Gewissensfrage oder ethischer Grundsatz
Irgendwann muss sich jeder verantwortungsbewusste Autor, der sich mit dem Thema „Sicherheit“ und insbesondere „IT-Sicherheit“ beschäftigt die Frage stellen: wie weit dürfen die Berichte gehen?
Themen dieses Berichts (was Sie erwartet):
Allgemein
Full Disclosure --> Full Disclosure Befürworter / Full Disclosure Gegner
Der Weg von securITy-dome.eu
Allgemein:
Diese Frage stellt sich mir nun auch, da ich in Kürze eine sehr umfangreiche Programmsammlung zum Thema „IT-Sicherheit“ veröffentlichen werde.
Um es ganz deutlich zu betonen, keinem Verfechter der jeweiligen Meinungsgruppe ist etwas vorzuwerfen! Es gibt für beide Ansichten gute Gründe – die endgültige Entscheidung ist eher persönlicher Natur.
Es gibt dabei zwei Meinungen zu dem Thema „Full Disclosure“.
Full Disclosure:
Full Disclosure bezeichnet die öffentliche und detaillierte Darstellung von Angriffswerkzeugen und Angriffsmethoden.
Full Disclosure Befürworter:
Die Befürworter argumentieren absolut nachvollziehbar, dass eine möglichst umfangreiche Sicherheit nur erfüllt werden kann, wenn man sich auch mit den Angriffstechniken beschäftigt.
Frei nach dem Motto „Kenne Deinen Feind“. Natürlich ist dazu auch das Wissen über die entsprechenden Werkzeuge und Hilfsmittel nötig.
Eine reine passive Sicherheitsstrategie, die nur auf entsprechende Sicherungsmassnahmen beruht ist nur die halbe Miete. Um Spuren von Angriffen aufspüren zu können, müssen die Methoden und möglichen Spuren und Beweise bekannt sein oder erkannt werden. Dies gelingt nur mit dem praktischen Wissen über die Methoden und Werkzeuge.
Auch sind für ein aussagekräftiges Auditing solche Methoden und Werkzeuge wichtig, um Sicherheitslücken zu finden und zu schliessen, bevor es die Angreifer tun.
Full Disclosure Gegner:
Die Gegner argumentieren ebenfalls absolut nachvollziehbar, dass es schon genügend Angriffe und auch Nachahmer gäbe. Diese sollten mit konzentriertem Wissen nicht noch in ihrer Arbeit unterstützt werden. Ebenfalls ist der „Neugier-Effekt“ nicht von der Hand zu weisen, wenn jemand liest:
„Nehme das Tool, klicke hier und da – und Ziel erreicht.“
Man sollte legale Auditing-Methoden über gesicherte Medien austauschen.
Der Weg von securITy-dome.eu:
Ich habe sehr viel darüber nachgedacht und mich mit meinen engsten Vertrauten und Kollegen ausgesprochen. Deshalb hier unsere gemeinsam und gleichberechtigt getroffene Entscheidung:
Wir werden nicht den Weg „Full Disclosure“ gehen
Wir werden keine Angriffsmethoden erläutern
Wir werden keine Werkzeuge vorstellen, welche aufgrund ihrer Hardware- und/oder Softwarevorraussetzungen für Angriffe oder Einbrüche genutzt werden können
Wir werden keine Werkzeuge benennen, welche von Malware-Scannern als „Risk-Tools“ also riskante Werkzeuge erkannt werden
Wir werden nicht auf Seiten verlinken, die Angriffswerkzeuge anbieten
Wir haben Verständnis für beide Seiten, aber jeder muss sich irgendwann für einen Weg entscheiden, denn dieser Grat ist zu schmal für einen Spagat und man läuft Gefahr in die Unglaubwürdigkeit abzurutschen.
Ich hoffe Sie akzeptieren unsere Meinung und bleiben uns auch weiterhin treu!
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> www.security-dome.eu/forum
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 20.02.07
Letzte Aktualisierung: 20.02.07