Original-Code des Wurms von Bugtraq-Liste gestohlen

1. Februar 2003, 14:43
9 Postings

Frage nach Sinn und Zweck der Veröffentlichung von Informationen über Sicherheitslücken wird erneut gestellt

Der Slammer-Wurm - auch bekannt unter Sapphire oder SQLExp - der in der vergangenen Woche Tausende unzureichend geschützte Rechnern weltweit befallen hatte und zu erheblichen Problemen im Internet-Datenverkehr sorgte, löst nun bei Sicherheitsexperten heftige Diskussionen aus. Allerdings geht es diesmal nicht um technische Fragen, sondern darum ob es noch sinnvoll ist Details von gefundenen Sicherheitslöchern zu veröffentlichen.

In Zukunft keine Öffentlichkeit mehr?

Der britische Sicherheitsexperte David Litchfield von NGSSoftware Ltd hat bei Bugtraq einen Eintrag veröffentlicht und damit eine heiße Diskussion entfacht. Darin erklärt Litchfield, dass er der eigentliche Autor des Original-Codes von "Slammer" sei, da er auf die von dem Wurm genutzte Sicherheitslücke im Microsoft SQL-Server öffentlich hingewiesen und dabei auch genaue Informationen publiziert hatte. Dieses "Proof-of-Concept" dürfte von einem anderen User kopiert und danach der gefährliche Computer-Schädling ausgeschickt worden sein. Litchfield stellt am Ende seines Artikels die Frage nach der weiteren Sinnhaftigkeit von öffentlichen Publikationen von Sicherheitslücken, wenn diese dann mehr Schaden als Nutzen bringen.

Ein alter Hut

Schon seit geraumer Zeit fordern Softwarekonzern - so etwa Microsoft - dass entdeckte Sicherheitslöcher nicht veröffentlicht werden sollen, da dies zu einem verstärkten Aufkommen von Angriffen führen soll und erst durch die Publikation User auf die Idee kämen entsprechende Schädlinge auszuschicken beziehungsweise zu schreiben. Auf der anderen Seite gibt es aber auch zahlreiche Stimmen die in der "Vertuschung" von Sicherheitslücken große Probleme sehen. Sollten Sicherheitsexperten in Zukunft nur die Hersteller über die gefundenen Sicherheitslücken informieren, so könnte einerseits die Erstellung von Patches wesentlich länger dauern und andererseits den Konsumenten die trügerische Sicherheit der im Einsatz befindlichen Software vorgegaukelt werden.

Zeitersparnis

In einem Interview mit der Washington Post kündigte Litchfield an, in Zukunft auf die vorzeitige Veröffentlichung von Details zu Sicherheitslücken verzichten zu wollen. Bei Bugtraq findet sich in diesem Zusammenhang folgende Aussage von Litchfield: "With this in mind I am questioning the benefits of publishing proof of concept code. I am due to present a paper on the remotely exploitable buffer overrun in the Microsoft Locator service at Blackhat this February but should I then also publish the code used to demonstrate the problem? Should I even be discussing the problem in a public arena? Some will argue that full disclosure is a good thing. Others will abhor it. There is no one correct answer - it must be a personal decision and for the moment I am undecided". Litchfield ist auch überzeugt, dass der eigentliche Angreifer, der Slammer "in the wild" ausgesendet hat, auch ohne seine Veröffentlichung zu diesem Schritt gekommen wäre. Er habe ihm "höchstens 20 Minuten Zeit erspart", so Litchfield.(red)

  • Bild nicht mehr verfügbar
Share if you care.