Die US-Regierung und der sendmail-Bug
Der jüngste Bug im MTA sendmail wurde bereits Mitte Januar entdeckt. Das US-Ministerium für innere Sicherheit arbeitete mit den betroffenen Firmen an einer Korrektur, bevor die Öffentlichkeit informiert wurde.
Die Rolle der US-Regierung bei der Korrektur des jüngsten sendmail-Bugs könnte für einige neue Diskussionen um das Vorgehen sorgen, das bei Entdeckung von Sicherheitslücken einzuhalten ist. Denn dies sei ein erster Test gewesen für das neu geschaffene Department of Homeland Security und seine Abteilung zum Schutz des Cyberspace, schreiben US-Medien über die gerade erst bekannt gewordene Sicherheitslücke in dem Message Transfer Agent sendmail. Danach hat das Directorate of Information Analysis and Infrastructure Protection (IAIP) des US-Ministeriums für innere Sicherheit mit ISS, den Entdeckern der Sicherheitslücke, sendmail inc. und sendmail.org zusammengearbeitet, um das Loch zu stopfen. Gleichzeitig aber soll das IAIP dafür gesorgt haben, dass die Lücke solange nicht bekannt wurde, bis ein Fix zur Verfügung stand.
Man habe mit den privaten Firmen zusammengearbeitet und die wichtigsten Beteiligten informiert, meinte ein Sprecher der Behörde. Die Sicherheitsfirma ISS hatte das National Infrastructure Protection Center (NIPC), das in Zukunft zum Department of Homeland Security gehört, von dem sendmail-Bug bereits Mitte Januar informiert. Das NPIC habe dann geholfen, andere Firmen zu informieren.
In der Vergangenheit hatte es immer wieder heftige Diskussionen unter Sicherheitsexperten gegeben, wie man sich bei der Entdeckung von Sicherheitslücken verhalten solle. ISS hatte erst Ende Dezember entsprechende Richtlinien für das eigene Verhalten bekannt gegeben; danach sollen beispielsweise Anbieter von Software, bei der Lecks entdeckt werden, 30 Tage Zeit bekommen, das Loch zu stopfen, bevor die Öffentlichkeit informiert wird. Diese Richtlinien entwickelte ISS, nachdem die Firma heftig für bestimmte Vorgehensweisen kritisiert worden war. So hatten die Apache-Entwickler ISS vorgeworfen, die Öffentlichkeit über eine Sicherheitslücke in dem Webserver so schnell informiert zu haben, dass nur rund zwei Stunden Zeit zur Reaktion geblieben wären.
Microsoft wiederum war bereits vor einiger Zeit heftig unter Beschuss geraten, nachdem der Chef von Microsofts Security Response Center von "Informations-Anarchie" beim Umgang mit Sicherheitslücken gesprochen hatte. Der Softwarekonzern aus Redmond vereinbarte dann bereits 2001 mit einigen Firmen Verhaltensmaßregeln, die ein Informieren der Öffentlichkeit erst nach Bereitstellen von Patches für Sicherheitslücken vorsehen.
Unstrittig ist allerdings auch unter Sicherheitsexperten, dass die Hersteller die Möglichkeit bekommen sollten, auf entdeckte Sicherheitslücken zu reagieren. Aber die meisten Experten fordern auch, dass eine Politik des Full Disclosure eingehalten wird, wie sie etwa bislang auf der Sicherheits-Mailingliste Bugtraq verfolgt wird. Das bedeutet, dass alle Details von Sicherheitsproblemen diskutiert werden -- auch wie man damit in Systeme einbrechen kann. So ist es durchaus üblich, auch so genannte "Exploits" zu veröffentlichen, den Code, mit dem man ein Sicherheitsloch ausnutzen kann. Dies wird sowohl bei den Herstellern wie bei einigen Sicherheitsfirmen allerdings kritisiert: Sie möchten zwar die Öffentlichkeit über den Charakter von entdeckten Sicherheitslücken informieren, Details über Exploits aber unter der Decke halten, um nicht etwa die Angriffe von Script-Kiddies erst zu provozieren. (jk)
