Eine Universität sollte sich freuen, wenn Exploits ihrer Webseite von seriös arbeitenden Sicherheitsexperten gefunden werden statt von Blackhats, die sie unverzüglich für Angriffe nutzen. Insofern scheint es unsinnig, erstere zu verklagen. Die University of Southern California tuts trotzdem.

Vor einem Gericht in Los Angeles wird Securityexperte Eric McCarty angeklagt. Sein Vergehen: er fand eine Lücke in einer Webapplikation der University of Southern California, die das Auslesen persönlicher Daten von 280.000 Uniangehörigen erlaubte. Um die Verwundbarkeit zu beweisen, kopierte er sieben Datensätze und schickte sie anonym an das etablierte Security-Magazin Securityfocus.
Dort erschien anschließend ein Artikel - nachdem die Uni benachrichtigt wurde und jene den anfälligen Webdienst vorläufig abgestellt hatte. Der Bug wurde gefixt und an sich könnten alle Beteiligten nun zufrieden sein.
Wenn die Uni nicht die Spuren McCartys zurückverfolgt hätte. Dieser hatte sich keine Mühe gemacht, diese zu verwischen

weiterlesen

Marc Shake

Heute im Angebot: Gesunder Menschenverstand für Universitäten, Anwälte und auch Richter.

Was man McCarthy allerdings vorwerfen kann ist

Zitat:

er fand eine Lücke in einer Webapplikation der University of Southern California, die das Auslesen persönlicher Daten von 280.000 Uniangehörigen erlaubte. Um die Verwundbarkeit zu beweisen, kopierte er sieben Datensätze und schickte sie anonym an das etablierte Security-Magazin Securityfocus.

Ich hätte an seiner Stelle nicht anonym an ein Magazin geposted, sondern ganz offen den Admins mitgeteilt, wie das alles funktioniert und dann als Beweis direkt die Admins mit den Daten versorgt.

Dennoch - leicht überzogen ist das seitens der Uni schon.

Greg5000

Das normale Vorgehen wäre aber auch gewesen, dass er erstmal die Admins informiert. Wenn diese dann nicht reagieren, oder wenn sie die Lücke gestopft haben, kann er es ja an ein Magazin schicken. So finde ich das allerdings auch nicht richtig.

MSX

Dramatisch finde ich sein Vorgehen nicht, aber ein wenig hirnrissig ist es ja schon. Ich frage mich wirklich, warum er nicht direkt die Administration der Uni Server angeschrieben hat. Ob da nicht doch noch zusätzlich eine Zahlung einer Provision für solche Informationen an Securityfocus im Spiel war?

Man könnte noch mehr ins Detail gehen und über die Art und Vertraulichkeit der übermittelten Daten und der damit verbundenen, möglichen Schädigung der "Opfer" sprechen. Denn wenn hier jemand "Schaden" erlitten hat, dann allerhöchstens die Menschen, deren Daten ausgespäht und übermittelt wurden.

phlip2102

Anstatt das sie sich freuen, das er sie auf diesen extrem risikoreichen Fehler hingewiesen hat, verklagen sie ihn

USA USA USA USA USA USA USA USA USA USA

LOOOOOOOOOL

Hirk

Das zeigt dass es wiedermal nur um den Anschein geht und nicht um tatsächliche Sicherheit. Und genau diese Illusion hat der Mann mit Vorsatz zerstört. Selbstverständlich ziehen sie im jetzt die Hose über den Kopf.

Greg5000

Was hat das mit den USA zu tun? Das hätte genauso gut in Deutschland oder sonstwo sein können. Hast du eigentlich auch schonmal dran gedacht, dass jemand den Artikel vor den Admins liest, und die Lücke ausnutzen kann, bevor diese reagieren können?

luuLy

Dert artikel wird aber sicher erst veröffentlicht nachdem die lücke gestopft wurde....

Korrupt

Ich halte die Methode nicht fuer sonderlich ungewoehnlich, im Gegenteil. Er gibts an Experten, die koennen seine Ergebnisse nochmal nachpruefen. Er bleibt gegenueber den Betreibern der Systeme anonym, in die er eingebrochen ist. Securityfocus *ist* etabliert und serioes, ein Hinweis von denen duerfte ernster genommen werden als der irgend eines anonym bleiben wollenden Hackers, eine Veroeffentlichung oder Ausnutzung der gefundenen Luecken ist ausgeschlossen, dito die Weitergabe der Beweis-Datensaetze. Zu guter Letzt ist SF ein Presseorgan und kann entsprechend vermutlich Informantenschutz garantieren.

btw:

Zitat:

Dort erschien anschließend ein Artikel - nachdem die Uni benachrichtigt wurde und jene den anfälligen Webdienst vorläufig abgestellt hatte.

Liest hier eigentlich jemand mit?

Greg5000

Hö? Habe ich verplant. Dann ist die Anzeige natürlich ein Witz/eine Frechheit. Hatte das irgendwie falsch gelesen! Ich nehme alles zurück.

Ach, das machen die deutschen Behoerden doch auch..
Selbst bei noch viel weniger..

nmap OS-scan um rauszufinden, wer einen denn da zuprasselt mit portscans und dem Kerl anschliessend Bescheid geben zu koennen, dass sein Comp nich ganz richtig laeuft => Comp weg und nach 1.5 Jahren kaputt wieder zurueck => eingestellt.

Moechte nicht wissen, wie oft die hiesigen Spassvoegel sowas verzapfen.. Ehrlich nicht...

Zitat:

Wenn die Uni nicht die Spuren McCartys zurückverfolgt hätte. Dieser hatte sich keine Mühe gemacht, diese zu verwischen...

IMHO hat McCarthy trotzdem irgendwie falsch gehandelt. Wenn er nicht über irgendwelche Proxys gegangen ist, sondern offensichtlich einfach so in das System reinkam, hätte er direkter handeln müssen. Oder seh ich das falsch?

MeGaMan6100

Wie meinst du hätte er denn handeln müssen?!
Ich finde Eric McCarty hat richtig gehandelt! Ihm die Uni bestimmt weniger glauben geschenkt als solch einer Securityfirma!

Toady

Zitat:

Zitat von julianzur

Dert artikel wird aber sicher erst veröffentlicht nachdem die lücke gestopft wurde....

Nein, das ist ganz und gar nicht der gängige Weg.

Der allergrößte Teil der bekanntwerdenden Exploits wird zuerst auf seriösen Mailinglisten diskutiert (neben den von Securityfocus (zB Bugtraq) sollte hier mindestens noch Full-Disclosure genannt werden). Hier lesen die verantwortlichen Coder des betroffenen Produktes auch mit, das ist ein Grund, weshalb es diese Listen gibt. Das sind doch keine "Underground-BlackHat-Mailinglisten", und Securityfocus ist mitnichten ein reißerisches Magazin.
Dies dient, wie Korrupt schon völlig richtig sagte, schon alleine dazu, um seine Ergebnisse überprüfen zu lassen (das dort auch eine ganze Menge Müll abgekippt wird ist ne ganz andere Sache).

Bei reproduzierbaren Fehlern ist es zwar auch üblich, dass man dem Hersteller vor der Veröffentlichung Zeit gibt, aber das ist keineswegs grundsätzlich so, und das aus gutem Grund:
Man will mit der Veröffentlichung zum einen sicherstellen, dass man selbst richtig gearbeitet hat und sich sein Ergebnis bestätigen lassen, zum anderen aber auch um andere Admins zu warnen, denn wenn man selbst es entdeckt hat, dann gibt es wahrscheinlich auch andere, die das vielleicht schon vor einem entdeckt haben und diese Lücke ausnutzen.
Lässt man den Vendors nun noch wochenlang Zeit um Patches zu entwickeln kann diese Lücke weiterhin ausgenutzt werden, da andere Admins nichts von deren Existenz wissen, also ist es besser, diese zu informieren, damit sie notfalls die betroffenen Dienste abschalten, solange diese unsicher sind.

Ein schönes Beispiel dafür, dass die Vendors versuchen Zeit zu schinden, ist zB der als shatter attack bekannte Design-Bug in Windows.
Chris Paget hatte vor der Veröffentlichung auf Full-Disclosure Microsoft davon in Kenntnis gesetzt. Erst gab man sich informiert (jo, wissen wir, is net so schlimm), dann wollte man unbednigt noch Zeit haben und bat, den Veröffentlichungstermin zu verschieben. Gefixt ist es bis heute nicht; Microsoft hat bis dato lediglich einen SA herausgegeben, dass Hersteller von Produkten keine Fenster durch priveligierte Prozesse direkt öffnen lassen sollen.
Er hat den Schriftwechsel hier online gestellt.
Nur durch deren Veröffentlichung kann man sich vor soetwas überhaupt schützen, bzw, die eingesetzten Applikationen daraufhin prüfen.

BTW:
In dem Zusammenhang in jedem Fall interesant:
http://www.heise.de/security/news/meldung/print/62292

GFXman

Dann wieder jammern wenn ihr Server angegriffen wird.
Bei solchen dummen Aktionen "Superman" wegen seiner Hilfe zu verklagen (the Incredibles) dürfen die sich nicht wundern wenn man solche Exploits zum schlechten verwendet.

Kommt mir vor wie CISCO die verklagen ja auch alles und jeden der bei ihren Produkten schlimme Sicherheitslöcher aufspürt.

Anzeige

Anmelden

Weitere Tipps