Abo
  • IT-Karriere:

Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"

Mit einem streitbaren Konzept will der Hacker Graeme Neilson mehr Kommunikation zwischen Sicherheitsforschern und Nutzern von Technologie schaffen. Er ist überzeugt, dass das klassische Modell von Responsible Disclosure nicht funktioniert.

Ein Interview von veröffentlicht am
Mit Artistic Disclosure sollen Sicherheitslücken schneller geschlossen werden - sagt unser Interviewpartner. (Symbolbild)
Mit Artistic Disclosure sollen Sicherheitslücken schneller geschlossen werden - sagt unser Interviewpartner. (Symbolbild) (Bild: Peter Macdiarmid/Getty Images)

"Die IT-Sicherheitsindustrie hat in den vergangenen 20 Jahren versagt, die wirklichen Probleme zu lösen." Das hat der Hacker Graeme Neilson auf der Sicherheitskonferenz Troopers in Heidelberg gesagt. Er fordert mehr öffentliche Aufmerksamkeit für Sicherheitsprobleme. Es solle in Zukunft gesellschaftlich inakzeptabel sein, unsichere Software auf den Markt zu bringen. Ungefähr so, wie es heute nicht akzeptabel sei, ein Auto ohne Anschnallgurte herauszubringen.

Inhalt:
  1. Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"
  2. Ist Wanna Cry Artistic Disclosure gewesen?

Um das zu erreichen, will Graeme eine neue Beziehung zwischen Software-Herstellern und Diensteanbietern etablieren. Denn viele Nutzer würden über Sicherheitslücken und ihre möglichen Folgen meist nicht richtig informiert - und hätten daher nur wenig Bewusstsein dafür.

Dafür schlägt Neilson ein neues, streitbares Konzept für das Melden von Sicherheitslücken vor - im Widerspruch zum meist verwendeten Responsible Disclosure, wo Sicherheitslücken vorab an den Hersteller gemeldet werden, damit er diese schließen kann. Uns hat er erklärt, was genau er unter einem solchen Konzept versteht.

Golem.de: Sie haben in Ihrem Keynote-Vortrag ein neues Konzept für das Melden von Sicherheitslücken gefordert - Artistic Disclosure. Was genau meinen Sie damit?

Stellenmarkt
  1. Animus GmbH & Co. KG, Ratingen
  2. MITTELDEUTSCHER RUNDFUNK, Leipzig

Graeme Neilson: Responsible Disclosure ist eigentlich protektionistisches Disclosure. Niemand außer dem Hersteller bekommt die Information - jedenfalls zunächst. Man erzählt dem Hersteller von einer Sicherheitslücke und nicht den Leuten, die es eigentlich wissen sollten. Wenn man den Leuten diese Informationen vorenthält, handelt man eigentlich unverantwortlich.

Artistic Diclosure soll ein Problem der Sicherheitsindustrie lösen. Diese tut sich sehr schwer, das eigene Wissen in geeigneter Weise an die Nutzer weiterzugeben. Nutzer werden also nicht wirklich gut über Probleme informiert, deswegen haben sie eigentlich ein zu positives Bild von der Sicherheitslage.

Mit Artistic Disclosure soll dieser Informationsfluss verbessert werden. Nutzer sollen in die Lage versetzt werden, eine Sicherheitslücke sowohl intellektuell als auch emotional zu verstehen. Letztlich nutze ich dann einfach die Sicherheitslücke selbst, um mit den Nutzern zu kommunizieren. Das kann in der Praxis ganz verschieden aussehen.

Golem.de: Haben Sie ein Beispiel?

Neilson: Ein Freund von mir hat einmal ein Problem in Snapchat gefunden. Es war möglich, Nutzern aus der Ferne eine Nachricht zu schicken, ohne Authentifizierung. Er wollte das Problem eigentlich per Responsible Disclosure melden - ich habe ihn davon abgebracht und wir haben etwas Spannenderes gemacht.

An einem Samstagabend - wir hatten wohl etwas zu viel getrunken - haben wir allen Snapchat-Nutzern eine Nachricht geschickt, in der stand: "Warnung, Zombie-Apokalypse. Dies ist keine Übung" und dazu einige Informationen über das Problem. Das Problem war nur wenige Stunden später am Sonntagmorgen behoben. Per Responsible Disclosure hätte das sicher länger gedauert.

Golem.de: Riskiert ein solches Vorgehen denn nicht die Sicherheit der Nutzer?

Neilson: Wenn die Sicherheitslücke nur an den Hersteller gemeldet wird, dann dauert es oft lange, bis diese geschlossen wird. Wer sagt denn, dass nur ich das Problem gefunden habe und es nicht bereits ausgenutzt wird? Außerdem hilft dieser Prozess nur dem Hersteller - er kontrolliert die Information und die meisten Nutzer werden nie mitbekommen, dass es eine Sicherheitslücke gab und wie diese ausgenutzt werden kann.

Ist Wanna Cry Artistic Disclosure gewesen? 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,99€
  3. 2,99€

chefin 19. Mär 2018

Es wird unterm Strich sich eine negative Einstellung gegen die Sicherheitshacker ergeben...

chefin 19. Mär 2018

Ich glaube ihr habt eine völlig falsche Vorstellung wie die wirklich Betroffenen...

demon driver 16. Mär 2018

Nein. Es heißt, der Autor möchte, dass sich verantwortungsbewusste Finder von...

Mr Miyagi 16. Mär 2018

Nee das ist ein Zwischenprodukt bei der Dnasomwaresynthese.


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
Nuki Smart Lock 2.0 im Test
Tolles Aufsatzschloss hat Software-Schwächen

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      Vernetztes Fahren: Wer hat uns verraten? Autodaten
      Vernetztes Fahren
      Wer hat uns verraten? Autodaten

      An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
      Eine Analyse von Friedhelm Greis

      1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
      2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
      3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

        •  /