27.03.2007, 00:00 Uhr
Mozilla: "Softwarefirmen sind Hackern völlig ausgeliefert"
Der Zeitpunkt für die Veröffentlichung von Sicherheitslücken ist seit langem ein Streitpunkt zwischen Softwareanbietern und Entdeckern der Lücken. Einmal mehr wurde die Problematik auf der Hacker-Konferenz Shmoocon diskutiert. "Die Macht liegt in den Händen der Entwickler, die Software analysieren", sagte die Security-Chefin von Mozilla Window Snyder. Wenn es um die Veröffentlichung von Sicherheitslücken geht, seien Softwarefirmen Hackern völlig ausgeliefert. "Sie bestimmen, wann sie eine Lücke veröffentlichen, und sie kontrollieren diese Information. Dabei ist es egal, ob ein Software-Anbieter rechtzeitig reagiert oder nicht", so Snyder.
Für die Industrie ist eine sofortige Veröffentlichung bitter, denn damit bleibt kaum Zeit, die Lücke zu stopfen. Die Veröffentlichung spielt zudem Kriminellen in die Hände, die dadurch wissen, wo sei angreifen müssen, um das System zu brechen, so das Argument. Daher setzt sich die Softwareindustrie dafür ein, gefundene Lücken zunächst vertraulich zu behandeln. Der betroffenen Firma wird somit Zeit zugestanden, um den Fehler per Patch zu beheben. Diese Vorgehensweise wird "verantwortungsvolle Offenlegung" (responsible disclosure) genannt. (ph/pte) http://shmoocon.org
Für die Industrie ist eine sofortige Veröffentlichung bitter, denn damit bleibt kaum Zeit, die Lücke zu stopfen. Die Veröffentlichung spielt zudem Kriminellen in die Hände, die dadurch wissen, wo sei angreifen müssen, um das System zu brechen, so das Argument. Daher setzt sich die Softwareindustrie dafür ein, gefundene Lücken zunächst vertraulich zu behandeln. Der betroffenen Firma wird somit Zeit zugestanden, um den Fehler per Patch zu beheben. Diese Vorgehensweise wird "verantwortungsvolle Offenlegung" (responsible disclosure) genannt. (ph/pte) http://shmoocon.org
