[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[infowar.de] CW: Sicherheitsunternehmen kündigt CERT-Kooperation auf
Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
http://www.computerwoche.de/index.cfm?pageid=3D254&artid=3D45413#
Sicherheitsunternehmen k=FCndigt CERT-Kooperation auf=20
31.01.2003 um 10:38 Uhr=20
M=DCNCHEN (COMPUTERWOCHE) - NGSS [1] (Next Generation Security Software), S=
pezialist f=FCr das Aufsp=FCren von Security-Lecks in IT-Produkten, will de=
m CERT [2] (Computer Emergency Response Team) seine Ermittlungsergenisse ni=
cht mehr melden. Der Streit schwelt bereits seit einiger Zeit, nun beschuld=
igt NGSS die von der US-Regierung finanzierte Organisation, Informationen v=
or der vereinbarten Frist an Dritte weitergegeben zu haben. Nach einem Abko=
mmen zwischen Sicherheitsanbietern und dem CERT sollen Informationen =FCber=
Lecks erst dann ver=F6ffentlicht werden, nachdem entsprechende Patches ver=
f=FCgbar sind. Es h=E4tten jedoch bereits mehrmals Vertreter von Beh=F6rden=
bei betroffenen Herstellern angerufen und sich nach Systemfehlern erkundig=
t, bevor diese offiziell publiziert wurden.=20
Dass das CERT so verf=E4hrt, geht aus der "Vulnerability Disclosure Policy =
[3]" hervor, die die Organisation auf ihrer Website ver=F6ffentlicht hat. N=
GSS-Mitbegr=FCnder Mark Litchfield r=E4umte nun ein, sich des Inhalts nicht=
bewusst gewesen zu sein: "Nicht jedermann liest jedes Wort auf einer Websi=
te". Er sei davon ausgegangen, das CERT nutze die Informationen als Grundla=
ge eigener interner Untersuchungen.=20
NGSS hat seit der Gr=FCndung vor zwei Jahren einige wichtige Sicherheitsl=
=FCcken aufgedeckt, unter anderem die SQL-Server-L=FCcke, durch die sich am=
vergangenen Wochenende der Wurm "Slammer" ausbreiten konnte (Computerwoche=
online berichtete [4]). Der Informationsverlust, der durch den R=FCckzug d=
es Unternehmens entsteht, werde sich sp=FCrbar bemerkbar machen, prophezeie=
n Analysten. Falls andere Sicherheitseinrichtungen dem Beispiel von NGSS fo=
lgen, k=F6nnte das CERT als zentrale Warninstanz bald unbedeutend werden, g=
laubt Chris Wysopal von @Stake [5]. (lex)=20
=20
Links in diesem Artikel:
[1] http://www.nextgenss.com/
[2] http://www.cert.org
[3] http://www.kb.cert.org/vuls/html/disclosure
[4] http://www.computerwoche.de/index.cfm?pageid=3D254&artid=3D45192
[5] http://www.atstake.com/
=20=
---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
de-request -!
- infopeace -
de mit "unsubscribe" im Text.