RollerChris
R.I.P.
[ 01. August 2002 12:33:00 MEZ ]
Darf nicht mehr offen über Sicherheitslücken diskutiert werden? Angesichts der jüngsten Entwicklungen in der IT-Branche ist dies eine berechtigte Frage - denn für die Veröffentlichung einer Sicherheitslücke hat Hewlett-Packard jetzt einer Gruppe von Sicherheitsspezialisten mit einer Klage gedroht. Der Vorwurf: Verstoß gegen den Digital Millennium Copyright Act (DMCA). Dies geht aus einem Bericht des englischsprachigen Informationsdienstes Cnet hervor.
In einem Schreiben warnte HP-Vizepräsident Kent Ferson die Mitglieder der Gruppe Snosoft , dass sie mit Geldstrafen bis zu 500.000 Dollar und Gefängnisstrafen von bis zu fünf Jahren belegt werden könnten - für ihre Rolle bei der Veröffentlichung von Informationen zu einem Bug in Tru64 Unix-Systemen.
Dem Bericht zufolge ist die "dramatische Warnung" HPs der allererste Versuch, mit Hilfe des DMCA gegen die Erforschung und Veröffentlichung von Sicherheitslücken vorzugehen. Bislang soll der DMCA nur dazu eingesetzt worden sein, Entwickler ins Visier zu nehmen, die Programme schreiben, mit deren Hilfe Kopierschutzmechanismen ausgehebelt werden können.
Der Auslöser
Mitte Juli veröffentlichte ein Mitglied von Snosoft mit dem Decknamen "Phased" auf der Mailingliste Bugtraq einen Link zu einem Programm, mit dessen Hilfe lokale Benutzer Admin-Rechte auf einem Tru64 Unix-System bekommen können.
Nach Ansicht von HP-Vizepräsident Kent Ferson, verantwortlich für HPs Unix-Systeme, verstößt diese Veröffentlichung gegen den Digital Millennium Copyright Act und den "Computer Fraud and Abuse Act".
Dementsprechend forderte er die Gruppe auf, die Informationen auf Bugtraq zu löschen.
Aus der Sicht von Snosoft
Aus der Sicht von Snosoft stellt sich die Sachlage etwas anders dar. So soll zum einen der Sicherheitsspezialist "Phased" einen Alleingang eingeschlagen und das Programm ohne Genehmigung der Gruppe veröffentlicht haben. Die Gruppe hatte eine Veröffentlichung jedenfalls nicht geplant.
Zum anderen informierte Snosoft den Branchenriesen bereits letztes Jahr über die Sicherheitslücken und führte im Frühjahr diesen Jahres weitere Gespräche mit HP zu diesem Thema.
Um den Schaden insgesamt zu begrenzen, ist Snosoft der Warnung von HP nachgekommen und hat den Betreiber der Bugtraq-Mailingliste aufgefordert, die entsprechenden Links zu entfernen.
Weitere Details können Sie hier nachlesen. Voraussetzung sind Englischkenntnisse.
© IDG
Quelle
Darf nicht mehr offen über Sicherheitslücken diskutiert werden? Angesichts der jüngsten Entwicklungen in der IT-Branche ist dies eine berechtigte Frage - denn für die Veröffentlichung einer Sicherheitslücke hat Hewlett-Packard jetzt einer Gruppe von Sicherheitsspezialisten mit einer Klage gedroht. Der Vorwurf: Verstoß gegen den Digital Millennium Copyright Act (DMCA). Dies geht aus einem Bericht des englischsprachigen Informationsdienstes Cnet hervor.
In einem Schreiben warnte HP-Vizepräsident Kent Ferson die Mitglieder der Gruppe Snosoft , dass sie mit Geldstrafen bis zu 500.000 Dollar und Gefängnisstrafen von bis zu fünf Jahren belegt werden könnten - für ihre Rolle bei der Veröffentlichung von Informationen zu einem Bug in Tru64 Unix-Systemen.
Dem Bericht zufolge ist die "dramatische Warnung" HPs der allererste Versuch, mit Hilfe des DMCA gegen die Erforschung und Veröffentlichung von Sicherheitslücken vorzugehen. Bislang soll der DMCA nur dazu eingesetzt worden sein, Entwickler ins Visier zu nehmen, die Programme schreiben, mit deren Hilfe Kopierschutzmechanismen ausgehebelt werden können.
Der Auslöser
Mitte Juli veröffentlichte ein Mitglied von Snosoft mit dem Decknamen "Phased" auf der Mailingliste Bugtraq einen Link zu einem Programm, mit dessen Hilfe lokale Benutzer Admin-Rechte auf einem Tru64 Unix-System bekommen können.
Nach Ansicht von HP-Vizepräsident Kent Ferson, verantwortlich für HPs Unix-Systeme, verstößt diese Veröffentlichung gegen den Digital Millennium Copyright Act und den "Computer Fraud and Abuse Act".
Dementsprechend forderte er die Gruppe auf, die Informationen auf Bugtraq zu löschen.
Aus der Sicht von Snosoft
Aus der Sicht von Snosoft stellt sich die Sachlage etwas anders dar. So soll zum einen der Sicherheitsspezialist "Phased" einen Alleingang eingeschlagen und das Programm ohne Genehmigung der Gruppe veröffentlicht haben. Die Gruppe hatte eine Veröffentlichung jedenfalls nicht geplant.
Zum anderen informierte Snosoft den Branchenriesen bereits letztes Jahr über die Sicherheitslücken und führte im Frühjahr diesen Jahres weitere Gespräche mit HP zu diesem Thema.
Um den Schaden insgesamt zu begrenzen, ist Snosoft der Warnung von HP nachgekommen und hat den Betreiber der Bugtraq-Mailingliste aufgefordert, die entsprechenden Links zu entfernen.
Weitere Details können Sie hier nachlesen. Voraussetzung sind Englischkenntnisse.
© IDG
Quelle