Sicherheitsliste für DNS-Software BIND geplant

Das Internet Software Consortium (ISC), Hersteller der weit verbreiteten DNS-Software BIND, hat angekündigt, eine geschlossene Gruppe für den Informationsaustausch über Sicherheitslücken zu gründen. Anlass dafür waren die kürzlich entdeckten Sicherheitslücken in der BIND-Software, die Angreifern ermöglichten, betroffene Nameserver "abzuschießen" oder gar Kontrolle über die Server zu erlangen.

Durch die Informationsgruppe verspricht sich das ISC eine schnellere Reaktionszeit auf eventuelle kommende Sicherheitsprobleme. Bisher habe man über die Mailingliste des Computer Emergency Response Teams (CERT) kommuniziert, was äußerst umständlich gewesen sei. Als Resultat wurden die Probleme lieber auf öffentlichen Mailinglisten diskutiert, was den entscheidenen Nachteil hatte, dass potenzielle Angreifer Informationen über neue Sicherheitslöcher zeitgleich mit den Herstellern erhielten. "Im Augenblick erhalten die bösen Jungs die Informationen zum gleichen Zeitpunkt wie die guten, und dann ist es ein Pferderennen. Jetzt werden wir den richtigen Leuten einen Vorsprung für kommende Rennen geben", sagte Paul Vixie, Vorsitzender des ISC.

Noch in diesem Monat wolle das ISC Mitglieder gegen Gebühr in die Informationsgruppe aufnehmen. Das ISC werde jeden aufnehmen, der legitimen Zugriff auf die Informationen benötigt, sagte Vixie. Das schließt Entwickler genauso ein, wie Software-Firmen und Top-Level-Domain-Registranten.

Somit ist die angestrebte Organisation ähnlich aufgebaut, wie das Information Sharing and Analysis Center (ISAC) – Mitglieder des neuen Dienstes sind dann verpflichtet, sich zu registrieren und verschlüsselte E-Mails zu benutzen, wenn über Sicherheitsprobleme in der BIND-Software diskutiert wird.

Indes werden kritische Stimmen laut, die grundsätzliche Bedenken gegen dieses Konzept haben: "Ich halte es für eine furchtbare Idee, Geld für Sicherheitsinformationen zu verlangen", hieß es beispielsweise in einer Kritik auf der Sicherheitsmailingliste Bugtraq. Auch Jim Magdych von PGP Security meldet Bedenken, dass eine solche Organisation mehr schaden als helfen könne; öffentliche Diskussionen über Sicherheitsprobleme tragen schließlich zu einer besseren Sicherheit bei, so Magdych. "Historisch betrachtet ist Security through Obscurity keine gute Lösung. Ich glaube, der Trend geht seit kurzem in Richtung einer verantwortungsbewußten Veröffentlichung. Solche Veröffentlichungen machen nicht nur die Öffentlichkeit auf die Sicherheitslöcher aufmerksam, sondern zwingt die Hersteller zudem das Beheben dieser Mängel ganz oben auf die Prioritätsliste zu setzen", kommentierte Magdych.

Vixie weist diese Kritik von sich, sie beruhe offenbar auf einem Missverständnis: "Das ISC hat schon immer Informationen an das CERT weitergegeben, sobald wir ein Sicherheitsloch gefunden haben. Das CERT hatte die Informationen immer dann, wenn wir sie auch hatten. Und daran wird sich auch nichts ändern." (pab)