Web

 

Hacker klaut unveröffentlichte Security-Advisories vom CERT

20.03.2003

MÜNCHEN (COMPUTERWOCHE) - Ein Hacker mit dem Pseudonym "hack4life" hat unveröffentlichte Sicherheitswarnungen vom Server des CERT (Computer Emergency Response Team) gestohlen und in der öffentlich zugänglichen Security-Mailing-Liste Full-Disclosure publiziert. Die Warnungen über Sicherheitslücken in der Version 4 des Authentifizierungs-Protokolls Kerberos, in RSA-Private-Keys und in von Sun entwickelten Netzwerk-Bibliotheken, die in vielen Unix- und Linux-Distributionen integriert sind, sollten eigentlich nicht vor Juni 2003 an die Öffentlichkeit gelangen. Die Maßnahme sollte Herstellern Zeit geben, Bugfixes für betroffene Produkte zu entwickeln.

Die Sicherheitsprobleme waren von dem Unternehmen eEye Digital Security und von Forschern des MIT (Massachusetts Institute of Technology) entdeckt worden. Gemeinsam mit dem CERT hatten sich die Experten auf den Zeitplan für die Veröffentlichung entsprechender Advisories geeinigt. Diese Vorgehensweise stößt jedoch nicht auf uneingeschränkte Zustimmung. So lehnt es zum Beispiel Mark Litchfield von NGS Software ab, Informationen über Sicherheitslücken zurückzuhalten, da sich die Organisation ohnehin nur eingeschränkt daran halte. Diverse Behörden seien mehrfach vorab über Systemfehler informiert worden.

Laut Shawn Hernan, zuständig für die IT-Sicherheit beim CERT, ist noch nicht geklärt, wie der Hacker an die Advisories gelangte. Selbst wenn das Leck gefunden werde, sei es unwahrscheinlich herauszufinden, wer sich hinter hack4life verbirgt. (lex)