Eins ist sicher: Die IT ist es nicht!

Neu am Kiosk: Entwickler Magazin Spezial Vol. 16: Security
Keine Kommentare

Das neue Entwickler Magazin Spezial Vol. 16: Security ist jetzt am Kiosk erhältlich. Ob Datenschutz im Sinne der DSGVO, Kryptografie mit PKCS #11, Authentifizierung in Angular 2 oder OAuth 2.0: Das Heft bietet vielfältige Informationen zu den (Un-) Sicherheiten der IT-Welt.

Liebe Leserinnen und Leser,

erinnern Sie sich noch an Norbert Blüms Aussage „Die Rente ist sicher“ (vorsicht Falle: Von der Höhe war nie die Rede)? Dazu gehörte auch eine Werbekampagne mit dem Werbespruch „Denn eins ist sicher: Die Rente“. Der lässt sich wunderbar auf die IT übertragen, z. B. als „Denn eins ist sicher: Die IT ist es nicht“ oder „Denn eins ist unsicher: Die IT“.

Immer, wenn man denkt, man hat schon alles gesehen, gibt es etwas Neues. IT-Sicherheit ist dadurch eine besondere Art der Sisyphos-Arbeit. Unser Stein rollt zwar nicht immer zurück, oft bekommen wir ihn auch über den Berg. Dann liegt nur schon der nächste unten.

Wer ist Hase, wer ist Igel?

Ein Beispiel dafür sind Pufferüberlauf-Angriffe. Die Entwicklung der Pufferüberlauf-Angriffe und der Mitigations, die diese Angriffe möglichst schwierig machen sollen, gleicht ein bisschen dem Rennen zwischen Hase und Igel. Nur dass zum Glück noch nicht entschieden ist, wer am Ende Hase und wer Igel ist.

Beim Angriff wurde ursprünglich irgendwo Code eingeschleust und auf dem Stack die Rücksprungadresse eines Unterprogramms mit der Adresse des eingeschleusten Codes überschrieben. Eine der ersten Mitigations war die Data Execution Prevention: Code wird nur in dafür freigegebenen Speicherbereichen ausgeführt, in die der Angreifer i. A. keinen Code einschleusen kann.

Daraufhin haben die Angreifer vorhandenen, ausführbaren Code wie die libc-Bibliothek angesprungen, was zur Entwicklung der Adress Space Layout Randomization führte: Der Code wird an zufällige Adressen geladen, so dass die Angreifer nicht wissen, wohin sie springen müssen. Das unterliefen die Angreifer wieder mit neuen Tricks, die dann unterbunden wurden. Was zu neuen Angreifer-Kniffen führte, gegen die dann neue Schutzmaßnahmen halfen.

Sie kennen das ja: „Und wenn sie nicht gestorben sind…“. Bisher geht das Spiel munter weiter.

Die CPU schützt. Nicht mehr.

Um die Folgen eines Angriffs zu mindern werden unterschiedlich vertrauenswürdiger Code bzw. Daten inzwischen oft getrennt, z. B. in Form des Sandboxings oder der Trennung von System- und Benutzerprogrammen.

Das war lange Zeit ein guter Schutz. Bis im Januar 2018 mit Spectre und Meltdown gleich zwei Schwachstellen in der CPU bekannt wurden, die diesen wichtigen Schutz aushebeln. Und das unabhängig vom Betriebssystem oder Anwendungen. Die Schwachstellen lassen sich zwar patchen, aber das ist nicht ganz einfach. Ob es inzwischen vollständig geklappt hat? Wer weiß.

Selbst wenn es geklappt hat, ist dieser Stein zwar über den Berg, aber der nächste wird nicht lange auf sich warten lassen. Nachdem nun bekannt ist, dass es auch in den CPUs Schwachstellen gibt, geht die Suche erst richtig los. Und es wäre ein Wunder, wenn nichts weiter gefunden würde.

Das Internet of Things. Oder besser: Targets

Auch Clients und Server wurden im Laufe der Zeit zwar immer sicherer, trotzdem gibt es noch viel zu viele Schwachstellen und Angriffe. Und dann kam irgendjemand auf die Idee, man könnte doch alle möglichen Geräte mit kleinen Computern versehen und ans Internet anschließen. Und nennt dass dann „Internet of Things“. Und alle möglichen Hersteller finden das neue Buzzword toll und wollen unbedingt dabei sein.

Für Sicherheit ist auf den kleinen Rechnern oft weder Speicherplatz noch Rechenleistung genug. Vielleicht haben die Entwickler davon auch einfach keine Ahnung, weil sie bisher die Firmware abgeschotteter Geräte entwickelt haben und die nun plötzlich mit einer Weboberfläche versehen ins Internet hängen sollen. Aber so was braucht man ja sowieso nicht. Wer sollte schon auf die Idee kommen, irgendwelche Geräte anzugreifen?

Die Cyberkriminellen natürlich, die daraus bereits ein riesiges Botnet für DDoS-Angriffe gebaut haben. Was denen sonst noch so einfällt werden wir sicher bald erfahren, genug unsichere Geräte für jede Menge unschöne Dinge gibt es ja.

Die sind nicht neugierig, die wollen nur alles wissen!

Ein weiteres Problem: Das Ausspähen von Daten. Was sowohl die Cyberkriminelle im Kleinen als auch die Geheimdienste im Großen tun.

Davor schützt eine Verschlüsselung. Wenn sie sicher ist. Was nicht immer der Fall ist.

Problem Nr. 1: Krypto-Algorithmen und Schlüssellängen „altern“. In den Algorithmen werden Fehler entdeckt, und anfangs unbrechbare Schlüssellängen können von den immer schneller werdenden Rechnern, inzwischen verstärkt durch deren Kombination in der Cloud, gebrochen werden. Weshalb sowohl Verfahren als auch Schlüssellängen immer wieder auf den Prüfstand kommen: Sind sie noch sicher genug, oder müssen sie ersetzt werden?

Das Problem lässt sich durch längere Schlüssel und neue Verfahren gut beherrschen. Ein größeres Problem ist Nr. 2: Die Strafverfolger und Geheimdienste. Da die an der sicheren Verschlüsselung durch Kriminelle und Terroristen scheitern, fordern sie Hintertüren in der Verschlüsselung. Die dann aber auch von Angreifern genutzt werden können und deshalb keinesfalls eingebaut werden dürfen. Jedenfalls nicht, wenn einem die Sicherheit der Daten lieb ist.

Diese Diskussion hatten wir schon in den 1990er Jahren, und eigentlich hatten wir die Crypto Wars damals gewonnen. Aber seit einiger Zeit weckt vor allem die Ende-zu-Ende-Verschlüsselung für Messenger und E-Mails neue Begehrlichkeiten. Da ist das letzte Wort noch nicht gesprochen, und es tauchen immer wieder Ideen auf, wie Strafverfolger und Co. Zugriff auf die verschlüsselten Daten bekommen könnten. Nur funktioniert das nun mal nicht: Wenn es eine Hintertür gibt, kann niemand garantieren, dass die nicht von Angreifern missbraucht wird.

Eine unendliche Geschichte…

Ich könnte problemlos das ganze Heft mit solchen Beispielen füllen. Denn wie ich es so gern in meinen Artikeln formuliere: „Schlimmer geht immer!“

Aber dagegen lässt sich zum Glück etwas machen. Wenn die Entwickler ihre Programme sicher entwickeln, die Benutzer ihre Systeme aktuell halten und die Politiker die Überwachungsfanatiker in ihre Schranken weisen ist schon viel gewonnen.

Und nun wünsche ich Ihnen viel Spass mit den vielen informativen Artikeln im Heft!

Carsten Eilers
Freier Berater und Coach für IT-Sicherheit

Die Highlights im Entwickler Magazin Spezial Vol. 16: Security

Mehr Bewusstsein für Security
Neuauflage der OWASP Top 10 — 2017
Dr. Marius Hofmeister

Kryptografie mit PKCS #11
Teil 1: Kryptografische Grundlagen
Helmut Stoiber

Einmal und nie wieder
Single Sing-on für Microservices und verteilte Anwendungen
Niko Köbler

Alles neu macht der Mai
Die neue Datenschutz-Grundverordnung tritt in Kraft
Michael Rohrlich

Die Toolbox für Pentester
Webanwendungen und Servern gezielt auf den Zahl fühlen
Christian Schneider

Jetzt bestellen: Entwickler Magazin Spezial Vol. 16: Security

Unsere Redaktion empfiehlt:

Relevante Beiträge

X
- Gib Deinen Standort ein -
- or -