Sicherheit: Google definiert «Verantwortung» um

Google

Das Google-Sicherheitsteam sieht die Praxis von Microsoft und co. als schadhaft an und möchte nun den Begriff „Responsible Disclosure“, also „verantwortungsvolle Offenlegung“ umdefinieren. Dazu hat sich auch der Sicherheitsexperte Tavis Ormandy gemeldet. Er hatte letztes Jahr eine Sicherheitslücke an Microsoft gemeldet, als diese aber nicht geschlossen wurde, entschied er sich, Infos über die Lücke im Netz zu veröffentlichen.

Seit jeher beansprucht Microsoft den Responsible Disclosure für sich. Kein Wunder, dass es dann mal Monate oder Jahre braucht, bis ein Sicherheitsleck im Betriebssystem geschlossen wird. So hat sich Hacker Tavis Ormandy (der im übrigen beim Google Sicherheitsteam tätig ist) eine Lücke an Microsoft gemeldet, da aber sich über ein Jahr niemand meldete, ging Ormandy an die Öffentlichkeit: Er stellte den Bug kurzerhand mit Beschreibung ins Netz und kaum 24 Stunden später gab es erste Trojaner, die sich am Bug zu schaffen machte. Betroffen waren etwa XP-Systeme.

Damit diese Zeit in Zukunft sinnvoller genutzt wird, hat Google nun den Begriff „Verantwortung“ umgeschrieben. Bisher war die Praxis so, dass es gereicht hat, wenn der Hacker die Lücke meldet. Jetzt kann der Hacker auch eine Deadline von maximal 60 Tagen einrichten. Sollte sich dann der Hersteller der Software nicht melden und einen Fix/Patch veröffentlichen, so hat der Hacker das Recht, die Lücke ins Netz zu stellen, um den Druck auf den Hersteller zu erhöhen.

So schreibt das Sicherheitsteam zum Thema im Blog: „[…] Daher glauben wir, dass die Responsible Disclosure eine Einbahnstraße ist. […] Schwerwiegende Bugs sollten eine angemessene Frist erhalten. Obwohl jeder Bug einzigartig ist, sollten wir vorschlagen, dass 60 Tage Obergrenze genügend ist, um ernsthaft eine kritische Lücke in einer Software zu schließen.“

Weiterhin schlägt Google diese Änderung vor, damit die Softwarehersteller einen Stichtag haben, wo vielleicht schon Blackhat-Hacker sich an der Lücke zu schaffen gemacht haben. Dabei wissen sie aber selbst, wie schwer es ist, solch eine Deadline einzuhalten. Dennoch sollte es bei kritischen Lücken schnelle Hilfe geben, bevor er von Fremden ausgenutzt wird. Das erhöht den Druck auf den Hersteller und gibt eine bessere Sicherheit im Netz.

» heise
» Google Online Security Blog

Teile diesen Artikel: