154108

Vortrag auf Sicherheitskonferenz abgesagt

20.04.2009 | 16:16 Uhr |

Eine groß angekündigte Präsentation von Sicherheitsforschern auf der Sicherheitskonferenz Black Hat ist kurzfristig gestrichen worden. Der betroffene Hersteller hat es nicht geschafft die Schwachstellen rechtzeitig zu beseitigen.

Im Vorfeld der Sicherheitskonferenz Black Hat Europe 2009, die in der letzten Woche in Amsterdam stattgefunden hat, wurde eine Präsentation angekündigt , die gravierende Folgen für die Sicherheit des Internets haben sollte. Kurz vor dem anberaumten Termin ist der Vortrag der Sicherheitsforscher jedoch abgesagt worden. Offenbar hat ein Hersteller betroffener Produkte kalte Füße bekommen und darum gebeten die entdeckten Schwachstellen noch nicht öffentlich bekannt zu machen.

Welches Thema der abgesagte Vortrag haben sollte, ist ebenso wenig bekannt wie der Name des betroffen Herstellers. Diesen Namen zu nennen könnte nach Angabe von Jeff Moss, Geschäftsführer des Veranstalters Black Hat , bereits genügen, um Hacker auf die Spur zu bringen. Sie würden wohl gleich anfangen nach Schwachstellen zu suchen und womöglich fündig werden.

Der Hersteller habe den Forschern zugesagt, er könne möglicherweise innerhalb eines Monats einen Patch bereit stellen - es könne aber auch bis zu vier Monaten dauern. Offenbar sei es doch schwieriger als zunächst angenommen, die Sicherheitslücken in den Griff zu bekommen, so Moss weiter. Er hoffe, die Bereitstellung eines Updates durch den Hersteller und die Veröffentlichung der Details durch die Forscher könnten zu gegebener Zeit koordiniert erfolgen.

Sicherheitsforscher, die ihre Erkenntnisse auf der Black Hat und anderen Konferenzen präsentieren, sind gehalten einem Codex zu folgen, der "responsible disclosure" (verantwortungsvolle Offenlegung) verlangt. Dazu gehört, dass Sicherheitsforscher vor einer Veröffentlichung betroffene Hersteller informieren und ihnen Gelegenheit geben entdeckte Schwachstellen zu beseitigen.

Bereits im Jahr 2005 musste ein geplanter Vortrag auf der Black Hat Konferenz in Las Vegas abgesagt werden, weil der betroffene Hersteller heftig opponiert hatte. Michael Lynn, damals noch bei Internet Security Systems (ISS, heute eine IBM-Tochter) beschäftigt, wollte demonstrieren, wie man Cisco-Router hacken kann. Sowohl Cisco als auch ISS gingen juristisch gegen den geplanten Vortrag, den Vortragenden sowie gegen den Veranstalter vor. Beim aktuellen Fall soll es keinen juristischen Druck auf die Forscher gegeben haben.

0 Kommentare zu diesem Artikel
154108