« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?  (Gelesen 415 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?
« am: 05 April, 2007, 20:24 »
Der angesehene Kryptographie-Experte Bruce Schneier vertritt die Ansicht, ohne die Offenlegung von Sicherheitslücken fehle der nötige Druck auf die Hersteller die Schwachstelle zu beseitigen.

Die Diskussion um die Veröffentlichung entdeckter Sicherheitslücken ist und war schon immer kontrovers. Naturgemäß sind die Hersteller betroffener Produkte wenig erfreut, wenn sie quasi aus der Zeitung erfahren, dass ihr Produkt eine Schwachstelle aufweist. Wer das jeweilige Produkt einsetzt, muss mit Angriffen rechnen, bevor er eine Chance hat ein vom Hersteller bereit gestelltes Update zu installieren.

Eine Reihe von Herstellern, allen voran Microsoft, vertreten das Konzept der "verantwortungsvollen Offenlegung". Wer eine Sicherheitslücke entdeckt, soll sie dem Hersteller melden und sein Wissen nicht veröffentlichen. Er soll damit zumindest so lange warten, bis der Hersteller seinen Kunden ein Update oder anderweitige Abhilfe zur Verfügung stellen kann.

Der gerne als "Krypto-Papst" titulierte Sicherheitsforscher Bruce Schneier ist jedoch der Meinung, ohne den Druck einer öffentlich bekannten Angriffsmöglichkeit würden viele Hersteller nicht oder nicht schnell genug reagieren. Die Geheimhaltung einer bestehenden Sicherheitslücke nutze vor allen potenziellen Angreifern, die eine Schwachstelle bereits entdeckt haben könnten.

Nach Schneiers Ansicht ist die verantwortungsvolle Offenlegung ("responsible disclosure") nur so lange eine gute Idee, wie die Androhung einer vollständigen Offenlegung ("full disclosure") existiert. Die von etlichen Sicherheitsforschern praktizierte Veröffentlichung neu entdeckter Sicherheitslücken habe erst die Voraussetzung geschaffen, damit die Hersteller durch verantwortungsvolle Offenlegung zum Handeln gezwungen werden könnten.

Er selbst, beschließt Schneier seine Ausführung, bevorzuge es in einer Welt zu leben, in der er alle Informationen zur Verfügung habe, um seine Sicherheit selbst einschätzen und schützen zu können.

Bruce Schneiers Ausführungen können Sie im einem Themenschwerpunkt von CSOonline nachlesen: The Chilling Effect -> http://www.csoonline.com/read/010107/fea_vuln.html

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »