Die RFPolicy beschreibt eine Methode, Hersteller auf gefundene Sicherheitslücken in ihrer Software aufmerksam zu machen. Sie wurde ursprünglich von dem Hacker und IT-Sicherheitsberater Rain Forest Puppy geschrieben.[1]

Das Verfahren gibt dem Hersteller fünf Werktage Zeit, um auf den Fehler zu reagieren. Wenn der Hersteller in dieser Zeit den Meldenden nicht kontaktiert, sollte der Sachverhalt veröffentlicht werden. Der Meldende sollte dem Hersteller beim Reproduzieren des Fehlers helfen und einen Bugfix bereitstellen. Gibt der Hersteller triftige Gründe an, warum das Problem nicht behoben werden konnte, sollte die Veröffentlichung verzögert werden.

Bei dem Schließen der Sicherheitslücke sollte der Hersteller die Meldung oder den Bugfix angemessen erwähnen.

Die gezielte Ausnutzung einer gefundenen Sicherheitslücke für kriminelle Zwecke nennt man Exploit. Solange noch kein Bugfix oder Gegenmittel existiert ist es ein Zero-Day-Exploit.

Sogenannte White-Hat-Hacker wenden die RFPolicy (oder vergleichbares) an, da sie Computersicherheit verbessern wollen. Dagegen planen Black-Hat-Hacker nach dem Fund einer Sicherheitslücke einen möglichst effektiven Exploit.

Gründe gegen die RFPolicy

Bearbeiten

Gegen die Meldung einer Sicherheitslücke gemäß der RFPolicy sprechen zum einen die subjektiven Beweggründe einzelner Hacker. Dazu gehören zum Beispiel das Streben nach Aufmerksamkeit, Erpressung, Spionage, Sabotage, Machbarkeits-Nachweise (Proof of Concept) oder der gewinnbringende Verkauf des Wissen über das Exploit.

Zum anderen gibt es politische Gründe von Seiten staatlicher Einrichtungen. Geheimdienste verwenden Exploits für Aufklärung oder auch Sabotage (siehe Cyberkrieg).[2]

Staatliche Geheimdienste verwenden die Kenntnisse über Sicherheitslücken gezielt für ihre Arbeit und melden sie in der Regel nicht den Herstellern. Es gilt mittlerweile als gesichert, dass Geheimdienste der USA in Zusammenarbeit mit israelischen Agenten Stuxnet entwickelt haben, eine Kombination aus Wurm und Rootkit. Das Programm nutzt auf direktem und indirektem Weg unzählige Sicherheitslücken verschiedenster Systeme aus.

2017 wurde vom Ransomware-Wurm WannaCry ein Bug in Windows-Betriebssystemen ausgenutzt. Dieser war einem amerikanischen Geheimdienst seit Jahren bekannt, aber vermutlich zur eigenen Nutzung geheim gehalten. Wegen eines Informationslecks wurden Details dazu schließlich bekannt, und Microsoft wurde doch noch in Kenntnis gesetzt. Die Sicherheitsupdates konnten sich aber nicht mehr schnell genug etablieren, WannyCry infizierte dennoch geschätzte 230.000 Rechner. In der Folge warf Microsofts Präsident und Rechtsvorstand Brad Smith der NSA und der CIA vor, dass sie sich des Schadens für Zivilpersonen bewusst werden müssen, den Geheimdienste durch das Ansammeln und Ausnutzen solcher Software-Sicherheitsprobleme anrichten[3]. "Wir haben gesehen, dass von der CIA gespeicherte Sicherheitslücken in WikiLeaks angezeigt werden. Und jetzt hat diese von der NSA gestohlene Sicherheitslücke unsere Kunden auf der ganzen Welt geschädigt." ("We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world.")[4]

Einzelnachweise

Bearbeiten
  1. Three Minutes with Rain Forest Puppy (Memento des Originals vom 5. Januar 2012 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.pcworld.com - PC World, 29 Sep 2001
  2. Wanna Cry: Microsoft macht Regierungen Vorwürfe. In: sueddeutsche.de. 15. Mai 2017, abgerufen am 28. Januar 2024.
  3. Alyssa Newcomb: Microsoft Comes out Swinging at NSA Over WannaCry Hack Attack. In: nbcnews.com. 15. Mai 2017, abgerufen am 2. März 2024 (englisch).
  4. Bill Chappell: WannaCry Ransomware: Microsoft Calls Out NSA For 'Stockpiling' Vulnerabilities : The Two-Way : NPR. In: npr.org. 15. Mai 2017, abgerufen am 29. Februar 2024 (englisch).
Bearbeiten