Adobes Patchday, Skriptkiddies aus dem Mittelmeer-Raum und nutzlose Umfragen sind die Themen dieses Standpunkt Sicherheit.

Adobe kapert Microsofts Patchday

Adobe hat angekündigt, Patches für Adobe Reader und Acrobat ab dem Sommer regelmäßig quartalsweise zu veröffentlichen und dafür jeweils Microsofts Patchday zu verwenden, Patches für kritische Schwachstellen sollen bei Bedarf außer der Reihe veröffentlicht werden.

Die Ankündigung hat zwei Schönheitsfehler. Nummer 1: Es ist ja schön, wenn endlich etwas für die anscheinend nicht sehr gute Codequalität von Adobe Reader und Acrobat getan wird. Das Schwachstellen darin bei Cyberkriminellen sowohl für gezielte Angriffe (bestätigt von F-Secure) als auch im Rahmen von Drive-by-Infektionen (mein persönlicher Eindruck) besonders gerne ausgenutzt werden, ist schließlich keine besonders erstrebenswerte Auszeichnung. Insofern also: Bravo. Aber was ist mit den anderen Adobe-Produkten? Vor allem dem Flashplayer? Schwachstellen darin eignen sich auch für Angriffe über Websites, insbesondere also für die inzwischen weit verbreiteten Drive-by-Infektionen, und wenn es in Zukunft weniger Schwachstellen in Adobe Reader und Acrobat gibt, könnten sich die Cyberkriminellen nach Ersatz umsehen - und dabei im Flashplayer fündig werden. Warum gilt die "Qualitätsoffensive" also nicht für alle Programme, oder zumindest für die, die übers Web angreifbar sind?

Oder denkt Adobe, das die Sicherheit des Flashplayers vernachlässigbar ist? Nach dem Motto "Die Benutzer laden sowieso alle ständig Fake-Player runter und fangen sich damit Schadsoftware ein, da kommt es auf ein paar Lücken im richtigen Player gar nicht mehr an"?

Schönheitsfehler Nummer 2: Wieso ausgerechnet der Microsoft-Patchday? Ein Monat hat pi mal Daumen 20 Werktage - warum sollte man dann ausgerechnet den nehmen, an dem die IT-Abteilungen schon mit dem Testen der Microsoft-Patches ausgelastet sind? Klar, wenn Microsoft nur ein oder zwei Bulletins veröffentlicht, kommt es auf ein oder zwei zusätzliche von Adobe nicht mehr an. Aber was ist, wenn Microsoft mal wieder einen Rundumschlag mit zig Bulletins zu allen verfügbaren Produkten startet? Da werden sich die fürs Testen zuständigen riesig freuen, wenn dann auch noch Adobe ein paar drauflegt. 'Based on feedback from our customers,...' steht in der Ankündigung. Das die wirklich so wild auf die zusätzliche Arbeit an einem sowieso schon arbeitsreichen Tag sind, kann ich mir eigentlich nicht vorstellen. Ich jedenfalls kann dankend darauf verzichten. Brian Krebs zitiert in seinem Blog bei der Washington Post Brad Arkin, Adobes 'Director for Product Security and Privacy' mit

"The feedback from customers is that getting any patches for Reader and Acrobat out at the same time as Microsoft allows them to leverage existing processes and resources to get desktops updated as quickly as possible."

Leider steht da nicht, um welche "Customer" es sich handelt. Dem Endbenutzer, der nur die Patchprogramme etc. laufen lässt, ist es wahrscheinlich egal, ob er einen Patch mehr oder weniger installiert, wenn er es überhaupt tut. Aber in Unternehmen, in denen die Patches erst auf Verträglichkeit mit den vorhandenen Programmen etc. getestet werden müssen, sieht das doch wohl ganz anders aus.

Die vorhandenen Prozesse und Ressourcen sind doch mit den Microsoft-Patches ausgelastet - warum sollte man die freiwillig zusätzlich belasten und unter Druck setzen? Ich erinnere nur an den Exploit-Thursday, der auf manchen Patch-Tuesday folgte und an dem Exploits für die gerade von Microsoft geschlossenen Schwachstellen auftauchten. In Zukunft gibt es das dann sehr wahrscheinlich auch für Adobe Reader und Acrobat. In meinen Augen ist die Wahl des Microsoft-Patchdays sehr ungeschickt, zumal man die vorhandenen Prozesse und Ressourcen ja auch z.B. an jedem 1., 3. oder 4. Dienstag des Monats für die Adobe-Patches einsetzen könnte. Oder gibt es wirklich Unternehmen, die extra für den Microsoft-Patchday Personal einstellen, dass ansonsten dann eben nicht zur Verfügung steht? Das kann ich mir eigentlich nicht vorstellen.

Skriptkiddies aus dem Mittelmeer-Raum

Trend Micro hat eine starke Zunahme von Defacement-Angriffen auf Websites beobachtet, die von Ländern aus dem Mittelmeer-Raum ausgehen. Genannt werden neben der Türkei Marokko, Algerien und Tunesien. Entsprechende Defacements findet man z.B. sehr häufig dann, wenn irgendwo neue Exploits veröffentlicht werden, die mit Google-Dorks oder direkten Links zu Demo-Sites versehen sind. Irgend ein Witzbold (oder auch mehrere nacheinander) kann dann unter Garantie nicht widerstehen und hinterlässt seine "Visitenkarte". Nun, jeder hat mal klein angefangen, und so ein offensichtliches Defacement ist zwar für das Opfer peinlich, aber zumindest reißt der manipulierte Webserver dafür nicht noch seine arglosen Besucher mit ins Verderben, wie es bei einer Manipulation für Drive-by-Infektionen der Fall wäre. Sofern beim Beseitigen des Defacements auch die Schwachstelle behoben wird, ist das ja eigentlich nicht schlecht.

Umfragen sind nutzlos

Während laut einer Umfrage der Deutschen Kinderhilfe 92 Prozent der Deutschen für die Sperrung von Websites mit Kinderpornographie sind (Bericht auf Welt Online), siehe auch den Standpunkt Sicherheit vom 18. Mai, sind laut einer vom Verein "Mogis - Missbrauchsopfer gegen Internetsperren" in Auftrag gegebenen Umfrage mehr als 90 Prozent gegen Sperrungen im Internet, und 92% sind für konsequentes Löschen und strafrechtliche Verfolgung der Anbieter (Bericht auf Zeit Online). Klingt doch schon viel besser, als wären die 92% nur fürs Wegschauen, wie es die Deutsche Kinderhilfe und Frau von der Leyen gerne hätten.

Beide Umfragen wurden von Infratest Dimap durchgeführt, und dessen Geschäftsführer findet das auch alles vollkommen in Ordnung, wie er der Zeit in einem Interview mitgeteilt hat. Wie wäre es mal mit einer Umfrage zu Umfragen? Harmlose Bürger mit unsinnigen Fragen belästigen, wenn die Ergebnisse sowieso ohne jede Relevanz sind, sollte man doch verbieten, oder? Das dann am besten noch als Cold Call...

Carsten Eilers