Stellungnahme an Untis zu Vorwürfen und Drohungen im Responsible Disclosure Verfahren

Die folgende Stellungnahme habe ich am 11.03.2020 an die Untis GmbH geschickt. Ursächlich waren Vorwürfe, ich hätte einen Teil der veröffentlichten Schwachstellen vor Veröffentlichung nicht gemeldet. Zudem drohte man mir im Rahmen der Veröffentlichung eines Teils der Schwachstellen mit nicht näher definierten, zu prüfenden, weiteren Schritten. So stelle die Veröffentlichung eines Teils der Informationen einen “Copyright-Verstoß” dar. Aufgrund der Drohungen und dem wenig konstruktiven Verhalten der Verantwortlichen, habe ich mich an dieser Stelle dazu entschieden, meine Antwort darauf zu veröffentlichen. Explizit unveröffentlicht bleibt hier der vollständige Schriftverkehr.

Konkret handelt es sich bei dieser Nachricht auf die Reaktion auf den Vorwurf, ich hätte die Schwachstelle in den Nachrichtenanhängen im Vorfeld nicht gemeldet. Zudem hätte man die Funktion geprüft und dort keine Schwachstelle gefunden.

Stellungnahme

wie ich festgestellt habe, haben Sie die Anhänge zwischenzeitlich erneut geprüft und das Problem nun behoben. Ich darf Sie darauf hinweisen, dass Ihnen die Information keineswegs neu war. Ich habe mich diesbezüglich am 11.02.2020 mit der folgenden Nachricht an Sie gewandt:

ich habe noch eine weitere XSS Lücke in der Anhangsfunktion der alten Nachrichtenfunktion entdeckt: https://www.youtube.com/watch?v=-_WxOwiX2WU

Wurde auch diese Lücke bereits identifiziert?

Ich darf Ihre Nachricht vom 14.02.2020 zitieren:

<Der genaue Wortlaut bleibt an dieser Stelle unveröffentlicht. Hier wurde angeführt, dass der Schutz noch nicht vollständig aktiv ist, man aber daran arbeite>

Insofern kann ich hier nicht erkennen, dass Sie über das Problem nicht informiert waren. Noch einmal zur Klarstellung: Bei der Entdeckung einer Schwachstelle habe ich stets nach bestem Wissen und Gewissen gehandelt und Sie umgehend darüber informiert. Aufgrund Ihrer Nachricht musste ich daraus schließen, dass das Problem im Zuge der weiteren Maßnahmen behoben wird. Darüber hinaus gilt, dass für den Hersteller einer Anwendung allgemein kein Anspruch auf ein Responsible Disclosure Verfahren (mit einer bestimmten Frist) besteht. Möglich ist auch ein Full Disclosure. Es stellt lediglich ein anerkanntes Best-Practice dar und ist als freiwilliges Entgegenkommen durch mich anzusehen. Wie Ihr Unternehmen gezeigt hat, konnten Sie die Schwachstelle innerhalb eines Tages selbstständig identifizieren und beheben. Insofern denke ich, dass der gewährte Zeitraum von einem Monat ausreichend war. Für fehlende Koordination und fehlerhafte Prüfungen sowie den daraus resultierenden falschen Schlüssen in Ihrem Hause kann ich keine Verantwortung übernehmen. Sie sollten in Ihrem Unternehmen definierte Prozesse für Sicherheitsvorfälle etablieren und an geeigneter Stelle fachlichen Rat hinzuziehen.

Ob Sie eine Funktionalität bereits offiziell freigeben haben, ist für eine Sicherheitsbetrachtung nur von geringer Relevanz. Die Veränderung einer Variable im Quelltext einer Webseite ist wahrlich keine herausragende Leistung, genauso wenig wie die Identifikation und Ausnutzung der eigentlichen Schwachstellen. Insofern gilt auch, dass jeder, insbesondere ein Angreifer, die Funktionen einsehen und nutzen konnte. Insbesondere war der API Endpunkt vorhanden, funktionsfähig und somit auch öffentlich. Damit war ein Angriff technisch auf ein Modul möglich, dass auch in der Produktivversion existent ist. Zur Vermeidung derartiger Konflikte liegt es in der Verantwortung Ihres Unternehmens, geeignete technische und organisatorische Maßnahmen zu treffen, um eine klare Trennung zwischen Entwicklungs- und Produktivcode zu schaffen. Der Einsatz eines Versionskontrollsystems hilft Ihnen hierbei. In der Informationssicherheit gilt das Kerckhoffs’sche Prinzip. Abgeleitet davon gilt die Aussage, dass Sicherheit durch Intransparenz nicht ausreichend ist und Gefahren birgt. Unter diesem Aspekt liegt es auch in der Verantwortung Ihres Unternehmens, geeignete Tests zur Vermeidung von Sicherheitsproblemen durchzuführen, bevor ein Teil einer Anwendung öffentlich erreichbar wird.

Wenn Sie von einem Copyright-Verstoß sprechen, dann meinen Sie sicher nicht das Copyright, das weder in Deutschland, noch in Österreich existiert. Ich denke, dass Sie hier einen Urheberrechtsverstoß meinen. Nehmen wir an, dass ich einen Urheberrechtsverstoß nur nach deutschem Recht begehen könnte <Anmerkung: Untis hat seinen Firmensitz in Österreich>. In diesem Fall steht nicht das Werk als solches (also die grafische Oberfläche) im Vordergrund, sondern vielmehr die Sicherheitsproblematik. In diesem Zusammenhang ist das Zeigen der grafischen Oberfläche im Rahmen des Zitatrechts abgedeckt, da sich intensiv mit der Auswirkung der Schwachstellen auf das DOM befasst wird. Dabei rückt das Werk (so denn es denn eines darstellt) in den Hintergrund. Erst durch die Analyse wird die Schwachstelle überhaupt sichtbar. Das Urheberrecht unterscheidet dabei nicht zwischen veröffentlichten und unveröffentlichten Werken. Darüber hinaus kann die Zugänglichmachung des Werkes bereits durch die Bereitstellung auf einem öffentlich zugänglichen Servers als Veröffentlichung gesehen werden. Zudem weise ich darauf hin, dass es in Deutschland keine gerichtliche Entscheidung darüber gibt, dass die grafische Oberfläche einer Anwendung die nötige schöpferische Höhe aufweist, um Urheberschutz zu genießen.

Bedingung für die eingeschränkte Veröffentlichung war die vollständige Behebung aller gemeldeten Schwachstellen. Sie haben dieses Ziel aber nicht erreicht und ich werde weitere Schritte im Hinblick auf eine vollständige und umgehende Veröffentlichung prüfen.

Vor dem Hintergrund der Androhung juristischer Konsequenzen, möchte ich derzeit von der Nutzung undokumentierter Telekommunikationsmedien in Ihrem Fall absehen. Bitte wenden Sie sich mit Ihren Anliegen auf schriftlichem, möglichst elektronischen Wege an mich. Die Verwendung einer digitalen Signatur ist dabei ausdrücklich erwünscht. Ich werde meine Nachrichten ab sofort grundsätzlich per PGP signieren.

Abschließend möchte ich noch eine Empfehlung bezüglich Ihrer Jira und Confluence Installationen aussprechen: Es stehen sicherheitsrelevante Aktualisierungen zur Verfügung. Diese sollten durchgeführt werden. Wie Sie sicher wissen, hat auch Atlassian keinen Einfluss darauf, wann ihre Kunden die Updates einspielen. Die Informationen über die behobenen Schwachstellen sind dennoch bereits veröffentlicht.

Mit freundlichen Grüßen

Leave a Reply

Your email address will not be published. Required fields are marked *