Full Disclosure

Immer größere Datenmassen sicher zu speichern ist eine Herausforderung für jede IT-Infrastruktur. Schon mit Gigabit-Ethernet lassen sich aber ... (mehr)

Liebe Leserinnen und Leser,

haben Sie vor Kurzem mitbekommen, wie Wade Baker dringend Dampf ablassen musste? Der Security-Experte des amerikanischen Riesenproviders Verizon gab im Firmenblog http://securityblog.verizonbusiness.com zum besten, was er von Kollegen hält, die ihre Kenntnisse von Sicherheitslücken öffentlich machen, also "Full Disclosure" betreiben. Tasächlich handle es sich nämlich gar nicht um Kollegen, sondern um "selbstverliebte Schwachstellen-Zuhälter" (im Original "Narcissistic Vulnerability Pimps"). In seiner Kategorisierung kommen sie gleich nach den eigentlichen Cyber-Kriminellen. Doch während diese direkt und absichtlich Schwachstellen in Computersystemen zu ihrem Vorteil ausnutzen, begnügt sich der Pimp damit, aus deren Veröffentlichung Kapital zu schlagen. Nach Bakers Meinung ist das kaum besser.

Menschlich ist die Reaktion verständlich. Wer hat sich nicht schon über die Veröffentlichung einer Sicherheitslücke geärgert, die das Update einer ganzen Reihe von Servern nach sich zieht. Und das meistens gerade dann, wenn man ohnehin mit anderen wichtigen Dingen beschäftigt ist. Wer einen Moment lang darüber nachdenkt, wird aber zu dem Schluss kommen, dass der Ärger nicht sehr rational ist. Die Sicherheitslücke existiert schließlich mit oder ohne Veröffentlichung, und es ist nicht anzunehmen, dass alle professionellen Cracker darauf warten, bis Experten neue Lücken öffentlich machen. Vielmehr suchen sie selbst danach, posten ihre Ergebnisse aber nicht auf Mailinglisten, sondern nutzen sie heimlich aus.

Anders der von Baker so genannte Pimp. Er mag gezielt nach Sicherheitslücken suchen, macht sie aber öffentlich, um Benutzer auf die Gefahren hinzuweisen. Gleichzeitig zwingt er damit Software-Hersteller, die Lücke zu schließen, statt monatelang regungslos zu verharren. Einen Eigennutzen will ich dabei gar nicht bestreiten, aber schließlich ist es nicht unmoralisch, sich in einem bestimmten Gebiet als Experte auszuweisen. Unterm Strich bringt "Full Disclosure" wohl mehr Nutzen als Schaden, auch wenn jede aufgedeckte Lücke viel Arbeit bedeutet. Mich würde interessieren, was Sie von der Problematik halten. Schreiben Sie uns doch einfach eine E-Mail an mailto:redaktion@admin-magazin.de oder posten Sie einen Kommentar auf der Website http://www.admin-magazin.de

Bloß ärgern Sie sich nicht!

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Security-Mailingliste "Full Disclosure" macht dicht

In einer Abschiedsmail gibt einer der Gründer die Schließung des Service bekannt.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019