Responsible Disclosure und die damit verbundene Dankbarkeit Marc Ruef | 03.09.2012 Seit Jahren streiten sich Experten darüber, ob und inwiefern gefundene Schwachstellen publiziert werden sollen. Zu grossen Teilen konnte man sich auf das sogenannte Responsible Disclosure einigen. Bei diesem wird zuerst der Hersteller über das Problem informiert, so dass diesem fairerweise Zeit eingeräumt werden kann, sich der Sache anzunehmen. Wenn dieser mit einer Lösung aufwarten kann oder eine vordefinierte Zeitspanne verstrichen ist, kann eine Veröffentlichung der Schwachstelle geschehen. Nicht alle Researcher, vor allem jene aus dem Blackat-Milieu, können sich für diesen Ansatz begeistern. Manche sind zu faul oder zu bösartig, alsdass sie sich mit den - teilweise ebenso ignoranten - Herstellern herumschlagen wollen. Ich habe dies schon mehrere Male am eigenen Leib erfahren, wenn Hersteller einem ignorieren oder mit juristischen Schritten drohen will. Dennoch, so denke ich, ist Responsible Disclosure der richtige Weg. Dass man als Entwickler einen solchen schätzen sollte, habe ich ebenfalls am eigenen Leib erfahren. Ab und an findet jemand eine Schwachstelle auf meiner Webseite (http://www.computec.ch). Oftmals sind es Injection-Schwachstellen, die das in die Jahre gekommene Content-Management-System mit sich führt. Ich habe zwar 2004/2005 eine ausgiebige Evaluation der zur Verfügung stehenden Produkte durchgeführt. Aber auch mir ging damals das eine oder andere Problem durch die Lappen (zudem wurden in den letzten 8 Jahren ebenfalls neuartige Angriffstechniken entdeckt). Einer der ersten Leute, die mich auf ein Problem hingewiesen hatten, war Stefan (http://www.computec.ch/user.php?id.183), mit dem ich nun schon seit vielen Jahren zusammenarbeite. Er hatte damals einen sehr obskuren Bug im Parsing des BBcode-Moduls gefunden. Dieser war nur im Zusammenhang mit den damals noch sehr frischen Versionen des Mozilla Firefox ausnutzbar. Ich war erstaunt ab seiner virtuosen Herangehensweise und so schien es absehbar, dass ich irgendwann gerne mit ihm zusammenarbeiten würde (was dann auch rund 2 Jahr spaeter geschehen sollte). Gleich mehrere Cross Site Scripting-Schwachstellen hatte Marius Rothenbücher gefunden und gemeldet. Auch hier war ich froh, diese Fehler schnellstmöglich eliminieren zu können. Die Durchsicht der Log-Dateien für die betroffenen Komponenten sollte mir zudem Aufschluss darüber geben, ob und inwiefern der Fehler schon früher ausgenutzt wurde. In solchen Fällen bin ich oft erstaunt, dass eine effektive Ausnutzung bisher ausblieb. Solche Kontakte lehren mich immerwieder, dass es praktisch unmöglich ist, ein komplexes System in sicherer Weise betreiben zu können. Komplexität ist der grösste Feind der Sicherheit. Und so erwarte ich, dass durchaus noch der eine oder andere Fehler im CMS schlummert. Dankbar bin ich jedenfalls all jenen, die mich auf solche Hinweisen. Denn sie helfen direkt dabei, die Qualität der Seite und damit auch die Sicherheit für die Nutzer aufrecht zu erhalten!