Full Disclosure: Mailingliste zu Sicherheitsfragen geschlossen

Das Internet-Projekt Full Disclosure, eine der wichtigsten Diskussionsplattformen zum Thema Sicherheitslücken und Exploits, gibt es nicht mehr. Der Grund dafür ist laut Aussage eines Mitbegründers „das Bemühen eines Gleichgesinnten, die Früchte der 12jährigen Arbeit zu zerstören“.

In seiner Erklärung an die Mitglieder des Forums erläutert John Cartwright, dass er Full Disclosure schließt, da ein Mitglied der Security-Community ohne Angabe von Gründen darum gebeten hat, eine große Anzahl von Einträgen aus dem Archiv zu löschen. Cartwright nannte keinen Namen, unterstrich aber, dass er nicht vorhabe, aufgrund der Laune eines Einzelnen „an den Archiven herumzuschnippeln“.

Das Projekt Full Disclosure startete im Jahr 2002 als Alternative zu Bugtraq. Diese Mailingliste wurde von einem Moderator geleitet, was nicht jedem gefiel. Die neue Ressource sollte sich – so der Grundgedanke – durch mehr Freiheit in der Diskussion unterscheiden. Hier wurden häufig Informationen über Zero-Day-Schwachstellen und die Codes der entsprechenden Exploits veröffentlicht, besonders in der Gründungsphase des Forums. Vielen Software-Entwicklern passte die Veröffentlichung von Bugs in ihren Produkten auf den Seiten von Full Disclosure nicht, allerdings verfügten im Jahr 2002 die meisten Anbieter weder über etablierte Problemlösungsprozesse, noch über Richtlinien zur Berichterstattung über Programmfehler und zum Teil noch nicht einmal über E-Mail-Adressen zum Empfang derartiger Informationen. Die neue Ressource erwies sich also als eine wertvolle Quelle von Informationen über Sicherheitslücken in den unterschiedlichsten Programmen und Geräten, und mit der Zeit begannen viele Anbieter hier eigenen Warnmeldungen zu veröffentlichen.

Mit Trollen und Störenfrieden aller Art war Full Disclosure reich gesegnet und auch mit gerichtlichen Schritten wurde seitens der Softwareanbieter regelmäßig gedroht. Allerdings hätte Cartwright nach eigenen Worten nie gedacht, dass die Plattform aufgrund eines Konflikts mit einem Teilnehmer der Liste geschlossen werden müsse. „Nachdem ich eine Menge Zeit mit den Beschwerden ein und desselben Individuums vertan habe (dessen Namen ich nicht nennen werde), musste ich mir eingestehen, dass es mir reicht“, gibt der Gründer des Projekts zu. „Ich möchte diesen Kampf nicht weiter führen. Ein offenes Forum unter den Bedingungen des aktuellen rechtlichen Klimas zu betreiben wird immer schwieriger, besonders wenn es um das Thema Computersicherheit geht.“

Full Disclosure trat zu einer Zeit in Erscheinung, in der die meisten Anbieter sich nicht um Sicherheitsfragen oder Fehler scherten, die von Forschern in ihren Produkten gefunden wurden. Die Veröffentlichung aller Details eines Bugs mit Hilfe einer Mailingliste wurde zu einer von vielen Methoden, gegen diese Gleichgültigkeit anzugehen und die Entwickler dazu zu zwingen, den Fehler zu beseitigen. In unseren Tagen verfügt die Mehrheit der Anbieter über Richtlinien zur Lösung von Sicherheitsproblemen, sie stehen zudem in direktem Kontakt zu den Forschern und einige haben sogar ein Belohnungssystem für die Suche nach Bugs eingeführt, mit dem diese Mühe angemessen entlohnt wird. Ein Forscher kann zudem einen Link auf Twitter veröffentlichen oder einen Blogeintrag schreiben, und die Nachricht von einer Sicherheitslücke gelangt so schneller an die richtigen Ohren, als wenn sie in einer Mailingliste enthüllt wird.

“Die meisten meiner Bekannten haben die Mailings von Full Disclosure schon lange abbestellt“, kommentiert Chris Eng, Vize-Präsident Security Research bei Veracode. „Das Signal-Rausch-Verhältnis ist zu groß und die Mailinglisten selbst sind nicht mehr aktuell. Moderne Sicherheitsexperten informieren via Twitter oder Blogs über eine Sicherheitslücke – von den hunderten Fachkonferenzen ganz zu schweigen. Ich glaube, viele von uns erinnern sich mit Nostalgie an die frühen Jahre von Full Disclosure, doch das Ende der Mailingliste ist kein großer Verlust für die Branche und es schränkt auch nicht unsere Möglichkeiten ein, Informationen auszutauschen.“

UPDATE: Nicht einverstanden mit der Entscheidung Cartwrights, hat sich der Betreiber von Seclists.org und der Nmap-Listen, Gordon Lyon alias Fyodor, entschlossen, das von seinem Kollegen aufgegebene Projekt weiterzuführen und lädt die Teilnehmer von Full Disclosure ein, ihr Abonnement zu erneuern, wobei er verspricht, die rühmlichen Traditionen dieser Ressource zu bewahren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.