US-Regierung ermutigt Hacker
Der IT-Sicherheitsberater der Bush-Regierung hat auf der Black-Hat-Konferenz in ungewöhnlicher Art und Weise Stellung zum Problem von Sicherheitslücken in Software bezogen.
Demnach sollen "Hacker und IT-Sicherheitsspezialisten" möglichst viel "hacken", um Lücken aufzuspüren. Anschließend sollen sie den Unternehmen die Chance geben, die Probleme zu lösen und erst dann ihre Erkenntisse publizieren.
Die Aussagen sind insofern erstaunlich, als dass der Berater Richard A. Clarke, der bisher eher durch Panik-Mache und den Ruf nach drakonischen Strafen für "Hacker" aufgefallen ist, hier die Position vieler unabhängiger Sicherheitsspezialisten einnimmt.
Black-Hat-KonferenzKehrtwende
Clarke war unter Clinton für Terrorismusbekämpfung zuständig und soll für die Admistration Bush nun allfällige "Cyberspace-Attacken" bekämpfen.
Clarke hat sich seit Jahren weniger mit Warnungen vor realen Attentaten als vielmehr vor fremden "information warfare units" und einem "digitalen Pearl Harbor" hervorgetan.
Um ein solches zu verhindern, sagte Clarke im vergangenen Dezember, müsse die IT-Industrie direkt auf sicheren Leitungen mit der US-Regierung verbunden sein, um "Informationen über Hacker und Viren auszutauschen".
In diesem Zusammenhang hat Clarke auch wiederholt praktisch für die gleichen "Hacker", die er jetzt ermutigt, drakonische Strafen gefordert.
Lebenslang für HackerHacker-Schutzgesetze
Clarke forderte jetzt sogar neue Gesetze, mit denen die Aktivitäten der "guten Hacker", die durch ihre Aktivitäten die nationale Sicherheit mit tragen, gedeckt werden sollen.
Dass dies wirklich dringend nötig wäre, zeigt ein Fall der erst gestern publik wurde: HP will offensichtlich mit Hilfe des umstrittenen US-Copyright-Gesetzes DMCA [Digital Millennium Copyright Act] verhindern, dass Sicherheitslücken öffentlich dokumentiert werden.
Jedenfalls hat der Konzern die Gruppe SnoSoft verwarnt und damit gedroht, sie nach dem DMCA zu verklagen und als Konsequenz "Geldstrafen bis 500.000 USD und Gefängnisstrafen bis zu fünf Jahren" in Aussicht gestellt.
Umstrittener Code
Im konkreten Fall geht es um die Publikation einer
Sicherheitslücke in HPs Tru64 Unix. Am 19. Juli publizierte SnoSoft
die Lücke auf der populären Bugtraq-Mailing-Liste von Security
Focus. Die Beschreibung der Lücke enthielt auch einen Link zu einem
kurzen Code in C, der es unter Ausnützung der Lücke erlaubt, volle
Kontrolle [Administratoren-Rechte] über ein System unter Tru64 Unix
zu erhalten. HP argumentiert jetzt mit dem DMCA, da das Gesetz die
Verbreitung von Code unter Strafe stellt, dessen "Hauptzweck es ist,
den Schutz von urheberrechtlich geschützten Werken zu umgehen."
Geheimhaltung per Urheberrecht