übereifrige Sicherheitsfirma

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • übereifrige Sicherheitsfirma

    Ich brauche einen kleinen Rat.

    Vor einer Weile hat mich eine US-Sicherheitsfirma, die ihre Brötchen mit Meldungen über Sicherheitslücken verdient, angeschrieben wegen eines Eintrags im Changelog meines Frameworks.

    Dabei ging es um eine eigentlich harmlose Sicherheitslücke in einer Demo-Anwendung. Es gab einen Anwender, der davon betroffen war und um diesen habe ich mich persönlich bemüht. Zwischen Entdeckung der Lücke und der Bereitstellung eines Patch vergingen nur 48h. Die Firma hat daraufhin einen ebenso harmlosen Report veröffentlicht, in dem sie den Fall als "nicht kritisch" bezeichnet. Angeschaut haben sie sich das Produkt aber nie.

    Eigentlich dachte ich die Sache wäre damit erledigt. Nun passierte aber etwas, womit ich nicht gerechnet hatte: dieser Report wurde in etwa 10 verschiedene Sprachen übersetzt und von anderen Sicherheitsfirmen, Abonnenten und Mirrors kopiert. Alle diese Seiten haben den gleichen Inhalt und einen hohen Page-Rank, aber unterschiedliche Webadressen.

    Das Ergebnis ist: sucht man jetzt nach dem Namen meines Projekt bei Google, findet man neuerdings etwa 20000 Treffer, welche aber alle zu diesem Sicherheitsreport führen und erst wenn man einige Seiten blättert, findet man einen einzigen Eintrag, der zur Projekt-Homepage führt.

    Dadurch entsteht natürlich für jeden potentiellen Nutzer oder Kunden der Eindruck, es müsste sich um das unsicherste Stück Software des Planeten handeln.
    Die Konsequenz daraus ist, dass ich wahrscheinlich das ganze Projekt einstampfen muss, wenn diese "Fakes" nicht rechtzeitig verschwinden, bevor der Name des Projekts durch diese Negativwerbung endgültig "verbrannt" ist.

    Das ist umso dramatischer, als das Projekt eigentlich in Kürze auf einer großen Messe vorgestellt werden sollte und der Name bereits an Kunden weitergegeben wurde. Es besteht also auch die Gefahr der Rufschädigung und des Verlusts von Aufträgen.

    Weiß irgendjemand einen Rat, was man tun kann?

  • #2
    Re: übereifrige Sicherheitsfirma

    Original geschrieben von Marcusson
    Ich brauche einen kleinen Rat.

    Vor einer Weile hat mich eine US-Sicherheitsfirma, die ihre Brötchen mit Meldungen über Sicherheitslücken verdient, angeschrieben wegen eines Eintrags im Changelog meines Frameworks.

    Dabei ging es um eine eigentlich harmlose Sicherheitslücke in einer Demo-Anwendung. Es gab einen Anwender, der davon betroffen war und um diesen habe ich mich persönlich bemüht. Zwischen Entdeckung der Lücke und der Bereitstellung eines Patch vergingen nur 48h. Die Firma hat daraufhin einen ebenso harmlosen Report veröffentlicht, in dem sie den Fall als "nicht kritisch" bezeichnet. Angeschaut haben sie sich das Produkt aber nie.

    Eigentlich dachte ich die Sache wäre damit erledigt. Nun passierte aber etwas, womit ich nicht gerechnet hatte: dieser Report wurde in etwa 10 verschiedene Sprachen übersetzt und von anderen Sicherheitsfirmen, Abonnenten und Mirrors kopiert. Alle diese Seiten haben den gleichen Inhalt und einen hohen Page-Rank, aber unterschiedliche Webadressen.

    Das Ergebnis ist: sucht man jetzt nach dem Namen meines Projekt bei Google, findet man neuerdings etwa 20000 Treffer, welche aber alle zu diesem Sicherheitsreport führen und erst wenn man einige Seiten blättert, findet man einen einzigen Eintrag, der zur Projekt-Homepage führt.

    Dadurch entsteht natürlich für jeden potentiellen Nutzer oder Kunden der Eindruck, es müsste sich um das unsicherste Stück Software des Planeten handeln.
    Die Konsequenz daraus ist, dass ich wahrscheinlich das ganze Projekt einstampfen muss, wenn diese "Fakes" nicht rechtzeitig verschwinden, bevor der Name des Projekts durch diese Negativwerbung endgültig "verbrannt" ist.

    Das ist umso dramatischer, als das Projekt eigentlich in Kürze auf einer großen Messe vorgestellt werden sollte und der Name bereits an Kunden weitergegeben wurde. Es besteht also auch die Gefahr der Rufschädigung und des Verlusts von Aufträgen.

    Weiß irgendjemand einen Rat, was man tun kann?
    Verstehe ich das richtig?

    - Du/Ihr habt Software produziert
    - In einer Demostrationsversion dieser war eine Sicherheitslücke
    - Auf diese wurdet ihr hingewiesen
    - Diese Sicherheitslücke wurde öffentlich gemacht

    Soweit alles richtig? Oder bin ich auf dem Holzweg?
    [FONT="Helvetica"]twitter.com/unset[/FONT]

    Shitstorm Podcast – Wöchentliches Auskotzen

    Kommentar


    • #3
      Re: Re: übereifrige Sicherheitsfirma

      OffTopic:
      @unset: Wenn du schon andere Nutzer so gerne wegen formaler Mängel angehst - dann gewöhne dir selber doch bitte mal Fullquote-Postings ab.
      I don't believe in rebirth. Actually, I never did in my whole lives.

      Kommentar


      • #4
        Re: Re: Re: übereifrige Sicherheitsfirma

        Original geschrieben von wahsaga
        OffTopic:
        @unset: Wenn du schon andere Nutzer so gerne wegen formaler Mängel angehst - dann gewöhne dir selber doch bitte mal Fullquote-Postings ab.
        Benutz ich ehrlich gesagt nur, wenn ich der Meinung bin, der Autor könnte auf die Idee kommen, sein Posting noch einmal editieren. Warum? Weiß ich nicht, dass hab ich mir mit der zeit wohl so angewöhnt.

        Und hab ich jetzt wieder böse zitiert
        [FONT="Helvetica"]twitter.com/unset[/FONT]

        Shitstorm Podcast – Wöchentliches Auskotzen

        Kommentar


        • #5
          Re: übereifrige Sicherheitsfirma

          Natürlich wenig angenehm für dich - aber in wie fern stellst du dir vor, etwas dagegen machen zu können?

          "Rufschädigung" könnte man ja nur annehmen, wenn unwahre Tatsachenbehauptungen gemacht werden.
          Wenn sich ein halbwegs vernünftiges Advisory aber auf die konkrete Version deiner Software bezieht, in der das Problem vorlag - dann sehe ich solche nicht gegeben.

          Ist natürlich ein ziemlicher PR-GAU für dich - aber dagegen wird sich im Nachhinein kaum was unternehmen lassen.
          Selbst mit rechtlicher Handhabe würdest du vermutlich Jahre brauchen, um das jetzt wieder von allen Stellen, wo es aufgegriffen wurde, entfernen zu lassen.
          Und du könntest dabei auch noch auf Sturköpfe treffen, die den Namen dann erst recht in entsprechendem Licht publizieren, in Blogs etc. - "Anbieter X versucht uns bezüglich Bericht über Sicherheitslücke in seinem Produkt Y mundtot zu machen".


          Da hilft jetzt vermutlich wirklich nur noch "brutalstmögliche Aufklärung" - potentielle Kunden gleich darauf hinweisen, Stellung beziehen, welches Problem vorlag, wie es entstehen konnte, und was dagegen unternommen wurde.


          Wenn dir das nicht ausreichend oder erfolgversprechend genug erscheint - dann nimm Hilfe eines professionellen PR-Beraters in Anspruch.
          I don't believe in rebirth. Actually, I never did in my whole lives.

          Kommentar


          • #6
            Also wenn die Lücke wirklich bestand, wirst du diese Beiträge wohl kaum unterbinden können. Aber vielleicht erreichst du eine Richtigstellung, dass die Lücke in Version so und so gefixet wurde Würde ich mal probieren
            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

            Kommentar


            • #7
              Also: die Sicherheitslücke bestand tatsächlich. Aber nicht im Programm selbst, sondern in einem Plugin, welches das Programm benutzt. Das Plugin dient der Demonstration des Frameworks. Die Lücke bestand darin, dass die Dokumentation eben dieses Plugins ein Feature beschrieb, welches der Final Release nicht (mehr) hatte. Dadurch hätte sich theoretisch ein Sicherheitsproblem ergeben können - was in der Praxis aber nicht passiert ist.

              Schonungslos aufgeklärt habe ich bereits - nur dass eben dieser aufklärende Artikel bei Google gar nicht, oder nur sehr weit abgeschlagen auftaucht.

              Mit dem Report an sich, oder seinem Inhalt habe ich kein Problem.

              Mein Problem sind die unzähligen Kopien des Reports, die Google nicht als Kopien erkennt und die deshalb fast 10 Seiten der Trefferliste füllen.

              Es ist ganz sicher schädlich wenn bei Eingabe des Projektnamens bei Google die ersten 30 Treffer den Titel "Foo Framework security bypass" tragen. Der Kunde weiß schließlich nicht, dass dies alles Kopien der gleichen Meldung sind.

              #UPDATE

              Habe zwei Dinge getan:
              + Google eine Mail geschrieben, wegen den Dubletten in den Suchergebnissen (ohne Ergebnis - war wohl auch nicht anders zu erwarten)
              + die Sicherheitsfirma gebeten den Eintrag zu korrigieren (haben sie aber nur teilweise getan und leider viel zu spät)

              Scheint nicht so, als ob ich da noch viel mehr machen könnte
              Zuletzt geändert von Marcusson; 17.02.2007, 15:59.

              Kommentar


              • #8
                wenn es nicht probleme mit den schon angekündigten namen und der mässe gäbe würde ich evtl. zu einer namensumänderung raten, oder um es einfach zu machen einen vokal im namen ändern. dies könnte vllt nicht so auffallen, aber bei richtig eingegebener suche schon einmal eine menge der fehlermeldungen verschwinden lassen.
                Webdesign und Webentwicklung - Plunix.de

                Kommentar


                • #9
                  OffTopic:
                  Did you mean: ...
                  [FONT="Helvetica"]twitter.com/unset[/FONT]

                  Shitstorm Podcast – Wöchentliches Auskotzen

                  Kommentar


                  • #10
                    oder benenne das Produkt um, mit der Begründung, dass es sich um den Namen eines RC handelte, wie damals MS mit der OS Chicago vor OS Windows 95 gemacht hat

                    Kommentar

                    Lädt...
                    X