Security-Konferenz "IT-Defense 2007" in Leipzig
Softwaremängel setzen der Sicherheit Grenzen
Mit Sicherheitslücken in Software muss die Menschheit wohl leben - das war eine der bittersten Erkenntnisse der Konferenz "IT-Defense" in Dresden. Ein Qualitätsmanagement, das die Fehlerrate in modernen Betriebssystemen signifikant verringern könnte, ist nämlich nirgendwo in Sicht.
Was die RSA-Konferenz im Großen vorexerziert, schafft Cirosec mit der Konferenz "IT-Defense" im
Kleinen: Der Anbieter stellt ein echtes Fach-Event auf die Beine, in dem Marketing höchstens in
Form von Kompetenzbeweisen eine Rolle spielt. Die Veranstaltung kommt weitgehend ohne
Firmenvorträge aus und ist mit einem Fuß fest in der Welt der White-Hat-Hacker und
Penetration-Tester verankert. 200 Teilnehmer sowie 14 Referenten aus Europa und den USA fanden den
Weg nach Leipzig, darunter Kevin Mitnick, Wietse Venema, Adam Laurie und Michael Steil.
Felix "FX" Lindner von den Sabre Labs zeichnete ein wenig optimistisches Zukunftsbild: Während
Perimetersicherheit immer weniger zur Sicherheitsbilanz einer Organisation beitragen könne, sei
auch das Problem der Sicherheitslücken in moderner Software nicht in den Griff zu bekommen. Windows
Vista etwa würde für eine echte Qualitätsüberprüfung mehr Spezialisten erfordern, als weltweit
überhaupt zu bekommen seien. Die Qualitätskontrolle von Open Source wiederum funktioniere nur bei
Projekten gut, die im Mittelpunkt des allgemeinen Interesses stünden. Andere Faktoren seien die
Übermacht von C und C++ als fehleranfällige Sprachen mit direktem Speicherzugriff und der Trend zu
Web 2.0, der I/O-Fehlern zusätzliche Bedeutung gebe und die unsicheren Browser zur zentralen
Client-Software erkläre. Die akademische Welt schließlich befasse sich kaum noch mit dem Problem
der Überprüfung von Software auf Funktionsfähigkeit. Für objektorientierte Programmierung und
weborientierte Anwendungen gebe es heute, so FX, keine anwendbaren Prüftechniken. Melanie Rieback
zeigte, dass Code-Injektion in Datenbanken, wie sie in der RFID-Middleware zum Einsatz kommen, auch
über die RFID-Chips ausgeführt werden kann: Sowohl 2-kByte-Chips als auch 1-kByte-Chips bieten
genug Platz für Programmbausteine, die beispielsweise Server außer Betrieb setzen, die Steuerung
der Systeme an fremde Adressen umleiten und obendrein Funktionen zur Selbstreplikation
enthalten.
Michael Steil, einer der Hauptakteure des Linux-Xbox-Projekts, zeigte anhand des
Sicherheitssystems der Microsoft-Spielekonsole, wie ein Security-Konzept allein durch die
Ausrichtung auf mehrere Ziele zugleich Lücken bekommen kann: Bei der Xbox etwa kamen sich der
Wunsch, Linux-Implementierungen auszuschließen, und andere DRM-Maßnahmen (Digital Rights
Management) für den Spiele- und Softwareschutz ins Gehege. Zusätzlich kompromittierten Sparzwänge
das Konzept so weit, dass es schließlich geknackt werden konnte. Dass in Vista ähnliche
Interessenkonflikte eine Rolle spielen könnten, zeigt ein Beitrag von Reinhard Wobst zur
Vista-Verschlüsselung im "LANline Technology Guide 2007" (Seite 22).
Biometrie ergänzt bestehende Systeme
Marc Maiffret, nach eigenem Bezeugen "Chief Hacking Officer" bei E-Eye Digital Security, wies in
Leipzig darauf hin, dass ein verbessertes Windows immer noch den Sicherheitslücken der darauf
installierten Anwendungssoftware ausgeliefert sei. Darüber hinaus zeigte er live ein kurzes Skript,
das – einfach auf einer Website platziert – beim Aufruf per Internet Explorer kurzerhand die
Vista-Firewall ausschaltete und einem Angreifer vollen Zugriff auf den PC erlaubte. Das Wettrennen
zwischen Microsoft und den mehr oder weniger "guten" Hackern ist also schon längst in der nächsten
Runde. Auch der Hoffnungsträger Biometrie blieb in Leipzig nicht ungeschoren. "Biometrie ist ein
Gebiet, das durch unrealistische Erwartungen und unzureichende Technologie gekennzeichnet ist",
lautete die Kernthese eines Vortrags von Mikko Kiviharju. Der Referent bezweifelte allerdings nicht
den Nutzen der Biometrie an sich, sondern wandte sich gegen die Vorstellung, man könne damit
Schlüssel und Kennwörter ersetzen. Kombiniert man dagegen biometrische Personenerkennung mit
anderen Methoden der Authentifizierung, kann man seiner Ansicht nach nicht nur auf einen
Sicherheitsgewinn zählen, sondern bügelt auch prinzipielle Nachteile der Biometrie aus – dazu
gehört neben der grundsätzlichen Fehleranfälligkeit zum Beispiel das Problem, dass biometrische
Anmeldedaten als alleinige Credentials mit heutiger Technik nicht problemlos zurückzurufen sind.
Außerdem erledigt sich durch die Kombination mit "Wissen" und "Haben" die zumindest theoretisch
vorhandene Gefahr, dass nach Missbrauchsfällen von Biometriedaten einem Individuum die
Anmeldekennzeichen ausgehen könnten (siehe dazu auch "Zum Gebrauch von Hand und Fuß" in LANline
2/2007, Seite 32).
Kevin Mitnick, ehemaliger Hacker und heute erfolgreicher Buchautor ("Die Kunst der Täuschung")
sowie Inhaber einer eigenen Sicherheitsfirma, stand LANline in Leipzig nach seiner Keynote auf der
Konferenz "IT-Defense 2007" für ein Exklusiv-Interview zur Verfügung. Die Fragen gehen auf
Vorarbeiten aus dem Seminar "Social Engineering in Informationssystemen" von Dr. Werner Degenhardt
und Dr. Johannes Wiele im Sommersemester 2006 an der Universität München zurück.
LANline: Wie würden Sie Bruce Schneiers These kommentieren, dass semantische Attacken (Angriffe
auf menschliche Schwächen) in Zukunft ernster zu nehmen sein werden als physische und syntaktische
(Angriffe auf Hardware oder Protokolle und Software)?
Mitnick: Die Angreifbarkeit des Menschen hätte man schon immer mindestens so wichtig nehmen
müssen wie die der Technik. Wie immer man es dreht und wendet – man muss Personen dagegen wappnen,
betrogen zu werden, gleichgültig mit welcher Methode der Angreifer arbeitet.
LANline: Ebenfalls von Bruce Schneier kommt die Idee des "Attack Trees", eines Ablaufdiagramms
für technische Attacken, die ein Angreifer abarbeitet. Funktioniert so auch Social Engineering?
Mitnick: Nein, hier gibt es Unterschiede. Der Social Engineer, der menschliche Schwachstellen
ausnutzen will, hangelt sich von Information zu Information und Individuum zu Individuum. Sein
jeweils nächster Schritt hängt immer davon ab, was er im vorherigen herausbekommt. Exakte
Vorausplanung oder eine verallgemeinernde Strukturierung sind deshalb nur begrenzt möglich, jeder
Angriff nimmt neue Wege.
LANline: Der amerikanische Psychologe Robert Cialdini hat sechs "Waffen der Einflussnahme"
beschrieben, nach denen ein Mensch angreifbar sei: Über Reziprozität (man gibt ein Geschenk und
fordert später eine Gegenleistung ein), Kommitment und Konsistenz (man verleitet jemanden zu einer
Zusage oder appelliert an seine Prinzipien), über soziale Bewährtheit (jeder orientiert sich an der
Praxis von Menschen in ähnlichen Lebensumständen), und schließlich über Sympathie, Autorität und
Knappheit (man gaukelt jemandem vor, die Zeit sei knapp oder ein bestimmtes Gut limitiert). Was
davon funktioniert Ihrer Meinung nach am besten?
Mitnick: Sympathie, Autorität und Reziprozität sind am wirksamsten. Die Reihenfolge variiert ein
wenig, denn eine streng hierarchisch aufgebaute Institution wie beispielsweise die Polizei oder
Feuerwehr bekommt man besonders leicht durch Vorspiegelung von Autorität in den Griff – Befehle
werden hier kaum einmal hinterfragt und meistens befolgt. Außerdem leiden immer einzelne Personen
unter der Hierarchie, an deren Hilfsbereitschaft man gut appellieren kann.
LANline: Wie kommt es, dass angesichts der Wirksamkeit von Social Engineering Angreifer auf
Informationsbestände immer noch mehrheitlich auf technischen Wegen vorgehen?
Mitnick: Ich glaube das gar nicht – einige Statistiken mögen diese Interpretation nahe legen,
aber das Verhältnis bei echter Industriespionage etwa ist ja aufgrund der Schweigsamkeit der
Betroffenen kaum bekannt.
LANline: Was sind Ihrer Meinung nach die wirkungsvollsten Maßnahmen gegen
Social-Engineering-Attacken?
Mitnick: Man sollte den potenziellen Opfern unbedingt die Techniken der Angreifer erklären. Sie
müssen außerdem dringend lernen, bei verdächtigen Fragen oder Handlungsanweisungen guten Mutes "
nein" zu sagen oder darum zu bitten, die Rechtmäßigkeit eines Antrags selbstständig überprüfen zu
können – hier muss ein Unternehmen hinter seinen Mitarbeitern stehen, auch wenn durch diese Praxis
einmal ein wichtiger Kunde oder Partner einen Check über sich ergehen lassen muss. Und dann gibt es
noch einen besonders wichtigen Punkt, der aber teuer ist und viel Mühe kostet: Information im
Unternehmen muss in Hinblick auf Vertraulichkeit klassifiziert werden, und jeder Mitarbeiter muss
darüber unterrichtet sein, welchen Wert die Informationen haben, auf die er zugreifen kann – nicht
nur für sein Unternehmen, sondern auch für eine Person, die die Daten vielleicht missbrauchen
will.
Lesen Sie mehr zum Thema
