HP bittet Veröffentlichung von Sicherheitslücken zu unterlassen
Der Rubikon wurde nicht überschritten, freundlich soll es zugegangen sein. Trotzdem darf die Öffentlichkeit jetzt nur mutmaßen, welche schwerwiegenden Sicherheitslücken länger unter Verschluss bleiben.
Kurt Grutzmacher hat Sicherheitslücken in Netzwerk-Equipment von Huawei und H3C gefunden und wollte diese bei der Sicherheitskonferenz Toorcon 14 an diesem Wochenende offen legen. HP, Mutterkonzern von H3C, bat ihn nun zwei Tage vorher "freundlich und entschuldigend", es nicht zu tun.
Bei HP muss es sehr kurzfristig neue Erkenntnisse gegeben haben, die eine Verlängerung einer gemeinschaftlich beschlossenen 45-Tage-Verschwiegenheits-Vereinbarung dringlich machten. Wie Grutzmacher es in seinem Blog ausdrückt: "Vermutlich fiel am Donnerstag morgen jemandem ein: 'Oh Mist, ist Toorcon diesen Samstag?'"
Grutzmacher entdeckte die Lücken bereits im Juli, im August hatte er sie gemeldet – quasi parallel zu Felix Lindners (FX) Vortrag zu Schwachstellen in Huawei-Routern bei der Defcon. Er schätzt seine unabhängig gefundenen Schwachstellen als kritisch ein, wollte in seinem Vortrag jedoch Workarounds präsentieren, mit denen sich Betroffene schützen können. Diese seien auch den Firmen bereits bekannt. Nicht ohne Spott führt der verhinderte Redner aus, dass die Lücken für HP und H3C "anscheinend zu groß" sind, um sie jetzt schon zu veröffentlichen. Er erklärt, dass ihm von Dritten sehr dazu geraten wurde, einer Verschiebung der Veröffentlichung zuzustimmen. Wer das war schreibt er nicht; man sollte jedoch wissen, dass er hauptberuflich als Network Consulting Engineer bei Cisco arbeitet. Anfragen oder Erkenntnisse zu Sicherheitslücken in Huawei- und H3C-Produkten bittet er an HPs PR-Arbeiter weiterzuleiten.
HPs merkwürdiger Umgang mit Sicherheitsproblemen hat offenbar Methode. Die Zero Day Initiative (ZDI), nach einem Zukauf sogar Teil von HP, veröffentlichte erst im September mehrere Lücken mit höchstmöglichen Gefährdungswert 10. Sechs Monate räumt das ZDI den Firmen ein, um an sie gemeldete Lücken zu schließen, erst dann werden sie veröffentlicht. HP begegnet dieser Frist, wie es scheint, ohne Furcht und ohne Patch.
Update 19.10., 13:05: HP ist nicht der Mutterkonzern von Huawei sondern von H3C. Das wurde in der Meldung korrigiert. (kbe)
