[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[intern.de] TCPA-Blamage
http://www.intern.de/news/3930.html
TCPA-Blamage
31.01.2003
Die von Compaq, HP, IBM, Intel und Microsoft gegründete Trusted
Computing Platform Alliance (TCPA) hat es sich zum Ziel gesetzt, eine
"erweiterte Hardware- und Betriebssystems-basierte Computer-Plattform zu
schaffen, die Vertrauen in Clients, Server, Netzwerke und
Kommunikationsplattformen implentiert". Ein großes Ziel haben die Big
Player da definiert. Doch das Vertrauen in diese Zielsetzung wurde in
den letzten Tagen stark lädiert.
Was war passiert? Am Morgen des 22. Januar trudelte eine Mail in der
Redaktion ein, in der ein uns seit vielen Jahren bekannter
Geschäftsführer eines deutschen Unternehmens - das im übrigen auch mit
Sicherheits-Lösungen handelt - auf eine Sicherheitslücke der TCPA-Site
aufmerksam machte.
Der Begriff "Sicherheitslücke" scheint dabei sogar ein wenig
untertrieben. Mit einem einfachen Browser und einem von praktisch jedem
Browser unterstützten Kommunikationsprotokoll konnten sonst
unzugängliche Teile des Rechners geladen werden. Insgesamt vermutlich
mehrere hundert Dateien, nur zum Teil für die Öffentlichkeit bestimmt,
teilweise sogar definitiv als "vertraulich" einzustufen, lagen für
jedermann offen.
Teilweise kursieren diese Dateien mittlerweile in einzelnen Gruppen,
haben sich verselbständigt. Zum Beispiel eine aktuelle
TCPA-Mitgliederliste mit neuen Namen, die in der Szene vermutlich auf
Interesse stoßen werden. Ob jede dieser Dateien noch authentisch ist,
ist allerdings eine andere Frage. Unklar ist auch, wieviele Personen die
Lücke genutzt haben. Der Fehler wurde im IRC diskutiert und von dort
sicher in viele Richtungen weiter geleitet.
Vielen ging es dabei ähnlich, wie unserem Informanten. Sie wollten gar
nicht glauben, dass ausgerecht der Rechner der "Vertrauensallianz"
derart ungeschützt sein sollte. Doch die Kontaktaufnahme mit dem
Webmaster und weitere externe Kontrollen - zum Beispiel ein Port-Scan
der NT-Maschine und auch die Beobachtung der Slammer-"Einwirkung" am
vergangenen Wochenende - machten deutlich, dass hier einiges im Argen liegt.
Nun handelt es sich hier um einen Web-Auftritt im Outsourcing. Keines
der an der TCP-Allianz beteiligten Unternehmen war unmittelbar für den
Auftritt verantwortlich. Im Gegenteil, Mitarbeiter von TCPA-Mitgliedern,
die auch informiert wurden, waren eher befremdet über diesen Vorgang.
Dennoch scheint es notwendig, diese Ereignisse öffentlich zu machen,
denn TCPA hat sich hehre Ziele gesetzt, an denen die Allianz sich auch
messen lassen muss. Und daher muss sich TCPA auch die Frage stellen
lassen, ob die hinter diesem Vorgang zu vermutende Einstellung zu
Sicherheitsproblemen symptomatisch für das ganze TCPA-Konzept sind.
Denn die TCPA-Mitglieder sind sehr wohl für diese Vorkommnisse
mitverantwortlich. Vielleicht nicht direkt für den Sicherheitszustand
des Web-Servers. Wohl aber für die Sicherheit der zur Disposition
stehenden Daten. Denn Vertrauen kann nicht einfach bedeuten, die
Verantwortung im Zweifelsfall zu delegieren.
Trusted Computing Platform Alliance
http://www.trustedcomputing.org/
Deutschsprachige Informationen der TCPA-Gegner
http://www.againsttcpa.com/index.shtml
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de