Full Disclosure – Ein Nachruf
Die Mailingliste Full Disclosure hat Sicherheitsforschern, die von ihnen entdeckte Schwachstellen veröffentlichen und diskutieren wollten, erstmals eine Anlaufstelle geboten. Damit hat die Liste einen wichtigen Beitrag zur Entwicklung der Security-Szene beigetragen.
- Uli Ries
Überraschend hat der Betreiber der Mailingliste Full Disclosure bekannt gegeben, die Liste knapp zwölf Jahre nach ihrer Gründung nicht länger fortführen zu wollen. Grund war kein Rechtsstreit mit einem Unternehmen, dessen löchrige Software in der Liste diskutiert wurde. Vielmehr seien es die Hacker selbst, die den Administrator John Cartwright dazu brachten, den Stecker zu ziehen: Die Forderung eines Einzelnen, großflächig Inhalte aus der Liste zu löschen, habe das Fass zum Überlaufen gebracht.
Cartwright hat darüber hinaus keine Details bekannt gegeben, so dass man nur spekulieren kann, welche anderen Vorfälle in der Vergangenheit die Grundlage für die wachsende Verärgerung des Admins waren. Auch Mikko Hypponen, oberster Virenjäger bei F-Secure, fragt sich, was wohl vorgefallen ist: "Es ist ein wenig mysteriös und niemand weiß, was letztendlich zum Schließen der Liste geführt hat", sagte er gegenüber heise Security
Refugium für Sicherheitslücken
Mit dem Start der Mailing-Liste gab es erstmals einen Ort, an dem Sicherheitsexperten die von ihnen gefundenen Lücken in kommerzieller und Open-Source-Software gesammelt veröffentlichen konnten – und so die Aufmerksamkeit der Öffentlichkeit auf die Bugs lenken. Im Jahr 2002 gab es weder Microsofts regelmäßige Patchdays noch sonst einen geordneten Prozess zum Umgang mit Bugs in der IT-Industrie. Das Beheben von Sicherheitslücken rangierte in der Wichtigkeit weit hinten.
Es steht außer Frage, dass die regelmäßig auf Full Disclosure veröffentlichten Exploits beziehungsweise Schwachstellen-Informationen dafür sorgten, dass Software-Hersteller sich professionelle Prozesse aneigneten und das Thema mit dem gebotenen Ernst behandelten. Allen voran Microsoft, das 2003 die regelmäßigen Updates startete und das Schließen von Lücken zur Regel und nicht zur Ausnahme machte. Vieles von dem, was Redmond seither rund um das Beheben von Bugs getan hat, dient für andere Unternehmen als Blaupause.
Tempomacher
Experten wie HD Moore sind überzeugt davon, dass Hersteller sich mit dem Schließen von Lücken länger Zeit ließen, wenn sich nicht mit dem unkontrollierten Kursieren der zugrundeliegenden Informationen rechnen müssen. Er sagte vor einiger Zeit im Rahmen einer Podiumsdiskussion auf der RSA Conference: "Taucht Exploitcode in einem Forum auf, steht binnen zehn Tagen ein Fix zur Verfügung". Dies ist eine außergewöhnlich kurze Zeitspanne. Normalerweise bedingen sich Hersteller Spannen von 90 Tagen und mehr aus, um nach Entdecken der Lücke einen Patch zu liefern. Von daher hat die – anders als Listen wie Bugtraq weitgehend unmoderierte – Full-Disclosure-Liste für Tempo gesorgt.
Und auch die heute allerorten zu findenden Bug Bounty-Programme sind sicherlich eine Folge des offenen Umgangs der Hersteller mit den in ihren Produkten aufgedeckten Lücken. Gleichzeitig haben die Prämien dazu beigetragen, dass die per Mailingliste verbreiteten Bugs weniger brisant wurden. Denn die Exploit-Programmierer und Bug-Finder wandten sich im Lauf der Jahre immer häufiger direkt an den betroffenen, eine Geldprämie offerierenden Hersteller oder Organisationen wie die Zero Day Initiative, die ebenfalls für angelieferte Bugs bezahlt. Erst nachdem die jeweiligen Hersteller die Lücke schlossen, veröffentlichten die Finder ihre Erkenntnisse – und betrieben damit kein Full Disclosure mehr, sondern folgten den Regeln des von den Herstellern bevorzugten Coordinated Disclosure.
Katie Moussouris, bei Microsoft für den Kontakt zwischen Unternehmen und Security-Gemeinde sowie das hochdotierte Bug-Bounty-Programm verantwortlich, bedauerte per privatem Tweet das Ende von Full Disclosure. Für sie gehe "eine Ära zu Ende", der "Verlust von Full Disclosure ist ein Verlust für uns alle".
Und jetzt?
Was kommt nach der Mailingliste? Secunia, das in den letzten Jahren für das Hosting der Liste sorgte, hat bereits angekündigt, das Projekt selbst nicht fortführen zu wollen. Mancher IT-Sicherheitsexperte ist der Meinung, dass das auch nicht nötig sei: Twitter sei vollkommen hinreichend, um auf neue Schwachstellen aufmerksam zu machen.
Ein Wechsel weg von einer Mailingliste und hin zu Twitter brächte gleich mehrere Probleme mit sich, wie Jericho von attrition.org in einem Beitrag schreibt: Zum einen mangelt es dann an der Durchsuchbarkeit, wenn der jeweilige Poster nicht präzise mit Hashtags umgehe. Und auch die Vergänglichkeit der Schwachstelleninfos sei ein großes Problem. Letztendlich verschwinden auf diese Art also viele relevante Angaben im Lauf der Zeit – ein Problem, mit dem Full Disclosure nicht zu kämpfen hatte.
Dafür aber mit dem von John Cartwright angedeuteten Verlust von Ehrgefühl in der Hackergemeinde. Um den Verfall der Sitten selbst nicht noch weiter zu fördern, hat er in seiner Abschiedsnachricht auch darauf verzichtet, selbst "Full Disclosure" zu betreiben – und hat den Namen des Zeitgenossen für sich behalten, der das Fass mit seinen rechtlichen Drohungen zum Überlaufen brachte.
Update vom 26. März 2014: Inzwischen hat sich Nmap-Erfinder Gordon "Fyodor" Lyon dazu bereit erklärt, die Liste unter seine Fittiche zu nehmen. Die Reinkarnation beginnt bei Null, man muss sich also erneut anmelden. (rei)
