7. Juni 2010

Vulnerability Disclosure

Category: Hacking,Produkte,Recht,Work — Christian @ 21:57

Früher gab es ja immer die Diskussion, ob und wie Sicherheitslücken veröffentlicht werden sollen. Da gab es im großen und ganzen drei Schulen:

1. No Disclosure

No Disclosure bedeutet, man hält die Lücke einfach für sich selbst geheim. Kann  man immer mal brauchen. Mit dem Risiko, dass natürlich jemand anderes die Lücke auch findet. No Disclosure war früher typisch bei Schadprogrammautoren. Wenn die mal eine Lücke hatten, wurden damit Schadprogramme verbreitet und irgendwann über Projekte wie das Honeynet wurde dadurch die Lücke irgendwann bekannt und gestopft.

2. Responsible Disclosure

Das war der Begriff den Firmen wie Microsoft geprägt haben, die Sicherheitslücken am liebsten vertuscht haben. Mit Responsible Disclosure sollte eine Sicherheitslücke nur dem Hersteller bekanntgegeben werden damit dieser dann beliebig lange Zeit hat die Lücke zu beheben. Ein paar Firmen wollten daraus sogar einen Standard (RFC) machen, der aber glücklicherweise dann nicht in den Standard aufgenommen wurde. Firmen wie eEye konnten zeigen, dass sich Microsoft bei „responsible“ bekanntgegebenen Lücken sehr viel länger Zeit lässt, diese zu beheben. In der Praxis hat sich eine Art Responsible Disclosure durchgesetzt, weil die Sicherheitsfirmen halt auf Aufträge der großen Softwarehersteller angewiesen sind.

3. Full Disclosure

Sicherheitslücken, möglicherweise inkl. Exploit werden auf einer öffentlichen Webseite oder Mailingliste bekanntgegeben und stehen damit Softwarefirmen genauso wie Angreifern direkt und gleichzeitig zur Verfügung. Ein Softwarehersteller muss dann natürlich schnell reagieren und einen Patch bereitstellen der möglichst keine Nebeneffekte haben darf d.h. unter Zeitdruck sorgfältig entwickelt und getestet werden muss.

Heute muss man meiner Ansicht nach andere Kriterien anwenden:

1.  Free Disclosure

Sicherheitslücken bzw. Exploits werden (egal wann) auf einer kostenfreien Webseite oder Mailingliste bereitgestellt. Namentlich kann man SecurityFocus oder Metasploit nennen.

2. Disclosure über einen Exploit Broker

Eine Reihe von Agenturen kaufen Sicherheitslücken von Entwicklern auf und geben diese dann an den Herstellern weiter.  ZDI (TippingPoint/3Com/HP), iDefense (Verisign) und Co. sind hier zu nennen. Ein Exploit Broker hat den Vorteil, dass man mit einem Exploit Geld verdienen kann, jedoch praktisch kein Risiko eingeht, wegen dieses Exploits auch verklagt zu werden. Gerade für einzelne Programmierer ist das eine brauchbare Alternative.

3. Kommerzielle Exploit-Software

Neben ZDI/iDefense gibt es auch Firmen wie Core oder Immunity, die Sicherheitslücken z.B. von freiberuflichen Exploitentwicklern kaufen und in ihre kommerziellen Frameworks mit aufnehmen. Dazu gibt es sogar eine „No more free bugs“ Initiative.

Mein Eindruck ist, dass sich der Trend zu kommerziell vermarkteten Sicherheitslücken in den nächsten Jahren verstärken wird. Das wird dazu führen, dass nur noch große finanzkräftige Firmen sich alle notwendigen Sicherheitslücken z.B. für Penetrationstests zusammenkaufen können. Ob das eine wünschenswerte Entwicklung ist, will ich mal offen lassen.

Literatur zum Nachlesen:

Ich bin gespannt, wie sich das weiterentwickelt.


Tags: , , ,

5 Comments

  1. auch sehr interessant http://chaosradio.ccc.de/cr152.html

    Comment by lufthansen — 7. Juni 2010 @ 23:17

  2. ich weiß nicht ob du links in den Kommentaren magst (auch vielleicht weil sie vom ccc kommen)
    aber hier gibts nen Podcast zum Thema:

    http://chaosradio.ccc.de/cr152.html
    CR152 Responsible Disclosure

    Comment by gonzo — 7. Juni 2010 @ 23:21

  3. mist … 4 min zu spät… 🙂

    Comment by gonzo — 7. Juni 2010 @ 23:21

  4. Ich habe kein Problem mit Links zu themenbezogenenen Seiten. Nur die Spamlinks von wegen „hey, cooles Blog + Link zu Phishingseite“ lösche ich raus.

    Jedenfalls glaube ich, dass der Chaosradio-Beitrag ein wenig zu sehr von den Toden von Karl Koch und Tron geprägt ist. Da schlägt das tief eingebrannte Mißtrauen von Andy durch. Nur lauert gar nicht hinter jedem Baum ein Geheimdienst. (Sondern hinter jedem dritten Baum weil die anderen für den Verfassungsschutz reserviert sind.) Geheimdienste kaufen auch eher selten Sicherheitslücken. Und wenn, dann nicht so, dass man direkt merkt, dass ein Geheimdienst dahinter steckt. Da macht man vermutlich lieber eine Tarnfirma auf.

    Natürlich gibt es Sicherheitslücken die man höchstens über Wikeleaks veröffentlichen will, aber das ist doch die krasse Ausnahme. In der Praxis sieht es eher so aus, dass Unternehmen versuchen, durch hohe Schadenersatzklagen die Veröffentlichung zu verhindern und wenn man nicht aufpasst ist man für den Rest des Lebens ruiniert.

    Comment by Christian — 8. Juni 2010 @ 20:41

  5. Kommentare gesperrt wegen Spam

    Comment by Christian — 29. Juli 2010 @ 15:22

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.