Erst Ende August war es wieder einmal so weit: Hacker veröffentlichten Details über eine Sicherheitslücke in einer Anwendung, ohne den betroffenen Hersteller zuvor ins Vertrauen zu ziehen. Die Rede ist von der DLL-Lücke in Windows, die von den Experten von Acros in einem Advisory beschrieben wurde. Zwar informierten die Acros-Mitarbeiter Microsoft schon Monate vor dem Publizieren des Advisories über die Details zur Lücke und sprachen sich auch mit ihren Ansprechpartnern im Microsoft-Hauptquartier über den Zeitpunkt ab. Die über 100 weiteren von der Lücke betroffenen Softwarehersteller wurden jedoch nicht mit den notwendigen Informationen versorgt. Das geht aus einem Blog-Eintrag hervor und auch aus einer Aussage, die Acros-Experten an den <Metasploit-Macher HD Moore sandten.

 

Begründung der Sicherheitsforscher, warum sie ihre Entdeckung nicht mit den Herstellern teilen wollten: Sie wollen für ihre Arbeit bezahlt werden. Die meisten Softwarehersteller lehnen solche Zahlungen aber rundheraus ab. Zumeist dürften die Furcht vor Erpressungen sowie vor immer höheren Geldforderungen der Grund sein für diese Ablehnung. Insofern stellt sich die Frage: Ist das von Experten wie Dan Kaminsky und IT-Herstellern bevorzugte Modell der „Responsible Disclosure“ (verantwortungsbewusste Offenlegung) am Ende? An und für sich verspricht es den Nutzern der Software am meisten Sicherheit, da der betroffene Hersteller genug Zeit um bereitstellen eines ausgereiften Sicherheitsupdates bekommt.

 

Ein möglicher Nachteil von Responsible Disclosure für Hacker und Anwender der angreifbaren Software: Wenn der Entdecker der Lücke die Öffentlichkeit nicht über seinen Fund informiert, ist der Hersteller nicht gezwungen, die Schwachstelle umgehend zu beseitigen. HD Moore äußerte während einer Podiumsdiskussion die Erfahrung, dass Software-Hersteller nur dann schnell Updates bereitstellen, wenn der Bug per Full Disclosure ohne Rücksicht ins Netz gestellt wurde. Würde Responsible Disclosure praktiziert, zöge sich das Veröffentlichen der Updates laut Moore unverhältnismäßig lange hin.

 

Etwas differenzierter äußerte sich der bekannte deutsche Hacker Halvar Flake. Er ist der Ansicht, dass Bug-Finder selbst entscheiden dürfen, was sie mit ihrem Wissen anfangen – und es im Zweifel auch verkaufen dürfen. Ein öffentliches Bloßstellen des Herstellers wird allerdings auch von Kritikern des uneingeschränkten „Responsible Disclosure“ wie Halvar Flake abgelehnt.

 

Der IT-Sicherheitsexperte Paul Ducklin schlägt beispielsweise vor, dass die Bug-Finder mit Hilfe der Medien Druck auf die jeweiligen Hersteller ausüben können. Die Hacker sollten Journalisten die Lücke und deren Folgen demonstrieren, ohne jedoch alle Details preis zu geben. Auf diese Weise würde der Hersteller angetrieben, möglichst schnell ein Update zu produzieren. Anwender der betreffenden Software würden aber nicht unnötig in Gefahr gebracht werden.

 

Ein weiterer Weg für die Hacker ist die Zusammenarbeit mit Organisationen wie iDefense oder der Zero Day Iniative (ZDI). Beide kaufen Bugs von Hackern an und geben sie dann gratis an die betroffenen Hersteller weiter – per Responsible Disclosure. Erst wenn der Softwareproduzent ein Update bieten kann, veröffentlichen die Organisationen die Details zum Exploit. Der Hacker profitiert, da er je nach Schweregrad des Bugs stattlich entlohnt wird. Einem Pressebericht zu Folge hätte die ZDI für den Exploit, der zu den im Januar unter dem Codenamen Aurora bekannt gewordenen Angriffen auf Google, Symantec und andere Großunternehmen geführt hat, bis zu 40.000 US-Dollar bezahlt.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.