine hier den richtigen, positiven Begriff dafür, also jemand, der Computersysteme aus Spaß am Lernen an die Grenzen bringt und keinen Schaden anrichten will), sollte sich mit dem Hersteller der jeweiligen Software in Verbindung setzen und diesem einen angemessenen Zeitraum einräumen, einen Patch zu erstellen oder einen Workaround zu schaffen.

Das gilt vor allem dann, wenn der Entdecker bei einer anderen großen Firma sitzt, in der selbst immer wieder Sicherheitszwischenfälle auftreten.

Konkret beziehen sich dieser Text auf das Verhalten eines Mitarbeiters von Google. Dieser hatte eine, zugegebenermaßen, hochkritische Sicherheitslücke in Windows XP entdeckt, Angreifer können damit die meisten Sicherheitseinrichtungen von Browsern umgehen und das System übernehmen. In der Praxis werden solche Exploits beispielsweise von Malware-Autoren eingesetzt, um eine Erstinfektion eines Systems vorzunehmen. Dabei wird ein so genannter Dropper installiert, der anschließend weiteren Schadcode nachlädt. Doch ich schweife ab.

Der Google-Mitarbeiter hat Microsoft zwar gewarnt – allerdings bereits fünf Tage danach alle Informationen auf der Sicherheits-Mailingliste Full Disclosure veröffentlicht. Fünf Tage! Für eine hochkritischen Bug in Windows XP. Die Veröffentlichung war am 10.06.2010, das bedeutet, dass er am Freitag vorher Microsoft kontaktiert hat. Hallo? Gehts noch? Der gibt dem Konzern lediglich drei bis vier Arbeitstage, so ein Problem zu bereinigen, das potentiell Millionen Rechner bedroht – meiner Meinung nach eindeutig ein Schnellschuss.

Einen Workaround für dieses Problem beschreibt VUPen. Demnach muss der URI-Handler „HLP://“  in der Windows Registry manuell deaktivert werden – machbar, allerdings wird es in einem größeren Unternehmen nicht so einfach klappen.

via Uli Ries, mehr Infos: CoWo US

Anmerkung: Ich bin in der Hinsicht selbst ein gebranntes Kind. Ich hatte einmal mit einem großen Internetprovider zu tun, ein Leser hatte mir zugespielt, dass es dort eine Sicherheitslücke gab. Dadurch war es unter anderem möglich, die Einzelverbindungsnachweise anderer Nutzer einzusehen. Ich habe die Firma vorab kontaktiert – habe allerdings dann nicht lange genug gewartet, bis ich den passenden Artikel dazu veröffentlicht hatte. Das lag zum Einen am redaktionellen Druck, zum anderen an der fehlenden Kommunikation des Unternehmens und zum dritten an diesem Ehrgeiz, der erste zu sein. Allerdings kann ich im Fall des Google-Mitarbeiters eigentlich nur das Dritte nachvollziehen.

Über Moritz Jaeger

Mo steht für Moritz Jaeger. Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

banner