IT-Academy Logo
Sign Up Login Help
Home - Fortbildung­&Lektüre - Quergeschrieben - Die Philosophie des Full Disclosure



Die Philosophie des Full Disclosure

Dieser Artikel geht auf die Philosophie des Full Disclosure ein.


Autor: Peter Becker (Floyd)
Datum: 30-12-2003, 00:25:02
Referenzen: Anti-Hacker Buch
Schwierigkeit: Fortgeschrittene
Ansichten: 6780x
Rating: 8 (2x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Die Philosophie des Full Disclosure

Wenn im Wald ein Baum zu Boden fällt, gibt es ein Geräusch, obwohl niemand in der Nähe ist, der es hören könnte. Wenn aber ein Computernetzwerk eine Sicherheitslücke hat und niemand darüber informiert ist, ist das Netzwerk dann unsicher? Im ersten Fall würden sich vielleicht noch einige philosophische Hardliner dazu hinreißen lassen, Gegenargumente zu finde, aber im zweiten Fall kann man nicht so sicher sein.

Ein Netzwerk mit einer Sicherheitslücke ist für alle unsicher, die von der Sicherheitslücke wissen. Wenn niemand diese Sicherheitslücke kennt - wenn es sich dabei um eine bisher unentdeckte Sicherheitslücke handelt - ist das Netzwerk sicher. Wenn nur eine Person die Schwachstelle kennt, ist das Netzwerk für diese Person unsicher, aber für alle anderen sicher. Wenn der Hersteller der Netzwerkgeräte die Schwachstelle kennt... Wenn Sicherheitsexperten die Schwachstelle kennen... Wenn der Hacker-Untergrund die Schwachstelle kennt... Mit der zunehmenden Verbreitung von Informationen über eine Schwachstelle steigt auch die Gefahr für das Netzwerk.

Oder auch nicht. Die Schwachstelle existiert unabhängig davon, ob sie jemand kennt oder nicht. Die Veröffentlichung einer Schwachstelle macht das Netzwerk unsicher. Wenn Sie das meinen, bringt Sie das Wissen über eine Sache mit der Sache an sich durcheinander. Die Veröffentlichung beeinflusst zwar die Wahrscheinlichkeit eines Angriffes, hat aber keinen Einfluss auf die Schwere der Schwachstelle. Die Veröffentlichung einer Schwachstelle führt außerdem dazu, dass man sich gegen diese verteidigen kann. Ein Angreifer kann eine Schwachstelle nicht ausnutzen, wenn er sie nicht kennt: Genauso wenig kann sich ein Verteidiger gegen eine Angriffstechnik schützen, die er nicht kennt.

Wenn es also der Sicherheit dient Schwachstellen zu verheimlichen, ist der dadurch entstehende Schutz sehr zerbrechlich. Wenn man versucht, Schwachstellen geheim zu halten, funktioniert das nur solange sie geheim bleiben – aber in unserer Informationsgesellschaft ist alles auf die Verbreitung von Informationen ausgerichtet. Manche Menschen verraten Geheimnisse aus Versehen, andere wiederum verbreiten sie absichtlich. Manchmal lasssen sich Geheimnisse aus anderen Informationen herleiten. Sicher ist nur eines – ist ein Geheimnis erst mal bekannt geworden, kann es nie wieder geheim gehalten werden.

Eine Sicherheit, die auf der Veröffentlichung von Schwachstellen basiert, ist robuster. So erfahren die Angreifer zwar von der Sicherheitslücke, aber sie hätten so oder so davon erfahren. Je mehr Menschen über eine Sicherheitslücke informiert sind, um so besser stehen die Chancen, dass eine Lösung gefunden wird. Wenn man sich konform zu natürlichen Fluss der Informationen verhält, statt sich dagegen zu stemmen , kann dies im Sinne der Sicherheit sein.

Diese Philosophie ist die Basis der >>Full Disclosure<<-Lobby. Es wird im Bezug auf Schwachstellen eine offene Informationspolitik vertreten, was im Laufe der letzten Jahre zu einer Verbesserung der Internet-Sicherheit geführt hat. Softwarehersteller, die mit Forschungsergebnissen und Angriffscodes konfrontiert werden, können nicht mehr ohne Weiteres die Existenz von Schwachstellen in ihren Lösungen verleugnen. Das Internet ist zwar immer noch furchtbar unsicher, aber es wäre noch viel schlimmer, wenn alle Sicherheitsprobleme vor der Öffentlichkeit verborgen blieben.


Die Full Disclosure Gemeinschaft

Das Vorwort der Full Disclosure Mailing-List

"Anders als BugTraq dient diese Liste keinem, ausgenommen den eingetragenen Mitgliedern selbst. Wir glauben nicht an Sicherheit durch Unklarheit und wir wissen, volle Informationsfreigabe ist der einzige Weg sicher zu gehen, dass jeder, nicht nur die Eingeweihten, Zugang zu den Informationen haben, die wir zum Überleben brauchen.

Wir versuchen diese Liste ohne Mäßigung laufen zu lassen, weil wir glauen, dass Mäßigung eine Behinderung der Kommunikation ist."

http://lists.netsys.com/mailman/listinfo/full-disclosure

Die Mitglieder einer Full Disclosure Gemeinschaft

Im Regelfall sind die Mitglieder einer solchen Gemeinschaft freie Internet-Benutzer die sich zu einer Non-Profit Community zusammengeschlossen haben. Ihnen allen ist eines gemein, sie wollen allen Informationen über Sicherheitslücken zur Verfügung stellen um somit die Unternehmen zu "zwingen" diese zu schließen. Nach der Auffassung der Full Disclosure Gemeinde ist ein System nur dann sicher wenn alle Sicherheitslücken bekannt und gefixt wurden. Somit ist in den Augen dieser eingeschworenen Gemeinschaft jedes System unsicher da, entweder Sicherheitslücken bekannt sind oder Sicherheitslücken nur noch nicht entdeckt wurden.

Selber Mitglied werden

Um selber aktiv zu werden und etwas für die Sicherheit aller zu tun muss man nur folgendes tun: man meldet sich unter lists.netsys.com an und kann dann per E-Mail direkt neue Post erstellen.

Besuchen Sie doch auch mal die Full Disclosure Homepage.


Floyd
Senior Member
Beitrag vom:
30-12-2003, 14:08:07

Die Philosophie des Full Disclosure

Dann hoffe ich mal auf positive Berwertungen :)

-----------------------------------------------------
Tipp- und Rechtschreibfehler sind absichtlich eingebaut und dienen der Belustigung des Lesers! http://blog.freakfabrik.net


picard
Professonial
Beitrag vom:
30-12-2003, 13:47:44

yep

so ist es schon viel besser ;-)

-----------------------------------------------------
"...denn wir arbeiten nicht nur um uns selbst zu verbessern, sondern auch den Rest der Menschheit!"


Floyd
Senior Member
Beitrag vom:
30-12-2003, 09:55:31

Die Philosophie des Full Disclosure

hab ein paar Informationen an den Artikel angehangen!

-----------------------------------------------------
Tipp- und Rechtschreibfehler sind absichtlich eingebaut und dienen der Belustigung des Lesers! http://blog.freakfabrik.net


picard
Professonial
Beitrag vom:
30-12-2003, 01:21:21

hmm, ein paar weitere Infos über diese Lobby wären sicher interessant (wer, was, wann, wie etc.)

-----------------------------------------------------
"...denn wir arbeiten nicht nur um uns selbst zu verbessern, sondern auch den Rest der Menschheit!"


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06246
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1154
Comments: 0