Responsible Disclosure => Vertrauliche Hinweise zu Schwachstellen an den Hersteller

Nun stecke ich in einem Dilemma, welches wohl viele White-Hat-Hacker kennen. Ich habe von Schwachstellen in verschiedenen Softwareprodukten Kenntnis und die Hersteller meinen nur:

Diese Schwachstellen sollte es in [...] nicht geben. Mail an unsere QA weitergeleitet.

Wenn denn überhaupt eine Rückmeldung kommt…

Bei einer Lücke ist ein Script betroffen über das man alle (!) Dateien runterladen kann, anstatt nur die vorgesehenen PDFs – und dies hoch bis zum ROOT. Da in dem CMS (wie üblich) die Zugangsdaten zur Datenbank in einer Datei im Klartext stehen, hat man dadurch auch Zugriff auf diese und somit auf alle Userdaten.

Wenn aufgrund meiner Hinweise nichts unternommen wird um die Betroffenen zu informieren und entsprechende Updates anzubieten, so wäre dies nicht wirklich ungewöhnlich, wie man an dem (angeblichen) China-Google-Hack sieht. Microsoft hatte im September Hinweise zu der Lücke im Internet Explorer erhalten, aber erst vor ein paar Tagen ein Update angeboten. Hat man in Redmond geglaubt dass nur der der ihnen den Hinweis geliefert hat die Lücke kannte?

Die Lücken die ich noch auf Lager habe und für die sich die Hersteller bisher nicht interessieren, sind nicht so schwer zu finden, dass ich annehmen kann nur ich wäre im Besitz des Wissens darum.

Was mach ich nun? Warten bis die Hersteller sich bequemen zu handeln oder selber die betroffenen Seitenbetreiber kontaktieren oder einfach die Schwachstellen veröffentlichen?

Ich könnte mir auch einfach nur die bekanntesten/größten Seitenbetreiber raussuchen, sie über die Lücken informieren, mit dem Hinweis, der Hersteller hat auf meine Meldung nicht entsprechend reagiert. Wenn ein Betroffener dann mit einer Pressemitteilung droht – nach dem Motto: “Wir wechseln den Anbieter unseres Systems weil der bisherige Anbieter gemeldete Schwachstellen nicht behebt.” – dann ergibt sich ein gewisser Handlungsdruck, dem sich nur wenige entziehen können.


Noch ein paar Worte zu meinem “angeblich”: Woher weiß Google, und natürlich auch die US-Regierung, dass die chinesische Regierung hinter den Angriffen steckte?

War die Identifizierung der Angreifer so effektiv wie das Aussperren deutscher Youtube-Besucher?

Dieses Video enthält Content von [...] Es ist in deinem Land nicht mehr verfügbar.

(Stichwort: Proxy-Server)

Wenn mal wieder jemand versucht eine PHP-Shell in meinen Blog zu injizieren, so kommt der (angeblich) auch aus China. Hat die chinesische Regierung auch ein Interesse an meinem Geschreibsel und dem was sonst so auf dem Server liegt? Ganz bestimmt nicht!

Halb- und Unwissenheit für politische Zwecke zu missbrauchen, steckt wohl eher hinter dem China-Bashing.

Und – natürlich betreibt die chinesische Regierung Informationsbeschaffung auf diesem Wege, genauso wie alle anderen Regierungen dieser Welt auch.