• IT-Karriere:
  • Services:

Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"

Mit einem streitbaren Konzept will der Hacker Graeme Neilson mehr Kommunikation zwischen Sicherheitsforschern und Nutzern von Technologie schaffen. Er ist überzeugt, dass das klassische Modell von Responsible Disclosure nicht funktioniert.

Ein Interview von veröffentlicht am
Mit Artistic Disclosure sollen Sicherheitslücken schneller geschlossen werden - sagt unser Interviewpartner. (Symbolbild)
Mit Artistic Disclosure sollen Sicherheitslücken schneller geschlossen werden - sagt unser Interviewpartner. (Symbolbild) (Bild: Peter Macdiarmid/Getty Images)

"Die IT-Sicherheitsindustrie hat in den vergangenen 20 Jahren versagt, die wirklichen Probleme zu lösen." Das hat der Hacker Graeme Neilson auf der Sicherheitskonferenz Troopers in Heidelberg gesagt. Er fordert mehr öffentliche Aufmerksamkeit für Sicherheitsprobleme. Es solle in Zukunft gesellschaftlich inakzeptabel sein, unsichere Software auf den Markt zu bringen. Ungefähr so, wie es heute nicht akzeptabel sei, ein Auto ohne Anschnallgurte herauszubringen.

Inhalt:
  1. Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"
  2. Ist Wanna Cry Artistic Disclosure gewesen?

Um das zu erreichen, will Graeme eine neue Beziehung zwischen Software-Herstellern und Diensteanbietern etablieren. Denn viele Nutzer würden über Sicherheitslücken und ihre möglichen Folgen meist nicht richtig informiert - und hätten daher nur wenig Bewusstsein dafür.

Dafür schlägt Neilson ein neues, streitbares Konzept für das Melden von Sicherheitslücken vor - im Widerspruch zum meist verwendeten Responsible Disclosure, wo Sicherheitslücken vorab an den Hersteller gemeldet werden, damit er diese schließen kann. Uns hat er erklärt, was genau er unter einem solchen Konzept versteht.

Golem.de: Sie haben in Ihrem Keynote-Vortrag ein neues Konzept für das Melden von Sicherheitslücken gefordert - Artistic Disclosure. Was genau meinen Sie damit?

Stellenmarkt
  1. ERGO Group AG, Düsseldorf
  2. Limbach Gruppe SE, Heidelberg

Graeme Neilson: Responsible Disclosure ist eigentlich protektionistisches Disclosure. Niemand außer dem Hersteller bekommt die Information - jedenfalls zunächst. Man erzählt dem Hersteller von einer Sicherheitslücke und nicht den Leuten, die es eigentlich wissen sollten. Wenn man den Leuten diese Informationen vorenthält, handelt man eigentlich unverantwortlich.

Artistic Diclosure soll ein Problem der Sicherheitsindustrie lösen. Diese tut sich sehr schwer, das eigene Wissen in geeigneter Weise an die Nutzer weiterzugeben. Nutzer werden also nicht wirklich gut über Probleme informiert, deswegen haben sie eigentlich ein zu positives Bild von der Sicherheitslage.

Mit Artistic Disclosure soll dieser Informationsfluss verbessert werden. Nutzer sollen in die Lage versetzt werden, eine Sicherheitslücke sowohl intellektuell als auch emotional zu verstehen. Letztlich nutze ich dann einfach die Sicherheitslücke selbst, um mit den Nutzern zu kommunizieren. Das kann in der Praxis ganz verschieden aussehen.

Golem.de: Haben Sie ein Beispiel?

Neilson: Ein Freund von mir hat einmal ein Problem in Snapchat gefunden. Es war möglich, Nutzern aus der Ferne eine Nachricht zu schicken, ohne Authentifizierung. Er wollte das Problem eigentlich per Responsible Disclosure melden - ich habe ihn davon abgebracht und wir haben etwas Spannenderes gemacht.

An einem Samstagabend - wir hatten wohl etwas zu viel getrunken - haben wir allen Snapchat-Nutzern eine Nachricht geschickt, in der stand: "Warnung, Zombie-Apokalypse. Dies ist keine Übung" und dazu einige Informationen über das Problem. Das Problem war nur wenige Stunden später am Sonntagmorgen behoben. Per Responsible Disclosure hätte das sicher länger gedauert.

Golem.de: Riskiert ein solches Vorgehen denn nicht die Sicherheit der Nutzer?

Neilson: Wenn die Sicherheitslücke nur an den Hersteller gemeldet wird, dann dauert es oft lange, bis diese geschlossen wird. Wer sagt denn, dass nur ich das Problem gefunden habe und es nicht bereits ausgenutzt wird? Außerdem hilft dieser Prozess nur dem Hersteller - er kontrolliert die Information und die meisten Nutzer werden nie mitbekommen, dass es eine Sicherheitslücke gab und wie diese ausgenutzt werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ist Wanna Cry Artistic Disclosure gewesen? 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 10,48€
  2. 4,99€
  3. 36,99€

chefin 19. Mär 2018

Es wird unterm Strich sich eine negative Einstellung gegen die Sicherheitshacker ergeben...

chefin 19. Mär 2018

Ich glaube ihr habt eine völlig falsche Vorstellung wie die wirklich Betroffenen...

demon driver 16. Mär 2018

Nein. Es heißt, der Autor möchte, dass sich verantwortungsbewusste Finder von...

Mr Miyagi 16. Mär 2018

Nee das ist ein Zwischenprodukt bei der Dnasomwaresynthese.


Folgen Sie uns
       


Baldurs Gate 3 - Spieleszenen

Endlich: Es geht weiter! In Baldur's Gate 3 sind Spieler erneut im Rollenspieluniversum von Dungeons & Dragons unterwegs, um gemeinsam mit Begleitern spannende Abenteuer in einer wunderschönen Fantasywelt zu erleben.

Baldurs Gate 3 - Spieleszenen Video aufrufen
Telekom, Vodafone: Wenn LTE schneller als 5G ist
Telekom, Vodafone
Wenn LTE schneller als 5G ist

Dynamic Spectrum Sharing erlaubt 5G und LTE in alten Frequenzbereichen von 3G und DVB-T. Doch wenn man hier nur LTE einsetzen würde, wäre die Datenrate höher.
Ein Bericht von Achim Sawall

  1. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  2. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor
  3. 5G N1 Telekom erweitert massiv das 5G-Netz mit Telefónica-Spektrum

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
Laravel/Telescope
Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

  1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
  2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
  3. Sicherheit "E-Mail ist das Fax von morgen"

Horror-Thriller Unsubscribe: Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde
Horror-Thriller Unsubscribe
Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde

Zwei US-Filmemacher haben mit Zoom den Horror-Film Unsubscribe gedreht. Sie landeten damit sogar an der Spitze der US-Box-Office-Charts. Zumindest für einen Tag.
Von Peter Osteried

  1. Film Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
  2. Alien Im Weltall hört dich keiner schreien
  3. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?

    •  /