Thema: Prämien für Sicherheitslücken kommen in Mode

[SiLæncer]

Die Sicherheitsfirma TippingPoint, Ende letzten Jahres vom Netzwerkspezialisten 3Com übernommen, zahlt Prämien für exklusiv an sie gemeldete Sicherheitslücken im Rahmen ihrer neuen Zero Day Initiative. Das Unternehmen will die Lücke verifizieren, anschließend Kontakt zu den Herstellern aufnehmen und den gefundenen Fehler veröffentlichen, wenn der Hersteller eine Lösung für das Problem bereitstellt.

Zudem will TippingPoint diese Information nutzen, um seinen Kunden frühzeitig Schutz vor möglichen Exploits über seine Intrusion Prevention Systeme (IPS) zu bieten, indem das Unternehmen neue Signaturen ausliefert. iDefense betreibt ein ähnliches Programm schon seit April 2003.

Diese Vorgehensweise ist umstritten, läuft sie doch durch das Veröffentlichen von Signatur-Updates dem Responsible Disclosure entgegen, dessen Ziel es ist, den Kreis der Wissenden bis zur Verfügbarkeit von Lösungen seitens des Softwareherstellers klein zu halten. Es ist durchaus möglich, aus den Signatur-Updates auf die Sicherheitslücke zu schließen -- böswillige Individuen könnten mit dem Wissen Schadcode erstellen. Nutzer der fehlerhaften Software sind dann ungeschützt, bis der Hersteller auf das jeweilige Sicherheitsleck reagiert und Lösungen anbietet. So befürchten Kritiker eine Verschlechterung der Sicherheitslage durch diese temporär zurückgehaltenen Meldungen in Kombination mit Aktualisierung der Signaturdateien.

Quelle und Links : http://www.heise.de/security/news/meldung/62024

[SiLæncer]

Nach der Übernahme durch Verisign und dem Konkurrenzangebot von 3Com erhöht iDefense die Prämien für Sicherheitsexperten, die ihnen neu entdeckte Sicherheitsprobleme exklusiv zur Vermarktung übergeben. In einer Mail auf diversen Sicherheits-Mailinglisten erläutert iDefense die neuen Konditionen für das so genannte Vulnerability Contributor Program. Bis zu 10.000 Dollar spendiert iDefense nun für ein Sicherheitsloch der Klasse 1 -- doppelt so viel wie bisher. Hinzu kommen Prämien für regelmäßige Zulieferer. Erst vor wenigen Tagen hat die von 3Com übernommene Firma TippingPoint angekündigt, im Rahmen der Zero Day Initiative zukünftig ebenfalls derartige Prämien auszuloben.

Das Geschäftsmodell hinter diesen Angeboten scheint zu funktionieren. Die regelmäßigen Advisories über neue Sicherheitsprobleme sorgen für einen hohen Bekanntheitsgrad. Gleichzeitig führen sie vor Augen, dass nur iDefense- beziehungsweise TippingPoint-Kunden frühzeitig vor den Schwachstellen geschützt sind. Denn die öffentlichen Advisories erscheinen erst, nachdem der Hersteller der betroffenen Software einen Patch bereitstellt -- also oft Monate nach der Entdeckung des Problems. Wer in der Zwischenzeit alles Zugang zu den Informationen hatte, lässt sich für Außenstehende nicht einschätzen und stellt damit ein unkalkulierbares Risiko dar.

Quelle und Links : http://www.heise.de/newsticker/meldung/62151