Ein weiteres Argument pro Full Disclosure

Einige Firmen und Institutionen wehren sich gegen "Full Disclosure", also das komplette Offenlegen von Sicherheitslücken (zumindest nach dem Erscheinen des Patches). Ihr Argument: Mit dieser Information können böse Hacker viel einfacher einen Exploit bauen und so in ungepatchte System eindringen. In einem Demonstrationsfilm zeigen die Leute von Sabre Security, wie man durch Analyse eines Patches auf die Änderungen rückschließen kann: Durch Vergleich von gepatchtem und ungepatchtem Programm (und einem geeigneten Tool) lassen sich veränderte und ergänzte Passagen erkennen. So kommt man dem ursprünglichen Sicherheitsprobem rasch auf die Spur.

Dies ist ein weiterer Sargnagel an der Argumentationslinie der Full-Disclosure-Verweigerer: Allein das Veröffentlichen des Patches und ein überschaubares Maß an Fleißarbeit genügt, um die ursprüngliche Lücke zu identifizieren. Abhilfe wäre das Abschaffen von Sicherheitpatches - und das wird wohl hoffentlich niemand ernsthaft in Erwägung ziehen. Also: Laßt uns doch solche Probleme offen diskutieren. Abgesehen vom Druck auf die Entwicker, sich nicht mit allzu offensichtlichen Lücken zu blamieren, gibt es weitere Vorteile wie dem Lerneffekt für andere Programmierer oder dem einfacheren Anpassen von Intrusion-Detection-Systemen.

(via Mitternachtshacking)

comments powered by Disqus