hat proprietäre SW NSA-Backdoors?
Florian Weimer
fw at deneb.enyo.de
Di Dez 30 09:56:27 UTC 2014
* c. buhtz:
> Schönes aktuelles Beispiel ist dieser Artikel über eine Rede von
> Stallman. <http://heise.de/-2507190>
>
> Dort wird behauptet:
> "Die Redmonder klärten zudem zunächst die NSA über Sicherheitslücken
> auf, bevor sie diese abdichteten."
Er hat vermutlich etwas verwechselt.
Microsoft gibt Vorabinformationen an Bedarfsträger heraus:
Microsoft Active Protections Program
<http://technet.microsoft.com/en-us/security/dn467918.aspx>
Coordinated Vulnerability Disclosure
<http://technet.microsoft.com/en-us/security/dn467923.aspx>
Bei freier Software ist das auch nicht anders. Es gibt i.d.R. vor der
Veröffentlichung einen Austausch zwischen den Distributionen,
Upstreams und ggf. anderen Betroffenen, damit bei Veröffentlichung die
Nutzer tatsächlich in der Lage sind, Gegenmaßnahmen zu treffen (sei es
ein Software-Update oder eine Konfigurationsänderung). Bei freier
Software gibt es auch den Fall (vermutlich häufiger als bei
proprietärer Software), daß direkt Regierungsorganisationen oder deren
Mitarbeiter beteiligt sind.
Die letzten ntpd-Schwachstellen (in der ntp.org-Implementierung)
wurden zum Beispiel erst an CERT (ob US-CERT oder CMU SEI CERT/CC ist
nicht ganz klar) gemeldet und gar nicht vorab an betroffene
GNU/Linux-Distributionen.
Mehr Informationen über die Mailingliste FSFE-de