Lebenslauf einer Verletzlichkeit
Posted by Urs Meile on 11.02.2011
Ein nicht enden wollender Strome von Verletzlichkeiten wird Tag für Tag publiziert. Das zeigt ein Blick auf die entsprechende Page von secunia, wo täglich zehn bis zwanzig aufgelistet werden. Wie sieht der Lebenslauf einer Verletzlichkeit aus?
Wir betrachten hier nur Verletzlichkeiten in Design und Implementierung von Betriebssystem und Programmen. Verletzlichkeiten werden beim Schreiben von Software in den Code eingebracht – im Normalfall ohne Absicht. Es ist durchaus möglich, mit einem LifeCycle Management die Zahl der Fehler pro Million Codezeilen substantiell zu reduzieren. Vollständig eliminieren lassen sich Fehler nicht. Nicht alle Verletzlichkeiten erleben die gleiche Geschichte. Wir können vier Szenarien unterscheiden.
Latent. Eine Verletzlichkeit existiert – aber niemand weiss davon. In jedem der gängigen Betriebssysteme sind hunderte bis tausende von unbekannten Verletzlichkeiten versteckt. Für eine Sicherheitsstrategie sind sie trotzdem relevant. Sie können innerhalb von Stunden den Status ändern – sie können entdeckt und ausgenutzt werden.
Referenz. Im Normalfall wird eine Verletzlichkeit von einem wohlmeinenden Dritten entdeckt und gemeldet, oder der Hersteller entdeckt die Verletzlichkeit gleich selbst. Sie bleibt vorerst der Malwareszene verborgen, der Hersteller entwickelt und publiziert einen Patch. Erst jetzt erscheint bei relevanten Verletzlichkeiten innerhalb kurzer Zeit Malware – durch Reverse Engineering konnte aufgrund des Patches die Verletzlichkeit identifiziert werden. Kritisch ist in diesem Szenario die Zeit von der Publikation zum Aufspielen des Patches. Bei hunderten von Millionen Maschinen auf der Welt ist diese Zeit in vielen Fällen unendlich lang, etwa bei vielen gecrackten XP Installationen in Emerging Markets.
Zero Day. Eine Malware erscheint, bevor der Hersteller einen Patch bereit hat. Aufgrund der Unberechenbarkeit der Situation und der misslichen Lage des Herstellers ist das Problem leicht emotionalisierbar, womit Publikationen und Publikum gerne spielen. Das Risikopotential wird häufig überschätzt für die Fälle, wo dämpfende Mechanismen auf den Maschinen intakt sind. Semispontane epidemische Verbreitungsmuster sind heutzutage nicht mehr möglich, wo Standardrechner eine Firewall hochgefahren haben. Bei Servern sieht das anders aus, Admins müssen sich sorgfältig um Verletzlichkeiten kümmern, die einen öffentlich zugänglichen Service betreffen. Es geht um Webserver, ftp-Server, Loginmechanismen und Vergleichbares.
Opak. Dabei wird eine Verletzlichkeit von BadGuys entdeckt und ausgenutzt – ohne dass Hersteller und Öffentlichkeit davon erfahren. Es darf angenommen werden, dass eine grössere Anzahl (mehrheitlich staatlich angestellte) SpezialistInnen an diesem Thema arbeiten. Für entsprechende stille Attacken rücken Umgebungen und exponierte Personen ins Zentrum, völlig unabhängig vom Betriebssystem. Hilfreich gegen solche Angriffe ist immer ein von Technologie und Konfiguration her maximal resilientes System in Kombination mit zurückhaltenden Verhaltensweisen.
Für Private und Kleinbetriebe ist eindeutig das Referenzszenario das wichtigste. Nicht oder nicht rechtzeitig eingespielte Patches ist für die grosse Mehrheit der Kompromittierungen verantwortlich. Zero Day Situation spielen in weit weniger als zehn Prozent der Zwischenfälle eine Rolle. Das Motto heisst patchen und überwachen. Das Betriebssystem automatisch patchen lassen – die Anwendungen überwachen, auf Windows Maschinen etwa mit Secunia PSI.
DIAGRAMM: Lebenslauf-Szenarien von Verletzlichkeiten:
