Es ist schon interessant, wie Firmen damit umgehen, wenn jemand in deren Software eine Sicherheitslücke entdeckt und Ihnen das sagt. Böse Menschen würden das für sich behalten und mit dem Exploit viel Geld verdienen. Andere sind ehrlich und geben die Info zur Behebung an die Firmen und/oder an die Betroffenen weiter, damit man sich darauf einstellen kann. Bei TecChannel wird beschrieben, dass eine Firma einen Sicherheitsexperten bedrohte, der einen Vortrag über seine entdeckten Schwachstellen halten wollte: er solle verhaftet werden.

Statt die Probleme zu beheben, scheinen sich die Hersteller nun auf Drohungen zu konzentrieren. Die Geldautomaten-Macher wollen Chisea im Falle des Nicht-Schweigens verhaften lassen. Chisea hatte aber bereits mehrere Auftritte bei anderen Konferenzen mit einer ganz ähnlichen Rede.

In der Vergangenheit war es meist so, dass die Firmen die Info bekamen und der Finder sie erst dann veröffentlichte, wenn die Firma einen Patch dazu auslieferte. Wie man hört, soll das aber durchaus mehrere Monate gedauert haben. Die Finder bekamen nichts, nur manchmal eine Nennung in dem Security Bulletin. Das Problem dabei: Bösen Jungs wussten möglicherweise längst um die Schwachstellen, die Anwender aber nicht und konnten sich nicht schützen. Deswegen konnten Hacker auch so bequem bei Google eindringen, obwohl MS die Schwachstelle schon kannte (aber nicht darüber informiert hatte und auch noch keinen Fix erstellt hatte). Das nennt man "non disclosure", weil der Finder nur den Hersteller informiert und ihm die vollständige Veröffentlichung überlässt. Hier haben es die Hersteller wohl etwas zu bunt getrieben, denn auf diese Bedingungen wollen sich viele nicht mehr einlassen.

Wird der Hersteller vorab informiert und erst nach einer gewissen Reaktionszeit die Benutzer, dann nennt man das übrigens "Responsible Disclosure" (verantwortungsbewusstes Aufdecken).

So machte es auch der seit kurzem bei Microsoft in Ungnade gefallene Tavis Ormandy, der dachte, er habe selber einen Workaround gefunden und veröffentlichte die Schwachstelle samt Behebung nur ein Wenige Tage nach der Info an MS. Aber die Schwachstelle war noch schlimmer als angenommen und MS war unter Druck. Die harsche Kritik an dem Entwickler ist wegen der kurzen Reaktionszeit einerseits verständlich, aber andererseits auch überzogen. Da MS in anderen Fällen erst nach vielen Monaten über die von ihm gemeldeten Probleme berichtete, kann ich verstehen, dass er seine Lösung schnell unter das Volk bringen wollte.

Als Reaktion auf einen gemeldeten Security-Bug den MS angeblich nicht oder nur sehr spät beheben wollte hat sich eine Gruppe gebildet, die sich der "full disclosure" (volle Offenlegung) verschrieben hat: Alle Infos werden sofort veröffentlicht, damit sich jeder schützen kann. Das ist dann sinnvoll, wenn man davon ausgeht, dass die Bösen den Angriff schon kennen. Falls nicht, dann lernen die sicher auch gerne dazu. Sie nennen sich "Microsoft-Spurned Researcher Collective" (MSRC). Kurz nach deren Veröffentlichung des Problems gab es schon bald Exploits und nun wird es Microsoft wohl doch schnell fixen müssen… Ich muss sagen, dass ich die Leute von der MSRC verstehen kann, denn auch meine gemeldeten Verwundbarkeiten stuft Microsoft bis heute nicht als Security-Probleme, sondern als Feature-Request ein und wird sie erst mit dem nächsten Visual Studio (?2012) beheben.

Wie ich neulich bei Heise las, gibt es neuerdings auch Firmen, die Sicherheitslücken gar nicht an die Hersteller weiter leiten, sondern das gewonnene Know-How als Marktvorteil nutzen: Nur die eigenen Kunden werden gewarnt und geschützt, der Rest der Welt darf weiter von Crackern angegriffen werden. Das ist auch eine direkte Reaktion auf die zurückhaltende Informationspolitik der großen Firmen: Man macht ein Geschäftsmodell daraus. 😉