Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken

Hacker wie H.D. Moore und Großkunden wie die Fluglinie Continental Airlines waren sich auf der RSA-Konferenz in San Francisco einig: Softwarehersteller patchen nicht schnell genug. Erst wenn es einen Zero-Day-Exploit gebe, komme Schwung in die Sache.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Uli Ries
  • Daniel Bachfeld

Schon seit Langem diskutieren Softwarehersteller und Hacker, wie am besten mit von Sicherheitsforschern entdeckten Lücken umzugehen ist. Während einer Podiumsdiskussion auf der RSA-Sicherheitskonferenz in San Francisco rund um "Responsible Disclosure" (verantwortungsvolle Offenlegung) äußerte sich unter anderem der Metasploit-Erfinder H.D. Moore kritisch über das Verhalten der Softwarehersteller. Moore veröffentlicht Details zu Lücken in der Regel ohne Absprache mit Herstellern, weshalb diese ihm vorhalten, unverantwortlich zu handeln. Moore fragte in der Diskussionsrunde jedoch, "wer unverantwortlich handelt: Der Hacker, der die Lücke irgendwann veröffentlicht? Oder der Hersteller, der die Lücke trotz besserem Wissen monatelang nicht schließt?"

Moore habe außerdem regelmäßig die Erfahrung gemacht, dass "Softwarehersteller einen Fix für die vom Forscher entdeckte Lücke nie in der Zeit fertig stellen, die sie ursprünglich veranschlagen. Ganz egal, ob 30, 60, 90 oder 120 Tage, die Termine werden nie gehalten." Wenn aber plötzlich Exploitcode in einem Forum auftauche, sei der Fix binnen zehn Tagen fertig.

Die Vertreter von Adobe und Microsoft erklärten auf der Konferenz die oft monatelangen Verzögerungen zwischen Meldung durch den Hacker und Bereitstellen des Sicherheitsupdates mit dem aufwendigen Testen der Updates. Brad Arkin, bei Adobe verantwortlich für Produktsicherheit und Datenschutz, meinte, der eigentliche Fix sei mitunter schon nach einem Tag programmiert. "Das Testen kann dann aber etliche Wochen dauern, denn wir müssen alleine vom Adobe Reader 29 verschiedene Versionen in 80 unterschiedlichen Sprachen testen." Adobe sei es aber im letzten Jahr gelungen, die Testdauer bei gleichbleibenden Mannstunden von acht Wochen auf 15 Tage zu senken.

Tim Stanley, CISO bei der Fluglinie Continental Airlines, fand als Kunde der beiden Softwarehersteller deutliche Worte: "Es ist mir egal, in welchem Verhältnis Hacker und Hersteller zueinander stehen. Ich zahle direkt und indirekt die Arbeit von beiden und will, dass die Lücken so schnell wie möglich geschlossen werden." Außerdem fand Stanley es "unerträglich", dass Firmen wie Microsoft monate- oder gar jahrelang von Lücken wissen, sie aber weder schließen noch ihre Kunden darüber informieren. Es sei ihm egal, an wie vielen Lücken die Hersteller zeitgleich arbeiten und sich daher Warteschlangen beim Testen ergeben. "Wenn ihr nicht die nötigen Ressourcen bereitstellen wollt, um Probleme schnell zu beheben, dann sucht euch ein anderes Geschäftsfeld", polterte Stanley.

Der Sicherheitsforscher Steve Dispensa schlug vor, dass die Hersteller in Form von Update-Ratschlägen zumindest vom Einsatz der Produkte abraten könnten, in denen von einem Hacker vertraulich gemeldete Sicherheitslücken aufgetaucht sind. Die Softwarehersteller wollen solche Veröffentlichungen nicht, da sie Trittbrettfahrer fürchten, die aufgrund solcher Ratschläge schnell herausfinden, in welchem Produkt die Lücke zu finden ist. Tim Stanley reagierte darauf erneut heftig: "Wollt ihr mich auf den Arm nehmen? Die bösen Jungs sind gewieft genug. Die wissen doch ohnehin um die Lücke und brauchen keine Tipps."

Dispensa schilderte aus eigener Erfahrung, dass Forscher oft selbst nicht wissen, was sie mit ihrem Wissen anfangen sollen. Er wisse nicht, an wen er sich wenden soll, wenn er beispielsweise eine Lücke in einem Protokoll wie SSL entdeckt. "Ich kann verstehen, wenn Kollegen angesichts der Vorstellung, dutzende Hersteller gleichzeitig informieren zu müssen, den Bug lieber in eine Mailingliste stellen“, sagte Dispensa.

Alle Diskussionsteilnehmer waren sich aber einig, dass Softwarehersteller und Anbieter von Online-Diensten einen ordentlich definierten Prozess zum Kontakt mit den Hackern haben müssen. "Es kann nicht sein, dass wertvolle Informationen über schwerwiegende Lücken im schwarzen Loch des allgemeinen Supports beim Hersteller untergehen", meinte Katie Moussouris von Microsoft. Michael Barrett, CISO der eBay-Tochter PayPal, war jedenfalls "entsetzt darüber, wie wenige Unternehmen entsprechende Hinweise zum Umgang mit Hackern auf ihren Webseiten haben".

Moore hingegen findet es deutlich skandalöser, dass Lücken oft nicht in allen Software-Versionen geschlossen werden. "In manchen Produkten steckt uralter Code. Wenn nur die jeweils aktuellen Versionen wie beispielsweise Windows 7 und Windows Vista gepatcht werden, dann sagt den Kunden keiner, dass auch Windows XP und Server 2003 betroffen und anfällig sind." Tim Stanley von Continental Airlines fand deutlichere Worte: "Alte Versionen nicht zu patchen und die Kunden über die Gefahr auch im Dunkeln zu lassen, ist ein starkes Stück." An Adobe gewandt sagte Stanley sogar, dass ein solches Vorgehen "an betrügerisches Geschäftsgebaren" grenze. (dab)