Fragen? Antworten! Siehe auch: Alternativlos
Also haben Bug-Finder angefangen, der Öffentlichkeit zu erzählen, dass sie auf einem Bug sitzen, den sie für kritisch halten. Das interessiert normalerweise zu wenig Leute, um Firmen wie Apple zu motivieren.
Also gibt es das Konzept Full Disclosure. Man erzählt der Öffentlichkeit direkt von dem Bug, und zeigt auch genau, wo er ist. Dann haben es die Hersteller plötzlich immer sehr eilig und sind auch plötzlich überraschend in der Lage, innerhalb von Tagen einen Fix zu produzieren. Natürlich sind die Hersteller über sowas unglücklich und heulen rum. Das führt dazu, dass viele Securityfirmen ihren Mitarbeitern untersagen, ihre Bugs zu veröffentlichen, bevor es einen Fix vom Hersteller gibt, weil sie sonst womöglich weniger Aufträge kriegen. Meine persönliche Lösung ist, dass ich gar keine Bugs veröffentliche, weil ich gar nicht erst unbeauftragt nach Bugs suche. In Open Source Software, wenn ich einen Bug finde, file ich ihn, aber in Closed Source Software gucke ich gar nicht erst. Wenn was nicht geht, investiere ich keine Zeit in Debuggen, warum es nicht geht. Unter dem Strich verlieren also alle gegenüber Full Disclosure.
Nun, warum erzähle ich das alles? Weil man hier gerade hervorragend sehen kann, wie der nächste Schritt aussieht. Das ist ein Blog von Verizon, von deren Sparte, die Security verkauft. Das ist also kein Hersteller, sondern eine Security-Firma, sozusagen. Und die sind jetzt soweit, dass sie nicht nur Full Disclosure untersagen, sondern offen gegen Full Disclosure auftreten und sogar Hacker als Kriminelle und Bug-Veröffentlicher als "Narcissistic Vulnerability Pimp" beschimpfen.
Das ist so das schlechtestmögliche, was sie hätten sagen können. Es gibt auch für sie keinen Grund, das so zu sagen, denn wenn Leute Lücken veröffentlichen, hat Verizon mehr Punkte auf ihrer Liste, was sie bei einem Pentest beim Kunden alles checken können. Die einzige Motivation, so einen hanebüchenen Mist zu bloggen, ist, weil sie bis zum Anschlag im Rektum ihrer Auftraggeber versunken sind, und die Perspektive verloren haben. Man kann ihre Angst förmlich riechen, ihre Kunden zu verlieren. Nach Spaß am Gerät klingt das jedenfalls nicht für mich. Au weia. Da würde ich mir ja lieber einen neuen Beruf suchen, als mir öffentlich so eine Blöße zu geben.
Ein Detail noch: ich habe gehört, Verizon macht für die US-Regierung Aufträge, u.a. auch IT-Security bei Militärbasen. Die einzigen, die einen handfesten Vorteil davon haben, wenn Bugs nicht veröffentlicht und gefixt werden, sind Militärs.
Update: Weil ich darauf angesprochen wurde, ob man gefundene Lücken nicht auch unter Pseudonym oder anonym veröffentlichen kann. Klar, kann man. Ist auch eine gute Idee. Also, äh, für andere Leute. Nicht für mich. Iiiich würde sowas niemals tun!1!! *hust* *aufdieuhrguck* Oh guckt nur, wie spät es schon ist *weglauf*