Channel Security

Heute möchte ich zuerst auf einen Satz aus dem 'Standpunkt Sicherheit' vom 16. April zurückkommen. Zu einer über eine Webseite ausnutzbaren Schwachstelle schrieb ich damals "Microsoft weist in solchen Fällen immer darauf hin, dass der Angreifer das Opfer nicht dazu zwingen kann. Das ist aber auch gar nicht nötig, wenn die präparierte URL über Cross-Site-Scripting in eine beliebte Website eingeschleust wird. Die wird ganz freiwillig besucht." Etwas Ähnliches ist jetzt passiert: Google hat bestätigt, dass über AdWords-Anzeigen auf eine Seite verlinkt wurde, die dann über eine Schwachstelle im Internet Explorer eine Hintertür und einen Keylogger installiert hat. Die verwendeten Suchbegriffe (z.B. 'BetterBusinessBureau OR "Florida Business Opportunity Law" OR "Modern cars airbags required"') sind so außergewöhnlich, dass es für mich fast schon nach einem gezielten Angriff aussieht. Mit etwas Social Engineering bekommt man sein Opfer bestimmt dazu, nach bestimmten Stichwörtern im Internet zu suchen. Und 'im Internet zu suchen' ist heutzutage ja quasi ein Synonym für die Suche mit Google. Wenn die Kombination der Suchbegriffe ungewöhnlich genug ist, dürfte auch die passende präparierte Werbung mangels Konkurrenz einfach zu platzieren sein.

Inzwischen liegt auch eine direkte Stellungnahme von Google vor. Google löscht demnach Seiten, die Schädlinge verbreiten sollen aus den Suchergebnissen. Wie wird das denn dann beim Bundestrojaner? Wird eine entsprechende Seite dann unter google.de angezeigt, unter google.com nicht? Da ergeben sich doch nette neue Möglichkeiten, Googles nationale Eigenheiten zu nutzen. Und der Bundestrojaner ist noch lange nicht vom Tisch: Herr Schäuble hat zwar ein Moratorium verkündet, aber nur um noch mal richtig Schwung zu holen bei seinem Ansturm aufs Bundesverfassungsgericht. Das wird dann gewaltig scheppern, wenn er da mit seinen Gesetzesänderungen vor die Wand knallt.

Und Berlins Innensenator Ehrhart Körting hat mit seiner Aussage im oben verlinkten Artikel vollkommen recht: Mit dem Bundestrojaner fängt man nur DAUs, die 'Dümmsten Anzunehmenden User'. In diesem Fall dann wohl DATs, die 'Dümmsten Anzunehmenden Terroristen'. Das wäre doch was fürs Fernsehen: "Bundesverfassungsschutz sucht den Super-DAT". Der Gewinner bekommt einen kostenlosen Lehrgang "PC für Anfänger" bei der nächstgelegenen Volkshochschule.

Keine Lücke in Safari, dafür in QuickTime
Die im 'Standpunkt Sicherheit' der letzten Folge erwähnte Schwachstelle in Safari befindet sich tatsächlich in QuickTime bzw. im Zusammenspiel von QuickTime und Java. Dass Java beteiligt sein könnte, hatte ich ja letzte Woche schon vermutet, da auch Firefox von der Schwachstelle betroffen sein sollte. Außer QuickTime für Mac OS X ist auch die Windows-Version betroffen. Da stellt sich doch die Frage, ob sich die Schwachstelle für einen systemübergreifenden Angriff eignet. Im 'Standpunkt Sicherheit' vom 11. September 2006 hatte ich mir ja schon mal Gedanken darüber gemacht.

Das Folgende ist mangels weitergehender Informationen über die Schwachstelle reine Spekulation: Die Schwachstelle hängt mit der Java-Integration in QuickTime zusammen. Java an sich ist systemunabhängig: Sofern der Angriff über Java-Code funktioniert, sollte es also egal sein, ob ein Windows- oder Mac OS X-System angegriffen wird. Die spannende Frage ist dann, wie es weitergeht. Sofern nur Java genutzt wird, sollte auch der Rest systemunabhängig sein. Aber Java müsste dafür aus der Java-Sandbox ausbrechen, und davon war bisher nicht die Rede. Es könnte sich um eine Pufferüberlauf-Schwachstelle handeln. Pufferüberläufe in allen möglichen Variationen sind wohl die häufigste Schwachstellen, wenn man Cross-Site-Scripting und SQL-Injection außen vor lässt. Ein üblicher Exploit für einen Pufferüberlauf nutzt sog. Shell-Code (siehe About Security #5), um eine Hintertür zu öffnen. Der ist ziemlich kurz, es sollte also kein Problem sein, sowohl eine Windows- als auch eine Mac OS X-Version davon in den Schädling zu packen. Der Java-Code prüft dann, welches System er vor sich hat (dazu reicht es, z.B. nach c:/ zu suchen: Klappts, läuft Windows. Klappts nicht, ist es ein Mac) und schleust dann den passenden Shell-Code ein. Theoretisch sollte das kein Problem sein. Praktisch hoffentlich doch. Warten wir mal ab, was noch an Informationen veröffentlich wird.

Carsten Eilers