Abo
  • Services:

Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"

Mit einem streitbaren Konzept will der Hacker Graeme Neilson mehr Kommunikation zwischen Sicherheitsforschern und Nutzern von Technologie schaffen. Er ist überzeugt, dass das klassische Modell von Responsible Disclosure nicht funktioniert.

Ein Interview von veröffentlicht am
Mit Artistic Disclosure sollen Sicherheitslücken schneller geschlossen werden - sagt unser Interviewpartner. (Symbolbild)
Mit Artistic Disclosure sollen Sicherheitslücken schneller geschlossen werden - sagt unser Interviewpartner. (Symbolbild) (Bild: Peter Macdiarmid/Getty Images)

"Die IT-Sicherheitsindustrie hat in den vergangenen 20 Jahren versagt, die wirklichen Probleme zu lösen." Das hat der Hacker Graeme Neilson auf der Sicherheitskonferenz Troopers in Heidelberg gesagt. Er fordert mehr öffentliche Aufmerksamkeit für Sicherheitsprobleme. Es solle in Zukunft gesellschaftlich inakzeptabel sein, unsichere Software auf den Markt zu bringen. Ungefähr so, wie es heute nicht akzeptabel sei, ein Auto ohne Anschnallgurte herauszubringen.

Inhalt:
  1. Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"
  2. Ist Wanna Cry Artistic Disclosure gewesen?

Um das zu erreichen, will Graeme eine neue Beziehung zwischen Software-Herstellern und Diensteanbietern etablieren. Denn viele Nutzer würden über Sicherheitslücken und ihre möglichen Folgen meist nicht richtig informiert - und hätten daher nur wenig Bewusstsein dafür.

Dafür schlägt Neilson ein neues, streitbares Konzept für das Melden von Sicherheitslücken vor - im Widerspruch zum meist verwendeten Responsible Disclosure, wo Sicherheitslücken vorab an den Hersteller gemeldet werden, damit er diese schließen kann. Uns hat er erklärt, was genau er unter einem solchen Konzept versteht.

Golem.de: Sie haben in Ihrem Keynote-Vortrag ein neues Konzept für das Melden von Sicherheitslücken gefordert - Artistic Disclosure. Was genau meinen Sie damit?

Stellenmarkt
  1. degewo netzWerk GmbH, Berlin
  2. Hilger u. Kern GmbH Industrietechnik, Cham (Schweiz)

Graeme Neilson: Responsible Disclosure ist eigentlich protektionistisches Disclosure. Niemand außer dem Hersteller bekommt die Information - jedenfalls zunächst. Man erzählt dem Hersteller von einer Sicherheitslücke und nicht den Leuten, die es eigentlich wissen sollten. Wenn man den Leuten diese Informationen vorenthält, handelt man eigentlich unverantwortlich.

Artistic Diclosure soll ein Problem der Sicherheitsindustrie lösen. Diese tut sich sehr schwer, das eigene Wissen in geeigneter Weise an die Nutzer weiterzugeben. Nutzer werden also nicht wirklich gut über Probleme informiert, deswegen haben sie eigentlich ein zu positives Bild von der Sicherheitslage.

Mit Artistic Disclosure soll dieser Informationsfluss verbessert werden. Nutzer sollen in die Lage versetzt werden, eine Sicherheitslücke sowohl intellektuell als auch emotional zu verstehen. Letztlich nutze ich dann einfach die Sicherheitslücke selbst, um mit den Nutzern zu kommunizieren. Das kann in der Praxis ganz verschieden aussehen.

Golem.de: Haben Sie ein Beispiel?

Neilson: Ein Freund von mir hat einmal ein Problem in Snapchat gefunden. Es war möglich, Nutzern aus der Ferne eine Nachricht zu schicken, ohne Authentifizierung. Er wollte das Problem eigentlich per Responsible Disclosure melden - ich habe ihn davon abgebracht und wir haben etwas Spannenderes gemacht.

An einem Samstagabend - wir hatten wohl etwas zu viel getrunken - haben wir allen Snapchat-Nutzern eine Nachricht geschickt, in der stand: "Warnung, Zombie-Apokalypse. Dies ist keine Übung" und dazu einige Informationen über das Problem. Das Problem war nur wenige Stunden später am Sonntagmorgen behoben. Per Responsible Disclosure hätte das sicher länger gedauert.

Golem.de: Riskiert ein solches Vorgehen denn nicht die Sicherheit der Nutzer?

Neilson: Wenn die Sicherheitslücke nur an den Hersteller gemeldet wird, dann dauert es oft lange, bis diese geschlossen wird. Wer sagt denn, dass nur ich das Problem gefunden habe und es nicht bereits ausgenutzt wird? Außerdem hilft dieser Prozess nur dem Hersteller - er kontrolliert die Information und die meisten Nutzer werden nie mitbekommen, dass es eine Sicherheitslücke gab und wie diese ausgenutzt werden kann.

Ist Wanna Cry Artistic Disclosure gewesen? 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 53,99€
  3. (-58%) 24,99€
  4. 99,99€

chefin 19. Mär 2018 / Themenstart

Es wird unterm Strich sich eine negative Einstellung gegen die Sicherheitshacker ergeben...

chefin 19. Mär 2018 / Themenstart

Ich glaube ihr habt eine völlig falsche Vorstellung wie die wirklich Betroffenen...

demon driver 16. Mär 2018 / Themenstart

Nein. Es heißt, der Autor möchte, dass sich verantwortungsbewusste Finder von...

Mr Miyagi 16. Mär 2018 / Themenstart

Nee das ist ein Zwischenprodukt bei der Dnasomwaresynthese.

Kommentieren


Folgen Sie uns
       


Kabellose Bluetooth-Ohrstöpsel - Test

Wir haben vier komplett kabellose Bluetooth-Ohrstöpsel getestet. Mit dabei sind Apples Airpods, Boses Soundsport Free, Ankers Zolo Liberty Plus sowie Googles Pixel Buds. Dabei bewerteten wir die Klangqualität, den Tragekomfort und die Akkulaufzeit sowie den allgemeinen Umgang mit den Stöpseln.

Kabellose Bluetooth-Ohrstöpsel - Test Video aufrufen
Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Quartalsbericht Facebook macht fast 5 Milliarden US-Dollar Gewinn
  2. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
  3. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


      •  /