Mehr Verantwortung bei Sicherheitslücken gefordert

Internet & Webdienste Window Snyder, Sicherheitschefin bei Mozilla stellte am vergangenen Samstag auf der Hacker-Konferenz ShmooCon in Washington fest, dass Software-Entwickler voll und ganz Hackern ausgeliefert sind, wenn es um die Veröffentlichung von Sicherheitslücken ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
das fällt denen ja früh ein
 
@micropro: lieber zu früh als zu spät
 
also ich denke, wenn man sicherheitslücken nicht den Hackern auf dem Silbertablett präsentiert sondern nur dem betreffenden Softwarehersteller berichtet, dann ist das um einiges besser..da macht es dann auch nichts, wenn das patch 2-3 wochen später kommt.-..
 
@zecher: ähm von wegen...oftmals haben dann in diesen 2-3 Wochen die Hacker diese Lücke auch für sich entdeckt (oder auch schon früher?) und nutzen diese aus...
 
@Ev!L: Es ist mathematisch gesehen eher unwahrscheinlich das ein oder sogar mehrere Hacker die gleiche Sicherheitslücke zur gleichen Zeit entdecken.
 
@swissboy: Kannst du mir das mal vorrechnen? Stochastik war noch nie mein stärkstes Fachgebiet. Benutzt du die Bernoulli-Verteilung?
 
@zecher: jo hab mich oft gefragt warum die das immer rausposaunen müssen das hift doch NUR den hackern weil patches ja eh immer erst später kommen...aber bis jetzt is nix passier muss ich ja in jedem sicherheitsbezogenen post erwähnen...gehört auch einiges an dummheit dazu seine kiste plätten zu lassen^^
 
@zecher: Das ist das dümmste was man machen könnte, denn es wäre möglich, dass andere Hacker die Lücke schon gefunden haben und sie ausnutzen, also muss so schnelle wie möglich Abhilfe her. Zweitens, wenn man sie nicht Publik macht, wer garantiert dann, dass die Hersteller die Lücke überhaupt schließen, es weis ja kein Schwein von der Lücke. Ich finde ebenfalls, dass eine Lücke sobald sie gefunden wird, der Öffentlichkeit bekannt werden muss, für ne Firma oder Person, die Ihren Code im Griff hat stellt es kein Problem dar sowas ruckzuck zu fixen, den anderen ist nicht zu helfen.
 
@[U]nixchecker: Ich bin da anderer Meinung. Wenn ein Hersteller nicht in angemessener Frist reagiert kann ich aktzeptieren dass Sicherheitslücken publik gemacht werden (als Druckmittel). Der Hersteller sollte aber zuerst eine Chance bekommen die Sicherheitslücke zu schliessen bevor sie publik gemacht wird. Ein solches Vorgehen ist zu Vorteil für Hersteller und Anwender, denn eine nicht-publik gemachte Sicherheitslücke stellt erfahrungsgemäss nur ein geringes Sicherheitsrisiko dar.
 
@swissboy: "denn eine nicht-publik gemachte Sicherheitslücke stellt erfahrungsgemäss nur ein geringes Sicherheitsrisiko dar." Erfahrungsgemäß, woher nimmst du denn diese tolle Erfahrung:-) Wenn ich von einer Sicherheitslücke weis, auch wenn es noch keinen Patch dafür gibt, habe ich die Möglichkeit mich dementsprechend zu verhalten, so dass ich der Lücke evtl aus dem Weg gehen kann(sei es durch abschalten von Features etc.), wenn ich aber nichts davon weis, dann bekomme ich von deren Ausnutzung auch gar nichts mit.
 
@[U]nixchecker: Wenn eine Lücke publik gemacht wird ist es um ein vielfaches gefährlicher, denn dann gibt es sofort auch welche die sie versuchen auszunutzen. Wenn sie nicht publik ist kann sie auch nicht ausgenutzt werden da die notwendigen Informationen fehlen, ausser der unwahrscheinliche Fall dass ein zweiter zum genau gleichen Zeitpunkt die genau gleiche Lücke findet.
 
@swissboy: Böse Menschen gibt es immer und überall. eider aber ist es so, dass gerade Microsoft erst mit Nachdruck auf Sicherheitsmängel reagiert. Früher war es gar so, dass Microsoft nicht mal reagierte, obwohl Sicherheitsmängel bekann waren. Gefahren lauern überall und das verschweigen von Lücken macht es nicht besser. Am schlimmsten sind doch die leute, die vollkommen naiv auf jeden und alls klicken. Da helfen selbst die besten Sicherheitsmaßnahmen nichts.
 
Die Frage die sich aufdrängt: Wieviel Software haben wieviel Sicherheitslücken die Hacker nützen können? Sind das eine Menge, kann sich das Veröffentlichen rächen. Dazu kommt noch, dass trotz Patch die meisten Systeme ungepatched (was für ein Denglish) bleiben. Spricht alles gegen eine Veröffentlichung.
 
@swissboy:", denn dann gibt es sofort auch welche die sie versuchen auszunutzen." Na Gottseidank ist das wohl nicht so einfach, es sei denn es wird gleich ein Proof Of Concept mitgeliefert und da stimme ich zu, das muss nicht sein. Aber wo ich dir gar nicht zustimme ist: "ausser der unwahrscheinliche Fall dass ein zweiter zum genau gleichen Zeitpunkt die genau gleiche Lücke findet" Glaubst du, dass die guten immer schneller sind und eoine Lücke zuerst finden, ich möchte Wetten, dass bei 25% der Lücken schon viel früher die Lücke von den Bad Guys entdeckt wird und somit schon ausgenutzt wird es aber kein Schwein weis und mitbekommt. Es gibt doch massenweise Clienten, z.B. Geheimdienste, die nur nach Lücken suchen, um sie bei Spezialfällen einzusetzen, Spionage etc. und die haben da mit Sicherheit auch die nötigen Ressourcen um Lücken zu finden von denen sonst keiner was weis und die werden schon so gezielt eingesetzt, dass man sich da nicht auffällig macht um die Lücke möchstens Lange nutzen zu können.
 
Heisst das sie veröffentlichen Adresslisten, besuchen Millionen Haushalte und entfernen die Benutzer vor den Rechnern ?
 
Gerade wenn man Sicherheitslücken veröffentlich ist das wohl auch kein Reiz mehr für die Hacker, da es binnen weniger Tagen wieder geschlossen wird bzw. werden sollte.
 
@Khamelion: Durch das Veröffentlichen von Sicherheitslücken hat ein Hacker viel mehr Publicity als wenn er still zur Verbesserung eines Produkts beiträgt.
 
@Khamelion: Ich vermute das der großteil der Anwender diese Lücken eben nicht schließen. System und Browser Updaten ist für sehr viele immer noch nicht selbstverständlich.
 
@redox: Deshalb sind automatische Update-Funktionen wie es sie für Windows oder auch bei Mozilla-Produkte gibt auch so wichtig. Wer dann keine Updates macht ist wirklich selber Schuld.
 
@swissboy: Das Problem fangt damit an das diese Leute gar nicht Wissen wofür. Wie ist
einem 52 Jahre alten Betriebsdirektor beizubringen das er in unbekannten Mails keine Anhänge öffen soll. Argument - Dafür bezahlen wir unsere EDV Leute.
 
@swissboy: ... na, ich weiß nicht so recht - vom automatischen Updates halte ich nicht sehr viel! Ich will wissen, was das für Updates sind und dann selbst entscheiden können. Außerdem hat es in letzter Zeit gerade bei Microsoft einige Updares gegeben, die in die Hose gegangen sind ...
 
@Thaquanwyn: Mann kann sich auch nur benachrichtigen lassen und dann selbst entscheiden. Probleme mit Updates betreffen fast immer nur spezielle Fälle. Ich kann mich nicht erinnern das ich je selbst von einem solchen Problem betroffen gewesen wäre.
 
@Khamelion: Quatsch! Sasser, CodeRed, Blaster und andere haben bewiesen, dass bekannte längst eigentlich geschlossene Sicherheitslücken ebenfalls ausgenutzt werden. @Thaquanwyn: Gefährliches Spiel, aber deine Entscheidung :).
 
ich muss immer wieder ab deren namen schmunzeln... :-)
 
@baze: Welche Namen meinst du genau. Ich hoffe du denkst jetzt an swissboy :)
 
@redox: Window Snyder, Sicherheitschefin bei Mozilla.
 
hmmm... über swissboys auch...
 
Microsoft hat sich in den letzten Jahren und in der letzten Zeit sehr rangehalten die Fehler in immer kürzerer Zeit zu schliessen und die Updates vorher auch noch zu prüfen , die Forderungen nach sofortiger Veröffentlichung von Lücken geht da an der Realität vorbei und spielt nur anderen Leuten in die Hände. Keiner der Softwarehersteller wird sich auf sowas wie Erpressung einlassen nach der Veröffentlichung von Fehlern unter Druck von allen Seiten stehen zu müssen, weder Mozilla noch Apple oder MS.
 
@MS168: ein gewisser druck kann doch net schaden. sonst kann es sein, dass die lücke bis zur übernächsten version einer software besteht.__________ist jetzt off, aber denk an den ie7. der hat nur das licht erblickt, weil ms den druck durch den firefox hatte.____
also sollte, meiner meinung nach schon lücken (aber nicht detailiert) veröffentlichen, damit softwarehersteller schneller reagieren
 
Sowas gibts hier auch zu sehen LOL http://www.hanf-spiel.de/?ID=1508
 
@xxxFrostxxx: Was soll das? Kriegst von mir ein "minus".
 
von mir ein plus!
 
"Die Veröffentlichung ist der einzige Weg, damit Sicherheitslücken tatsächlich geschlossen werden" Und das ist leider die Realität.
 
@PCLinuxOS: ... nur sollte das erst geschehen wenn der Hersteller nicht bereit ist in angemessender Zeit zu reagieren bzw. das Problem zu beheben.
 
Ich persönlich halte es auch für sinnvoller, zuerst den Hersteller zu informieren und wenn dieser nicht reagiert, an die Öffentlichkeit zu gehen. Es gibt leider zu viele Leute, die gerne Trittbrettfahrer spielen und, ähnlich wie den Amokläufern-Nachahmern, eine bekannt gemachte Lücke noch solange ausnutzen, wie sie existent ist. Meines Erachtens ist die Wahrscheinlichkeit kleiner, dass eine unbekannte Lücke von vielen Leuten genutzt wird. Dazu ist sie schlichtweg zu unbekannt. Andererseits gibt es oft genug Workarounds für Lücken um potentiellen Kriminellen das Eindringen zu vermiesen. Diese wären dann nicht public und "gesprächige" Hackern könnten die Möglichkeit wie man die Lücke ausnutzt in der Szene ausposaunen und andere dies nutzen. So hat der User keinen Workaround zur Hand und kann sich nicht schützen bzw. weiß gar nichts von der Lücke. Dennoch tendiere ich persönlich eher zu der Entscheidung Lücken erst dem Hersteller zu melden und ihm eine entsprechende Frist zu setzen. Verstreicht diese ohne Rückmeldung oder Verbesserung, oder reagiert der Hersteller "pampig" kann man damit immer noch an die Öffentlichkeit gehen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles