Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Erfolgreicher Münchner Hackertreff

Neue Sicherheitskonferenz: Troopers 08

Erfolgreicher Münchner Hackertreff

28. Mai 2008, 22:00 Uhr | Uli Ries/wj

IT-Sicherheitskonferenzen, auf denen echte Hacks präsentiert werden, sind in Deutschland eher selten. Die Ende April in München abgehaltene Troopers 08 will Abhilfe schaffen und auch in Zukunft internationale IT-Sicherheitsexperten und natürlich Hacker nach Süddeutschland locken.

Die Sicherheitskonferenz Troopers versteht sich als von der IT-Industrie unabhängige
Veranstaltung, die frei sein soll von Marketingschlachten und Produktpräsentationen. Organisiert
wurde die Troopers 08 vom Heidelberger IT-Sicherheitsberatungsunternehmen ERNW, deren Mitarbeiter
selbst seit Jahren auf internationalen Hacker- und Security-Konferenzen wie der Blackhat oder der
RSA Conference als Sprecher auftreten. Aufgrund der guten Kontakte gelang es den Organisatoren,
bereits zur Premiere namhafte Referenten wie Christofer Hoff, Chef-Architekt für
Sicherheitsinnovationen bei Unisys, oder den amerikanischen Informatik- und Mathematikprofessor Dan
Bernstein zu gewinnen.

ERNW-Gründer Enno Rey zeigte sich zufrieden mit seinem Erstling: "Wir konnten über 100
Konferenzteilnehmer begrüßen, die meisten davon aus der Industrie. Zwar hatten wir mit einem etwas
größeren Anteil an Teilnehmern aus dem Wissenschafts- und Universitätsumfeld gerechnet – insgesamt
ist die Veranstaltung aber ein Erfolg", sagte Rey am Rande der Konferenz. Es sei bereits sicher,
dass es eine Troopers 09 geben wird. Auch eine gesonderte Veranstaltung zum Thema
Webanwendungssicherheit ist für Herbst 2008 in Planung.

Umfassende Sicherheit ist möglich

Dan Bernstein stellte in seiner Eröffnungsrede klar, dass fehlerfreie – und somit sichere –
Softwaresysteme keine Illusion bleiben müssen. Bernstein fordert, dass die Menge an so genanntem "
vertrauenswürdigem Code" (englisch "trusted code") rapide abnehmen müsse. Trusted Code werden jene
Programme oder Programmteile genannt, die die Sicherheitsanforderungen der Anwender verletzen
können. Im Moment ist laut Bernstein ein komplettes Windows-System hierzu in der Lage, da sowohl
das Betriebssystem als auch jede einzelne Anwendung nach dem Prinzip des Trusted Codes programmiert
sind. De facto hat also jeder einzelne Programmierer die Verantwortung für die Sicherheit und
Funktionsfähigkeit des vollständigen Systems – eine nicht zu bewältigende Bürde angesichts der
Abermillionen Codezeilen, die in jeder Sekunde auf einem PC oder Server interagieren.

Bernstein plädiert dafür, jegliche Anwendung als nicht vertrauenswürdig ("untrusted") zu
betrachten und lediglich den Betriebssystem-Kernel als Trusted Code zu akzeptieren. Damit ließe
sich die wichtigste Anforderung des Anwenders an ein sicheres System verwirklichen: die saubere
Trennung von Daten aus verschiedenen Quellen. Im Hinblick auf einen Internet-Browser bedeutet das,
dass jede geöffnete Internetseite ein eigener Prozess mit eindeutiger Kennung wird. Der Kernel
überwacht dann, welche Aktionen dieser Prozess ausführen will – zum Beispiel auf die
E-Mail-Anwendung zugreifen oder Dateien auf der lokalen Festplatte verändern – und unterbindet
Aktionen entsprechend der Richtlinien.

Hinsichtlich der zu erwartenden Leistungseinbußen meint Professor Bernstein, dass es keine Rolle
spiele, ob ein solches System zehnmal langsamer ist als ein herkömmliches Betriebssystem. "Die
Sicherheit muss vorgehen, zumal sich Programmierer in einem zweiten Schritt immer noch um
Geschwindigkeitsoptimierungen kümmern können", stellte der Spezialist in seinem Vortrag klar. Zudem
ist ihm durchaus bewusst, dass solche Sicherheitsfunktionen eine vollständig neue Architektur von
Betriebssystem sowie Anwendungen erfordern und dass dies ohne rigoroses und zeitaufwändiges Testen
des Source Codes nicht zu bewerkstelligen ist. Als Extrembeispiel für annähernd fehlerfreie
Software verwies Bernstein auf die Kontrollsoftware des Space Shuttles, die in knapp 400.000
Codezeilen und über elf Generationen hinweg lediglich 17 Bugs enthielt. Laut Bernstein ist dies das
Ergebnis rigoroser Überprüfungen jeder einzelnen Codezeile.

Die von Bernstein geforderte Architektur ist nicht von heute auf morgen zu bekommen und mit
immens viel Arbeit verbunden. "Angesichts der nicht mehr zu beherrschenden Flut an Sicherheitslecks
ist es aber an der Zeit, sich endlich Gedanken über sicheres Softwaredesign zu machen, anstatt
ständig die gestern gemachten Fehler auszubessern", gab Bernstein den Zuhörern mit auf den Weg.

Echter Zero-Day-Hack zum Auftakt

Zwei Sicherheitsexperten der argentinischen Firma Infobyte (www.infobyte. com.ar) demonstrierten
am Auftakttag der Troopers, wie sie automatische Update-Mechanismen zahlreicher Anwendungen und
Computersysteme kompromittieren können. Mithilfe eines selbst programmierten Frameworks namens
Evilgrade gaukelten sie Anwendungen wie Acrobat Reader, Javas JRE, Apples iTunes, Winzip, Winamp
oder dem Browser-Plug-in der Internetseite Linkedin über das Netzwerk ein verfügbares Update vor.
Die von der jeweiligen Applikation heruntergeladene Datei enthielt aber kein Update, sondern ein
Trojanisches Pferd, das den Angreifern binnen Sekunden vollen Zugriff über den angegriffenen
Rechner verschaffte.

Wie Francisco Amato von Infobyte erklärte, funktioniert die Attacke mit allen Versionen der
genannten Applikationen und auch auf diversen Plattformen wie Windows, Mac OS X und Linux. Noch
seien keine Patches der betroffenen Hersteller verfügbar. Amato wird Evilgrade in Kürze im Internet
verfügbar machen, und er ruft die Hackergemeinde dazu auf, weitere Module für neue Anwendungen
beizutragen. Die Attacke basiert darauf, dass die angegriffenen Anwendungen Updates ohne weitere
Prüfung vom von Evilgrade simulierten Update-Server herunterladen und installieren. Der Angreifer
hat die Möglichkeit, die Beschreibung und den Dateinamen des vermeintlichen Upgrades frei zu
wählen.

Voraussetzung für den Evilgrade-Angriff ist eine vorausgehende Attacke auf die DNS-Einstellungen
des Opfers, damit die Anwendung bei ihrer Suche nach dem Update-Server zum böswilligen Rechner
umgeleitet wird. In einem Intranet ist dies sehr leicht per Man-in-the-Middle-Angriff zu
bewerkstelligen. Soll der Angriff über das Internet stattfinden, ist mehr Aufwand nötig. Den
Infobyte-Experten stehen mit Techniken wie dem DNS-Cache-Poisoning aber wirksame Verfahren dafür
bereit.

Schutz vor einer solchen Attacke böten beispielsweise per HTTPS ausgeführte Dateitransfers oder
vom Softwarehersteller signierte Updates. Fehlen Zertifikat und Signatur, wird das Upgrade mit
einer Fehlermeldung unterbrochen. Laut Amato kann Evilgrade diese Fehler im Moment nicht
verhindern, und er konnte auch nicht sagen, ob es in späteren Versionen möglich sein wird. Ebenso
wenig kann Evilgrade Microsofts Windows Update angreifen. Dieser Dienst ist durch diverse Schutz-
und Verschlüsselungsmechanismen abgesichert.

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
Vodia Networks GmbH

Vodia Networks GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Plusnet GmbH

Plusnet GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Vertiv GmbH

Vertiv GmbH
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH