In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und melden. Von Philip Raillon.

In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.

  • Elvith Ma'for@feddit.org
    20·
    2 days ago

    Wie in einem anderen Post geschrieben wirkt das doch nur in zwei Richtungen, die beide fatal sind, wenn sich keiner trauen kann den Hersteller zu informieren. Und: nicht jede Lücke muss man bewusst suchen. Ich hab auch mal beim Scripten eine mögliche SQL-Injection gefunden, da ich versehentlich die falsche Variable in einen URL-Parameter gebaut hatte und die Anfrage zu einer sehr offensichtlichen Datenbankfehlermeldung geführt hat aufgrund des Parameterinhalts…

    1. Lücke finden, ignorieren, nicht melden und sich wundern wie viele diese wohl schon gefunden und ausgenutzt haben ohne es zu melden

    2. Anonyme Public Full Disclosure

    • Novocirab@feddit.org
      4·
      2 days ago

      Kenne mich nicht extrem gut aus, aber gibt es nicht noch folgende Möglichkeit:

      1. Lücke finden, anonym der Organisation melden und anonyme public full disclosure ankündigen, und erst zur dabei angekündigten Zeit tatächlich veröffentlichen?
      • Elvith Ma'for@feddit.org
        5·
        2 days ago

        Wenn du da das Wort „anonym“ streichst, ist es die klassische responsible disclosure - Hersteller informieren und veröffentlichung erst nach Absprache / Ablauf einer Deadline. Nur halt deiner Version anonym. Da ich bei einer Info an den Hersteller ja mit einer Anzeige (notfalls gegen unbekannt) rechnen muss, die ich evtl. Bei Full disclosure genauso bekomme, wäre die Frage, warum ich dann den Aufwand treiben sollte (und alleine herauszufinden, an wen/wie man Lücken an $Unternehmen meldet kam ganz schön Arbeit sein). Die Info an den Hersteller sollte ja eigentlich genau den Part übernehmen mit dem ich sagen kann „hey, ich mache nichts kriminelles, ich will nur helfen“.

        • Novocirab@feddit.org
          2·
          2 days ago

          Die Problematik der Anzeige gegen unbekannt ist ja bei “Anonyme Public Full Disclosure” auch gegeben. Einzig hinzu käme offenbar, dass man bei einer vorherigen anonymen Ankündigung trotz Vorsichtsmaßnahmen zusätzliche Anhaltspunkte zur Ermittlung der eigenen Identität liefern könnte.

          Als Grund für den zusätzlichen Aufwand der vorherigen anonymen Mitteilung an die Organisation käme u.a. Sorge um die Kunden/Bürger oder um Dritte infrage (zumal wenn man selbst dazu zählt). Ob es das wert oder nicht (und ob man die pflichtvergessene Organisation nicht sogar auflaufen lassen sollte), muss natürlich jeder selbst und anhand des konkreten Falls entscheiden.