Verizon: Full Disclosure nützt nur selbstverliebten "Pimps"

An der Frage, ob und wie man Informationen über Sicherheitslücken veröffentlicht, scheiden sich regelmäßig die Geister. Neuen Diskussionsstoff liefert der Sicherheitsblog des Netzriesens Verizon. Ein Beitrag fordert eine Neudefinition des Begriffs "Security Researcher". Dieser ist nach Ansicht des Autors Wade Baker, der Verizions Team "Business Investigative Response" gehört, ein Euphemismus, unter dem zu viele verschiedene Aktivitäten zusammengefasst sind. Das habe den gleichen Effekt als würde man einen Terroristen als Ingenieur für Zerstörung bezeichnen.

Insbesondere müsse man unterscheiden, ob eine Person ein Teil des Problems oder eine Teil der Lösung sei. Auch der Umgang mit Informationen über Lücken müsse bewertet werden, um eine klarere Abgrenzung zu schaffen. Baker schlägt vier Kategorien vor, die man auch bei Verizon künftig intern (zumindest scherzhaft) verwenden wolle: Security Researcher, Security Practitioner, Narcissistic Vulnerability Pimp und Criminal.

Der "Researcher" widmet sich der Analyse von Sicherheitsproblemen und wie man sie löst. Der "Practitioner" nimmt die Lösungen des Researcher auf, um Dinge in der Praxis sicherer zu machen. Der selbstverliebte "Narcissistic Vulnerability Pimp" veröffentlicht Informationen über Lücken ohne Rücksprache mit dem Hersteller und macht so Systeme unsicherer.

Baker, der als Autor auch an Verizons "Data Breach Investigations Report 2009 " mitgearbeitet hat, unterstreicht dabei, dass viele aufgeführte Analogien zum Thema verantwortungsvolle Offenlegung über Sicherheitsprobleme nicht passen würden. Bei einem Defekt in einem Auto erhöhe man beispielsweise mit der Veröffentlichung ohne Absprache mit dem Hersteller nicht das Risiko für den Fahrer. Bei Software steige jedoch die Wahrscheinlichkeit für Angriffe, bei denen jemand die Lücke für seine Zwecke ausnutzen wolle. Demnach solle man Informationen über Lücken so lange zum Wohle der Anwender unter Verschluss halten, bis man eine Lösung gefunden habe.

Würde man der Definition des "Practitioner" Wade Baker folgen, wäre auch das Mitglied in Googles Sicherheitsteam Tavis Ormandy ein "Narcissistic Vulnerability Pimp". Der hatte nämlich kürzlich Informationen über eine kritische Lücke in Java veröffentlicht, die der Hersteller Oracle jedoch nicht kritisch genug fand, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen. Kurz darauf veröffentlichte Oracle dann doch ein Update.

Ein derartiges Verhalten der Hersteller hat bereits der "Narcissistic Vulnerability Pimp" H.D. Moore auf der vergangenen RSA-Konferenz vorausgesagt und kritisiert. Der Metasploit-Entwickler veröffentlicht ebenfalls regelmäßig Details zu Lücken ohne Absprache mit Herstellern, weshalb diese ihm vorhalten, unverantwortlich zu handeln. Moore hatte jedoch die Erfahrung gemacht, dass "Softwarehersteller einen Fix für die vom Forscher entdeckte Lücke nie in der Zeit fertig stellen, die sie ursprünglich veranschlagen. Ganz egal, ob 30, 60, 90 oder 120 Tage, die Termine werden nie gehalten." Wenn aber plötzlich Exploitcode in einem Forum auftauche, sei der Fix binnen zehn Tagen fertig.

Auch wenn Baker mit seiner Kategorisierung wohl weit über das Ziel hinaus schießt, liefert es doch einen Anlass, die übliche Terminologie zu überdenken. Wann ist jemand ein Sicherheitsforscher, ein Aktivist oder gar nur ein Nutznießer?

Siehe dazu auch:

• Java-Exploit startet lokale Windows-Anwendungen
  
• Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken
• Hackergruppe sagt Sicherheitsindustrie den Kampf an

(dab)