[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[intern.de] TCPA-Blamage



http://www.intern.de/news/3930.html


TCPA-Blamage
31.01.2003

Die von Compaq, HP, IBM, Intel und Microsoft gegründete Trusted 
Computing Platform Alliance (TCPA) hat es sich zum Ziel gesetzt, eine 
"erweiterte Hardware- und Betriebssystems-basierte Computer-Plattform zu 
schaffen, die Vertrauen in Clients, Server, Netzwerke und 
Kommunikationsplattformen implentiert". Ein großes Ziel haben die Big 
Player da definiert. Doch das Vertrauen in diese Zielsetzung wurde in 
den letzten Tagen stark lädiert.

Was war passiert? Am Morgen des 22. Januar trudelte eine Mail in der 
Redaktion ein, in der ein uns seit vielen Jahren bekannter 
Geschäftsführer eines deutschen Unternehmens - das im übrigen auch mit 
Sicherheits-Lösungen handelt - auf eine Sicherheitslücke der TCPA-Site 
aufmerksam machte.

Der Begriff "Sicherheitslücke" scheint dabei sogar ein wenig 
untertrieben. Mit einem einfachen Browser und einem von praktisch jedem 
Browser unterstützten Kommunikationsprotokoll konnten sonst 
unzugängliche Teile des Rechners geladen werden. Insgesamt vermutlich 
mehrere hundert Dateien, nur zum Teil für die Öffentlichkeit bestimmt, 
teilweise sogar definitiv als "vertraulich" einzustufen, lagen für 
jedermann offen.

Teilweise kursieren diese Dateien mittlerweile in einzelnen Gruppen, 
haben sich verselbständigt. Zum Beispiel eine aktuelle 
TCPA-Mitgliederliste mit neuen Namen, die in der Szene vermutlich auf 
Interesse stoßen werden. Ob jede dieser Dateien noch authentisch ist, 
ist allerdings eine andere Frage. Unklar ist auch, wieviele Personen die 
Lücke genutzt haben. Der Fehler wurde im IRC diskutiert und von dort 
sicher in viele Richtungen weiter geleitet.

Vielen ging es dabei ähnlich, wie unserem Informanten. Sie wollten gar 
nicht glauben, dass ausgerecht der Rechner der "Vertrauensallianz" 
derart ungeschützt sein sollte. Doch die Kontaktaufnahme mit dem 
Webmaster und weitere externe Kontrollen - zum Beispiel ein Port-Scan 
der NT-Maschine und auch die Beobachtung der Slammer-"Einwirkung" am 
vergangenen Wochenende - machten deutlich, dass hier einiges im Argen liegt.

Nun handelt es sich hier um einen Web-Auftritt im Outsourcing. Keines 
der an der TCP-Allianz beteiligten Unternehmen war unmittelbar für den 
Auftritt verantwortlich. Im Gegenteil, Mitarbeiter von TCPA-Mitgliedern, 
die auch informiert wurden, waren eher befremdet über diesen Vorgang.

Dennoch scheint es notwendig, diese Ereignisse öffentlich zu machen, 
denn TCPA hat sich hehre Ziele gesetzt, an denen die Allianz sich auch 
messen lassen muss. Und daher muss sich TCPA auch die Frage stellen 
lassen, ob die hinter diesem Vorgang zu vermutende Einstellung zu 
Sicherheitsproblemen symptomatisch für das ganze TCPA-Konzept sind.

Denn die TCPA-Mitglieder sind sehr wohl für diese Vorkommnisse 
mitverantwortlich. Vielleicht nicht direkt für den Sicherheitszustand 
des Web-Servers. Wohl aber für die Sicherheit der zur Disposition 
stehenden Daten. Denn Vertrauen kann nicht einfach bedeuten, die 
Verantwortung im Zweifelsfall zu delegieren.

Trusted Computing Platform Alliance
http://www.trustedcomputing.org/

Deutschsprachige Informationen der TCPA-Gegner
http://www.againsttcpa.com/index.shtml


--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de