Wie zuverlässig sind Security Advisories?
Sicherheitsmeldungen: Panikmache oder fundierte Warnung?
Nachrichten wie „Kritische Lücke in Produkt XY gefunden“ erscheinen täglich auf den einschlägigen Seiten oder in Mailinglisten. Von dort aus verbreiten sich die Meldungen weiter. Im Normalfall ist das durchaus positiv, schließlich sollen ja möglichst viele User gewarnt werden. Doch was ist, wenn sich in die ursprüngliche Nachricht ein Fehler eingeschlichen hat, der immer weitere Kreise zieht?
Stein des Anstoßes war diese Sicherheitsmeldung, in welcher der Sicherheitsanbieter Secunia vor einer Sicherheitslücke in einem Web-Shop-System warnt. Laut Secunia war es möglich, SQL-Befehle einzuschleusen, um das System zu manipulieren. „Stimmt nicht“, so der Kommentar des Shop-Herstellers rund ein halbes Jahr später. Diese Lücke habe es nicht gegeben.
Sucht man nun nach einer Bestätigung durch andere Anbieter, finden sich bei Google zahlreiche Seiten, die ebenfalls auf diese Lücke hinweisen. Sie taucht etwa bei F-Secure, Juniper oder der IBM X-Force auf – alles vermeintlich unabhängige Quellen.
- Secunia
Seucnia ist eine der führenden Seiten, wenn es um die Erforschung von IT-Schwachstellen geht. - milw0rm
milw0rm gilt als DIE Website rund um Exploits und Sicherheitsmeldungen. Es existieren zahlreiche Exploit-Baukästen, die neue Informaitonen direkt von milw0rm laden. - Bugtraq
Die ehemalige Mailing-Liste Bugtraq gehört mitterweile komplett zu Symantec und ist in SecurityFocus integriert. - National Vulnerability Database
Die NVD dient der zentralen Sammulung und der Verwaltung von Sicherheitsmeldungen. Zwar handelt es sich um eine nationale Datenbank der USA, dennoch gilt sie international als Anlaufstelle. - Common Vulnerabilities and Exposures
Das CVE-System zählt gemeldete Sicherheitslücken und identifiziert einzelne Lücken mit einmaligen IDs. - SANS
Das SANS Institut gilt als eine der zentralen Anlaufstellen, wenn es um Themen rund um Systemadministration, Auditing, Netzwerk und Sicherheit geht..... - SANS Internet Storm Center
... außerdem stellt das SANS das ISC zur verfügung, das über entdeckte Schwachstellen informiert. - Packet Storm
Die Seite von Packet Storm informiert über aktuelle Sicherheitslücken und neue Tools. - Juniper J-Security
Eine weitere Anlaufstelle für Sicherheitsnachrichten,betrieben von Juniper. - Metasploit
Metasploit ist ein Framework, das bekannte Lücken integrieren kann um vollautomatische Angriffspakete zu erstellen.
Vergleicht man nun aber die einzelnen Einträge, wird man stutzig. Denn der Wortlaut der Meldung ähnelt sich in vielen Fällen, teilweise ist er identisch. Ein Blick auf die Quellenangabe verrät: Es handelt sich größtenteils nicht um selbst recherchierte Sicherheitslücken, sondern man beruft sich auf die vermeintlichen Entdeckungen anderer Dienste. Vor allem Secunia wird häufig als Quelle genannt, manche Anbieter binden den kompletten Feed des Anbieters auf die eigene Seite ein.
Es sei allgemein üblich, dass auch große Sicherheitsseiten Informationen von anderen Diensten übernehmen – auch ohne diese selbst noch einmal zu prüfen, so Secunia-Sprecher Thomas Kristensen. Nur wenige Websites verfügen über einen festen Stab an Personal, der das Know-how hat, solche Sicherheitslücken selbst zu überprüfen, so Kristensen weiter.