Coordinated Vulnerability Disclosure

Microsoft nimmt Security-Forscher und CERT-Teams in die Verantwortung

27.07.2010 | Redakteur: Stephan Augsten

Empfehlen

PDF | Weiterempfehlen | Speichern | Drucken

Microsoft will gemeinsam mit Schwachstellen-Entdeckern und Sicherheitsforschern an einem Strang ziehen.

Microsoft will das bestehende „Responsible Disclosure“-Modell zur Behebung von Sicherheitslücken durch eine sogenannte Coordinated Vulnerability Disclosure ersetzen. Der Software- und Betriebssystem-Hersteller erhofft sich dadurch strukturiertere und schnellere Reaktionen auf Zero-Day-Schwachstellen.

Das neue Modell zur Schwachstellen-Beseitigung „Coordianted Vulnerability Disclosure“ (CVD) ähnelt stark der bestehenden „Responsible Disclosure“-Richtlinie von Microsoft. Es fordert Sicherheitsforscher dazu auf, ein Sicherheitsproblem entweder direkt dem Hersteller oder einem CERT (Computer Emergency Readiness/Response Team) zu melden.

Microsoft stellt sich die Coordinated Vulnerability Disclosure als dreistufiges Modell vor:

• Der erste Schritt „Keep it Private, Keep it Safe“ behandelt die Kommunkation des Problems: So müsse ein vertrauliche Reporting an den Hersteller in einem angemessen Zeitrahmen gewährleistet sein. Microsoft selbst verpflichtet sich zu zeitnahen Status-Updates.
• Im zweiten Schritt „Hurry Up and Wait“ soll laut Microsoft eine Balance zwischen schnellen und qualitativen Lösungen gefunden werden. Hier seien interne wie unabhängige Sicherheitsforscher gemeinsam gefragt. Sofern der Entdecker einer Schwachstelle an einem Angriffsszenario arbeite, müsse er dem Hersteller aber die Chance geben, die Sicherheitslücke zu untersuchen und mögliche Sicherheitsmaßnahmen zu testen.
• Der dritte Punkt „Coordinated Public Disclosure“ widmet sich der Anwender-Aufklärung über Sicherheitslücken. Dies geschehe laut Microsoft idealerweise gleichzeitig mit der Veröffentlichung eines Patches. Bei bestätigten In-the-Wild-Attacken müssen Anwender seitens Microsoft und der Schwachstellen-Finder hingegen umgehend über mögliche Workarounds aufgeklärt werden.

Microsoft will Proof-of-Concept-Code vermeiden

Nach Maßgabe des CVD verpflichten sich sowohl Hersteller als auch Security-Forscher letztlich dazu, eine Sicherheitsanfälligkeit innerhalb eines bestimmten Zeitrahmens zu schließen. In einem Blog-Eintrag verspricht Matt Thomlinson, Leiter der Microsoft-Division Security at Trustworthy Computing, dass der Software-Riese den Prozess so transparent wie möglich gestalten möchte.

„Das Responsibility-Prinzip ist immer noch unerlässlich“, schreibt Thomlinson im Microsoft Security Response Center. „Doch es handelt sich um eine geteilte Verantwortlichkeit über die Gemeinschaft der Sicherheitsforscher, IT-Security-Anbieter und anderen Software-Hersteller hinweg.“ Jedes Mitglied dieser Verteidigungstruppe trage dazu bei, die umfassende IT-Sicherheit in Computing-Umgebungen voranzutreiben.

Hierfür müssten Microsoft und andere Software-Hersteller die Verantwortung für eine klare Kommunikation mit den Sicherheitsforschern übernehmen, fordert Thomlinson. Im Gegenzug seien die Sicherheitsforscher dazu aufgefordert, im Rahmen ihrer Security Advisories möglichst wenig technische Details zur Schwachstelle zu nennen und auf die Bekanntgabe eines Proof-of-Concept-Angriffscodes zu verzichten.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046285)