Vom 26. bis 28. März fand im kanadischen Vancouver die Sicherheitskonferenz CanSecWest 2008 statt. Im Rahmen der Konferenz lief der 'PWN to OWN'-Wettbewerb: Drei Notebooks mit einem sich auf dem aktuellen Stand befindenden Betriebssystem (Ubuntu, Windows Vista und Mac OS X) waren "zum Abschuss freigegeben" - wer es schaffte, einen der Rechner unter seine Kontrolle zu bringen und eine darauf gespeicherte Datei zu lesen, bekam den Rechner geschenkt und dazu noch einen je nach Art des Angriffs gestaffelten Geldpreis. Die Preise wurden von der TippingPoint Zero Day Initiative (ZDI) zur Verfügung gestellt, die dafür im Gegenzug die gefundenen Schwachstellen für sich beanspruchte, um sie an die jeweiligen Hersteller zu melden.

Bei den anzugreifenden Notebooks handelte es sich um ein VAIO VGN-TZ37CN mit Ubuntu 7.10, ein Fujitsu U810 mit Vista Ultimate SP1 und ein MacBook Air mit Mac OS X 10.5.2. Ein einmal gehackter Rechner wurde aus dem Wettbewerb genommen.

Am ersten Tag durften nur Exploits für aus der Ferne ausnutzbare Schwachstellen, die keine vorherige Authentifizierung erfordern, eingereicht werden. Für einen erfolgreichen Angriff gab es außer dem übernommenen Notebook 20.000 Dollar in bar. Diesen Tag überstanden alle 3 Notebooks unversehrt.

Am zweiten Tag sank der Geldpreis auf 10.000 Dollar, dafür durften nun auch die mit dem System mitgelieferten Anwendungsprogramme angegriffen werden. Dabei waren auch Benutzeraktionen erlaubt, z.B. das Anklicken eines Links in einer E-Mail oder der Besuch einer bösartigen Webseite. Das war für das MacBook fatal, es fiel einer 0-Day-Schwachstelle in Safari zum Opfer. Genau dasselbe hatten wir schon mal, im vergangenen Jahr, auf der CanSecWest 2007. Auch damals wurde ein MacBook über eine Schwachstelle in Safari übernommen, die sich dann aber als Schwachstelle in QuickTime entpuppte. Die Entdecker der neuen Schwachstelle, Charlie Miller, Jake Honoroff und Mark Daniel von Independent Security Evaluators, wurden durch den erfolgreichen Angriff um 10.000 Dollar und ein MacBook Air reicher, und das MacBook war aus dem Rennen.

Am dritten Tag ging es noch um 5.000 Dollar, dafür wurden nun auch eine Reihe von Anwendungsprogrammen anderer Hersteller auf den verbleibenden Notebooks installiert. Dabei erwischte es das Vista-Notebook, das einer 0-Day-Schwachstelle in Adobes Flash zum Opfer fiel. Die Schwachstelle wurde von Shane Macaulay von Security Objectives gefunden, der von Derek Callaway und Alexander Sotirov unterstützt wurde. Er gewann das Fujitsu U810 Notebook und 5.000 Dollar.

Damit gibt es drei Gewinner: Das Team von Independent Security Evaluators, Shane Macaulay - und das Notebook mit Ubuntu Linux, das allen Angriffen widerstand. Bedeutet das, dass Linux sicherer ist als Windows Vista und Mac OS X? Ein derartiger Wettbewerb kann diese Frage nicht beantworten. Trotzdem würde mich interessieren, wie viele Angriffe es insgesamt gab, und wie sie sich auf die Betriebssysteme verteilen. Interessant wäre auch die Information, ob die Flash-Schwachstelle auch unter Linux existiert. Dann hätte Ubuntu vielleicht nur gewonnen, weil das Fujitsu-Notebook interessanter als das VAIO war.

Einnehmende Nutzungsbedingungen

Über Nutzungsbedingungen, mit denen sich manche Anbieter teilweise eine Blankovollmacht für die Nutzung der an sie übermittelten Daten ausstellen lassen, hatte ich ja am 11. Februar schon mal etwas geschrieben. Damals war es ein Newcomer, jetzt versucht Adobe Ähnliches mit den Nutzungsbedingungen für Photoshop Express: Von den dafür geltenden "Additional Terms" gelangt man zu den "General Terms", und die enthalten dann unter Punkt 8, "Use of Your Content", folgenden Passus:

"a. Adobe does not claim ownership of Your Content. However, with respect to Your Content that you submit or make available for inclusion on publicly accessible areas of the Services, you grant Adobe a worldwide, royalty-free, nonexclusive, perpetual, irrevocable, and fully sublicensable license to use, distribute, derive revenue or other remuneration from, reproduce, modify, adapt, publish, translate, publicly perform and publicly display such Content (in whole or in part) and to incorporate such Content into other Materials or works in any format or medium now known or later developed."

Eigentumsrechte wollen sie also nicht, aber dafür das Recht, mit dem veröffentlichten Material machen zu können, was sie wollen. Man stelle sich vor, in den Lizenzbedingungen für ein normales Programm stände so etwas für die damit erstellten Dateien - das würde wohl kaum noch Käufer finden. Aber vielleicht wollte Adobe auch einfach nur zum Ausdruck bringen, dass sie gar keine Nutzer wünschen? Inzwischen hat Adobe so viel Gegenwind bekommen, dass man über eine Änderung der Bedingungen nachdenkt: "Unsere Rechtsabteilung arbeitet mit hoher Priorität an neuen Geschäftsbedingungen, die den Photoshop-Express-Nutzern angemessen sind." Was ist so schwierig daran, alles nach "Adobe does not claim ownership of Your Content." zu löschen?

Also: Vorsicht, wenn irgendjemand einen Dienst anbietet, bei dem er Benutzerdaten auf seinen Servern speichert. Da ist die Versuchung groß, sich die unter den Nagel zu reißen. Wie heißt es so schön: Gelegenheit macht Diebe.

Datenschleuder mit Gimmick
Diesmal: Der Fingerabdruck des Innenministers

Der CCC hat in der aktuellen Ausgabe seiner Vereinszeitschrift "Die Datenschleuder" einen Fingerabdruck von Bundesinnenminister Dr. Wolfgang Schäuble veröffentlicht und gleich eine passende Attrappe beigelegt. Das Ganze soll der Debatte um die biometrische Kompletterfassung der Bundesbürger neue Impulse geben. Ich warte gespannt darauf, wie das Innenministerium reagiert.

Carsten Eilers