Wenn zu viel nicht genug zu viel ist

Die Nachricht von dem neusten IE 0-day exploit machten ziemlich schnell die Runde. Leider schoss laut Ryan Naraine ein Experte von McAfee bei dem Versuch, die Qualität des Produkts seines Arbeitgebers in Bezug auf dieses neue Exploit herauszustreichen, weit übers Ziel hinaus und gab zu viele Information über die Sicherheitslücke preis – was einige unbeabsichtigte Konsequenzen nach sich zog.

Die Konsequenz bestand in der umgehenden Entwicklung eines PoC Metasploit Moduls für die Schwachstelle, was das ehemalige, nur in zielgerichteten Attacken eingesetzte Exploit in ein potentiell weit verbreitetes Problem für die Benutzer vom Internet Explorer 6 und 7 verwandelte.

Was genau wurde da preisgegeben? Ich war allein schon deswegen neugierig, weil auch ich mir regelmäßig die Frage stelle, welche Informationen ich veröffentlichen sollte und welche besser nicht. Wie sich herausstellte, wurde lediglich eine Liste von Dateinamen, die mit dem Exploit zu tun haben, veröffentlicht, sowie die von dem Exploit verbreiteten Schadprogramme und der Name der Domain, mit der die Schädlinge Verbindung auffnahmen.

Es scheint durchaus berechtigt, diese Informationen in einem Blogeintrag zu veröffentlichen, nicht wahr? Bestimmt findet jemand, der IDS-Signaturen schreibt, die von der Malware verwendete URL nützlich und andere Antiviren-Experten könnten Vorteile daraus ziehen, dass sie die mit der Attacke in Verbindung stehenden Dateien kennen.

Das führt zu der Frage, was genau denn eigentlich noch aufgedeckt werden kann, ohne die Sicherheit zu gefährden? Als technisch interessiertes Individuum löst es bei mir Frustrationen aus, wenn ein Autor alle wichtigen Informationen zur Identifizierung einer Bedrohung verschleiert. Der McAfee-Mitarbeiter war offensichtlich bemüht, Leute wie mich bei der Stange zu halten.

Mein Vorschlag für Analysten, die über Live-Bedrohungen berichten, ist denkbar einfach: Ist die Domain, die ungepatchte Exploits hostet, noch aktiv, sollten die URL bzw. die mit dem Exploit in Verbindung stehenden Dateien nicht gepostet werden. Google wird die Page mit Freude dutzendfach ausmachen.

Bedeutet das, dass Virenforscher keine Schlüsselinformationen über Live-Bedrohungen mit anderen teilen sollten? Natürlich nicht, denn das machen wir schließlich ständig. Allerdings nicht öffentlich, denn es gibt eine Menge sichere Methoden, andere an Einzelheiten über Live-Bedrohungen teilhaben zu lassen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.