In Vancouver fand vom 18. bis 20. April die Sicherheitskonferenz CanSecWest 2007 statt. Einige Meldungen davon sind eine nähere Betrachtung wert, auch wenn zur Zeit noch keine Paper o.Ä. zur Verfügung stehen.

Zuerst mal "die Sensation" der Konferenz, jedenfalls wenn man die Reaktion in einigen (Online-)Medien und Foren darauf betrachtet: Ein MacBook wurde gehackt. Die Reaktionen sind interessant: Entweder geht es in die Richtung 'Oh Schreck, eine Katastrophe, der Mac ist nicht mehr sicher' oder 'Alles eine Falschmeldung, denn die Schwachstelle ist ja gar nicht im Mac OS X sondern sonstwo'. Wobei wie bereits erwähnt noch gar keine näheren Informationen vorliegen.

Werfen wir einfach mal einen Blick auf das, was bisher bekannt ist. Und das ist sehr wenig: Der Rechner wurde übernommen, nachdem im Webbrowser Safari die URL zu einer präparierten Webseite (oder einem präparierten Webserver) eingegeben wurde (das ist mit Absicht so vorsichtig formuliert). Ob sich die ausgenutzte Schwachstelle wirklich in Safari befindet, steht noch nicht fest. Möglich wäre auch eine Schwachstelle in WebKit, Java oder JavaScript. Evtl. ist auch Firefox betroffen – das würde auf ein Problem in Java hindeuten, die einzige Komponente, die Firefox und Safari gemeinsam nutzen. Was haben wir also: Eine 0-Day-Schwachstelle in Mac OS X (oder einer mit Mac OS X ausgelieferten Komponente), über die quasi nichts weiter bekannt ist, als dass sie die Ausführung beliebigen Codes erlaubt. Na und? Die gibt es für Windows mit schöner Regelmäßigkeit kurz nach dem Patchday, und keiner regt sich mehr groß darüber auf. Das "Problem" sind wohl eher die Mac-User und -Medien, die Mac OS X für sicher und unangreifbar halten/hielten. Zu glauben, ein Rechner wäre sicher, wenn/weil kein Windows darauf läuft, ist ziemlich optimistisch. Er ist wahrscheinlich sicherer, aber bestimmt nicht unangreifbar. Selbst wenn es keine einzige Schwachstelle gäbe, bleibt die Gefahr durch klassische Trojaner: Wer sagt denn, dass z.B. das gerade heruntergeladene Schachspiel wirklich (nur) ein Schachspiel ist und beim Start nicht heimlich eine Hintertür öffnet?

Schwachstellen wird es immer geben, die Frage ist, wie leicht sie auszunutzen sind – und ob sich ein Angreifer überhaupt dafür interessiert. Die aktuelle Schwachstelle dürfte ähnlich gefährlich wie die '.ANI-Lücke' in Windows sein. Aber eine Ausnutzung lohnt sich einfach (noch) nicht: Es ist wirtschaftlicher, eine Lücke in Millionen ungeschützten Windows-Rechnern auszunutzen, als in Tausenden ungeschützten Macs. (Bitte nicht über die Zahlen meckern, die sollen nur die Dimensionen verdeutlichen). Außerdem ist die ganze 'Infrastruktur' wie Botnet-Programme etc. auf Windows ausgerichtet. Gibt es genug Macs, um einen Angriff wirtschaftlich interessant zu machen, werden sich die Angreifer mit Freude darauf stürzen.

Ich nutze seit Mitte der 90er Jahre des letzten Jahrhunderts (klingt bombastisch, oder? ;-) ) als Arbeitsplatzrechner ausschließlich Macs. Unter anderem, weil sie sicherer als Windows-Rechner sind. Und das zum Teil auch, weil sich ein Angriff nicht lohnt. Abgesehen davon, dass ich keinen nervösen Klickfinger habe und die meisten mir bisher in E-Mails untergekommenen Viren, Würmer und sonstigen digitalen Schädlinge schon von daher keine Chance hätten: Für die ist das hier absolut lebensfeindliches Territorium. Ebenso bei den verschiedenen Dialern und sonstigen Abfall, der von Zeit zu Zeit mal einen automatischen Download schafft: .EXE brauche ich nicht mal auf Viren oder Ähnliches zu scannen, die haben auf diesem Rechner nichts zu suchen und landen direkt im digitalen Sondermüll. Wären das keine Windows-, sondern Mac-Programme, sähe die Sache schon ganz anders aus: Dann wäre dieser Rechner theoretisch genauso gefährdet wie ein Windows-Rechner. Theoretisch, denn ich werde den Teufel tun und ein Programm starten, das ich nicht mit Absicht heruntergeladen und gründlich überprüft habe. Wer sich darauf verlässt, dass sein Mac unangreifbar ist, und deshalb elementarste Schutzmaßnahmen ignoriert, wird im Falle eines Angriffs ganz schnell ein Problem bekommen.

Aber zurück zur CanSecWest: Schwachstellen in Routern, Handys und PDAs geraten ins Visier der Angreifer. Ach, welch sensationelle Neuigkeit, das hatten wir doch im Februar schon. Der naheliegendste Gedanke wäre jetzt "OK, der Autor arbeitet bei Juniper, die wollen ihre Firewalls etc. verkaufen und machen jetzt ein bisschen Panik!". Das wäre aber zu kurz gesprungen, sogar viel zu kurz. Es geht hier im Prinzip um nicht weniger als eine neue Klasse von Schwachstellen: Ausnutzbare NULL-Pointer-Schwachstellen. Was sich daraus in Zukunft entwickelt, wird sich erst in den nächsten Jahren zeigen. Auf jedem Fall wohl nichts Gutes. Außer, die Hersteller fangen jetzt ganz schnell an, ihre Hausaufgaben zu machen. Wie ich schon im Standpunkt Sicherheit vom 26. Februar schrieb: "Wenn schon intelligente Geräte, dann bitte so intelligent, dass sie auch einem möglichen Angriff widerstehen."

Und gleich noch ein ähnliches Problem: Der 'Traffic Message Channel' (TMC) des 'Radio Data System' (RDS) dient dazu, parallel zum UKW-Radioprogramm Zusatzinformationen zu übertragen. Darunter auch Informationen über Staus, Terrorwarnungen und einiges mehr, die dann z.B. vom Navigationssystems eines Autos ausgewertet werden können. Und das Ganze vollkommen ungeschützt. Mit einem entsprechenden Sender kann jeder diese Nachrichten ausstrahlen und zumindest Verwirrung stiften. Das Protokoll stammt von 1988, damals hat man sich um Sicherheit wenig bis keine Gedanken gemacht. Bei einer Neuentwicklung wird das hoffentlich nicht passieren.

Jede Schwachstelle und jede weggelassene Schutzfunktion lässt sich irgendwie und zu irgendwas ausnutzen. Die Frage ist immer nur: Macht das auch wer? Und im Zweifelsfall wird sich früher oder später schon jemand finden.

Mal ein ganz einfaches Beispiel: Lichtschalter lassen sich inzwischen über Funk steuern. Ebenso Rollläden. Macht ja nichts, oder? Kann ja keiner was mit anfangen. Wirklich? Irgendwann geht bestimmt mal irgendein Spaßvogel mit ein paar Fernbedienungen durch die Straßen und guckt, was er damit alles anstellen kann. Also ich möchte sowas zumindest nicht in meinem Schlafzimmer haben.

Carsten Eilers