Heute gibt es mal wieder ein Update zum Standpunkt der Vorwoche. Zuerst gibt es doch noch einen Kommentar zu Jeff Jones Analyse der Schwachstellen in Internet Explorer und Firefox. Die hat, wie zu erwarten war, einiges an Kritik hervorgerufen, z.B. von Mozillas Sicherheitschefin Window Snyder und dem Firefox-Entwicklungsleiter Mike Schroepfer. Eine ähnliche Situation hatten wir ja schon im Juni, als ebenfalls von Jeff Jones der 'Windows Vista 6-Month Vulnerability Report' veröffentlicht wurde, siehe meinen Kommentar im 'Standpunkt Sicherheit' vom 25. Juni.

Mal abgesehen davon, dass ein Vergleich der Sicherheit von Programmen durch simples Zählen von gefundenen und/oder behobenen Schwachstellen vollkommen unsinnig ist, gibt es beim Vergleich von Internet Explorer und jedem anderen Browser ein weiteres, prinzipielles Problem: Der Internet Explorer ist dermaßen mit Windows verflochten, dass man ihn mit einem ausgewachsenen Krebsgeschwür vergleichen kann - mit Metastasen in allen möglichen Systemkomponenten. Wer sich Microsofts Security Bulletins ansieht, wird immer wieder auf Schwachstellen stoßen, die im Internet Explorer behoben wurden, obwohl sie weder auf den ersten noch auf den zweiten Blick etwas mit einem Webbrowser zu tun haben. Andererseits gibt es auch Schwachstellen, die in anderen Systemkomponenten behoben wurden, aber nur über den Internet Explorer ausgenutzt werden können.

Vergleicht man nun den Internet Explorer mit anderen Webbrowsern, müssen diese Schwachstellen ausgeklammert bzw. einbezogen werden. Jeff Jones hat nun z.B. die sog. URI-Schwachstelle nicht berücksichtigt, da die Schwachstelle sich in der Windows-Funktion ShellExecute() und nicht im Internet Explorer befindet. Das wäre weiter kein Problem - hätte er nicht den Patch in Firefox, der eine Ausnutzung dieser Schwachstelle verhindert, berücksichtigt. Also entweder eine Schwachstelle muss in beiden Browsern berücksichtigt werden, oder in keinem.

Dann sind da die Schwachstellen in ActiveX-Controls: Die werden über den Internet Explorer ausgenutzt - aber wann werden sie ihm zugeordnet und wann nicht? Dazu kommt, dass Microsoft Patches oft gebündelt ausliefert - werden die als ein Fehler gezählt, oder wird jeder einzelne Patch separat gezählt? Common Vulnerabilities and Exposures (CVE) vergibt eindeutige Bezeichner, die sog. CVE-IDs, für alle öffentlich bekannt gewordenen Schwachstellen. Nun könnte man einfach diese CVE-IDs zählen, so wie es Jeff Jones getan hat. Das Problem ist nur, dass durchaus mehrere Schwachstellen in einem Programm oder eine Schwachstelle in mehreren Programmen, z.B. verschiedenen ActiveX-Controls, eine gemeinsame CVE-ID bekommen. So z.B. auch die von Microsoft gebündelt ausgelieferten Patches für ActiveX-Controls: Da gilt "1 Patch = 1 CVE-ID", entsprechend gibt es für die Schwachstellen in mehreren ActiveX-Controls nur eine einzige CVE-ID. Zählt man nun für den Vergleich "1 CVE-ID = 1 Schwachstelle", erhält man andere Ergebnisse als bei der Zählung der Schwachstellen in den einzelnen Programmen.

Jetzt könnte man sagen, die Analyse war vollkommen unnötig. Das stimmt sogar, wenn man daraus die Folgerung "Ein Browser ist sicherer als der andere" ziehen wollte. Die würde, je nach Interpretation und Auswahl der Daten, zum gewünschten Ergebnis führen. Aber es gibt trotzdem einen positiven Effekt: Es wird über Sicherheit diskutiert, und alle Entwickler werden sich Mühe geben, bei der nächsten derartigen Analyse ihren Browser vorne zu sehen. Und das führt hoffentlich zu sichereren Browsern.

Die Chinesen kommen ...

Und teilweise sind sie sogar schon da, genauer: Drin. In den Netzen von Unternehmen und öffentlichen Forschungsinstituten. Laut der britischen Times wurden Angriffe auf die Netze von Rolls-Royce und Royal Dutch Shell abgewehrt. Laut der New York Times sind chinesische Hacker auch für gezielte Angriffe auf das US-amerikanische Oak Ridge National Laboratory verantwortlich. McAfees "Virtual Criminology Report" wurde also eindrucksvoll bestätigt.

... und die Polizei will auch mitspielen

Nein, nicht beim Abwehren chinesischer Spionage-Angriffe, sondern beim Spionieren. Da muss jemand beim BKA wohl George Orwells 1984 gelesen und dann leuchtende Augen bekommen haben. Wie der Spiegel berichtet, möchte die Polizei nicht mehr nur noch lauschen, sondern auch spähen. Und W-LAN-Catcher hätte man gerne. Was das ist? "Die Geräte, die bislang nur beim BKA sowie in Bayern, Baden-Württemberg und Nordrhein-Westfalen eingesetzt werden, simulieren einen Zugangspunkt fürs Internet - und ermöglichen so die Überwachung des Datenverkehrs." (lt. obiger Spiegel-Meldung). Ach so - Rouge Access Points, siehe About Security #117. Ja, meine Damen und Herren von der Polizeiführung, da muss ich Sie jetzt leider enttäuschen: Das ist ein alter Hut, dagegen kann man sich schützen. Und Ende-zu-Ende-verschlüsselte Daten können Sie so auch nicht belauschen. Vielleicht sollten Sie sich doch etwas nützlicheres zu Weihnachten wünschen. Wie wäre es z.B. mit ein paar IT-Kursen? Oder ein paar kommentierten Ausgaben des Grundgesetzes und des Bundesdatenschutzgesetzes?

Wenn ich die ständig weiter ausufernden Überwachungswünsche von Innenpolitikern, Polizei und Geheimdiensten betrachte, frage ich mich langsam, warum die noch nicht im Verfassungsschutzbericht aufgeführt sind. Oder stehen sie im nächsten? Verdient hätten sie es.

Patchday in Sicht

Am Dienstag ist Microsofts Dezember-Patchday. Angekündigt wurden 3 kritische und 4 wichtige Security-Bulletins. Alle kritischen und zwei der wichtigen Bulletins betreffen Schwachstellen, die die Ausführung beliebigen Codes aus der Ferne erlauben, die zwei übrigen wichtigen Bulletins betreffen Privilegien-Eskalation. Da gibt es also passend zur sowieso schon hektischen Vor-Weihnachtszeit reichlich zu tun. Na, dann mal los!

Carsten Eilers