| |
 |
| Full Disclosure oder nicht? |
|
|
Veröffentlicht durch XTaran am Donnerstag 30. Januar, 19:51
Aus der Weltanschauungsfragen Abteilung
|
|
|
|
|
In einem Artikel
der Washington Post sagt
David Litchfield, Autor des Proof-of-Concept-Codes für die vom
Sapphire-Wurm ausgenutzten Sicherheitslücke: "I will probably no
longer publish such code." (Jinweis: BugTraq-Posting)
Denn Untersuchungen von Sapphire (aka SQL SLammer, indirekt war Symlink auch
betroffen) haben gezeigt, daß der Autor des Wurms seinen
Proof-of-Concept-Code als Grundlage nahm. Der Autor von Sapphire
hätte das zwar auch ohne seinen Beispiel-Code hinbekommen, aber es hat
ihm Zeit gespart, schreibt er in einem Posting auf BugTraq, in dem
er seine
Sicht der Dinge noch einmal ausführlich dargelegt: Er ist selbst
nicht sicher, ob "Full Disclosures" und Proof-of-Concept-Code mehr
Schaden anrichtet als er hilft.
|
|
|
|
|
|
|
Eine recht
ausführliche Antwort auf sein Posting kam heute von Jason Coombs:
Das beste, was einem in solch einem Notfall passieren könnte, seien
gut informierte Administratoren und Benutzer, die auf die drohende
Gefahr kompetent reagieren können und nicht nur mangels Informationen
im Trüben herumstochern müssen. Außerdem sei es unverantwortlich,
solche Informationen zurückzuhalten:
The most important mitigating factor is always an informed population
that is ready, willing, and able to act when action is required to ensure
the security and integrity of information systems and protect stake-holders
who would otherwise be both at-risk and uninformed; it is irresponsible for
a security researcher to trust somebody else to disseminate important
information about new vulnerabilities and it is further irresponsible for a
person who knows of a security vulnerability to keep it secret for a
prolonged period of time in the irrational and narcissistic hope that nobody
else is smart enough to find the same vulnerability.
Trotzdem ist das aktuelle
Advisory von David Litchfield zu einem Buffer-Overflow im
Microsoft RPC Locator deutlich zurückhaltender ausgefallen:
"Although sample exploit code has been provided to the vendor, due
to the recent events of last weekend, NGSSoftware are loathe to
publish this publicly at this juncture - however we may after a grace
period."
|
|
|
|
< 8. Schweizer Informatik-Olympiade | Druckausgabe | John Carmack: Nvidia NV30 vs ATI R300 > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
Von Anonymer Feigling am Friday 31. January, 08:30 MEW (#1)
|
|
|
|
|
In Davids Bugtraq Statement hats einen IMHO wichtigen Absatz, die hier nicht erwähnt wurde:
"But then what about the future? We often forget that our actions online can
have very real consequences in real life - the next big worm could take out
enough critical machines that people are killed. A massive failure of the
emergency services computers such as 911/999 could result in someone's
death - and I don't want to feel that I've contributed to that."
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wenn ein solch kritisches System wie die Notrufnummer durch einen Internetwurm beeintraechtigt werden kann wurde meiner Meinung nach bei der Konzeptionierung erheblich gepfuscht.
Stellt sich die Frage ob dann lieber "Ruecksicht" auf diese empfindlichen Systeme genommen werden soll und quasi drauf gewartet wird das jemand mit wirklich boesen Absichten das System lahmlegt oder ob nicht vielmehr eine bessere Absicherung von kritischen System gefordert werden muss.
Eine Notrufsystem, dessen Funktionsfaehigkeit im Ernstfall ueber Leben und Tod entscheided, sollte meiner Meinung nach mit dem Internet ueberhaupt nicht in Beruehrung kommen.
In diesem Zusammenhang vielleicht interessant: Beim Flugzeugzusammenstoss am Bodensee letztes Jahr stellte sich heraus das grosse Teile der Koordination zwischen Flughaefen ueber das normale Telefonnetz abgewickelt werden.
Wie kann ich mir das vorstellen? Wenn im Krisenfall kein Telefon mehr geht oder einfach in den kritischen 2 Minuten der Bagger die Leitung durchtrennt ist dann Schluss mit Luftraumkoordination?
|
|
|
|
|
|
|
|
|
|
|
|
|
Wieso gepfuscht? Stell dir vor, der nächste Wurm ist ein Dialer, welcher in den Staaten 911 oder bei uns in .ch 112|144 wählt und sich über eines der $RANDOM_INT Löcher in Outlook/IE installiert und ausführt?
Alles, was übers Telefonnetz erreichbar ist, kann in direkte Verbindung (auf gute sowie schlechte Weise) mit dem Internet gebracht werden. Dies nur solange unzählige User mit Dialup online sind.
--
There are only 10 types of people in the world: those who understand binary, and those who don't.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 31. January, 16:09 MEW (#5)
|
|
|
|
|
Muss nicht sein. Computer-to-Phone Telefonie würde da auch funktionieren. Und das existiert.
Irgendwie muss ich sagen, dass ich einen Wurm witzig fänd, der Random Leute anruft und "whazuuuuuuuuuupppp?" ausgibt :)
|
|
|
|
|
|
|
|
|
|
|
|
|
Wir reden hier von einem Virus, der automatisch das Modem eines PCs veranlasst, eine gewisse Nummer zu wählen. VoIP gibts, das weiss ich, aber das kannst du nicht so simpel missbrauchen wenn du $VIRENBAUER bist, da diese Gateways kosten. Na klar, du kannst nen Virus schreiben, der guckt ob VoIP software vorhanden ist...
Ich hoffe, das es Viren geben wird, die dem User zeigen, dass sie einen Virus haben und nicht den anderen meist unbescholtenen Netzbürgern, indem sie wie wild spammen.
--
There are only 10 types of people in the world: those who understand binary, and those who don't.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Die Disksussion, ob Sicherheitslocher und die dazugehoerenden Exploits veroeffentlichet werden sollen oder nicht, beschaeftigt BUGTRAQ seit langem.
Fact ist, dass es Loecher gibt. Fact ist auch, dass sie irgendwann gefunden werden. Fact ist weiterhin, dass viele Boxen im Internet miserabel gewartet sind. An diesem Zustand wird sich nichts aendern - egal ob Probleme veroeffentlicht werden oder nicht.
Ich selbst betrachte mich als verantwortungsbewusster Sysadmin und fuer mich ist es OK, wenn ich moeglichst frueh von Problemen erfahre und meine Vorkehrungen treffen kann. Weiterhin betrachte ich es als nuetzlich, wenn ich einem typischen "ich habe doch keine Probleme"-Sysadmin ein paar URLs um den Kopf knallen kann, auf denen er Programme findet, die seine Systeme in Grund und Boden knallen. Vielleicht lernt er's so - oder entscheidet sich irgendwann dazu, Gaertner zu werden...
I saw screens of green, red messages too, then came blue, shubidu
And i think to myself, what a wunderful world
|
|
|
|
|
|
