Interview: "Haftung für Softwareschäden ist wichtig"
Golem.de: Wenn Microsoft sich durchsetzt - könnte die Geheimhaltung von Bugs wirklich funktionieren?
Schneier: Eigentlich überhaupt nicht. Man muss immer daran denken, dass die "Bösen" die Lücken sicherlich trotzdem kennen werden - und das oft, bevor die "Guten" sie entdecken. Die Geheimniskrämerei um Sicherheitslücken macht uns da kein bisschen sicherer. Das steht auch gar nicht auf Microsofts Agenda - die wollen bloß, dass die Öffentlichkeit weniger über die Security-Probleme in den Produkten der Firma erfährt. Wenn die durchschnittlich sicherer wären, als die der Konkurrenz, wäre man erheblich offener - dann sieht Microsoft ja besser aus, gegenüber anderen Firmen. Nun hätten sie aber gerne, dass die Vergleichsmöglichkeiten schrumpfen. Und die Geheimhaltung von Bugs wird das wahrscheinlich möglich machen. Die Wissenschaftler, die Lücken finden, würden dazu gezwungen, still zu halten, Journalisten schrieben weniger über Probleme in Microsoft-Produkten und die Konsumenten würden insgesamt dümmer, was Microsoft nur helfen kann.
Golem.de: Wie bewerten Sie den endlosen Fluss neuer Hacking-Tools, die Sicherheitslücken ausnutzen und frei im Netz erhältlich sind?
Schneier: Das kann man so oder so sehen. Es gibt Programme, die Gutes wie Schlechtes vollbringen - und manchmal hat diese Unterscheidung nur mit dem Marketing zu tun. Dan Farmer wurde zum Bösewicht, als er "SATAN" [ein Analysetool für Firewalls, Anm. d. Red.] schrieb - heute sind solche Untersuchungsprogramme längst extrem wertvoll für Administratoren. Gleiches gilt für Remote-Access-Produkte, die aussehen wie der Trojaner Back Orifice, der nur ein paar Features weniger hat. "L0phtcrack" ist ein Hackertool, das schwache NT-Passwörter brechen kann, um eine Attacke vorzubereiten. Die Version 3.0 wird nun als Programm für Sysadmins verkauft, derartige schwache Passwörter zu entlarven. Die meisten Tools haben gute wie schlechte Anwendungsmöglichkeiten. Im Zweifelsfall ist es mir aber lieber, dass die Informationen an die Leute gelangen, die sie brauchen, selbst wenn die "schlimmen Jungs" sie dann auch bekommen.
Ich mag das "Sei Teil der Lösung, nicht Teil des Problems"-Sprichwort. Sicherheit zu untersuchen, ist Teil der Lösung. Die Hersteller dazu zu bringen, Lücken zu schließen, ist ebenfalls Teil der Lösung. Angst zu säen, ist Teil des Problems. Dummen Teenagern Angriffstools zu geben, ebenfalls.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Interview: "Haftung für Softwareschäden ist wichtig" | Interview: "Haftung für Softwareschäden ist wichtig" |
Naja, wenn ich einen Blick in meine Inbox der letzten Tage gucke, kann man das nicht oft...
Wahrscheinlich ist er es einfach leid, immer wieder dasselbe erzaehlen zu muessen. Bzw...
Nein, Bruce Schneier hat auf einem Teil unserer Fragen mit Textpassagen aus dem Crypto...
Haben Sie einfach den Counterpane CRYPTO-GRAM-Newsletter vom November 15, 2001...