Skip to content

Full Disclosure - Eine Mailingliste verschwindet

Die Mailingliste Full Disclosure wurde auf unbestimmte Zeit ("indefinitely") eingestellt. Und das (Original-)Archiv wurde auch gleich aus den Netz genommen. Das ist beidese sehr bedauerlich.

Die Ursache: Ein IT-"Sicherheitsforscher", vermutlich aus dem 18. Jahrhundert

John Cartwright, einer der beiden Gründer und jetzige Administrator der Liste, begründet die Einstellung mit den Forderungen eines "Sicherheitsforschers" nach Löschungen von Artikeln aus dem Archiv:

"[...] However, I always assumed that the turning point would be a sweeping request for large-scale deletion of information that some vendor or other had taken exception to.

I never imagined that request might come from a researcher within the 'community' itself (and I use that word loosely in modern times). But today, having spent a fair amount of time dealing with complaints from a particular individual (who shall remain nameless) I realised that I'm done. The list has had its fair share of trolling, flooding, furry porn, fake exploits and DoS attacks over the years, but none of those things really affected the integrity of the list itself. However, taking a virtual hatchet to the list archives on the whim of an individual just doesn't feel right. That 'one of our own' would undermine the efforts of the last 12 years is really the straw that broke the camel's back.

[...]"

Ich gehe mal davon aus, dass da jemand seine eigenen Mails löschen lassen wollte. Da stellt sich natürlich zuerst die Frage, wieso er die überhaupt veröffentlicht hat. Und falls es fremde Mails sind, stellt sich erst mal die Frage nach der Berechtigung der Forderung.

Auf jeden Fall scheint es mit dem aktuellen Wissenstands dieses "Sicherheitsforschers" nicht weit her zu sein. Das Original-Archiv von Full-Disclosure war aus meiner Sicht noch nie als Link-Ziel brauchbar, da sich durch Löschungen die Einträge verschoben und Links plötzlich auf ganz andere Artikel verwiesen. Und das nicht nur, wenn der verlinkte Artikel gelöscht wurde, sondern auch, wenn ein davor veröffentlichter Text verschwand. Denn dann rutschte der Rest auf.

Aber es gibt ja mehr als ein Archiv, ein weiteres gibt es zum Beispiel auf seclists.org, und das ist bei weitem nicht das einzige. Und da wurden die Löschungen natürlich nicht durchgeführt, jedenfalls ist mir das dort nie aufgefallen. Dieser "Sicherheitsforscher", der da versucht, Informationen aus dem Internet zu löschen, hat wohl noch nicht begriffen, dass er sich damit zum Don Quichot macht. Oder zur Barbara Streisand, falls John Cartwright seine Forderungen erfüllt hätte. Leider hat er das nicht getan, sonst hätte ein einfacher Vergleich des Original-Archivs mit einem anderen Archiv schnell ans Licht gebracht, wer da versucht, am Rad der Geschichte zu drehen. Oder an einem anderen. Oder so.

Alternativen sind Mangelware

Mit Full Disclosure geht ein wichtiges Informations- und Kommunikationsmedium verloren. Schwachstellen kann man notfalls auch in Blogs veröffentlichen und auf Twitter ankündigen, eine Diskussion über die Folgen der Schwachstellen ist dort aber nicht möglich. Außerdem verschwindet mit Full Disclosure auch eine zentrale Informationsquelle über veröffentlichte Schwachstellen, Exploits und Updates.

Die Mailingliste Bugtraq ist nur ein schwacher Ersatz. Allein schon, weil die Liste moderiert ist. Full Disclosure wurde als Alternative von Bugtraq gegründet. Außerdem gehört Securityfocus, der Betreiber von Bugtraq, zu Symantec, die gewisse eigenen Interessen verfolgen dürften.

Und Exploit-Archive wie die Exploit DB oder das Archiv von Packet Storm sammeln zwar die Exploits, lassen aber naturbedingt keine Diskussion zu. Und da die Exploit zumindest zum Teil auch aus den Mailinglisten stammen dürfte es dort jetzt etwas weniger Nachschub geben.

Das Konzept "Full Disclosure" ist tot?

Einige Leute werden jetzt frohlocken - ohne die Mailingliste Full Disclosure gibt es ja vielleicht auch weniger veröffentlichte Schwachstellen. Das mag sein, es wäre aber gar nicht gut. Schwachstellen entstehen während der Programmierung. Sie warten nur darauf, dass sie entdeckt werden. Verantwortungsvolle Entdecker melden die Schwachstellen an die betreffenden Entwickler und veröffentlichen sie, wenn die Entwickler nicht angemessen reagieren. Oder sie veröffentlichen sie gleich, damit die Öffentlichkeit informiert ist und Gegenmaßnahmen ergreifen kann.

Unverantwortliche Entdecker verkaufen die Schwachstellen auf dem Schwarzmarkt oder nutzen sie selbst aus. 2013 gab es 21 0-Day-Exploits, dieses Jahr sind es auch schon vier. Jedem dieser Exploits liegen eine oder auch mehrere nicht an die Entwickler gemeldete Schwachstellen zu Grunde. Keine dieser Schwachstellen wurde im Rahmen einer "Full Disclosure" irgendwo veröffentlicht und danach von Cyberkriminellen oder "staatlich gesponserten Angreifern" ausgenutzt. Für die sind veröffentlichte Schwachstellen nämlich relativ wertlos, die Entwickler sind ja darüber informiert und werden sich beeilen, einen Patch zu veröffentlichen.

Viel interessanter sind geheim gehaltene Schwachstellen. Oder solche, die die Angreifer für geheim halten - es gab ja schon mehrmals Fälle, dass durch 0-Day-Exploits ausgenutzte Schwachstellen den Entwicklern bereits von Dritten gemeldet wurden, so dass ein Patch bereits in Arbeit war. Was wäre gewesen, wenn die Angreifer gewusst hätten, dass diese Schwachstellen bereits bekannt sind und ein Patch in Arbeit ist? Wären sie dann vielleicht gar nicht ausgenutzt worden? Das kann niemand mit Sicherheit sagen, die Vermutung liegt aber doch recht nahe, oder? Immerhin ist abzusehen, dass ein Workaround und/oder Patch die Ausnutzung der Schwachstelle in Kürze verhindern werden. Wer 0-Day-Exploits nutzt setzt aber gerade darauf, dass es keinen Schutz vor seinen Angriffen gibt.

Ein gutes Beispiel für Full Disclosure

Ich behaupte nicht, dass es nach einer Full-Disclosure-Veröffentlichung einer ungepatchten Schwachstelle nie zu Angriffen auf diese Schwachstellen kommt. Solche Angriffe gab es bereits, aber sie sind selten. Spontan fällt mir nur die 2010 von Tavis Ormandy veröffentlichte Schwachstelle in Windows XP und Server 2003 ein, die den Start beliebiger Programme erlaubt. Die wurde vor dem Patchen ausgenutzt, Tavis Ormandy hatte aber Grund, anzunehmen, dass das auch schon vor seiner Veröffentlichung der Fall war, weshalb er sie unter anderem veröffentlicht hatte.

Ein weiter Grund war, dass Microsoft sich nicht in der Lage sah, einen Patch innerhalb von 60 Tagen zuzusagen. Und dadurch ist diese Schwachstelle auch ein schönes Beispiel für ein gutes Argument pro Full Disclosure: Nachdem die Schwachstelle veröffentlicht wurde, schaffte Microsoft es sogar in 38 Tagen. Es geht also, wenn man will. Oder es genug Druck von außen gibt. Ohne diesen Druck werden viele Schwachstelle spät oder vielleicht auch gar nicht geschlossen - die Patchentwicklung kostet Geld, und warum sollte man das nicht sparen, solange niemand die Schwachstelle kennt?

Und um noch einmal zu Mailingliste Full Disclosure zurück zu kommen: Tavis Ormandy veröffentlichte die Schwachstelle dort, und diese Veröffentlichung zog auch eine Diskussion nach sich. Veröffentlichen könnte er sie auch auf einen Blog, oder über eines der Exploit-Archive, oder wo auch immer. Aber diskutieren? Das wird in Zukunft schwierig.

Ich hoffe, John Cartwright überlegt sich seine Entscheidung noch einmal und macht doch weiter. Denn ohne Full Disclosure wird uns etwas fehlen.

Nachtrag 26.3.2014:
"Fyodor" (Gordon Lyon), Entwickler des Sicherheitsscanners Nmap und und Betreiber von Seclists.org hat eine Nachfolgeliste eröffnet, die im Grunde den gleichen Regeln wie die "alte" Full Disclosure folgt. Fyodor hat bereits Erfahrung mit rechtlichen Drohungen und Löschaufforderungen - normalerweise ignoriert er sie (" I'm already quite familiar with handling legal threats and removal demands (usually by ignoring them) since I run Seclists.org, ..."). Hier geht es zur neuen Liste.
Ende des Nachtrags vom 26.3.2014.

Carsten Eilers

Trackbacks

Keine Trackbacks