Warum die Erforschung von Sicherheitslücken richtig und wichtig ist

Originalbeitrag von Raimund Genes, CTO

Vor wenigen Tagen veröffentlichte Oracles Chief Security Officer Mary Ann Davidson einen Blogeintrag, der beschrieb, warum man aufhören sollte, nach Sicherheitslücken in Software-Produkten zu suchen. Was bei der IT-Sicherheits-Community selbstverständlich nicht gut ankam – kurze Zeit später wurde der Blogeintrag vom Netz genommen, zusammen mit einem Statement des Unternehmens, dass der Eintrag „nicht unsere Ansichten oder unser Verhältnis zu unseren Kunden widerspiegelt.“

Sicherheit durch Nichtwissen („security through obscurity“) funktioniert nicht. Doch genau das ist es, was Davidson im Hinblick auf Sicherheitslücken letzten Endes propagiert hat. Andererseits… sie könnte nicht ganz Unrecht gehabt haben – wenn es dabei um Menschen gegangen wäre, die Sicherheitslücken suchen, um sie dann zu verkaufen oder um sie in Angriffs-Code zu verwenden (wie die Zero-Day-Sicherheitslücke, die wir vor kurzem als Bestandteil von „Pawn Storm“ fanden.)

Selbstverständlich haben wir vor der Veröffentlichung des Blogeintrags Oracle über die Sicherheitslücke informiert. Auch war unser erster Eintrag bewusst vage gehalten, damit weniger gut informierte Angreifer nicht auf diesem Weg Details erfahren konnten. Als wir jedoch tatsächliche Attacken sahen, veröffentlichten wir einen detaillierteren Eintrag, der zeigte, wie der Exploit funktionierte. Amüsanterweise fühlten sich die Angreifer, die hinter der ursprünglichen Benutzung dieser Zero-Day-Sicherheitslücke steckten, von unserem früheren Bericht angegriffen: Sie fügten ihrem Angriffscode eine unserer Domains (trendmicro.eu) hinzu. Weil wir an Transparenz glauben, haben wir auch das zur Sprache gebracht.

Kurz zusammengefasst: Wenn Oracle diejenigen kritisiert hätte, die die Sicherheit der Nutzer gefährden und damit Geld verdienen, dann wäre der Beitrag vielleicht besser aufgenommen worden. Das Geschäftsmodell „Sicherheitslücken“, bei dem Cyberkriminelle, „Forscher“ und Staaten Sicherheitslücken kaufen und verkaufen, ist für niemanden gut. Außer für diejenigen, die bereits Teil dieses „Marktes“ sind…

Trend Micro entdeckt und meldet jedes Jahr viele Sicherheitslücken, auch wenn das nicht der Schwerpunkt unseres Unternehmens ist. Ich glaube, dass wir das große Ganze betrachten müssen: Warum suchen IT-Sicherheitsanbieter nach Sicherheitslücken, warum setzen wir uns für deren verantwortungsvolle Offenlegung ein, und warum sind wir gegen deren Kauf und Verkauf?

Warum es wichtig ist, Sicherheitslücken zu erkennen und zu beseitigen

Unternehmen sollten sich freuen, wenn seriöse Forscher wie jene von Trend Micro Sicherheitslücken entdecken – natürlich gibt es Unternehmen, die glücklich über die Hilfe waren. Jeder Forscher, der sich an den verantwortungsvollen Umgang damit hält, sollte von Entwicklern unterstützt werden.

Wir verdienen unser Geld, indem wir unsere Kunden schützen. Und sobald wir Kenntnis von einer neuen Sicherheitslücke haben, nutzen wir dieses Wissen zum Schutz unserer Kunden – und das, ohne Details über die Sicherheitslücken preiszugeben. Falls jemand wirklich Reverse Engineering für alle Regeln, die wir mit unseren Produkten bieten, machen würde, könnte derjenige einen Hinweis bekommen … der aber nicht genug ist, um die betreffende Sicherheitslücke vollständig verstehen und nutzen zu können.

Sobald wir die betroffenen Unternehmen informiert haben, können sie in der Regel ziemlich schnell einen Patch zur Lösung des Problems herausbringen. Nutzer haben dann eine stabilere und sicherere Anwendung. Wenn wir auf der anderen Seite der Offenlegung einer Sicherheitslücke stehen, tun wir unser Bestes, um unsere eigenen Produkte so schnell wie möglich zu patchen.

Warum wir eine verantwortungsvolle Offenlegung befolgen

Wie bereits erwähnt, informieren wir Unternehmen über die Sicherheitslücken, die wir in ihren Produkten entdecken, ebenso wie über jene Sicherheitslücken, die wir durch unsere verschiedenen Forschungsanstrengungen kennenlernen. Wir geben den Unternehmen viel Zeit, um einen Fix herauszubringen, bevor wir etwas offenlegen, um so die Öffentlichkeit zu schützen.

Wenn allerdings die Sicherheitslücke „in freier Wildbahn“ verwendet wird, bevor sie bekannt gegeben wird, ist es möglich, dass wir direkt mehr Details veröffentlichen. Wir glauben, dass das unsere Pflicht ist – wie während der Vorfälle um „Hacking Team“. Wir haben über diesen Blog die Nutzer so schnell wie möglich gewarnt, dass es Zero-Day-Sicherheitslücken aus den Daten-Dumps gab, dass diese nun in Exploit-Kits verwendet werden, und haben gezeigt, wie die Nutzer sich schützen konnten.

Warum wir gegen den Handel mit Sicherheitslücken sind

Trend Micro ist strikt gegen den Handel von Sicherheitslücken gegen Geld. Für mich ist es schwer zu verdauen, dass mein Heimatland Deutschland sowie andere Länder Sicherheitslücken gekauft haben (und wahrscheinlich noch immer kaufen), um andere anzugreifen. Wir wissen nun, wie weit verbreitet diese Praxis ist – dank der inzwischen öffentlichen Kundenliste von „Hacking Team“. Dies ist nicht das, wofür ich meine Steuergelder verwendet sehen möchte.

Regierungen sollte es nur erlaubt sein, Sicherheitslücken zu kaufen, um die betroffenen Hersteller unverzüglich zu informieren – das heißt, um die Nutzer zu schützen. Noch besser wäre es, wenn niemand Sicherheitslücken kaufen würde, die betroffenen Hersteller jedoch kostenlos informiert werden würden, kurz nachdem der Fehler erkannt wurde. Dann wäre unsere digitale Welt ein sichererer Ort.

Wenn wir an einem solchen Ort wären, dann müsste Oracles CSO nicht Blog-Beiträge veröffentlichen, in denen sie sich über Reverse-Engineering beschwert. Stattdessen wäre sie dankbar – weil es nicht aus kommerziellen Interessen geschehen würde, sondern zum Schutz der Anwender und um Software-Code stabiler und widerstandsfähiger zu machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.