Microsoft fordert Selbstzensur
Microsoft fordert "die Sicherheitsgemeinschaft" im Internet auf, "keinen Code über Sicherheitslücken" mehr zu veröffentlichen.
"Es ist Zeit, die Informations-Anarchie zu beenden", schreibt Scott Culp, Manager von Microsofts Security Response Center, in einem Aufsatz.
Seiner Meinung nach haben erst die von den Sicherheitsunternehmen aufgedeckten Schwachstellen Würmer wie "Code Red", "Nimda", "Sadmind" und "Ramen" ermöglicht.
Culp-AufsatzSoftware niemals perfekt
Da laut Culp niemals Programme ohne Sicherheitslücken erstellt werden könnten, sollten diese wenigstens nicht öffentlich diskutiert werden, damit den Angreifern nicht auch noch die Waffen in die Hand gegeben werden.
"Jede nicht triviale Software enthält Fehler, und moderne Software gehört zu den komplexesten Systemen, die von der Menschheit entwickelt wurden", so Culp. Er weist daraufhin, dass auch Linux, Mac OS und Unix ihre Sicherheitslücken haben.
Er wolle die Sicherheitsdiskussion damit allerdings nicht unterbinden, sondern in verantwortungsbewusste Bahnen lenken. "Sicherheits-Profis müssen eine Grenze ziehen, ab wann sie andere gefährden", schreibt Culp, "und nicht im überfüllten Kino Feuer rufen."
Die Veröffentlichung der Sicherheitslücken und Methoden zu deren Nutzung helfe weder den Systemadministratoren, noch demonstriere sie die Notwendigkeit zum Handeln, noch werde damit die Entwicklung von Patches beschleunigt, schreibt Culp. Stattdessen werde genau das Gegenteil erreicht. "Selbst relative Neulinge können heute Malware schreiben. Ein verantwortungsvoller Umgang mit den Informationen wird nicht alle Würmer verhindern, aber zumindest heben wir die Schwelle an." Und dazu müsste sich die Sicherheitsgemeinschaft nur etwas zurücknehmen.
Gegenschlag
Microsoft war vor allem wegen Sicherheitslücken seiner Internet Information Server [IIS] vor einigen Wochen heftig in die Kritik geraten.
Die Gartner Group riet vor rund drei Wochen sogar zum Umstieg auf alternative Webserver. Alle Unternehmen, die von den E-Mail-Viren "Code Red" oder "Nimda" befallen wurden, sollen demnach möglichst rasch auf die Marken Apache oder iPlanet umrüsten.
Micrsoft hatte schon damals mit der Feststellung gekontert, dass es "Sicherheitslücken in allen Webprodukten" gebe.
Gartner rät zu alternativen Webservern