Ich stehe auf der Seite Full Disclosure - das vorweg. Das Argument Herstellern in den Allerwertesten treten zu m�ssen ist leider nicht von der Hand zu weisen - je mehr schlechte Publicity, desto eher tut sich was. Der Vorschlag, das zuerst unter der Hand auszutauschen - wieso, das funktioniert eh schon: 2 Wochen advance notice an den Hersteller, reagiert er nicht hinreichend, wird es publiziert. Das passiert seit Jahren auf Bugtraq und NTBugtraq. Das "neu aufgekochte" Konzept von MS gef�llt mir aus einem Grund nicht: weil nur die "responsible researcher" Zugriff auf die volle Info einer Vulnerability bekommen sollen, der Rest wird mit einem Security Bulletin Marke MS abgespeist (man m�ge bitte das letzte in Bezug auf cross-domain cookies heranziehen)
Ich kenne auch einen Fall, wo eine Security Vulnerability *monatelang* in �sterreich unter Providern bekannt war, aber nie wer was au�erhalb der Providermeetings zu MS gesagt. Mir ist es dann bei anderer Gelegenheit mal gegen�ber von MS "rausgerutscht" und es wurde gefixt - nur hat nie wer dar�ber erfahren - soviel zum Thema da� Security Vulnerabilities dokumentiert werden. Bad Guys und Informationsdefizit: vielleicht die Script Kiddies, die Black Hats haben Infos die ich gerne h�tte! Chris At 12:03 PM 11/14/2001 +0100, you wrote: >Also bei mir hinterl��t der Artikel einen seltsamen Eindruck. Der >erkl�rt lang und breit die Hintergr�nde und kommt dann ca in der Mitte >in einer pl�tzlichen 180 Grad Wendung zu dem Schluss > >"What we've learned during the past eight or so years is that full >disclosure helps much more than it hurts" > >Bloss was fehlt ist die genau die Begr�ndung daf�r - warum hat full >disclosure geholfen? Um den Herstellern in den Allerwertesten zu >treten? Daran �ndert ein strukturiertes Vorgehen der Security Experten >nicht. Im Gegenteil es kann nur den Druck erh�hen, wenn sich Fachleute >zu Wort melden. Die Ver�ffentlichung von Dummschwatz in ComputerBild >oder c't f�hrt - wenn �berhaupt zu was - nur zur publikumstr�chtiger >Schaumschl�gerei. Aber nicht zur effektiven L�sung real existierender >Probleme. > >Da genau die Kernfrage nicht beantwortet war, bin ich zur�ckgegangen. >Nach heftigen Schaun, was da alles pr�sentiert wird finde ich als >einziges Argument "And returning to bug secrecy would only bring back >vendor denial and inaction.". Eben, das ist der Kernpunkt der >Diskussion und in dem Artikel nicht beantwortet. > >Lese ich weiter finde ich ein sch�nes Argument "This free information >flow, of both description and proof-of-concept code, is also vital for >security research." > >Ja, das w�rde ich auch so sehen. Die Initiative ja nicht dazu gedacht >den free information flow FOR SECURITY RESEARCH zu unterbinden. Im >Gegenteil, alle "Security Macher" sollen ja sich ja A) gegenseitig >informieren und B) definierte Informationskan�le aufmachen. Aber das tun >sie bitte unter sich und informieren nicht die Script Kiddies. Free flow >of information gibt es f�r die nicht. Genausowenig wie es >uneingeschr�nkte Bewegungsfreiheit (und div. andere Dinge) f�r >Terroristen gibt. Dass dabei der eine oder andere Unschuldige als >potentieller Terrorist hingestellt wird, ist Teil des System, Teil der >menschlichen Unzul�nglichkeit. > >Im �brigen, es interessiert mich ja auch nicht, welche Bugs die SW >meiner Einspritzanlage hat. Wichtig w�re mir dass Bosch und Audi >miteinander reden und die Probleme fixen. Und dass sie den Tuner von >der Ecke in die Diskussion mit einbeziehen. Dass der Tuner sich halt mal >melden muss nach dem Motto "ich schraub auch an dem Teil rum" finde ich >nicht hinderlich. Im Gegenteil es f�rdert nur effektive Kommunikation. >Der Tuner, kann sich wom�glich herrlich �ber die "B�rokratie" erg�tzen. >Aber das legt sich wenn er einmal nach den Spielregeln gespielt hat. > > >Sp�ter dann geht es um die ungel�sten Probleme der Musikindustrie. Ja >die sollen bittesch�n mal schaun, das sie Ihre Probleme fixen. Darauf, >dass ich ein Lied legal laden, bezahlen und dann uneingeschr�nkt >verwenden kann warte ich schon Jahre. Sehe nicht wo sich die >Diskussionen �berschneiden - au�er vielleicht bei der unrealistischen >Forderung alle Software, alle Musik, alle Kunst muss frei sein und >niemand braucht Geld um sich Semmeln zu kaufen. > > >Was ich wenig behandelt sehe (au�er in der Beschreibung des Windows of >exposure) ist das Thema wie man die Tr�gheit der Leute �berwinden >k�nnte. Was ja einer der Hauptgr�nde ist, Sicherheitsinformation eine >Zeitlang nicht allgemein zu ver�ffentlichen. Die Leute haben nicht auf >Security Fixes reagiert, die haben sich nicht gro�artig auf Y2K >vorbereitet, die machen jetzt nicht viel zur Euro-Umstellung. Oder >sollten wir mal die Frage in dieser Liste stellen: wer hat ein >Shop-System und wer hat seinen Zeichensatz so umgestellt, so dass der >Euro auch angezeigt werden kann. Simpel, trivial, nix mit Security zu >tun. Aber das ist Realit�t und daran werden wir nichts �ndern k�nnen. > >Und dann sind wir wieder beim Anfang: wenn die Welt so ist wie sie ist, >dann bin ich eindeutig daf�r dass die bad guys einen Informationsdefizit >haben. > > > >-- > >Viele Gr��e >Hubert Daubmeier > > >-----Original Message----- >From: Christoph Wille [mailto:[EMAIL PROTECTED]] >Sent: Wednesday, November 14, 2001 8:33 AM >To: AspGerman Kaffeehaus >Subject: [aspdecoffeehouse] Full Disclosure Artikel von Bruce Schneier > > >http://www.zdnet.com/zdnn/stories/comment/0,5859,2824251,00.html > >Empfohlene Lekt�re. > >Chris > > >| [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed >| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv Sie >| k�nnen sich unter folgender URL an- und abmelden: >| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.as >| p > > >| [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed >| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv >| Sie k�nnen sich unter folgender URL an- und abmelden: >| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp // Christoph "Brains" Wille // MCSE, MCSD, MCP-IT, CNA // // E-Mail: [EMAIL PROTECTED] | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
