16722

Microsoft verweigert Lücken-Entdecker die Ehrung

18.02.2008 | 15:24 Uhr |

In der Regel dankt Microsoft Entdeckern von Sicherheitslücken, indem sie namentlich genannt werden. Zum Patch-Day im Februar hat Microsoft eine Sicherheitslücke in Office 2003 geschlossen. Dem Entdecker der Sicherheitslücke wurde aber ausdrücklich nicht gedankt. Sein Pseudonym war der Grund dafür.

Besagter Entdecker der Sicherheitslücke erhielt eine Mail von iDefense, in der er darüber unterrichtet wurde, dass ihm Microsoft nicht gedankt habe. Als Grund wurde angegeben, dass mit dem Pseudonym des Sicherheitsexperten etwas nicht in Ordnung sei. "Was ist nicht in Ordnung mit 'chujwamwdupe'", fragt im Gegenzug der Hacker öffentlich . Des Rätsels Lösung: Wer die polnische Sprache beherrscht, weiß, dass das Pseudonym eine sexuelle Handlung beschreibt und damit einen obszönen Hintergrund hat.

Eine Sprecherin von Microsoft bestätigte, dass man den Sicherheitshinweis des Hackers erhalten habe. Ein Mitglied von Microsoft Sicherheits-Team habe die Nachricht allerdings markiert, als ihm das Pseudonym des Hackers auffiel. Letztendlich habe man sich dazu entschlossen, dem Finder der Lücke nicht namentlich zu danken, weil dessen Name in einigen Sprachen für obszön gehalten werden könnte, so die Sprecherin. Stattdessen habe man bei der betreffenden Lücke VeriSign iDefence VCP (Vulnerability Contributor Program) gedankt, die die Lücke im Auftrag des Hackers bei Microsoft gemeldet hatten. Das betreffende VeriSign-Programm bezahlt Hacker für die Darlegung von Informationen bezüglich Sichrheitslücken.

Für Sicherheitsexperten ist es in der Regel eine Ehre, wenn ihnen seitens des Herstellers für ihren Fund gedankt wird und ein Ansporn, auch künftig schnell zu melden, wenn sie auf etwas stoßen. Außerdem dient es in Sicherheitskreisen ihrer Reputation. Es ist seitens der Hersteller gang und gäbe, dass den Entdeckern namentlich gedankt wird.

Die Sicherheitsexperten und Hacker nutzen meistens ihren realen Namen, um Sicherheitslücken zu melden. Aber auch die Verwendung von Pseudonymen ist nicht untypisch.

Laut Angaben von Matthew Richard, Director des Rapid Respons Team bei iDefense, würden die Pseudonyme in der Regel keine Probleme darstellen. "'Chujawamwdupe' ist einer der wenigen, die ich gesehen habe, die Probleme machen", so Richard.

Bei TippingPoint von 3Com, das ebenfalls Hacker für ihre Entdeckungen bezahlt, kam einmal ein ähnlicher Fall vor. Das Problem wurde so gelöst, dass dem Hacker, der ein zweideutiges Pseudonym nutzte, mitgeteilt wurde: "Wir schätzten deine Originalität, aber wir sind Profis hier."

Es gibt aber auch technische Gründe, wieso Microsoft und auch andere Hersteller in einem Sicherheitsbulletin kein Pseudonym nennen können, das einen obszönen Hintergrund hat: Das entsprechende Bulletin könnte durch eine Spam- oder Internet-Filter-Software geblockt werden und es wäre damit nicht sicherzustellen, dass die Anwender das betreffende Bulletin erhalten und über eine Sicherheitslücke informiert werden.

0 Kommentare zu diesem Artikel
16722