“Security ist eine Illusion”
Die Black Hat Conference ist in der Selbstfindungsphase: Vorherige Events beschäftigten sich mit Hacking und Code, letztes Jahr entdeckten die versammelten Forscher das Business – dieses Jahr fragen sie sich kollektiv, ob es das, was sie jeden Tag tun – Security – überhaupt gibt und wenn ja, wie. Die Antworten der schwarzen Hüte sind sehr bunt.
Das bedeutet, dass jeder Internetnutzer zu jeder beliebigen bösartigen Homepage umgeleitet werden kann, ohne es zu merken und sich dort mit allen nur denkbaren Gefahren infizieren könnte. “Wenn das DNS zusammenbricht, bricht alles zusammen”, sagte Kaminsky, der die Kampagne zum Schließen der Lücke zusammen mit vielen anderen Technikern leitete. Die Patch-Arbeiten, die seit dem 8. Juli dieses Jahres auf Hochtouren laufen, bezeichnete er nach aktuellem Stand als erfolgreich. Aber die Arbeiten laufen noch.
Was er nicht wollte, war, dass zu früh Details über die Lücke an die Öffentlichkeit dringen. Deshalb verteidigte er vor den vielen Anwesenden bei seiner Keynote sein Verhalten nach dem Aufspüren des Bugs. Er hatte zuerst die Hersteller und Verantwortlichen informiert und wollte ihnen Zeit geben, den Fehler zu beheben. Allerdings spekulierten schnell andere Forscher öffentlich über den Charakter der Lücke, was die Patch-Arbeiten gefährdete. Kaminsky plädierte daher für ein verantwortungsbewusstes Verhalten der Forscher.
Und er hatte noch einen Rat dabei: “Wir müssen uns von der Idee verabschieden, dass das Netz, so wie es ist, per se freundlich ist – jedes Netzwerk ist zunächst einmal ein feindliches Netzwerk.” Wenn er sich etwas wünschen dürfte, würde er allerdings nicht auf der Protokollebene ansetzen, sondern schlicht und einfach E-Mail verschlüsseln und absichern.