Streit um Bugs: Warnen oder Warten?

EnterpriseSicherheit

Litchfield will Code auch weiterhin publik machen

Knapp zwei Wochen nach der weltweiten Attacke des Computerwurms SQL-Slammer geht die Diskussion über den richtigen Umgang mit Informationen über Sicherheitslücken unvermindert weiter. David Litchfield, der eigentliche Urheber des ‘Exploit Code’ hat sein Vorgehen jetzt in einem ausführlichen Beitrag für die Newsgroup Bugtraq gerechtfertigt.

Obwohl man mit solchen Veröffentlichungen den Missbrauch durch Hacker heraufbeschwöre, sei es immer noch sinnvoller, die Administratoren aller Systeme weltweit über die verwundbaren Stellen ihrer Server aufzuklären, so sein Fazit. Sicher könnten Sicherheitsexperten wie sein Arbeitgeber NGS-Software ihre Erkenntnisse über Sicherheitslücken verschweigen in der Hoffnung, dass während der gesamten Lebensdauer einer Software die potenzielle Gefahr niemand sonst erkennen werde, der sie ausnutzen könnte. Darauf wolle er aber nicht hoffen, so Litchfield.

Er hatte schon im vergangenen Sommer den möglichen Buffer Overflow im Resolution-Dienst von Microsofts SQL-Server entdeckt und als Beleg einen Code geschrieben, mit dem sich der Bug demonstrieren lässt. Diesen Code hatte Litchfield dann im August auf der Black-Hat-Konferenz in Las Vegas vorgestellt. Der Slammer-Wurm ist eine Abwandlung dieses Codes.

Litchfield betonte, dass die Urheber von Slammer sich sehr gut mit Exploits von Buffer Overflows ausgekannt haben müssen. “Ohne meinen Code hätten sie sich vielleicht 20 Minuten Arbeit gespart, aber geschafft hätten sie es trotzdem.” Microsoft hatte bald nach Bekannt werden der Sicherheitslücke einen Patch bereitgestellt.

Slammer hatte auch deshalb die SQL-Server weltweit so schnell überrollt, weil offenbar die wenigsten überhaupt gepatcht waren. Um aber Entwicklern und IT-Verantwortlichen die Gefahren wirksam vor Augen zu führen, sei ein Demonstrationscode unverzichtbar, so Litchfield. “Nur durch die Fehler anderer kann man lernen.” Wenn die Gefahr aber eine abstrakte Warnung bleibe, dann würden sich die wenigsten überhaupt damit befassen, so Litchfield.