php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > IT-Security Forum > IT-Security
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


IT-Security Alles rund um IT-Security aus den Bereichen Hard- und Software

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 15-02-2007, 14:52
Marcusson
 Registrierter Benutzer
Links : Onlinestatus : Marcusson ist offline
Registriert seit: Jan 2006
Beiträge: 241
Marcusson ist zur Zeit noch ein unbeschriebenes Blatt
Standard übereifrige Sicherheitsfirma

Ich brauche einen kleinen Rat.

Vor einer Weile hat mich eine US-Sicherheitsfirma, die ihre Brötchen mit Meldungen über Sicherheitslücken verdient, angeschrieben wegen eines Eintrags im Changelog meines Frameworks.

Dabei ging es um eine eigentlich harmlose Sicherheitslücke in einer Demo-Anwendung. Es gab einen Anwender, der davon betroffen war und um diesen habe ich mich persönlich bemüht. Zwischen Entdeckung der Lücke und der Bereitstellung eines Patch vergingen nur 48h. Die Firma hat daraufhin einen ebenso harmlosen Report veröffentlicht, in dem sie den Fall als "nicht kritisch" bezeichnet. Angeschaut haben sie sich das Produkt aber nie.

Eigentlich dachte ich die Sache wäre damit erledigt. Nun passierte aber etwas, womit ich nicht gerechnet hatte: dieser Report wurde in etwa 10 verschiedene Sprachen übersetzt und von anderen Sicherheitsfirmen, Abonnenten und Mirrors kopiert. Alle diese Seiten haben den gleichen Inhalt und einen hohen Page-Rank, aber unterschiedliche Webadressen.

Das Ergebnis ist: sucht man jetzt nach dem Namen meines Projekt bei Google, findet man neuerdings etwa 20000 Treffer, welche aber alle zu diesem Sicherheitsreport führen und erst wenn man einige Seiten blättert, findet man einen einzigen Eintrag, der zur Projekt-Homepage führt.

Dadurch entsteht natürlich für jeden potentiellen Nutzer oder Kunden der Eindruck, es müsste sich um das unsicherste Stück Software des Planeten handeln.
Die Konsequenz daraus ist, dass ich wahrscheinlich das ganze Projekt einstampfen muss, wenn diese "Fakes" nicht rechtzeitig verschwinden, bevor der Name des Projekts durch diese Negativwerbung endgültig "verbrannt" ist.

Das ist umso dramatischer, als das Projekt eigentlich in Kürze auf einer großen Messe vorgestellt werden sollte und der Name bereits an Kunden weitergegeben wurde. Es besteht also auch die Gefahr der Rufschädigung und des Verlusts von Aufträgen.

Weiß irgendjemand einen Rat, was man tun kann?
Mit Zitat antworten
  #2 (permalink)  
Alt 15-02-2007, 15:05
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard Re: übereifrige Sicherheitsfirma

Zitat:
Original geschrieben von Marcusson
Ich brauche einen kleinen Rat.

Vor einer Weile hat mich eine US-Sicherheitsfirma, die ihre Brötchen mit Meldungen über Sicherheitslücken verdient, angeschrieben wegen eines Eintrags im Changelog meines Frameworks.

Dabei ging es um eine eigentlich harmlose Sicherheitslücke in einer Demo-Anwendung. Es gab einen Anwender, der davon betroffen war und um diesen habe ich mich persönlich bemüht. Zwischen Entdeckung der Lücke und der Bereitstellung eines Patch vergingen nur 48h. Die Firma hat daraufhin einen ebenso harmlosen Report veröffentlicht, in dem sie den Fall als "nicht kritisch" bezeichnet. Angeschaut haben sie sich das Produkt aber nie.

Eigentlich dachte ich die Sache wäre damit erledigt. Nun passierte aber etwas, womit ich nicht gerechnet hatte: dieser Report wurde in etwa 10 verschiedene Sprachen übersetzt und von anderen Sicherheitsfirmen, Abonnenten und Mirrors kopiert. Alle diese Seiten haben den gleichen Inhalt und einen hohen Page-Rank, aber unterschiedliche Webadressen.

Das Ergebnis ist: sucht man jetzt nach dem Namen meines Projekt bei Google, findet man neuerdings etwa 20000 Treffer, welche aber alle zu diesem Sicherheitsreport führen und erst wenn man einige Seiten blättert, findet man einen einzigen Eintrag, der zur Projekt-Homepage führt.

Dadurch entsteht natürlich für jeden potentiellen Nutzer oder Kunden der Eindruck, es müsste sich um das unsicherste Stück Software des Planeten handeln.
Die Konsequenz daraus ist, dass ich wahrscheinlich das ganze Projekt einstampfen muss, wenn diese "Fakes" nicht rechtzeitig verschwinden, bevor der Name des Projekts durch diese Negativwerbung endgültig "verbrannt" ist.

Das ist umso dramatischer, als das Projekt eigentlich in Kürze auf einer großen Messe vorgestellt werden sollte und der Name bereits an Kunden weitergegeben wurde. Es besteht also auch die Gefahr der Rufschädigung und des Verlusts von Aufträgen.

Weiß irgendjemand einen Rat, was man tun kann?
Verstehe ich das richtig?

- Du/Ihr habt Software produziert
- In einer Demostrationsversion dieser war eine Sicherheitslücke
- Auf diese wurdet ihr hingewiesen
- Diese Sicherheitslücke wurde öffentlich gemacht

Soweit alles richtig? Oder bin ich auf dem Holzweg?
Mit Zitat antworten
  #3 (permalink)  
Alt 15-02-2007, 15:10
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard Re: Re: übereifrige Sicherheitsfirma

OffTopic:
@unset: Wenn du schon andere Nutzer so gerne wegen formaler Mängel angehst - dann gewöhne dir selber doch bitte mal Fullquote-Postings ab.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #4 (permalink)  
Alt 15-02-2007, 15:15
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard Re: Re: Re: übereifrige Sicherheitsfirma

Zitat:
Original geschrieben von wahsaga
OffTopic:
@unset: Wenn du schon andere Nutzer so gerne wegen formaler Mängel angehst - dann gewöhne dir selber doch bitte mal Fullquote-Postings ab.
Benutz ich ehrlich gesagt nur, wenn ich der Meinung bin, der Autor könnte auf die Idee kommen, sein Posting noch einmal editieren. Warum? Weiß ich nicht, dass hab ich mir mit der zeit wohl so angewöhnt.

Und hab ich jetzt wieder böse zitiert
Mit Zitat antworten
  #5 (permalink)  
Alt 15-02-2007, 15:18
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard Re: übereifrige Sicherheitsfirma

Natürlich wenig angenehm für dich - aber in wie fern stellst du dir vor, etwas dagegen machen zu können?

"Rufschädigung" könnte man ja nur annehmen, wenn unwahre Tatsachenbehauptungen gemacht werden.
Wenn sich ein halbwegs vernünftiges Advisory aber auf die konkrete Version deiner Software bezieht, in der das Problem vorlag - dann sehe ich solche nicht gegeben.

Ist natürlich ein ziemlicher PR-GAU für dich - aber dagegen wird sich im Nachhinein kaum was unternehmen lassen.
Selbst mit rechtlicher Handhabe würdest du vermutlich Jahre brauchen, um das jetzt wieder von allen Stellen, wo es aufgegriffen wurde, entfernen zu lassen.
Und du könntest dabei auch noch auf Sturköpfe treffen, die den Namen dann erst recht in entsprechendem Licht publizieren, in Blogs etc. - "Anbieter X versucht uns bezüglich Bericht über Sicherheitslücke in seinem Produkt Y mundtot zu machen".


Da hilft jetzt vermutlich wirklich nur noch "brutalstmögliche Aufklärung" - potentielle Kunden gleich darauf hinweisen, Stellung beziehen, welches Problem vorlag, wie es entstehen konnte, und was dagegen unternommen wurde.


Wenn dir das nicht ausreichend oder erfolgversprechend genug erscheint - dann nimm Hilfe eines professionellen PR-Beraters in Anspruch.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #6 (permalink)  
Alt 15-02-2007, 15:30
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also wenn die Lücke wirklich bestand, wirst du diese Beiträge wohl kaum unterbinden können. Aber vielleicht erreichst du eine Richtigstellung, dass die Lücke in Version so und so gefixet wurde Würde ich mal probieren
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #7 (permalink)  
Alt 15-02-2007, 16:00
Marcusson
 Registrierter Benutzer
Links : Onlinestatus : Marcusson ist offline
Registriert seit: Jan 2006
Beiträge: 241
Marcusson ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also: die Sicherheitslücke bestand tatsächlich. Aber nicht im Programm selbst, sondern in einem Plugin, welches das Programm benutzt. Das Plugin dient der Demonstration des Frameworks. Die Lücke bestand darin, dass die Dokumentation eben dieses Plugins ein Feature beschrieb, welches der Final Release nicht (mehr) hatte. Dadurch hätte sich theoretisch ein Sicherheitsproblem ergeben können - was in der Praxis aber nicht passiert ist.

Schonungslos aufgeklärt habe ich bereits - nur dass eben dieser aufklärende Artikel bei Google gar nicht, oder nur sehr weit abgeschlagen auftaucht.

Mit dem Report an sich, oder seinem Inhalt habe ich kein Problem.

Mein Problem sind die unzähligen Kopien des Reports, die Google nicht als Kopien erkennt und die deshalb fast 10 Seiten der Trefferliste füllen.

Es ist ganz sicher schädlich wenn bei Eingabe des Projektnamens bei Google die ersten 30 Treffer den Titel "Foo Framework security bypass" tragen. Der Kunde weiß schließlich nicht, dass dies alles Kopien der gleichen Meldung sind.

#UPDATE

Habe zwei Dinge getan:
+ Google eine Mail geschrieben, wegen den Dubletten in den Suchergebnissen (ohne Ergebnis - war wohl auch nicht anders zu erwarten)
+ die Sicherheitsfirma gebeten den Eintrag zu korrigieren (haben sie aber nur teilweise getan und leider viel zu spät)

Scheint nicht so, als ob ich da noch viel mehr machen könnte

Geändert von Marcusson (17-02-2007 um 16:59 Uhr)
Mit Zitat antworten
  #8 (permalink)  
Alt 07-03-2007, 22:38
Lennie
 PHP Senior
Links : Onlinestatus : Lennie ist offline
Registriert seit: May 2006
Beiträge: 1.013
Lennie ist zur Zeit noch ein unbeschriebenes Blatt
Standard

wenn es nicht probleme mit den schon angekündigten namen und der mässe gäbe würde ich evtl. zu einer namensumänderung raten, oder um es einfach zu machen einen vokal im namen ändern. dies könnte vllt nicht so auffallen, aber bei richtig eingegebener suche schon einmal eine menge der fehlermeldungen verschwinden lassen.
Mit Zitat antworten
  #9 (permalink)  
Alt 07-03-2007, 23:15
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

OffTopic:
Did you mean: ...
Mit Zitat antworten
  #10 (permalink)  
Alt 08-03-2007, 00:43
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

oder benenne das Produkt um, mit der Begründung, dass es sich um den Namen eines RC handelte, wie damals MS mit der OS Chicago vor OS Windows 95 gemacht hat
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 08:14 Uhr.