Wenn Amazon Web Services, Rackspace und IBM innerhalb weniger Tage ihre Clouds oder zumindest einige der darin enthaltenen virtualisierten Server neu starten, wissen Sie, dass sich die Augenbrauen der globalen IT-Sicherheit heben werden.
Anfangs hob sich diese Augenbraue und bildete einen Punkt, der deutlich die Richtung der Bash / Shellshock-Enthüllungen anzeigte. Wir wissen jedoch jetzt, dass dies auf eine Sicherheitsanfälligkeit im Xen-Hypervisor zurückzuführen ist, die in der Cloud-Sphäre häufig verwendet wird.
Kunden erhielten schnell einen Patch auf einer “Predisclosure List”, die sie effektiv dazu verpflichtet, an einer Geheimhaltungsvereinbarung über die Art der Sicherheitsanfälligkeit teilzunehmen.
Die Sicherheitsanfälligkeit ‘XSA-108’, die dem Fehler seinen coolen und pfiffigen offiziellen Namen gab (Ironie-Alarm, Ironie-Alarm), wurde durch einen Fehler im Emulationscode verursacht, der beim Ausführen von HVM-Gästen auf x86-Prozessoren verwendet wurde.
Der Fehler ermöglicht es einem Angreifer mit erhöhten Gastbetriebssystemberechtigungen, den Host zum Absturz zu bringen oder bis zu drei KiB zufälligen Speichers zu lesen, der dem Gast möglicherweise nicht zugewiesen wurde. Dies geht aus dem offiziellen Hinweis hervor, der hinzufügte, dass der Speicher vertrauliche Informationen enthalten könnte, wenn dies der Fall ist einem anderen Gast oder dem Hypervisor zugewiesen. “
So weit, so meh. Ich meine, wen interessiert das wirklich? Es ist nur eine weitere Sicherheitslücke, die entdeckt und behoben wurde, was leider die ganze Zeit passiert. Es ist Teil des Lebenszyklus der Softwareentwicklung, und solange diese Fehler effizient und verantwortungsbewusst entdeckt und beseitigt werden, ist alles in Ordnung. Recht?
Nun, Sie würden es denken, aber hier ist die Sache: Verantwortungsvolle Offenlegung ist eine Hündin. Abgesehen von all den Dingen, die bei der Arbeit mit IT-Sicherheit richtig gemacht werden müssen, befindet sich die Offenlegung ganz oben auf einem sehr wackeligen Baum, der bei der kleinsten Böe schlechter Presse zu stürzen droht und den Ruf desjenigen zu zerstören, der darunter sitzt.
Im Fall des Xen-Hypervisor-Problems wurde ein Patch ziemlich schnell eingeführt, jedoch nur für diejenigen Kunden, die sich auf einer “Predisclosure-Liste” befinden. Dies erfordert effektiv, dass sie an einer Geheimhaltungsvereinbarung über die Art der Sicherheitsanfälligkeit teilnehmen.
Meiner Ansicht nach erfüllt dies sowohl die effizienten als auch die verantwortungsvollen Anforderungen der Offenlegung perfekt. Der Patch selbst wurde so schnell wie möglich entwickelt und verfügbar gemacht, und es wurden Schritte unternommen, um das Zeitfenster für das Öffnen von Gelegenheiten zu verringern, das es den bösen Jungs ermöglichen könnte, die Sicherheitsanfälligkeit auszunutzen, bevor dieser Patch angewendet wurde. Trotzdem höre ich Beschwerden, dass dies ein Fall privater Offenlegung war, und nur wenn die Öffentlichkeit mit 100-prozentiger Transparenz operiert, kann die Welt sicherer werden. Was für ein Quatsch!
Ich verstehe, dass es einige Bedenken gibt, dass IBM SoftLayer einige Tage länger als Amazon Web Services oder Rackspace gebraucht hat, um den Patch anzuwenden und neu zu starten. Dies, obwohl alle auf derselben Xen-Vorab-Offenlegungsliste stehen. Wenn die Sicherheitsanfälligkeit sofort öffentlich bekannt gegeben würde, hätten die Nutzer dieser Dienste eine ebenso sofortige Reaktion verlangen können. Noch einmal Hogwash!
Wenn ein Anbieter oder Lieferant die Benachrichtigung der Kunden über die Notwendigkeit eines Patches verzögert, ist dies keine gute Sache, und ich verteidige sie nicht. Ich verteidige Xen jedoch in diesem Fall, da ich denke, dass es verantwortungsbewusst gehandelt hat, indem die Sicherheitsanfälligkeit erst bekannt gegeben wurde, als ein Patch eingeführt und bereitgestellt wurde.
Ich bin ein großer Transparenz-Evangelist, aber es muss durch einige reale Bedingungen gemildert werden, die verhindern, dass die Bösen Schwachstellen ausnutzen können, bevor ein Patch bereitgestellt werden kann.
Das Xen-Sicherheitsantwortdokument hebt dies im Detail hervor, wenn es sich um eine Sicherheitsanfälligkeit handelt, die noch nicht öffentlich zugänglich ist. Oh, und fang nicht an, mich dafür zu beschimpfen, dass ich hier scheinheilig bin.
Regelmäßige Leser meiner Ergebnisse im gesamten Dennis-Stall wissen, dass ich eine verantwortungsvolle Offenlegung sehr befürworte, und haben sich dafür ausgesprochen, dass Zero-Day-Offenlegungsmodelle mehr als einmal angewendet werden.
Das Zero-Day-Offenlegungsargument gilt jedoch für Verstöße, bei denen Kunden unverzüglich informiert werden müssen, um weitere Folgeschäden zu vermeiden. Ich spreche hier speziell von der Offenlegung von Sicherheitslücken, und dies erfordert die Warnung vor Geschwindigkeit als einzige Messgröße für die Verantwortung.
Ausgewählte Ressourcen
Werden Sie ein digitaler Dienstleister
So transformieren Sie Ihr Unternehmen vom Netzwerkkern zum Edge
jetzt downloaden
Optimale Geschäftsergebnisse mit der Cloud
Bewertung der besten Ansätze für die Einführung hybrider Clouds
jetzt downloaden
Virtualisierung, die Entscheidungen ermöglicht, keine Kompromisse
Nutzen Sie die Virtualisierungstechnologie, die für Ihre Hybridinfrastruktur geeignet ist
jetzt downloaden
E-Mail-Sicherheitsbedrohungsbericht 2020
Vier wichtige Trends vom Speerfischen bis zum Diebstahl von Ausweisen
jetzt downloaden
