Im Moment erhalten wir regelmässig Hinweise auf Sicherheitslücken. Wir freuen uns über alle Hinweise. Wir können aber gar nicht allen nachgehen und empfehlen oftmals, diese direkt an die Anbieter zum schließen der Lücke zu schicken. In bestimmten Fällen bieten wir auch unsere Hilfe bei der Vermittlung der Information an, wenn jemand anonym bleiben möchte. Das können wir aber auch nur beschränkt machen, da es hier eigentlich um Netzpolitik geht.
Bei besonders interessanten Lücken recherchieren wir auch weiter und schauen dabei, ob wir diese auch verifiziert bekommen. Das sind besonders die Lücken bei interessanten größeren Anbietern, die man ohne technische Kenntnisse nachvollziehen kann. Die eine oder andere Veröffentlichung wird es daher hier noch geben.
Spannend sind für mich aber die Fälle, wo offensichtlich auf Anbieterseite Hinweisen nicht nachgegangen und damit grob fahrlässig gehandelt wurde. Oder wo offensichtlich in der Systemarchitektur schon eklatante Sicherheitslücken eingebaut wurden, womit der Datenschutz nicht gewährleistet wird. Wer diesbezüglich weitere Hinweise hat, kann die uns natürlich gerne schicken.
Da wir viele Leser haben, die sich für Sicherheitslücken interessieren und diese auch öfters finden, würd emich mal eine Diskussion interessieren: Wie haltet Ihr es mit dem Informieren der Anbieter? Ich finde schon, dass man dies aus Fairness-Gründen machen sollte. Immerhin ist kein System fehlerfrei. Und auch nicht jeder Anbieter ist in der Lage, teure externe Dienstleister zu beauftragen, ständig mit 3rd Partychecks ein System zu untersuchen. Und diejenigen, die nicht soviel Geld haben, gehen vielleicht zum TÜV Süd in der Hoffnung auf etwas mehr Sicherheit.
Auch wenn ich wohl eher keine Sicherheitslücke aufspüren werde: Die Information an die Anbieter ist schon richtig. Am besten in mehreren Schritten: Anbieter kontaktieren, Sicherheitslücke genau (und nachvollziehbar) beschreiben, eine angemessene Deadline setzen (Sprich: „Ich wollte sie über eine Sicherheitslücke informieren, soundso sieht’s aus, und damit sie nicht ausgenutzt wird möchte ich ihnen Zeit geben, das Problem zu beheben; Allerdings werde ich sie in x Tagen/Wochen veröffentlichen“).
Das ist fair für alle, der Anbieter weiß, woran er ist und man erreicht, dass die Lücke geschlossen wird. Ansonsten bekommt der Anbieter Publicityprobleme, Pech gehabt…
Stimme MrBook (Poster #1) vollkommen zu, ich würde es genauso machen.
Am besten wäre es doch wenn es eine offizielle Plattform geben würde über die man solche Lücken direkt anonym an den Anbieter weiterleiten kann.
Solange Anbieter gegen den Boten die Keule auspacken und es rechtlich ein großes Risiko bleibt, sie zu informieren, ist jeder gut beraten, einen Anwalt oder Journalisten zwischenzuschalten, der ggfs. die Anonymität wahrt. (Siehe z. B. libir@netzpolitik: [G]estern hat der Internetblog Netzpolitik.org versucht sich illegal Zugang zum Libri.de Partnermanager von Buchhandlungen zu verschaffen. Oder StasiVZs falsch-darstellende Pressemitteilungen etc.)
würde es genau wie #1 MrBook machen …vielleicht noch zusätzlich wie #2 Samuel schreibt n anwalt zwischenschalten…kommt dan aber auf die schwere der sicherheitslücke an
hab schon ab und an mal kleine blogger oder so auf kleinere lücken hingewiesen.in 90% der fälle passiert natürlich nix…aber die sind auch (meine meinung nach)zu unbedeutent um da n riesen tamtam zu machen.
mfg
UPS: meinte nicht #2 Samuel sondern #4 Ben sorry!!!
Deutschland ist kein Land, in dem man so etwas macht. Man wird verklagt (oder abgemahnt), wenn man was gutes tun will. Selbst wer als Zeuge vor Gericht gehört wird und dummerweise zwei andere (bzw. ein Polizist) eine andere Aussage machen, wird unschuldig wegen Falschaussage verknackt. Andere Beispiele mit anderen Gesetzen finden sich sicherlich noch zur Genüge. Nein, in Deutschland hält man sich am besten raus und schweigt.
@Ben: Ansonsten bietet sich auch noch der CCC als Vermittler an. Dort hat man Erfahrung mit solchen Dingen.
Tatsächlich bin ich da aber gerade etwas unschlüssig, wo man einen entsprechenden Fall beim CCC einwerfen sollte. Stichwort Verpeilungsfaktor (Hee, selbst die FAQ ist gerade defekt …).
Allerdings bin ich mir sicher, dass wir das in diesem Thread/der Diskussion hier geklärt bekommen. Evtl. auch in Form eines Datenschutz-Widgets, oder so?
Ich hielt es bis vor ein paar Monaten auch noch für ganz cool, den Betreiber einer kleinen Community über eine Sicherheitslücke zu informieren, mit denen man sich mit zwei Mausklicks zum Admin aufschwingen konnte. Das Loginformular führte zu einer Seite, denen als Parameter sowas wie „login.php?status=user“ übergeben wurde. Tauschte man das gegen „status=admin“ aus, wurde man mit seinem normalen Kennwort als Administrator eingeloggt.
Ich schrieb gleich dem Programmierer, denn er waltete da immerhin über gut 500 Mitglieder, aber er antwortete mir bloß was von Anwalt und Sicherheitslücken ausnutzen sei illegal und Gefängnis und so weiter.
Zwei Monate lang gab’s die Lücke noch, dann kam auch mal jemand anders auf die Idee, den Parameter auszutauschen und schmiss die Community im Handumdrehen vom Server. Nachdem ich wieder böse Mails bekam, hörte ich nie wieder was von dem Kerl — Backups hatte er natürlich keine.
Wenn die Verantwortlichen überhaupt nicht kapieren, was Sache ist oder sich gar auf ihre Unfehlbarkeit berufen, dann kann man halt nichts machen. Vielleicht hätte man die Benutzer warnen sollen, dass ihre Daten im Netz herumfliegen — aber irgendwie sah ich mich in dem Moment nicht als heldenhafter Retter der Welt.
Ich bin Betreiber einer relativ großen Community und muss leider ebenfalls sagen, dass viele Webmaster/kollegen nicht sonderbar erfreut sind, zu hören, es gäbe eine Sicherheitslücke in ihrem System. Folgen sind wie erwähnt Anwalt,Gefängnis,…
Ich für meinen Teil sehe sowas lockerer und bin für jeden Hinweis dankbar und bereit auch einiges zu bezahlen, wenn es darum geht Sicherheitslücken loszuwerden.
Vor einigen Monaten hatten wir solch einen Fall, unser Portal wies eine Sicherheitslücke auf, durch die man hätte alles auslesen können.
Der nette herr der sie gemeldet hat, hat direkt alle Infos geschickt, nett formuliert! Die Lücke wurde geschlossen und das wars!
Sowas hat uns als kommerzielles Projekt aber gezeigt, wie leicht es wäre uns Schaden zuzufügen, weswegen im nachhienein ein Dienstleister hinzugezogen wurde, der tatsächlich noch weitere Lücken gefunden und beseitigt hat.
Seitdem hatten wir keine Probleme mehr mit Crackern oä… jedenfalls zeigen die Logs nichts verdächtiges mehr an ;) Es wurde aber auch sicherheitstechnscih einiges gemacht (Filter,neuer code,…).
Mich fragen gelegentlich noch Leute, wer uns da geholfen hat und da muss man sagen, dass es wenig kompetente Leute gibt in diesem Bereich. Ich meinerseits kann php/html/java, aber habe nie sonderlich einen Fokus auf Sicherheit gelegt(ja ich muss mich schämen:P)
Jedenfalls wurde bei uns einiges von „http://www.ose.at“ erledigt. Und sogar so, dass jede einzelne Lücke von mir und meinem Partner nachvollziehbar war.
Naja meiner Meinung nach sind die Gesetze in Deutschland Schuld, hackerparagraph,… alleine schon das Suchen nach solchen Lücken ist bekanntlich strafbar! Und verständlicherweise werden dann weniger Lücken gemeldet, wenn dann klar ist, dass derjenige sich strafbar gemacht hat!
Fred
Zu diesem Thema lesenswert und normativ:
http://www.wiretrip.net/rfp/policy.html (Full Disclosure Policy (RFPolicy) v2.0)
Die Diskussion ist ja nicht neu, auch wenn die Community mit Bugtraq etc. da sicher traditionell etwas US-fixiert ist. Stichwort ist hier http://en.wikipedia.org/wiki/Full_disclosure zum Einstieg, falls es jemanden interessiert.
Ich mache es immer so, dass ich die Sicherheitslücken direkt an die Anbieter melde mit dem Hinweis, dass Sie es zwei Tage später in meinem Blog nachlesen können. Dann passiert für gewöhnlich erstmal nix.
Die Kleinen interessiert es meist überhaupt nicht, die Großen (wer-kennt-wen, webnews, panfu, youporn) melden sich dann meistens nach der Veröffentlichung bei mir. Ist zwar traurig, aber ist halt so.
Achso, mit Anwälten und so hat mir bisher noch keiner gedroht, aber ich habe so schon mal ein paar Aufträge bekommen. Meist sind die Lücken auch sowas von dämlich, dass es besser ist, sie einfach zu schliessen, anstatt ein Riesenfass aufzumachen. ;-)
Noch ein Sicherheitshinweis: eine Frage nach einer Auswandsentschädigung wird so gut wie immer als Erpressungsversuch gewertet und die Polizei eingeschaltet. Sowas solltet ihr also lassen. Treffen mit den Betreibern bitte immer mit anwesenden Zeugen, damit euch nicht als PR-Strategie ein Erpressungsversuch angedichtet wird.
Ansonsten haben wir beim CCC durchaus Erfahrung mit solchen Situationen, auch in heikleren Fällen (ihr habt wirklich etwas ausgefressen und euch packt die Reue, z.B.). Wir stehen da gerne als Vermittler mit zugesicherter Anonymität zur Verfügung, oder vermitteln euch einen Anwalt.
Wer Eefahrung mit der deutschen Justiz hat, sollte schweigen. Die lassen die Sicherheitslücke bestehen und verklagen den Informanten, denn hierzulande bevorzugt man die Illusion von Sicherheit gegenüber wirklicher Sicherheit. Hatte heute ein kurioses Erlebnis: beim Aufrufen des Postbanonlinebankings hatte ich Einblick in ein fremdes Konto. Ich bin kein Computerspezialist, kann mir nicht vorstellen, wie das sein kann. Ich melde das doch nicht der Bank, denn die werden mich als Kriminellen hinstellen.Ich verhalte mich halt typisch deutsch und schweige.
Ich würde es so machen wie die meisten hier ! Also zuerst „Beweise sammlen“ , dann den Betreiber informieren auch mit unterstützung vom CCC o.ä. ! Wenn der Betreiber Beratungsresistent
sein sollte , muss man ebend genau abwägen was man macht ! Letzter schritt wäre ebend bloßstellen !
Gruß Heimdall
Sicherheitslücken sind mir bisher noch keine aufgefallen, da ich da viel zu wenig suche, aber wenn mir sonst ein Fehler an einer Webseite auffällt, schreibe ich immer den Betreiber an, damit er es korrigieren kann.
Ich persönlich arbeite bei einer deutschen Web-Community (war früher größer als heute) und wir erhalten immer mal wieder Meldungen über Fehler und Probleme. Ich glaube früher waren auch schon Sicherheitslücken dabei. Da wir ehrenamtlich tätig sind, können wir die Verbesserung nicht innerhalb von einem Tag gewährleisten, versuch es aber so schnell wie möglich. Im Moment sind wir da bei kleinen Fehlern (also nicht sicherheitsrelevant) ein wenig lockerer, da wir zumeist Prüfungen vor uns haben und außerdem ein neues System in Entwicklung ist.
Ich meine, dass eine Sicherheitslücke sogar Datenschutz-Bezug hatte, als ich etwas bei der Anzeige von „Ähnlichen Benutzern“ verbockt habe.
Ich zumindest freue mich allerdings jedes Mal über die Meldung einer Lücke und habe dafür auch schon öfters Extra-Punkte verteilt. Allerdings weiß ich nicht, ob das bei allen Entwicklern so ist.
Schade, dass das nicht bei allen so ist. Wenn wir eine Sicherheitslücke haben und die meldet uns jemand, dann bin ich doch extrem froh, dass er das an uns sendet und nicht irgendwo anders publiziert, wo es dann Angreifer ausnutzen…
Meiner Meinung nach ist es nicht die Frage, ob es eine Sicherheitslücke gibt, mit der man irgendwie umgehen muss. Es ist vielmehr WANN diese kommt und ob man einen Notfallplan hat. Bei vielen Seiten habe ich das Gefühl, dass die dann erstmal mit herunter gelassenen Hosen dastehen und erstmal nicht weiter wissen.
Man sollte sich also vorher etwas überlegen, damit spart man wertvolle Zeit und dann auch Geld. Das ist wie eine Art von Versicherung. Die werden ja auch abgeschlossen, oder? :-)
Naja, TED.com hat sich auch 6 Wochen nicht auf meine Hinweise auf Cross-Site-Scripting gemeldet. Dann hatten Sie auf einmal eine komplett neue Seite. Also der Fehler war wohl schon bekannt, aber die meisten kann man recht schnell fixen.
Wie auch immer. Ich finde es persönlich sehr überzogen, dass da Anwälte rausgeholt werden, nur weil man einen Fehler in einer Software gefunden hat. Klar: In Deutschland ist Hacking verboten. Das heißt, dass man rein rechtlich kaum Möglichkeiten hat da was zu machen. Dies könnte man gesetzlich etwas geschickter formulieren. *Richtung §202c StGB schiel*
Es muss doch wohl möglich sein, dass die Whitehats ihre Arbeit machen können…
@Keenen: Solche Fälle würde ich auch nur über den CCC melden. Wobei ich mir selbst da unsicher wäre, wie klein die Bank den CCC hauen kann… Kleinere Probleme (z.B. sichtbare input-Felder, die eigentlich hidden sein sollten) habe ich auch schon direkt an meinen Bank-Anbieter gemeldet.
Mal eine Frage an mitlesenden Juristen:
Wie #15 Andreas schon erwähnt hat, kann der Versuch eine Aufwandsentschädigung zu erlagen strafbar sein. Wie ist es, wenn die Lücke grundsätzlich gemeldet wird (also im eigentlichen Sinne vollständig) und wenn der Betreiber mehr Informationen haben möchte, einen Beratervertrag anbieten?
Wo ist da die Grenze? Auf der einen Seite werde ich mit dem Hackerparagrafen bedroht und muss mir schon überlegen ob ich überhaupt etwas sage (wie #16) und auf der anderen Seite will ich nicht unendlich Zeit als „Zeuge“ zur Verfügung stehen.
Als Entwickler und mehr oder minder Anbieter finde ich die erste Idee am besten, allerdings sollte man imho darauf verzichten, zu arrogant oder zu zielstrebig aufzutreten. Das macht einen schlechten Eindruck und man kann sich leicht eine Klage einhandeln, z.B. wegen Nötigung, Erpressung etc.
Es kann freilich helfen, wenn der oder die Finder/in über einen bekannten Anbieter (CCC, Netzpolitik…) die Lücke meldet, dann klingt nicht nach Erpressung.
Wer allerdings eine Aufwandsentschädigung verlangt, sollte sich auf eine Klage vorbereiten. Schließlich wurde man nicht drum gebeten, nach Sicherheitslücken zu suchen und eine solche Forderung klingt doch sehr stark nach Schweigegeld (oder Erpressung).
Der Gedanke, eine Clearingstelle einzurichten, ist schon sehr cool. Diese müsste dann aber die gemeldeten Lücken nachvollziehen können (und das ist rechtlich gefährlich) oder sie würde nicht mehr Ernst genommen, weil dauernd irgendwelche Scherzbolde was melden würden…
Ich hatte vorhin parallel zu meinen Kommentar oben auch mal bei Frank Rieger und Tim Pritlove (beide CCC-Sprecher, bzw. ehemalige) gefragt, wo man sich melden kann.
Franks Antwort findet ihr bei Twitter:
verifizieren – datenschutz benachrichtigen – unternehmen informieren – ggf. vermitteln – frist vereinbaren – veröffentlichen.
wenn allerdings, wie hier geschehen, netzpolitik auf die information hin von dem betroffenen unternehmen diffamiert wird, sollte dieses unternehmen zur veröffentlichung einer ehrenerklärung veranlasst werden.
Falls Ihr uns Sicherheitslücken schicken wollt, sendet sie bitte an mail@ccc.de.
Falls Ihr davor zurückschreckt, dann kommt in einen ERFA in Eurer Nähe:
http://www.ccc.de/regional
Viele Grüsse,
Volker Birk
Chaos Computer Club
Ich weiß „aus reichlich zuverlässiger Quelle“, daß nicht mal bei sehr großen Anbietern, die eigentlich qua Portfolio von Haus aus genug IT-und Netzsachverstand besitzen sollten, daß die – scheinbar gerade WEIL sie genug Geld haben – externen sogenannten Sachverstand als erste Wahl gegenüber dem sinnvollen Ausbau interner Kompetenz geradezu mantrisch leben. („Mit Consultants und 3rd party hat man ja nicht die lästigen dauerhaften Sozialstaatsprobleme.“) Dummerweise wird man, eben gerade weil intern keiner mehr wirklich weiß, was er tut, von externen regelmäßig und für teures Geld mit verpacktem Spaghetticode, „Hotfixes“ und Betasoft versorgt, bei dem jedem wirklich Sachverständigen die Haare zu Berge stünden – Hauptsache, die Powerpoint-Folien und die „biz models“ werden geschmackvoll präsentiert. Auf die Idee, WAS sogar Unternehmen, die primär als Infrastrukturanbieter arbeiten, alles auslagern, ohne halbwegs zu verstehen, was sie da tun, kommt ein gesunder Menschenverstand überhaupt nicht. Aber auch intern herrscht im wesentlichen meist die Annahme, daß Emails mit Einschreibebriefen vom Mitlesefaktor her vergleichbar sind – nur ein Beispiel.
Ich möchte mir also gar nicht ausmalen, wie es da in Firmen aussieht, in denen Datenverarbeitung gerade NICHT zum Kerngeschäft gehört, sondern nur Rüstzeug für die eigentliche Kompetenz darstellt. Muß ich angesichts der jüngsten Fälle ja auch gar nicht. Aber irgendwie erinnert mich dieser leichtfertige Umgang mit scheinbar kaum verstandener Technik ein bißchen an die Atom-Euphorie längst verblaßter Jahrzehnte…
Nicht immer ist es sofort möglich alles zu fixen, oft entdecken die Melder nur die Spitze des Eisberges und die Arbeiten ziehen sich eine Zeit lang.
Ab einer gewissen Websitegrösse kann allein das prüfen eines Bugfixes und dessen Auswirkungen mehr als einen Tag dauern, das erstellen eines guten Fixes mal ganz beiseite gelassen.
Darum: Wen ihr Fristen setzt, dann Zeit lassen.
Desweiteren auch bei der Kontaktaufnahme nicht unbedingt das erste Formular benutzen das euch über den Weg läuft, hier landet dann die Mail vielleicht mit 2000 anderen die am Tag gesendet werden in einer Postmüllhalde die von einem Praktikanten ausgewertet werden.
Darum: Keine Antwort heisst nicht das man schon beim Anwalt steht. Viel Wahrscheinlicher ist das noch gar niemand wirklich bescheid weis.
Die Fristsetzung würde ich persönlich auch noch gut überdenken (im ersten Schritt). Das klingt schon recht hart und löst auf der Gegenseite dann auch entsprechend beschützendes Verhalten aus.
Darum: Nett und Freundlichs sein, nicht blaffen, auf keinen Fall drohen. Erklärt euch gescheit.
Was ich allerdings häufiger erfahren durfte ist daß Bugs insbesondere XSS für jede größere Seite in entsprechenden Datenbanken zu finden sind. Das bitte auch bedenken. Es ist davon auszugehen das die Top50 Websites dauerhaft und das mit bis zu 100 Requests paralell, zu jeder Tages und Nachtzeit von Skripten „geprüft“ werden.
Das beginnt mit der Suche nach Rootkits, geht weiter über den Check auf Forensoftware die Fehler hat (oder andere Skripte).
Darum: Geht nicht davon aus das eure Attacke/Anaylse bei einem Admin schon ein rotes Fenster hat aufpoppen hat lassen. Bei den großen Farmen die die großen deutschen Websites betreiben um dem Traffic Herr zu werden ist es nicht einfach Logfiles aufzubereiten. Dies kann, je nach Größe der Website, auch mal einen Tag oder auch mehr benötigen. Schickt am besten gleich das Skript mit um den technischen Teams eine korrekte Analyse zu ermöglichen.
@Volker Birk
eine FAQ die mal auch für Anbieter aufbereitet wie man sich in solchen Situationen verhält wäre nice.
Wie Ernst Haft recht blumig darlegt, gehört IT und IT Sicherheit nicht zum Kerngeschäft vieler Firmen die zum Teil auch große Sites betreiben.
Also ich finde man sollte da nicht so einen wind machen; interessiert es jemanden, ob auf http://www.netzpolitik.de bspw. eine unsichere SSLv2 version im einsatz ist? nein! da der Adminzugang unter ../wp-login.php?action=rp&key[]= ja ohnehin unverschlüsselt ist. Und ein Directory listing im icons verzeichnis (../icons/) erzeugt ja nicht mal ein müdes lächeln. Huch… …./awstats/ auch noch Directory Listing? Und hier: /wp-content/uploads/ …? Und …und ..oder ein WebDav Zugang unter /wp-upload/?? Nein! Trotzdem egal! Selbst wenn ein unter einer profilierungsneurose leidender script kiddie einen exploit für den OpenSSH 5.2 zugang gefunden hat sollte schweigen. wieso schweigen wir nicht lieber & lassen wir das internet mit all seinen schwachstellen nicht so wie es ist: buggy & löchrig wie ein schweizer käse….Wo bleibt sonst der nervenkitzel beim online banking?
Hmmm. Ja, ich bin faul. Full disclosure. Wir hatten redirekts sowohl wp-admin als login aber im aufwendigen umbiegen des wordpress und des hier auch verfuegbare media wiki (schaudern) hatten wir vergessen die ssl redirects wieder herzustellen. Ist wieder der fall. Das ssl selbst ist sicher. Die certs sind jedoch nicht von those on-high.
Wir sind immer auf alle hinweise dankbar.
> interessiert es jemanden, ob auf http://www.netzpolitik.de bspw. eine unsichere SSLv2 version im einsatz ist? nein!
es interessiert tatsaechlich niemanden, denn ssl2 wird nur als fallback benutzt, und unsere redakteure haben browser die ssl3/tls beherschen
> da der Adminzugang unter ../wp-login.php?action=rp&key[]= ja ohnehin unverschlüsselt ist.
nicht wenn du https davorschreibst …
> Und ein Directory listing im icons verzeichnis (../icons/) erzeugt ja nicht mal ein müdes lächeln. Huch… …./awstats/ auch noch Directory Listing? Und hier: /wp-content/uploads/ …?
na und? alle diese dateien sind oeffentlich zugaenglich
Und …und ..oder ein WebDav Zugang unter /wp-upload/?? Nein!
was willst du eigentlich? webdav ist nicht schlechter als ftp oder http
> Trotzdem egal! Selbst wenn ein unter einer profilierungsneurose leidender script kiddie einen exploit für den OpenSSH 5.2 zugang gefunden hat sollte schweigen. wieso schweigen wir nicht lieber & lassen wir das internet mit all seinen schwachstellen nicht so wie es ist: buggy & löchrig wie ein schweizer käse….
noch eine frage in den raum: haben schwachstellen eigentlich einen wert? müsste man mal auf ebay testen:
Artikel: top schwachstellen (sql injection, path traversal & parameter tampering) auf den top 100 online plattformen deutschlands
zustand: ungebraucht
startpreis: 1 euro
wer bietet? :-)
Ich möchte den 3. Kommentar von Opencasters ganz am Anfang nochmal aufgreifen. Ich bin auch der Meinung das es hierfür eine eigenständige Plattform geben sollte:
Das Angebot vom CCC sich solcher Lücken anzunehmen ist zwar großzügig, jedoch ist es m.E. nicht die richtige Stelle um jede kleine XSS-Lücke zu melden. (Ich denke mal ihr hab in eurer Freizeit auch besseres vor als dann die Admins anzuschreiben, die sich dafür vielleicht gar nicht interessieren…). Außerdem ist das so nicht transparant und führt damit eher dazu, dass kleinere Lücken untergehen.
Nun ein paar Gedanken/Träumereien zur Plattform:
Ein von der Community getragenes Internet-Portal, mit einem dahinter stehenden gemeinnützigen Verein, würde ich hier bevorzugen. Dort kann man seine Sicherheitslücke anonym melden, Experten aus der Community/dem Verein validieren die Lücke und legen das weitere Vorgehen fest, z.B. sinnvolle Fristen an Betreiber zur Beseitigung vor Veröffentlichung. Der Betreiber kann sich dort auch zur Lücke äußern und die Community das Vorgehen des Betreibers bewerten. Abschließend bleibt eine Statistik für „normale“ Internetnutzer mit der man sich über verschiedene Betreiber z.B. von Webmail informieren kann.
Über den Verein könnte man dann ggf. auch Rechtsbeistand für Nutzer organisieren, falls ein Betreiber es darauf anlegt. Getragen werden könnte der Verein z.B. von BSI, eco, CCC und Datenschutzbeauftragten, die sich ja prinzipiell ähnlichen Zielen verschrieben habe, bzw. in deren Sinne das Portal ist.
Was meint ihr dazu?
Sicherheit ist sehr wichtig. Für die meisten Portal Betreiber ist Security aber ein Buch mit sieben Siegeln, wie man an den Faellen von SchuelerVZ oder MySpace sehen kann. Meist sind die Release Zyklen sehr kurz, für Sicherheit ist keine Zeit, kein Wissen und kein Geld vorhanden.
Ich selbst nehme liebend gerne Sicherheitslücken meiner Software entgegen, denn Sicherheit und Datenschutz steht bei mir an erster Stelle, und muss meiner Meinung nach auch ernst genommen werden.
Es hilfst hier gar nichts, mit Anwälten zu drohen. Manche Sicherheitslücken aufzuspüren, ist teilweise sehr aufwändig. Wenn nun jemand diese Lücke direkt meldet, hilft das erheblich weiter. Denn ohne das Schliessen dieser Lücken kann man auch keinen Datenschutz gewährleisten.
Vor allem SchuelerVZ sollte sich über den Schutz Ihrer Daten Gedanken machen. Was wäre passiert, wenn die aus SchuelerVZ gewonnenen Daten z.b. an Padö Kriminelle weitergeleitet würden.
Ich selbst habe mich entschlossen, für neue Projekt jeweils einen Wettbewerb auszuschreiben, um mögliche Sicherheitslücken aufspüren zu lassen. Der Gewinner mit den meisten gemeldeten Sicherheitslöchern erhält dann das Preisgeld.
Genau so sollten auch andere Unternehmen verfahren.
Ich habe selbst nur Sicherheitslücken bei Freunden gefunden, da ich vorsichtig bin Angriffe gegen professionelle Sites zu machen. Hacking als „prickelnde Freizeitbeschäftigung“, dafür bin ich zu alt. Aber weil ich so alt bin, muss ich sagen, dass für mich der CCC die richtige Adresse darstellt so was zu melden. Der Club ist nunmal in Sicherheitsfragen für mich der vertrauenswürdigste Partner.
Gruß
Lukas
hi there!
die problematik, die ich hier sehe ist die sache mit dem anwalt etc. sicherheitslücken veröffentliche ich ERST, dann informiere ich den betreiber.
die abmahnpolitik und -philosophie in der heutigen zeit ist selber schuld, wenns nicht mehr andersrum geht.
also TOR und wikileaks und ab dafür.
Die Lücken bei den großen Netzwerken sind doch nur die Spitze des Eisberges. Sie werden bekannt, weil die großen bekannt/berühmt sind. Dort ist (meistens) das Potenzial vorhanden, diese Lücken schnell zu schließen. Wenn das einmal nicht sofort gelingt und ein Aufschrei durch die Öffentlichkeit geht, deklariert man es anschließend einfach als PR-Aktion.
Viel schlimmer sind die kleineren, unbekannten Netzwerke. Es wurde hier bereits erwähnt, dass es dort an Verständnis, Wissen, Können, Geld oder was auch immer mangelt, solche Lücken zu erkennen, geschweige denn, im Falle einer Meldung von außen, auch zu beseitigen.
Wenn dort z.B. beim missglückten Relauch plötzlich uralte, von den Nutzern bereits gelöschte persönliche Nachrichten für andere lesbar sind und keine angemessene Reaktion der Verantwortlichen kommt, trägt das nicht nur zum Unwohlsein in so einer Community bei, sondern ruft zwangsläufig auch den zuständigen Datenschutzbeauftragten auf den Plan, der gerne für Abhilfe sorgt. Wenn im selben „Netzwerk 40 Plus“ tagelang das Bild einer Oma mit Hakenkreuzen auf dem Backblech präsentiert wird, das erst nach massiven Protesten der Mitglieder ausgeblendet wird, liegt der Verdacht einer Straftat durch Unterlassung nahe. In diesem Fall ermittelt die zuständige Staatsanwaltschaft. (Beide Aktenzeichen liegen mir vor).
Lässt man einmal den Schutz der Mitglieder aus rechtlicher Sicht außen vor, so verderben solche Communities mit derartigen Lücken einfach das Wohlfühlgefühl der Mitglieder und setzen sich der Gefahr aus, genauer und kritischer beobachtet zu werden.
Den großen Netzwerken macht der Verlust von ein paar Tausend verärgerten Mitgliedern nicht viel aus. Bei den kleineren wirkt sich das aber sehr wohl in den Google Trends und im Google AdPlaner aus. Die Vernachlässigung der Sorgfaltspflicht tut einem Unternehmen nie gut.
Nicht soviel Geld, etwas mehr Sicherheit. Köstlich! :)
Ich habe mal ein Forum untergehen sehen, weil sich irgend so ein Kerl Adminrechte verschafft hat. Kommt davon wenn man die Software nicht updatet, war ja auch alles von Russenbots verseucht. Manchmal führt einfache Faulheit „uns passiert schon nichts“ zu sowas.
Auf meinem Blog sind auch einmal Spambots aufgetaucht die irgendwelche Links gepostet haben. Leider habe ich keine andere Lösung gefunden, als Kommentare die Links enthalten erst von mir freischalten zu lassen.
Ansonsten stimme ich someone zu. Man kann sich daran super daran profilieren. Warum sollte man das unter verdeckter Hand machen, wenn man nicht bekannt werden will, dann macht es halt netzpolitik.org öffentlich. Anders gibt es auch keinen oder kaum Effekt.
@20:
Du würdest dich wundern, wie viele IT-Sicherheitsbeauftragte bei Banken mittlerweile CCC-Mitglieder sind. Wenn man das richtig einfädelt, sind die eher dankbar.
Es kann mit Banken aber auch mal Probleme geben. Eine große deutsche Bank (*hust*) hat da einem Hacker, der sich nicht über uns an sie gewandt hat, auch gleich eine Erpressungsklage reingedrückt. Da konnten wir im Nachhinein auch nicht mehr viel dran fixen. Das war ein Fall aus der Grauzone, und ist glücklicherweise am Ende glimpflich ausgegangen.
@21:
Natürlich erwartet keiner, daß man umsonst beliebig viel Arbeit in anderer Leute Bugs reinsteckt. Und sicherlich ist ein Angebot seitens der Betrieber auch keine Erpressung mehr. Aber das ist halt die Stelle, wo’s kritisch wird: man kann sowas im Nachhinein so darstellen, als hättest du doch nach Geld gefragt. Deswegen unbedingt für solche Gespräche einen Anwalt oder anderen neutralen Zeugen hinzuziehen.
@32Ö
Richtig, wenn wir uns mit jeder kleinen XSS-Geschichte auseinandersetzen würden, kämen wir zu sonst nichts im Leben. Wegen derer wird aber auch kein Anbieter die große LKA-Keule auspacken.
Die Idee, da mit den Datenschutzbeauftragten zusammenzuarbeiten, finde ich gar nicht mal so schlecht.
Hmmm. Full disclosure. SSL is only secure in an interim until someone finds the next cracker jack.
es gibt ja auch Schwachstellen, die bewusst in Kauf genommen werden: wenn z.B. Myspace und Paypal Benachrichtigungsmails für neue Nachricht bzw. Zahlungseingänge mit Direktlink veschicken, die telweise von der Original-url abweichen (collect.myspac.com)und mit zufällig wirkenden Zeichenfolgen versehen sind, dann ist das fast schon eine Einladung zum Phishing. Da werden Hinweise wenig helfen.
Ich suche regelm. gerade bei offensichtlichen Individualentwicklungen nach typischen Sicherheitslücken und werde auch erschreckend oft fündig.
Ich verfahre da aber zweischneidig. Bei privaten Seiten oder allg. non-profit Seiten nenne ich den Fehler und, soweit möglich, sogar die Problemlösung per Mail. Bei kleineren kommerziellen Anbietern melde ich nur das ich einen Fehler aufgespürt habe und biete meine Dienstleistung als Berater an. Größere bekommen den Fehler direkt kostenfrei zugemailt. So oder so bekommen aber auch die kleineren bei Ablehnung nachher den Fehler von mir kostenfrei zugestellt, aber man kann ja mal gucken ob man so einen Kunden akquiriert und das klappt öfter als man denkt.
Eine Lücke wie im SchülerVZ würde mir nicht als Lücke erscheinen, denn wenn man einfach nur geschickte Suchanfragen zu stellen braucht, würde ich davon ausgehen, daß das ein Feature ist und kein Bug.
Sollte ich jemals eine Lücke finden, würde ich diese dem CCC oder so melden und dem alles weitere überlassen.
Ich habe schon als Betreiber (Website eines mittelgroßen Linux-Projektes), als Dienstleister (Berater bei einem, ich sage mal, renommierten Security-Unternehmen) und als Journalist (schreibe für ein Magazin) mit diversen Schwachstellen zu tun gehabt. In allen Fällen habe ich die Erfahrung gemacht, dass der Ton oft die Musik macht. Es ist entscheidend, wie man auftritt.
Höhnische und oft dazu noch unfundierte Beschimpfungen („Ey ihr Vollspacken, ia habt’s voll nich drauf mit euren PHP proggies“) sind nicht gerade dazu geeignet, Vertrauen zwischen Melder und Betroffenem aufzubauen. Das ist aber ein wesentlicher Punkt.
Anfangs gibt es meiner Erfahrung nach bei vielen Betreibern erst einmal den Reflex einer Abwehrhaltung, das sollte man schon einmal berücksichtigen. Dann kommt es auch darauf an, wie seriös man dem Betroffenen gegenüber auftritt.
Bei dem Magazin, für das ich schreibe, melden sich gelegentlich Anwender, die Lücken entdeckt haben und haben sie manchmal schon an den Betreiber gemeldet. Oft (nicht immer) werden sie eher abgespeist. Wenn wir uns dann über Pressestellen oder Sicherheitsbeauftragte melden, dann läuft das oft nach dem gleichen Schema ab: 1. „Oh vielen Dank, bitte geben sie uns unlimitierte Zeit, das zu fixen und dann gibt ihnen unsere Pressestelle einen Text, den sie veröffentlichen dürfen“, 2. (nachdem wir das freundlich abgelehnt haben) „Hm, wir müssen jetzt die rechtlichen Konsequenzen davon prüfen und behalten uns vor … (laienhaftes Einstreuen von halb-juristischen Fachbegriffen)“ und 3. (nachdem wir ebenfalls freundlich bestätigt haben, dass das natürlich deren gutes Recht ist, das zu versuchen, wir aber an einer gemeinsamen Lösung interessiert sind) „Okok, wir versuchen das Problem möglichst bald zu fixen“ (was dann in der Regel auch klappt).
Einen Hinweis noch zum Thema „Aufwandsentschädigung“: Als ich noch selbst Audits durchgeführt habe, sind mir auch gelegentlich Lücken aufgefallen, auch von Betreibern, die nicht unsere Kunden waren. Wir hatten uns diesbezüglich die Policy selbst auferlegt, solche Probleme absolut neutral zu melden. Jeden Hinweis auf mögliche Dienstleistung, Aufwandsentschädigung oder sontiges hätte ich als unseriös empfunden. Oft (nicht immer) sind wir daraufhin nach Rat gefrat worden und dann haben wir durchaus auch unsere Dienstleistung angeboten, aber nicht andersherum.
Da es im Interesse der meisten ist, sollte sowas eventuell über den Datenschutzbeauftragten (DB) bzw. dessen Amt laufen und eben evtl. weiteren Experten, die man dort direkt mit einklinken kann.
Mir schwebt sowas vor als Anlaufstelle (ob es nun, wie ich vorschlug, über den DB geht oder nicht egal, jedenfall was ‚offizielles‘):
– Ich finde eine Sicherheitslücke, kann sie bisher verifizieren
– Ich schreibe Mail an die Anlaufstelle, mit allem was ich rausgefunden hab
– Anlaufstelle verifiziert das, zieht noch weiteren Berater dazu (z.B. vom CCC)
– Anlaufstelle nimmt Kontakt zu Betreiber der Seite auf mit allen Details (dass verifiziert wurde, nicht jedoch von wem das kam) mit einer Frist von 7 Tagen bis zur veröffentlichung.
– Nach den 7 Tagen wird die Lücke auf den Websiten dokumentiert mit aktuellem Status. Dabei sollte das so sein, dass man verfolgen kann, was das Unternehmen gegen die Lücke macht.
– Zusätlich sollte dokumentiert werden (bzw. versucht), was man als Nutzer tun kann. Eben wirklich als Anlaufstelle: „Achtung hier ist eine Lücke, du hast diese Möglichkeit dich zu schützen“.
Ich denke, wenn das nicht etwas privates ist, sondern aus öffentlicher Hand (da muss man jedoch schaun dass man diese Vereinsmeierei und Bürokratie raushält), dass das direkt mehr Druck auf die Unternehmen ausübt.
Sowas eben. Sehr grob, hab aber gerade nicht viel Zeit.
Da hätt ich sogar wirklich Lust in so einer Abteilung zu arbeiten.
Noch haben wir eine professionelle Fachpresse.
Meldet die Sicherheitslücken dem IT-Magazin Eures Vertrauens. Journalisten können manchmal Wunder bewirken, wenn es darum geht, bei den Verantwortlichen Bewusstsein zu wecken – dazu können sie Informaten schützen.
Etwas negativ gehaltene Kritik auf dem VZ Blog zum Datenskandal wird leider von der VZ Gruppierung zensiert. Aus diesem Grund hab ich den 2. Kommentar auch hier gepostet:
….
Es ist schon interessant, das ein etwas negativ gehaltener Kommentare hier nicht veröffentlicht wird.
Das bestätigt meine Vermutung über schlechte Informationspolitik.
Ich hoffe aber das sich zumindest das SchuelerVZ Team meinen ersten Kommentar durchgelesen hat, und sich der Problematik bewusst ist. Es geht hier nicht darum SchuelerVZ anzuprangern, sondern nur darum die Informationspolitik von VZ zu verbessern. Ein Vorspielen einer heilen Welt ist kontraproduktiv. Hier fährt man als Unternehmen wesentlich besser, in solchen Szenarien mit offenen Karten zu spielen.
Zu der Suche kann ich sagen, schränkt diese
1. ohne Captchas ein, sodass diese nicht mehrere Millionen Mal aufgerufen werden kann, hierbei geht auch nicht der Such-Komfort verloren. Kein Mitglieder wird über seinen Account mehr als 50-100 Mal pro Tag die Suche nutzen. Der Einsatz von Recaptcha ist im übrigen auch unsicher. Es gibt bereits Verfahren die diesen Mechanismus aushebeln, ich hab euch also jetzt schon vorgewarnt ;) .
2. ändert die Standardeinstellungen der Sicherheits einstellungn um, das nicht Mitglieder defaultmässig zu viele Informationen ohne Ihr Wissen preisgeben. Ein Interview einer Schülerin bei netzpolitik hat gezeigt, dass hier was im Argen liegt. Am besten wäre es das jetzt in diesem Fall auch für alle vorhandenen Mitglieder zu machen, mit dem Hinweis, das bei Bedarf selbst wieder zu ändern. Leider machen die sogenannte Standardeinstellungen fast alle sozialen Netzwerke falsch, mit ein Grund warum ich meinen Account bereits 2007 bei XING gekündigt habe.
Ich bin übrigens dafür, das Unternehmen in diesem Bereich gesetzlich in die Pflicht und Haftung vor allem bei Kindern genommen werden, um dafür zu sorgen, das solche Datenlücken nicht wissentlich in Kauf genommen werden. Hier hilft es nicht nur, das Crawlen von Informationen per Nutzungsvereinbarung zu verbieten. Nicht jeder hält sich an diese Vereinbarungen. Nur wenn Unternehmen einen finanziellen Nachteil zu spüren bekommen, ist der Datenschutz gewährleistet. Dies zeigt auch ein anderer Fall.
Ich hoffe das zumindest dieser Kommentar veröffentlich wird, ich hab versucht diesen Kommentar weitgehend neutral zu halten
Warum ist es eigentlich gefährlich eine Aufwandsentschädigung zu verlangen? Wir haben doch dieses *ironie* tolle Abmahnsystem mit dem man sich ganz schnell eine goldene Nase verdienen kann? Warum gibt es dann für die Hacker die Ihre Sicherheitslücke melden nicht auch eine Aufwandsentschädigung im Sinne der „Geschäftsführung ohne Auftrag“ wie bei den Abmahnungen genauso????
*nachdenklich*
@Dennis: Weil da das Problem der „versuchten erpressung“ ins Spiel kommt. Meiner Meinung nach gehört es zur Fairness und Respekt, einer gemeldeten Sicherheitslücke auch eine Aufwandsentschädigung von Seiten des Betreibers zukommen zu lassen. Das sollte aber freiwillig sein.
Außerdem würden dann wieder viel zu viele Menschen auf dumme Gedanken kommen und diese Sicherheitslücken kommerzialisieren. Überall wo Geld fließt tummeln sich nunmal die Verbrecher. Das wird immer so bleiben. Wer also Sicherheitslücken aufdeckt, sollte das nur aus dem Ehrgeiz heraus machen, etwas Gutes zu tun.
Bin leider erst sehr spät über diesen Artikel gestolpert. Aber weiß jemand, inwieweit man sich strafbar macht, wenn per Reengineering sicherheitslücken aufdeckt. Sei es bei Software oder aber auch bei Hardware.
Gibt es hierzu schon Präzedenzfälle?
Gruß,
Tom
Ich bin beim Aufräumen meines Arcorpostfachs gerade auf folgende Meldung gestossen:
http://img46.imageshack.us/img46/6417/nlic.jpg
„Die E-Mail würde zu gross werden. Es sind insgesamt maximal 40 MB erlaubt! Es waren jedoch E-Mails mit einer Gesamtgröße von 50 MB (XXX B) ausgewählt.“
Das hört sich also ganz danach an, dass die Daten beim Löschen nicht wirklich vernichtet sondern weitergeleitet werden… Bitte immer nur in kleinen Häppchen löschen, damit das nachfolgende System sich nicht verschluckt.
Skandal? Egal?