http://www.intern.de/news/3930.html
TCPA-Blamage 31.01.2003 Die von Compaq, HP, IBM, Intel und Microsoft gegr�ndete Trusted Computing Platform Alliance (TCPA) hat es sich zum Ziel gesetzt, eine "erweiterte Hardware- und Betriebssystems-basierte Computer-Plattform zu schaffen, die Vertrauen in Clients, Server, Netzwerke und Kommunikationsplattformen implentiert". Ein gro�es Ziel haben die Big Player da definiert. Doch das Vertrauen in diese Zielsetzung wurde in den letzten Tagen stark l�diert. Was war passiert? Am Morgen des 22. Januar trudelte eine Mail in der Redaktion ein, in der ein uns seit vielen Jahren bekannter Gesch�ftsf�hrer eines deutschen Unternehmens - das im �brigen auch mit Sicherheits-L�sungen handelt - auf eine Sicherheitsl�cke der TCPA-Site aufmerksam machte. Der Begriff "Sicherheitsl�cke" scheint dabei sogar ein wenig untertrieben. Mit einem einfachen Browser und einem von praktisch jedem Browser unterst�tzten Kommunikationsprotokoll konnten sonst unzug�ngliche Teile des Rechners geladen werden. Insgesamt vermutlich mehrere hundert Dateien, nur zum Teil f�r die �ffentlichkeit bestimmt, teilweise sogar definitiv als "vertraulich" einzustufen, lagen f�r jedermann offen. Teilweise kursieren diese Dateien mittlerweile in einzelnen Gruppen, haben sich verselbst�ndigt. Zum Beispiel eine aktuelle TCPA-Mitgliederliste mit neuen Namen, die in der Szene vermutlich auf Interesse sto�en werden. Ob jede dieser Dateien noch authentisch ist, ist allerdings eine andere Frage. Unklar ist auch, wieviele Personen die L�cke genutzt haben. Der Fehler wurde im IRC diskutiert und von dort sicher in viele Richtungen weiter geleitet. Vielen ging es dabei �hnlich, wie unserem Informanten. Sie wollten gar nicht glauben, dass ausgerecht der Rechner der "Vertrauensallianz" derart ungesch�tzt sein sollte. Doch die Kontaktaufnahme mit dem Webmaster und weitere externe Kontrollen - zum Beispiel ein Port-Scan der NT-Maschine und auch die Beobachtung der Slammer-"Einwirkung" am vergangenen Wochenende - machten deutlich, dass hier einiges im Argen liegt. Nun handelt es sich hier um einen Web-Auftritt im Outsourcing. Keines der an der TCP-Allianz beteiligten Unternehmen war unmittelbar f�r den Auftritt verantwortlich. Im Gegenteil, Mitarbeiter von TCPA-Mitgliedern, die auch informiert wurden, waren eher befremdet �ber diesen Vorgang. Dennoch scheint es notwendig, diese Ereignisse �ffentlich zu machen, denn TCPA hat sich hehre Ziele gesetzt, an denen die Allianz sich auch messen lassen muss. Und daher muss sich TCPA auch die Frage stellen lassen, ob die hinter diesem Vorgang zu vermutende Einstellung zu Sicherheitsproblemen symptomatisch f�r das ganze TCPA-Konzept sind. Denn die TCPA-Mitglieder sind sehr wohl f�r diese Vorkommnisse mitverantwortlich. Vielleicht nicht direkt f�r den Sicherheitszustand des Web-Servers. Wohl aber f�r die Sicherheit der zur Disposition stehenden Daten. Denn Vertrauen kann nicht einfach bedeuten, die Verantwortung im Zweifelsfall zu delegieren. Trusted Computing Platform Alliance http://www.trustedcomputing.org/ Deutschsprachige Informationen der TCPA-Gegner http://www.againsttcpa.com/index.shtml
