Detailansicht
A nexus of vulnerabilities
infested code and the prospects of coordinated vulnerability disclosure
Marc Michael Cudlik
Art der Arbeit
Masterarbeit
Universität
Universität Wien
Fakultät
Fakultät für Sozialwissenschaften
Studiumsbezeichnung bzw. Universitätlehrgang (ULG)
Masterstudium Science-Technology-Society
Betreuer*in
Sarah Davies
DOI
10.25365/thesis.70468
URN
urn:nbn:at:at-ubw:1-11215.35899.680453-9
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
Software und Produkte, die Software enthalten, sind überall zu finden. In dieser Software sind Schwachstellen, auch genannt Sicherheitslücken. Diese Sicherheitslücken sind die Ursache vieler weitreichender Konsequenzen. Sie sind verantwortlich für eine Vielzahl an Phänomenen, von banalen Dingen wie Computerabstürzen bis hin zu böswilligen Handlungen. Das Handlungsspektrum hier erstreckt sich von Internetkriminalität über „Hackerangriffe“ im Namen von Staaten bis hin zur Unterbrechung oder Störung von (globalen) Lieferketten.
In diesem Sinne stellen Softwareschwachstellen auch ein Sicherheitsproblem dar. Die Eindämmung von böswilligen Effekten oder Handlungen verlangt daher nach einer Vielzahl von Überlegungen. Eine dieser Strategien ist die Offenlegung der Schwachstellen, in der Fachsprache „Coordinated Vulnerability Disclosure“ (auch: Responsible Disclosure) genannt. Dieser Prozess ist gekennzeichnet durch die Mitteilung von Sicherheitslücken an die jeweils als Verursacher identifizierten Parteien mit dem Ziel einer Behebung derselben.
Bevor die Sicherheitslücken allerdings behoben werden können, müssen diese praktikabel oder aufbereitet werden. Akteur-Netzwerk Theorie ist die theoretische Basis dieser Masterarbeit. Diese Theorie ist Bestandteil der Science-Technology-Studies, was wiederum der Wissenschaftssoziologie anhänglich ist. Dieses akademische Feld erforscht das Spannungsfeld zwischen Technologie(n) und sozialen Strukturen, Institutionen und Verhältnissen.
Die primäre Problemstellung ist das Verständnis von Sicherheitslücken als greifbare Objekte, ein „Ding an sich“. Diese Sicherheitslücken sind in diesem Verständnis nicht eindeutig dem „Physischen“ zuordenbar, da sie sich in einem digitalem Raum bewegen. Durch die bisherig vorrangig Behandlung physischer Objekte verschließt sich die Akteur-Netzwerk Theorie dem Untersuchen von digitalen Objekten. Deshalb müssen als erster Schritt die Begrifflichkeiten der Akteur-Netzwerk Theorie dem digitalen Objekt „Sicherheitslücken“ angepasst werden, um die theoretischen Annahmen dann auf diese „Sache“ anzuwenden.
Das Grundverfahren von Akteur-Netzwerk Theorie ist verschiedene Formen von Ordnungsmäßigkeiten oder -prinzipien zu verfolgen. Welche Arten von Grenzen oder Barrieren werden von wem, wie und wo gezogen und aufgebaut, wie werden diese argumentiert und wie formen diese Tätigkeiten unsere Verständnisse der Welt?
In dieser Hinsicht beginnt die Reise einer Sicherheitslücke bei den Personen, die danach suchen oder diese entdecken. Die Methoden dieser Arbeit umfassen Dokumentenauswertung und die Durchführung von teilstandardisierten Interviews. Diese Interviews wurden mit Leuten durchgeführt, die Sicherheitslücken „in freier Wildbahn“, d.h. in Software oder -produkten die bereits in Anwendung sind, suchen. Eine zweite Gruppe umfasst Personen mit der Berufsbezeichnung „Chief Information Security Officer“, einer Managementposition die sich um die Informationssicherheit in Betrieben kümmert.
Diese Arbeit untersucht, welche Arten von Wissen in die Suche nach Sicherheitslücken fließt, wie das Meldeverfahren sowie die Verifizierung und Einstufung derselben organisiert sind. Das Ziel ist, ein besseres Verständnis über die Erschaffung von „sozialen Welten“ durch als unbedeutend wahrgenommene Praktiken zu bekommen. Auch die Aushandlung was als Sicherheitslücke gilt ist Teil dieser Arbeit.
Die Resultate dieser Arbeit zeigen, dass die Grenzen von was als „Sicherheitslücke“ gilt fließend sind und dass das Verständnis derselben (sozialer) Arbeit bedarf. Der „ontologische Status“ was das „Ding“ Sicherheitslücke ist, ist einzig erklärbar durch die Verknüpfung mit äußerlichen Einflüssen oder Sphären, das Verständnis ist daher verhandelbar. Sie sind ein Knotenpunkt. Als letzter Punkt werden Sorgfalt und Achtsamkeit als Kategorien eingeführt. Diese sollen dabei helfen, „Sicherheit“ als eine fortlaufende Anstrengung durch die Mobilisierung von Ressourcen mit dem Ziel potenziell schadhafter oder schädlicher Technologien, wie zum Beispiel Sicherheitslücken, zu begreifen.
Abstract
(Englisch)
Software and devices that use or rely on software are ubiquitous. With this software come vulnerabilities. These vulnerabilities are the basis for far reaching consequences, being responsible for a lot of phenomena from mundane computer crashes to malicious activity. This activity can be anything from cybercrime to state-sponsored hacking or the disruption of (global) supply chains. Therefore, vulnerabilities are also deemed relevant to notions of security. To limit possible harmful usage of software vulnerabilities, there are a lot of diverse mitigation strategies. One of them is the Coordinated Vulnerability Disclosure process. In this process, vulnerabilities are reported without the prospect of a reward to the party deemed responsible to fix this vulnerability, that is, to roll out a patch.
Before they can be reported, however, they first have to be made actionable. Actor-Network Theory serves as the theoretical lens applied in this thesis. This theoretical framework is located in the realm of Science-Technology-Studies, an academic field concerned with the interactions between technology and society. The primary problem is the understanding of vulnerabilities as a tangible object, an entity of its own. Since vulnerabilities are located not in the physical realm but in a digital sphere, they do not have certain properties or materials which provide the fundamental basis to understand them in the same sense as ANT’s standard analytical model introduces. Therefore, the focus is on the parts that make up a vulnerability, to dissect it in a way it can be understood as an object which then insights from ANT can be applied.
ANT investigates different modes of ordering in the world around us. Which boundaries are drawn, what concepts are applied and what makes up the things we take for granted. In this regard, the journey of a vulnerability starts with the people searching for them. The methods applied are document analysis as well as semi-structured interviews. The interviews are conducted with people searching for vulnerabilities “in the wild”, in software already deployed, as well as with people holding the position of Chief Information Security Officer.
This thesis investigates what knowledge goes into software vulnerability research, how the reporting process is organized and how the examination process of reported vulnerabilities looks like. In doing so, the goal is to gain a deeper understanding of how the social world is constructed through minuscule interactions as well as gaining insights into what negotiations are performed in the CVD.
The results of this thesis suggest that the boundaries of what is considered a vulnerability are quite diffuse and that they are formed as well as uphold by doing (social) work. Also, the “ontological status” of what vulnerabilities are, is found to be formed only in relation to outer influences and spheres, they are therefore contestable. It is understood as an assemblage. Lastly, the notion of “matters of care” is invoked, understanding the concept of “security” as a continuous effort and the constant mobilization of resources to deal with potentially adverse technologies such as software vulnerabilities.
Schlagwörter
Schlagwörter
(Englisch)
Coordinated Vulnerability Disclosure software vulnerabilities ANT Actor-Network Theory security software mitigation materiality
Schlagwörter
(Deutsch)
Coordinated Vulnerability Disclosure Sicherheitslücken ANT Akteur-Netzwerk Theorie Sicherheit Software Eindämmung Materialität
Autor*innen
Marc Michael Cudlik
Haupttitel (Englisch)
A nexus of vulnerabilities
Hauptuntertitel (Englisch)
infested code and the prospects of coordinated vulnerability disclosure
Paralleltitel (Deutsch)
Sicherheitslücken in Software - ein Nexus
Publikationsjahr
2021
Umfangsangabe
viii, 87 Seiten
Sprache
Englisch
Beurteiler*in
Sarah Davies
AC Nummer
AC16485812
Utheses ID
60605
Studienkennzahl
UA | 066 | 906 | |