HP will Veröffentlichung von Sicherheitslücken verbieten

Das umstrittene amerikanische Gesetz zum Schutz gegen Copyright-Verletzungen (Digital Millennium Copyright Act, DMCA) soll jetzt auch dafür herhalten, die Veröffentlichung von Details zu Sicherheitslücken zu verhindern -- zumindest wenn es nach HP geht. Wie der amerikanische Newsdienst CNet berichtet, "warnte" HP in einem Schreiben Security-Spezialisten der Firma SnoSoft, dass sie für die Veröffentlichung eines so genannten Exploits mit einer Geldstrafe von bis zu 500.000 US-Dollar und bis zu fünf Jahren Gefängnishaft bestraft werden könnten.

Der Stein des Anstoßes: Ein mit SnoSoft assoziierter Hacker mit dem Pseudonym Phased hatte auf der Mailing-Liste Bugtraq einen Link zu einem Programm gepostet, mit dem sich ein Sicherheitsloch im Betriebssystem Tru64 ausnutzen lässt, das HP zusammen mit Compaq übernommen hat. Das Programm wurde anscheinend bei SnoSoft entwickelt, aber ohne deren Zustimmung veröffentlicht.

HP-Vize-Präsident Kent Ferson vertritt in seinem Schreiben die Auffassung, das Programm und das Posting verletzen unter anderem den DMCA. Insbesondere behält sich HP vor, SnoSoft auf Ersatz für jeglichen Schaden zu verklagen, den "dieses Posting und jegliche Benutzung des Buffer Overflow Exploits verursache".

Das pikante daran: Bereits Anfang letzten Jahres wurde ein ähnlicher Exploit für dasselbe Programm veröffentlicht; und auch SnoSofts Mitgründer Kevin Finisterre beteuert, HP wisse über dieses Problem seit "einiger Zeit" Bescheid. Trotzdem ist bisher kein entsprechender Patch für das Problem bekannt.

Dies ist der erste Versuch, über den DMCA gegen die Veröffentlichung von Sicherheitslücken vorzugehen. Tatsächlich ist der DMCA soweit gefasst, dass man nicht ausschließen kann, dass er auch hier zur Anwendung kommen könnte. Bereits im Oktober letzten Jahres wies Linux-Guru Alan Cox auf seine Art auf diese Gefahr hin: Er veröffentlichte einen Linux-Kernel, in dem er Änderungen zur Beseitigung von Sicherheitsproblemen mit einem Verweis auf den DMCA nicht dokumentierte:

2.2.20pre11
o	Security fixes
	| Details censored in accordance with the US DMCA

Auch wenn nicht wirklich mit einer Verurteilung zu rechnen wäre, könnte das Kalkül von HP&Co aufgehen. Grundsatzprozesse ziehen sich häufig über Jahre hin, und während dieser Zeit könnte Verunsicherung vor allem bei Sicherheitsexperten, die in diesem Bereich professionell tätig sind, dazu führen, dass weniger Sicherheitslücken publiziert werden.

Es bleibt das Restrisiko des mit einer solchen Klage verbundenen Image-Schadens: Schon jetzt spotten böse Zungen, HP ginge dazu über, die Entdecker von Sicherheitslücken zu verklagen, statt die Löcher zu beseitigen. Schließlich seien Anwälte einfacher zu finden und auch noch billiger als gute Softwareentwickler.

Neben den politischen Aspekten hat der veröffentlichte Exploit jedoch auch technische Brisanz. Er beruht auf einem Pufferüberlauf in dem Programm /bin/su. Als Allheilmittel gegen solche Buffer-Overflows taucht in Diskussionen immer wieder der Vorschlag auf, den so genannten Stack -- also den Speicherbereich, in dem interne Puffer liegen -- als nicht-ausführbar zu markieren. HPs Tru64 bietet genau diese Möglichkeit. Doch wie Sicherheitsexperten schon seit geraumer Zeit betonen, lassen sich auch solche Maßnahmen umgehen; sie legen die Latte nur ein Stück höher. Der jetzt veröffentlichte Buffer-Overflow-Exploit ist einer der Ersten, der konkret demonstriert, dass und wie sich Buffer Overflows auch auf Systemen mit Non-Executable-Stacks ausnutzen lassen.

Weitere Details zu Buffer Overflows finden Sie in dem c't-Artikel Das Sicherheitsloch: Buffer-Overflows und wie man sich davor schützt. (ju)