In diesem Standpunkt Sicherheit dreht sich alles um Sicherheit, Schwachstellen und Verantwortungsbewusstsein bzw. dessen Fehlen.

Als Vorfilm ein bisschen Krimi...

"Angeklagter, Sie behaupten, also, sie haben mit der ganzen Sache überhaupt nichts zu tun?"

"Genau, ich war nicht mal in der Stadt!"

"Wie haben hier aber ein Foto aus einer Geschwindigkeitskontrolle, aufgenommen am Tattag, auf dem Sie eindeutig zu erkennen sind!"

"OK, ich gebe es zu, ich war in der Stadt. Aber nicht mal in der Nähe des Tatorts!"

"Nun, hier haben wir ein Strafmandat wegen Parkens an einer abgelaufenen Parkuhr für ihren Wagen, genau vor dem Tatort."

"Nun, dann muss ich da wohl geparkt haben. Trotzdem habe ich nichts mit der Sache zu tun!"

"Dieses Foto der Überwachungskamera zeigt Sie beim Betreten der Bank."

"Ach, jetzt, wo Sie es sagen, fällt es mir wieder ein. Stimmt, ich wollte da Geld wechseln, für die Parkuhr!"

"Und auf diesem Foto ziehen Sie eine Maske über ihr Gesicht!"

"Nein, nein, das sieht nur so aus. Das Gummi meiner Mütze ist lose, die rutscht mir immer ins Gesicht, da ziehe ich sie auch gerade wieder hoch!"

"Und wieso hat ihre Mütze Mund- und Augenschlitze?"

"Damit ich noch was sehen kann, falls sie mir beim Autofahren runter rutscht!"

"Aha. Auf dem nächsten Foto sieht man, wie Sie, immer noch mit der Maske vor dem Gesicht, mit einer Pistole den Kassierer bedrohen!"

"Da ist die Mütze schon wieder runtergerutscht, und das ist eine Wasserpistole für meinen Sohn, die musste ich aus der Tasche ziehen, damit ich an mein Geld kam."

"Und hier habe ich ein Foto, auf dem man sieht, wie sie auf den Blumentopf neben der Kasse schießen."

"Ich gebe ja zu, dass das so aussieht, aber ich wollte nur die Blumen etwas gießen, die sahen so vertrocknet aus. Was meinen Sie, wie ich mich erschreckt habe, als die Wasserpistole plötzlich geknallt hat? Das Wasser muss wohl irgendwie verunreinigt gewesen sein..."

"Machen wir es kurz: Ich habe hier Fotos, auf denen Sie dem Kassierer einen Beutel geben, der den Kasseninhalt rein tut und sie flüchten. Was haben Sie dazu zu sagen?"

"Der Beutel war doch nur für das Kleingeld, keine Ahnung, wieso der mir da mehr rein getan hat. Und ich bin nicht geflüchtet, ich wollte nur schnell zu meinem Wagen. Ich hatte doch noch nichts in die Parkuhr getan, und ich hörte gerade Polizeisirenen..."

"Angeklagter, ich vermute, ihr Anwalt hat ihnen empfohlen, nichts zuzugeben, was ich ihnen nicht beweisen kann, richtig?"

"Dazu muss ich erst meinen Anwalt fragen..."

Des Rätsels Lösung...

Was das mit IT-Sicherheit zu tun hat? Eigentlich nichts. Aber an sowas in der Art musste ich denken, als ich vorige Woche die Einträge für die 0-Day-Schwachstelle in Adobe Reader und Acrobat aktualisiert habe. Eigentlich ging es dabei um eine Schwachstelle, die Ende Februar als 0-Day-Schwachstelle gemeldet worden war, die ersten Patches gab es dann am 11. März in Form von Version 9.1 für Mac OS X und Windows, für den 18. März wurden Updates für Version 7 und 8 angekündigt. Diese Updates kamen dann auch - zusammen mit dem Hinweis, das außerdem eine weitere Schwachstelle (CVE-2009-0927) in einer JavaScript-Methode behoben wurde, die ebenfalls in Version 9.1 behoben worden war. Diese neue Schwachstelle wurde außerdem bereits in der im November 2008 erschienenen Version 8.1.3 behoben. Das merkwürdige daran (außer, das die jetzt erst quasi "nachgemeldet" wurde und sie auch im Advisory zu Version 8.1.3 nicht enthalten ist): Die zugehörige CVE-ID wurde erst am 17.3.2009 zugewiesen.

Irgendwie kam mir das bekannt vor - Adobe, nachgemeldete Schwachstellen, das hatten wir erst, vor nicht all zu langer Zeit. Ein kurzer Blick in meine Schwachstellendatenbank lieferte die Lösung: Im Oktober 2008 wurden einige Schwachstellen in Flash behoben, zuerst nur in Version 10. Anfang November 2008 gab es ein Update für Version 9, und knapp zwei Wochen später wurden ein paar Schwachstellen nachgeschoben, die mit den vorherigen Updates ebenfalls behoben worden waren. Überraschung: Kurz darauf erschien ergänzend dazu ein Advisory der Entdecker der Schwachstellen, z.B. auf der Mailingliste Bugtraq.

Das lässt eigentlich nur zwei mögliche Schlüsse zu: Entweder, Adobe gibt Schwachstellen erst dann zu, wenn es sich nicht mehr vermeiden lässt. Oder bei denen herrscht ein derartiges Chaos, das beim Freigeben von Updates und dem Veröffentlichen von Security-Advisories dazu keiner genau weiss, welche Schwachstellen denn nun behoben wurden und welche nicht. Egal, ob nun die eine oder die andere oder auch beide Vermutungen zutreffen: Besonders Vertrauenserweckend ist das Ganze nicht.

CanSecWest Pwn2own-Wettbewerb

Wie schon 2007 und 2008 fand auch dieses Jahr auf der Sicherheitskonferenz CanSecWest der Pwn2own-Wettbewerb statt: Wem es als erstem gelang, auf einem zur Verfügung gestellten Notebook über eine Schwachstelle im Webbrowser eigenen Code auszuführen, gewann das Notebook sowie einen Geldpreis von 5.000 US-Dollar. Angegriffen wurden ein Vaio-Notebook unter Windows 7 mit dem Internet Explorer 8, Firefox und Chrome sowie ein MacBook unter Mac OS X mit Safari und Firefox. Die Startreihenfolge der Teilnehmer wurde ausgelost, als erster kam Charlie Miller an die Reihe (der 2008 in einem Team ein MacBook Air und 10.000 US-Dollar gewonnen hatte), der Safari unter Mac OS X angriff und in weniger als 2 Minuten erfolgreich war. Damit gehören das MacBook und 5.000 US-Dollar ihm. Gratulationen sind aber nicht angebracht: Miller gab an, die Schwachstelle bereits im letzten Jahr entdeckt und bisher geheim gehalten zu haben. Einem anderen Bericht zu folge hat er über ein Jahr an dem Exploit gearbeitet. Mit anderen Worten: Er kannte die Schwachstelle seit über einem Jahr - und hat sie nicht an Apple gemeldet, sondern darauf gewartet, dieses Jahr ein MacBook und 5.000 US-Dollar zu kassieren. Und damit hat er alle Benutzer ein Jahr lang der Gefahr ausgesetzt, das diese Schwachstelle von Kriminellen entdeckt und ausgenutzt wird.

Ach ja: Was hätte Miller denn gemacht, wenn er nicht als erster ausgelost worden wäre? Wäre Nils vor ihm mit Safari dran gekommen, hätte der das MacBook gewonnen. Hätten Miller die 5.000 US-Dollar gereicht, oder hätte er bis nächstes Jahr gewartet, um seinen Exploit vorzuführen?

Einen sehr treffenden Kommentar gibt es von Ross Thomas im Blog von Sophos. Dem habe ich wenig hinzuzufügen, nur einen Punkt:

"If this competition hadn't existed, I never would have found this bug," sagte Miller. Aha, er ist also für ca. 7.500 US-Dollar zu kaufen. Das ist billig, auf dem Schwarzmarkt hätte er deutlich mehr bekommen können. Fühlt er sich jetzt als Held? Ich würde ihn eher als verantwortungsloses Individuum bezeichnen. Von einem 'principal security analyst' sollte man eigentlich ein anderes Verhalten erwarten. Ob das eine gute Werbung für seinen Arbeitgeber ist? Ich frage mich ja, was für Schwachstellen er denn noch geheim hält, schließlich ist nächstes Jahr ja wieder ein Pwn2own-Wettbewerb. Und vielleicht gibt es ja noch andere Wettbewerbe oder sonstige Gelegenheiten, ein bisschen was dazu zu verdienen.

Carsten Eilers