Vollständige oder verantwortungsvolle Offenlegung: Wie Sicherheitslücken offengelegt werden

| Von

Schwachstellen-Offenlegung

Vor 3 Wochen wurde ein erhebliches Sicherheitsproblem in OS X 10.10.4 aufgedeckt. Das ist an sich nicht besonders faszinierend.

Sicherheitslücken in bekannter Software werden entdeckt ständig , sowie OS X ist keine Ausnahme. Die Open Source Vulnerability Database (OSVDB) zeigt mindestens 1100 als „OS X“ gekennzeichnete Schwachstellen. Doch was ist Interessant ist die Methode, mit der diese spezifische Anfälligkeit aufgedeckt wurde.

Offenlegung-osvdb-osx

Anstatt Apple zu informieren und Zeit zur Verfügung zu stellen, um das Problem zu beheben, beschloss der Forscher, seine Verwendung online hochzuladen, damit jede Person sie sehen kann.

Das Endergebnis war ein Wettrüsten zwischen Apple und auch Black-Hat-Hackern. Apple musste einen Spot starten, bevor die Schwachstelle als Waffe genutzt wurde, und die Cyberpunks mussten eine Manipulation vornehmen, bevor die gefährdeten Systeme abgedeckt wurden.

Sie könnten glauben, dass eine bestimmte Offenlegungsmethode unverantwortlich ist. Man könnte es sogar als unethisch oder fahrlässig bezeichnen. Aber es ist extra kompliziert. Laden Sie ein in die seltsame, verwirrende Welt der Offenlegung von Sicherheitslücken.

Vollständige vs. verantwortungsvolle Offenlegung

Es gibt 2 beliebte Methoden, um Anfälligkeiten an Softwareanbieter preiszugeben.

Der erste heißt vollständige Offenlegung Ähnlich wie im vorherigen Beispiel veröffentlichen Forscher ihre Schwachstelle schnell in der Wildnis und bieten den Anbietern definitiv keine Möglichkeit, eine Reparatur freizugeben.

Der zweite heißt verantwortliche Offenlegung , oder gestaffelte Offenlegung. Hier nimmt der Wissenschaftler Kontakt mit dem Lieferanten auf, bevor die Anfälligkeit freigegeben wird.

Beide Parteien vereinbaren danach eine Zeitspanne, in der der Wissenschaftler verspricht, die Schwachstelle nicht freizugeben, um dem Lieferanten die Möglichkeit zu geben, eine Lösung zu konstruieren und freizugeben. Dieser Moment-Zeitraum kann je nach Ausmaß und Komplexität der Anfälligkeit zwischen 30 Tagen und einem Jahr liegen. Einige Sicherheitslücken können nicht einfach behoben werden und erfordern, dass ganze Softwareanwendungssysteme von Grund auf neu aufgebaut werden.

Sobald beide Ereignisse mit dem erstellten Fix zufrieden sind, wird die Anfälligkeit danach enthüllt und auch angeboten CVE-Nummer Diese bestimmen eindeutig jede Anfälligkeit, sowie die Sicherheitsanfälligkeit wird online in der OSVDB archiviert.

Offenlegung-osvdb-vuln

Doch was passiert, wenn die Wartezeit endet? Nun, entweder Punkte. Der Verkäufer wird dann sicherlich mit dem Wissenschaftler eine Erweiterung besprechen. Wenn der Forscher jedoch mit der tatsächlichen Reaktion oder dem Verhalten des Anbieters unzufrieden ist oder die Bitte um eine Erweiterung für unangemessen hält, veröffentlichen sie ihn möglicherweise einfach online, ohne dass eine Lösung bereitsteht.

Im Sicherheitsbereich gibt es hitzige Auseinandersetzungen darüber, welche Offenlegungsmethode die beste ist. Einige glauben, dass der einzige ehrliche und genaue Ansatz die vollständige Offenlegung ist. Einige gehen davon aus, dass es ideal ist, Lieferanten die Möglichkeit zu geben, ein Problem zu beheben, bevor es in die Wildnis gebracht wird.

Wie sich herausstellt, gibt es für beide Seiten überzeugende Argumente.

Die Argumente für eine verantwortungsvolle Offenlegung

Sehen wir uns ein Beispiel an, wo es am besten war, eine rechenschaftspflichtige Offenlegung zu verwenden.

Wenn wir über wichtige Infrastrukturen im Kontext des Internets sprechen, kommt man nicht umhin, über das DNS-Verfahren zu sprechen. Dies ermöglicht es uns, für Menschen lesbare Webadressen (wie virtualworldnews.de) in IP-Adressen umzuwandeln.

Das DNS-System ist außergewöhnlich komplex, und das nicht nur in technologischer Hinsicht. Es gibt eine Menge abhängig von in diesem System platziert. Wir vertrauen darauf, dass wir bei der Eingabe einer Internetadresse in den richtigen Bereich geschickt werden. Es hängt einfach viel von der Ehrlichkeit dieses Systems ab.

Disclosure-Server

Wenn eine Person in der Lage war, eine DNS-Anfrage zu stören oder zu kompromittieren, besteht ein hohes Risiko für Schäden. Beispielsweise könnten sie Personen auf illegale Online-Banking-Webseiten weiterleiten und ihnen so ermöglichen, ihre elektronischen Bankdaten zu erhalten. Sie könnten ihren E-Mail- sowie den Online-Website-Verkehr über einen Man-in-the-Middle-Angriff abfangen und auch die Komponenten überprüfen. Sie könnten den Schutz des Internets in seiner Gesamtheit grundsätzlich schwächen. Gruseliges Zeug.

Dan Kaminsky ist ein angesehener Sicherheitsforscher mit einer langen Erfahrung in der Suche nach Anfälligkeiten in weithin bekannten Softwareprogrammen. Am beliebtesten ist er jedoch 2008 für die Entdeckung des möglicherweise extremste Verletzlichkeit im DNS-System jemals zuvor gefunden. Dies hätte es einer Person sicherlich ermöglicht, eine Cache-Poisoning (oder DNS-Spoofing) Angriff auf einen DNS-Namenswebserver. Die technologischen Details dieser Anfälligkeit wurden auf der Def Con-Konferenz 2008 beschrieben.

Kaminsky, der sehr gut über die Auswirkungen der Einführung eines so schwerwiegenden Fehlers Bescheid wusste, beschloss, ihn den von diesem Insekt beeinflussten Anbietern der DNS-Software offenzulegen.

Betroffen waren eine Reihe bedeutender DNS-Elemente, darunter diejenigen, die von Alcatel-Lucent, BlueCoat Technologies, Apple und Cisco entwickelt wurden. Das Problem beeinflusste auch eine Reihe von DNS-Implementierungen, die mit einigen beliebten Linux/BSD-Distributionen geliefert wurden, darunter diejenigen für Debian, Arch, Gentoo sowie FreeBSD.

Kaminsky gab ihnen 150 Tage, um eine Lösung zu finden, und kümmerte sich auch um sie, um ihnen zu helfen, die Anfälligkeit zu verstehen. Er verstand, dass dieses Problem so schwerwiegend und die möglichen Schäden so groß waren, dass es unglaublich fahrlässig gewesen wäre, es offen zu veröffentlichen, ohne den Lieferanten die Möglichkeit zu geben, einen Patch herauszugeben.

Die Anfälligkeit war übrigens durch Crash durchgesickert von der Sicherheitsfirma Matsano in einem Blogbeitrag. Der Artikel wurde entfernt, aber er wurde gespiegelt, sowie schließlich, nachdem das Magazin tatsächlich einen Exploit produziert hatte.

Kaminskys DNS-Schwachstelle fasst schließlich den Kern des Arguments für eine verantwortungsvolle, gestaffelte Offenlegung zusammen. Einige Anfälligkeiten – wie absolut keine Tagesanfälligkeiten – sind so erheblich, dass ihre öffentliche Einführung sicherlich erheblichen Schaden verursachen würde.

Aber es gibt auch eine zwingende Meinungsverschiedenheit, keine Durchbruchswarnung zu geben.

Der Fall für die vollständige Offenlegung

Indem Sie eine Anfälligkeit direkt ans Licht bringen, öffnen Sie eine Büchse der Pandora, in der unappetitliche Personen schnell und schnell Exploits erstellen und auch anfällige Systeme kompromittieren können. Also, warum sollte sich jemand dafür entscheiden?

Es gibt eine Reihe von Gründen. Zunächst einmal reagieren Anbieter in der Regel recht langsam auf Sicherheitshinweise. Indem sie effektiv ihre Hand fordern, indem sie eine Schwachstelle in die Wildnis entlassen, sind sie viel inspirierter, sofort zu reagieren. Schlimmer noch, einige neigen dazu, nicht die Wahrheit zu veröffentlichen, dass sie anfällige Software geliefert haben. Die vollständige Offenlegung zwingt sie dazu, ihren Verbrauchern gegenüber aufrichtig zu sein.

Darüber hinaus ermöglicht es dem Verbraucher aber auch, eine aufgeklärte Auswahl zu treffen, ob er eine bestimmte, gefährdete Software weiterhin nutzen möchte. Ich würde mir sicherlich vorstellen, die Masse würde sicherlich nicht.

Was wollen Anbieter?

Anbieter mögen keine vollständige Offenlegung.

Außerdem ist es unglaublich negative Public Relations für sie und bringt auch ihre Kunden in Gefahr. Sie haben versucht, die Leute dazu zu bringen, Schwachstellen durch Schädlings-Bounty-Programme richtig aufzudecken. Diese waren tatsächlich äußerst erfolgreich, wobei Google 1,3 Millionen Dollar bezahlt hat allein im Jahr 2014

Es ist jedoch erwähnenswert, dass einige Unternehmen – wie Oracle – Benutzer daran hindern, Sicherheitsstudien zu ihrer Software durchzuführen.

Aber es wird immer noch Leute geben, die eine vollständige Offenlegung verlangen, entweder aus philosophischen Gründen oder zu ihrer eigenen Belustigung. Kein Bug-Bounty-Programm, auch wenn es noch so großzügig ist, kann darauf reagieren.

Die Open Source Vulnerability Database (OSVDB) zeigt mindestens 1100 Anfälligkeiten, die als „OS X“ gekennzeichnet sind. Diese erkennen jede Schwachstelle eindeutig und auch die Schwachstelle wird online in der OSVDB archiviert. Kaminskys DNS-Schwachstelle fasst schließlich den Kern der Debatte zur Unterstützung einer verantwortungsvollen, gestaffelten Offenlegung zusammen. Einige Anfälligkeiten – wie absolut keine Tagesanfälligkeiten – sind so beträchtlich, dass eine offene Freisetzung mit Sicherheit erheblichen Schaden anrichten würde.[

Klicken Sie, um diesen Beitrag zu bewerten!
[Gesamt: 0 Durchschnitt: 0]

Andere verwandte Artikel

Schreibe einen Kommentar