Responsible Disclosure und Full Disclosure Aug. 29, 2013

from Chaosradio· ·

Du kennst das bestimmt: Kaum vertippst Du Dich beim Anmelden in einem Onlinedienst, lösen die unerwarteten Sonderzeichen in der Datenbank des Anbieters Kaskaden hektischer Aktivität aus, und keine Minute später flimmern auf Deinem Display die Launchcodes für Interkontinentalraketen auf. Doch wie nun mit diesem Wissen umgehen, ohne Gefahr zu laufen, vom Sonderzeicheneinsatzkommando geweckt zu werden? Einfach im Blog veröffentlichen? Den Freunden zeigen? Hektisch die Festplatte verbrennen? Oder gar dem Betroffenen zum Verkauf anbieten? Oder seinem Konkurrenten? Aus den zarten Anfängen jugendlichen Herumforschens auf fremder Leute Rechner hat sich eine kleine Industrie geformt, die sich mit und ohne Auftrag der Softwareautoren …



Du kennst das bestimmt: Kaum vertippst Du Dich beim Anmelden in einem Onlinedienst, lösen die unerwarteten Sonderzeichen in der Datenbank des Anbieters Kaskaden hektischer Aktivität aus, und keine Minute später flimmern auf Deinem Display die Launchcodes für Interkontinentalraketen auf. Doch wie nun mit diesem Wissen umgehen, ohne Gefahr zu laufen, vom Sonderzeicheneinsatzkommando geweckt zu werden? Einfach im Blog veröffentlichen? Den Freunden zeigen? Hektisch die Festplatte verbrennen? Oder gar dem Betroffenen zum Verkauf anbieten? Oder seinem Konkurrenten? Aus den zarten Anfängen jugendlichen Herumforschens auf fremder Leute Rechner hat sich eine kleine Industrie geformt, die sich mit und ohne Auftrag der Softwareautoren und Administratoren auf die Suche nach Programmier- und Installationsfehlern macht. Aber auch im Bereich der Schlapphüte und Streitkräfte ist das Wissen um Verwundbarkeiten von zuweilen millionenfach installierter Software sehr begehrt. Wie gehen die Profis verantwortlich mit dem erworbenen Wissen um, wo Fehlfunktionen von Programmen zuweilen disaströse Auswirkungen haben? Was für die Einen eine sicherheitskritische Schwachstelle ist, ist für Andere ein Funktionserweiterer. Für Hersteller von Software mit Funktionserweiterern ist die öffentliche Zurschaustellung der Fehler eine kollaborative Qualitässicherung der eigenen Produkte, für die anderen eine mutwillige Schädigung der öffentlichen Reputation. Wer hat Recht? Im Studio diskutieren mit Euch ths und Andreas, im Chaosradio 193 am Donnerstag, den 29. August 2013 auf Radio Fritz.