Dass man Default-Passwörter bei der Installation sofort ersetzt, sollte bekannt sein. Eine Bank in den USA hat dies bei mindestens einem ihrer Geldautomaten nicht getan und durfte dafür jetzt Lehrgeld bezahlen. Anscheinend (CNN-Video auf YouTube, Bericht von 'The Virginian-Pilot') hat jemand einen Geldautomaten so manipuliert, dass er die 20-Dollar-Scheine für Fünf-Dollar-Scheine hielt bzw. statt Fünf-Dollar-Scheinen 20-Dollar-Scheine ausgab, und danach mehrmals mit einer Pre-Paid Debit-Card (= vorausbezahlte Guthabenkarte) Geld abgehoben. Wie viel genau ist nicht bekannt, aber auf jedem Fall hat er 300 Prozent Gewinn gemacht. Dave Goldsmith hat berichtet, dass der betroffene Geldautomat-Typ über das Tastenfeld (um-)konfiguriert werden kann und Default-Passwörter im Handbuch enthalten sind. Und diese Handbücher sind, oh Wunder, auch über z.B. Google zu finden, wie Kevin Poulsen und Ryan Naraine berichten.

Keine Ahnung, ob sich das auf deutsche Geldautomaten übertragen lässt. Ich hoffe doch nicht. Auf jedem Fall ist die Geschichte ein netter Aufhänger für das Thema "Default-Passwörter". Und die gibt es nicht nur bei amerikanischen Geldautomaten, sondern auch z.B. in WLAN-Routern und anderen Netzwerkgeräten. Auch manche Programme lassen sich aus der Ferne bedienen oder abfragen und richten entsprechende Zugänge ein. Ja, sogar VoIP-Telefone kommen mit Telnet-Hintertür samt Default-Zugangsdaten daher. Wer kommt auf solche Ideen? Klar, für den Support ist das bestimmt toll: Der Kunde ruft an oder schickt eine Mail, der Support kann direkt auf das Gerät zugreifen und Probleme beseitigen. Wenn das nicht kundenfreundlich ist... Dummerweise ist es aber auch angreiferfreundlich. Wozu soll der erst über z.B. einen Pufferüberlauf mühsam eine Hintertür installieren, wenn sie in Form eines Remote-Zugangs mit (womöglich nicht einmal zu ändernden) Default-Zugangsdaten bereits vorhanden ist? Sollte nicht inzwischen jeder Hersteller bemerkt haben, dass er dem Kunden damit einen Bärendienst erweist?

Es sollte selbstverständlich sein, dass bei jeder Installation eines Programms oder einer Hardware, die einen Passwortschutz hat, das Setzen eines Passworts erzwungen wird. Ebenso sollte es selbstverständlich sein, dass es keine nicht zwingend erforderlichen Default-Zugänge gibt. Schon gar nicht ungeschützte (und ein Default-Passwort ist so gut wie kein Passwort). Es ist sicher ein nützliches Feature, wenn z.B. der Status einer an einen Rechner angeschlossenen USV zentral abgefragt und bei Bedarf die Konfiguration geändert werden kann. Aber wenn das gewünscht wird, kann es auch bei der Installation explizit eingerichtet werden. Genauso z.B. bei typischen Homeoffice-Routern: Wenn die wirklich aus der Ferne konfiguriert werden sollen, kann das bei Bedarf problemlos eingerichtet werden, einschließlich eines sicheren Passworts. Es besteht keinerlei Grund, solche Funktionen per Default-Einstellung zu aktivieren.

Was spricht dagegen, ein Produkt ab Werk so zu konfigurieren, dass es "out of the box" sicher ist? Natürlich kann das zu höherem Supportbedarf führen, wenn Kunden Funktionen vermissen oder etwas nicht sofort funktioniert, weil z.B. ein Client erst für den Zugriff auf ein sicher konfiguriertes neues Gerät angepasst werden muss. Aber sollte der Sicherheitsgewinn diesen Aufwand nicht rechtfertigen?

Also, bitte keine ungeschützten Default-Zugänge mehr. Und ein Default-Passwort ist kein Passwort, sondern ein Witz. Und wenn die Konfigurations- oder Installationsroutinen das Setzen eines sicheren Passworts nicht beherrschen, müssen sie eben entsprechend nachgerüstet werden. Was spricht dagegen? Der Kunde wünscht eine einfache Installation? Klar, aber er möchte bestimmt auch kein System, auf das jeder nach einer kurzen Suche im Internet Zugriff hat. Wenn schon Default, dann Default mit Sicherheit!

Sollte ich noch ein paar Worte zur neuesten 0-Day-Lücke im Internet Explorer verlieren? Eigentlich habe ich ja alles Relevante bereits in vorherigen "Standpunkt Sicherheit"-Texten geschrieben. Seit Freitag gibt es einen inoffiziellen Patch. Generell halte ich von solchen Aktionen nicht viel: Zum einen muss man dem Hersteller des Patches vertrauen, schließlich könnte es sich dabei auch um einen Trojaner handeln. Zum anderen haben selbst die Hersteller öfter Probleme mit Nebenwirkungen ihrer Patches, und dieses Risiko ist bei einem fremden Patch (zumindest bei Closed-Source-Software) deutlich größer. Allerdings haben inoffizielle Patches einen Vorteil: Sie erhöhen den Druck auf den Hersteller, einen eigenen Patch zu veröffentlichen. Denn was unbeteiligte Dritte können, sollte auch der Hersteller schaffen.

Kurz noch etwas zur "Doch-nicht-0-Day"-Schachstelle in Powerpoint: Das ist jetzt in kurzer Zeit die zweite Schwachstelle, die erst als 0-Day angekündigt wurde, sich dann aber als "alter Bekannter" herausstellte. Wie kommt es dazu? Nun, zum einen gibt es inzwischen so viele sich ähnelnde Schwachstellen, dass eine Unterscheidung nicht ganz einfach ist. Zum anderen stehen die Entwickler von Schutzsoftware unter nicht unerheblichen Zeitdruck: Die Kunden wollen natürlich so schnell wie möglich vor einer neuen Bedrohung geschützt werden. Dabei kann es schon mal zu Fehleinschätzungen kommen. Und da die Entdeckung einer neuen Schwachstelle auch mit einem gewissen Ruhm verbunden ist, neigen die Hersteller vielleicht auch zu einer voreiligen Meldung. Aber das sollte man nicht überbewerten: Wichtiger als die Frage "Welche Schwachstelle wird ausgenutzt?" ist doch die, ob das Schutzprogramm den betreffenden Schädling erkennt. Ob die Beschreibung sofort hundertprozentig stimmt, ist doch eigentlich egal, Hauptsache, der Schädling wird unschädlich gemacht. Vielleicht sollten die Hersteller einfach etwas gelassener an die Sache herangehen und im Zweifelsfall die Beschreibung einfach erst mal leer lassen, bis sie die Schwachstelle ausreichend geprüft haben.

Aber das können sie ja noch üben, an neuen Schwachstellen und Schadprogrammen wird so schnell kein Mangel herrschen...

Carsten Eilers