Die Schlußfolgerung ist doch eigentlich ganz einfach

Wenn man das in letzter Zeit so liest, leitet sich doch eigentlich nur noch eine naheliegende Schlußfolgerung ab, wenn man selber eine Sicherheitslücke entdeckt:

- Keine Lücken mehr an die Hersteller melden
- Produkt o.ä. nicht mehr einsetzen
- Wenn man unbedingt Benefit draus schlagen will, dann an den meistbietenden verkaufen
- Not my department (stategische Popcorn-Reserven nicht vergessen)
- La la la, war was?

Die Politik hat mit ihrer Gesetzgebung nur eins erreicht: Es ist ausdrücklich nicht erwünscht, dass man hilft, Dinge besser zu machen, Lücken zu finden und zu schließen, sondern nur dass die Wirtschaft größtmöglichen Profit draus schlagen kann.

Ich würde Sicherheitslücken von Firmen bei denen ein solches Vorgehen bekannt ist, in Zukunft einfach direkt Anonym ins Netz stellen. Vielleicht lernen die Firmen ja dann dazu. Wer will schon Smart Phones von einer Firma kaufen bei der Regelmäßig Sicherheitslücken im Netz veröffentlich werden, bevor diese behoben werden können?
Das lässt sich auf alle Firmen übertragen. Am ende bleiben die Firmen übrig die Fair den Sicherheitsforscher danken und Bezahlen wie es vorher öffentlich bekannt gegeben wurde!

Damit trifft man potentiell eher die Benutzer als die Firmen.

das mein ich auch...
die firmen können sich ja staatliche unterstützung holen...
dann wird ein anonymer lückenfinder auch mal schnell zum hacker/terroristen und dementsprechend verfolgt...

OnlyXeno schrieb:
--------------------------------------------------------------------------------
> Ich würde Sicherheitslücken von Firmen bei denen ein solches Vorgehen
> bekannt ist, in Zukunft einfach direkt Anonym ins Netz stellen. Vielleicht
> lernen die Firmen ja dann dazu. Wer will schon Smart Phones von einer Firma
> kaufen bei der Regelmäßig Sicherheitslücken im Netz veröffentlich werden,
> bevor diese behoben werden können?
> Das lässt sich auf alle Firmen übertragen. Am ende bleiben die Firmen übrig
> die Fair den Sicherheitsforscher danken und Bezahlen wie es vorher
> öffentlich bekannt gegeben wurde!

Viele "Sicherheitsforscher" oder deren Arbeitgeber (z.B. Uni -> Drittmittel!) werden schlicht einen Kooperationsvertrag mit einer Firma wie der Gamma oder der NSO Group eingehen und noch stärker in's Geheimdienst-Milleu abdriften.
Freiberufliche Sicherheitsforscher verkaufen ja jetzt schon meistens rein kapitalistisch, sprich meistbietend ohne Moral.
Zu verschenken haben die Wenigsten was.

Es gibt sicher keine logischen Gründe dafür, dass man Sicherheitslücken, die gefixt wurden, nicht öffentlich machen möchte.
Es gibt sicher keine Leute, die versuchen würden aus solch einen Changelog Rückschlüsse auf Angriffsvektoren alter nicht gepatchter Applegeräte zu ziehen.

Aber wenn die Lücke nicht erwähnt werden und keine CVE bekommen, landen sie auch in keiner Statistik und man kann weiter behaupten, man sei sicherer als die Konkurrenz.

Iruwen schrieb:
--------------------------------------------------------------------------------
> Damit trifft man potentiell eher die Benutzer als die Firmen.

Ja aber die Firmen verstehen keine andere Sprache.

Nutzer interessiert das halt nur nen Scheiß, außer sie sind selber irgendwann mal betroffen. iCloud hat auch schon oft Leaks gehabt, trotzdem laden da alle Leute weiter ihren Kram rein.

Linux ist das beste Betriebssystem, das ich jemals gesehen habe.
- Albert Einstein

ja richtig...und darum schickt man die genaue beschreibung auch nur dem hersteller und veröffentlich nur ne ganz grobe umschreibung der lücke, aus der man keine speziellen schlüsse ziehen kann...

Erstmal ja - allerdings leidet dadurch auf lange Sicht der Ruf und damit der Gewinn. Grade für Apple ist das Image das allerheiligste nach dem Geld, daher ist das die einzige Methode, die die Chance hat für ein Umdenken zu sorgen.

kann man so etwas nicht vertraglich regeln? Gerade in den USA sollte das doch eigentlich gehen. Wenn der Hersteller sich nicht dran hält muss er eben zahlen. Anonym veröffentlichen kann man ja zur not immer noch.

naja...für die hersteller sind sicherheitsforscher sowas wie hacker=terroristen...
und mit denen wird nicht verhandelt...

wenn man mit denen einen vertrag abschließt, muß man schwarz auf weis bestätigen daß das produkt fehlerhaft ist, und das ist einfach nicht gut fürs marketing...
darum lieber obiges...