Login
Newsletter
Werbung

Do, 22. Juli 2010, 15:05

Software::Security

Google über den Umgang mit Sicherheitslücken

Das Google-Sicherheitsteam hat sich für die »verantwortungsvolle« Veröffentlichung von Sicherheitslücken ausgesprochen und definiert, wie es selbst vorzugehen gedenkt.

Google Chrome

Mirko Lindner

Google Chrome

Von den Sicherheitsanalysten, die Probleme in Google-Software finden, fordert es den gleichen verantwortungsvollen Umgang mit den Informationen.

Zahlreiche Sicherheitsanalysten, aber auch normale Entwickler beschäftigen sich weltweit mit dem Aufdecken von Sicherheitslücken in Software. In der Regel werden diese Erkenntnisse auch veröffentlicht. Dabei haben sich hauptsächlich zwei Vorgehensweisen herausgebildet, die miteinander nicht vereinbar sind und deren Vor- und Nachteile Gegenstand zahlreicher Debatten waren. Meist wird bei der Veröffentlichung von Sicherheitslücken die »verantwortungsvolle« Methode angewandt, bei der ein Forscher zuerst den Hersteller der betroffenen Software informiert und ihm Zeit gibt, das Problem zu beheben. Erst wenn der Hersteller eine Korrektur publiziert hat, werden die Details der Sicherheitslücke veröffentlicht.

Die Alternative dazu ist die vollständige Offenlegung aller Details der Sicherheitslücke, was dem Hersteller keine Zeit gibt, sich des Problems vorab anzunehmen. Das kann angewandt werden, um den Hersteller zu zwingen, schnell zu reagieren. Manche Sicherheitsanalysten wenden diese Methode nur an, wenn eine Sicherheitslücke bereits aktiv ausgenutzt wird oder ein Hersteller keine Bereitschaft zeigt, das Problem zu korrigieren. Das Google-Team verweist auf einen Artikel von Bruce Schneier von 2001, der die Vor- und Nachteile der Vorgehensweisen abwägt.

Die »verantwortungsvolle« Veröffentlichung von Sicherheitslücken scheitert, wenn der Hersteller nicht auf die ihm gegebenen Hinweise reagiert. Laut dem Google-Team wird die Zahl der Hersteller, die Korrekturen für undefinierte Zeit, teils sogar Jahre, aufschieben, immer größer. In diesem Fall sieht es das Team als gerechtfertigt an, dem Hersteller eine Frist zu setzen und dann auf jeden Fall zu veröffentlichen. Das Team schlägt 60 Tage als angemessene Frist bei normalen Fehlern vor. Das scheint eine recht lange Zeit zu sein, aber die Hersteller benötigen diese Zeit, eine Korrektur zu entwickeln, zu testen und auf den Weg zu bringen. Diese Frist soll nur für kritische Probleme gelten, wobei »kritisch« anhand der Kriterien von Chromium und Mozilla definiert wird.

Die Sicherheitsexperten von Google suchen und finden nicht nur Probleme in Google-Code, sondern auch in vielen anderen Programmen. Google unterstützt es der Mitteilung zufolge, wenn die Experten den Herstellern angemessene Fristen setzen, nach Ablauf der Frist ihre Informationen publizieren oder, wenn es Hinweise gibt, dass auch Kriminelle die Lücke bereits kennen, knappere Fristen setzen. Google bittet im Gegenzug externe Sicherheitsanalysten, bei Problemen in Google-Software genauso zu verfahren.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung