7. Juli 2010
Microsoft beispielsweise. Erst mault der Softwarehersteller ständig über Full Disclosure, d.h. wenn Sicherheitslücken komplett für jeden zugänglich veröffentlicht werden (weil die bösen Hacker die Informationen ja auch lesen können), jetzt mault der Softwarehersteller über “Null Disclosure”, d.h. über Firmen die auf gefundenen Sicherheitslücken sitzenbleiben und Details nur gegen bares rausrücken.
Tja liebes Microsoft. Wer auf soviel Cash sitzt wie ihr muß vielleicht selbst mal ein vernünftiges Bounty-Programm (”Prämien für gefundene Sicherheitslücken”) aufsetzen. Dann klappt es auch wieder mit dem “Responsible Disclosure”, d.h. außer dem Hersteller erfährt sonst niemand von der Lücke. Denn ganz ehrlich, Fehlersuche ist harte Arbeit geworden. Die Zeiten als man mit einem billigen selbstgebastelten Fuzzer noch wahre Exploitorgien finden konnte sind lange vorbei. Viele dieser Tests machen die Softwarehersteller inzwischen selbst.
Ob der Weg von VUPEN allerdings richtig ist, erst nach Lücken zu suchen und dann den Softwareanbieter unter Druck zu setzen entweder er zahlt oder die Lücken werden anderweitig veröffentlicht, muß ich allerdings bezweifeln. Und da kann ich wiederum Microsoft gut verstehen, die sich in diesem Fall vermutlich direkt erpresst vorkommen und fürchten für umfangreiche weitere Erpressungen die Tür zu öffnen.
Auf jeden Fall bleibt es spannend.
Tags: Exploit,
Full Disclosure,
Microsoft,
Null Disclosure
7. Juni 2010
Früher gab es ja immer die Diskussion, ob und wie Sicherheitslücken veröffentlicht werden sollen. Da gab es im großen und ganzen drei Schulen:
1. No Disclosure
No Disclosure bedeutet, man hält die Lücke einfach für sich selbst geheim. Kann man immer mal brauchen. Mit dem Risiko, dass natürlich jemand anderes die Lücke auch findet. No Disclosure war früher typisch bei Schadprogrammautoren. Wenn die mal eine Lücke hatten, wurden damit Schadprogramme verbreitet und irgendwann über Projekte wie das Honeynet wurde dadurch die Lücke irgendwann bekannt und gestopft.
2. Responsible Disclosure
Das war der Begriff den Firmen wie Microsoft geprägt haben, die Sicherheitslücken am liebsten vertuscht haben. Mit Responsible Disclosure sollte eine Sicherheitslücke nur dem Hersteller bekanntgegeben werden damit dieser dann beliebig lange Zeit hat die Lücke zu beheben. Ein paar Firmen wollten daraus sogar einen Standard (RFC) machen, der aber glücklicherweise dann nicht in den Standard aufgenommen wurde. Firmen wie eEye konnten zeigen, dass sich Microsoft bei “responsible” bekanntgegebenen Lücken sehr viel länger Zeit läßt, diese zu beheben. In der Praxis hat sich eine Art Responsible Disclosure durchgesetzt, weil die Sicherheitsfirmen halt auf Aufträge der großen Softwarehersteller angewiesen sind.
3. Full Disclosure
Sicherheitslücken, möglicherweise inkl. Exploit werden auf einer öffentlichen Webseite oder Mailingliste bekanntgegeben und stehen damit Softwarefirmen genauso wie Angreifern direkt und gleichzeitig zur Verfügung. Ein Softwarehersteller muß dann natürlich schnell reagieren und einen Patch bereitstellen der möglichst keine Nebeneffekte haben darf d.h. unter Zeitdruck sorgfältig entwickelt und getestet werden muß.
Heute muß man meiner Ansicht nach andere Kriterien anwenden:
1. Free Disclosure
Sicherheitslücken bzw. Exploits werden (egal wann) auf einer kostenfreien Webseite oder Mailingliste bereitgestellt. Namentlich kann man SecurityFocus oder Metasploit nennen.
2. Disclosure über einen Exploit Broker
Eine Reihe von Agenturen kaufen Sicherheitslücken von Entwicklern auf und geben diese dann an den Herstellern weiter. ZDI (TippingPoint/3Com/HP), iDefense (Verisign) und Co. sind hier zu nennen. Ein Exploit Broker hat den Vorteil, dass man mit einem Exploit Geld verdienen kann, jedoch praktisch kein Risiko eingeht, wegen dieses Exploits auch verklagt zu werden. Gerade für einzelne Programmierer ist das eine brauchbare Alternative.
3. Kommerzielle Exploit-Software
Neben ZDI/iDefense gibt es auch Firmen wie Core oder Immunity, die Sicherheitslücken z.B. von freiberuflichen Exploitentwicklern kaufen und in ihre kommerziellen Frameworks mit aufnehmen. Dazu gibt es sogar eine “No more free bugs” Initiative.
Mein Eindruck ist, dass sich der Trend zu kommerziell vermarkteten Sicherheitslücken in den nächsten Jahren verstärken wird. Das wird dazu führen, dass nur noch große finanzkräftige Firmen sich alle notwendigen Sicherheitslücken z.B. für Penetrationstests zusammenkaufen können. Ob das eine wünschenswerte Entwicklung ist, will ich mal offen lassen.
Literatur zum Nachlesen:
Ich bin gespannt, wie sich das weiterentwickelt.
Tags: Exploit,
Full Disclosure,
iDefense,
ZDI
27. Januar 2008
Was macht man nun aber, wenn man überall seine peinlichen privaten Fotos in diversen sozialen Netzwerken wie StudiVZ, Facebook, Xing und Co. verteilt hat und sich dann doch auf einen seriösen Job bewerben will? Die Amerikaner haben da einen ganz tollen neuen Dienst erfunden: Reputation Defender, auf deutsch der Reputationsverteidiger.
Thomas Knüwer vom Handesblatt hat schon seine Erfahrungen gemacht, allerdings noch in einer relativ positiven und seriösen Art. Der Reputation Defender hat ihn höflich angeschrieben, einen Verweis auf einen Kunden zu entfernen. Thomas Knüwer hat das nicht gemacht sondern die Mail veröffentlicht. Aus meiner Sicht vielleicht nicht ganz fair aber naja.
Wenn man als Reputation Defender jedoch die Bitte, eine Mail aus einem Mailarchiv zu löschen, an die komplette Mailingliste schickt … dann hat man es nicht anders verdient, verspottet zu werden:
Dear Full Disclosure,
We are writing to you in behalf of Bart Cilfone. He has asked us to contact you and see if you will consider removing the content about him at:
http://seclists.org/fulldisclosure/2008/Jan/0497.html
Please allow us to introduce ourselves. We are ReputationDefender, Inc., a company dedicated to helping our clients preserve their good name on the Internet. Our founders and employees are all regular Internet users. Like our clients, and perhaps like you, we think the Internet is sometimes unnecessarily hurtful to the privacy and reputations of everyday people. Even content that is meant to be informative can sometimes have a significant and negative impact on someone's job prospects, student applications, and personal life. We invite you to learn more about who we are, at www.reputationdefender.com.
Tja, da haben ein paar Leute noch nicht verstanden wie das Internet funktioniert. Aber gut zu wissen, daß da irgendwo anscheinend was negatives über Bart Cilfone steht. Und gut, daß es jetzt auch ein paar tausend Leute wissen.
Manchmal kann man echt nur noch den Kopf schütteln.
Tags: Archiv,
Full Disclosure,
Internet,
Privacy
19. Mai 2007
a074b01b79207eaec03dbad343997c6c ist ein MD5-Hash von irgendwas, was ich weiß und vielleicht oder vielleicht auch nicht oder so eventuell mal hier oder woanders posten werde. Ich will aber jetzt schon mal festhalten, daß ich das, was ich noch poste, jetzt schon weiß, damit jeder weiß, daß ich das als erstes gefunden habe, aber nur nicht veröffentlich habe oder schon oder woanders oder was weiß ich denn.
Dieses lustige MD5-Hash posten scheint der neueste Trend in der Veröffentlichung von Sicherheitslücken zu werden. Halvar Flake, Didier Stevens und Kai Hampelmann, alle veröffentlichen MD5-Hashes die keinen interessieren um irgendwann mal behaupten zu können: “Ich hab’s gewußt!”.
Im Prinzip ist mir das ja egal. Entweder man macht Full Disclosure, d.h. man veröffentlicht alle Details einer Sicherheitslücke oder nicht. Wenn nicht, dann sagt man nur dem Hersteller wo das Problem ist und wartet halt ein halbes Jahr oder länger auf die Patches. Microsoft und Oracle sind da so Spezialisten. Solange eine Lücke nicht öffentlich bekannt ist, passiert erstmal gar nichts oder sehr wenig und ein Patch dauert dann halt gerne mal 300 Tage oder gerne auch mal länger. Die Advisories von eEye können da ein Lied von singen. Stand heute, 19.05.2007: EEYEB-20061024, Vendor Microsoft, Days sind initial report: 208!
Das Problem mit den MD5-Hashes ist nur, daß sich die Typen dann hinstellen und hinterher behaupten, sie hätten ja schon früh was veröffentlich und sei es nur der MD5-Hash gewesen. Eine nette Pervertierung von Full Disclosure. Ich denke, die MD5-Poster sollte man am besten gar nicht mehr ernst nehmen.
Ach ja, und wer rauskriegt, was hinter dem obigen Hash steckt, bekommt ein Bier von mir 
Tags: Full Disclosure,
Halvar Flake,
Hash,
MD5
