Donnerstag, 28. März 2024

Archiv


Von bösen Hintertüren

IT-Sicherheit.- Man kann sie quasi als Standardprogramme bezeichnen. Umso erschreckender ist es, dass in Software wie dem Quicktime-Player, Adobes PDF-Reader und dem Internetexplorer große Sicherheitslücken klaffen.

Wissenschaftsjournalist Peter Welchering im Gespräch mit Manfred Kloiber | 11.09.2010
    Manfred Kloiber: Gleich dreimal sprangen diese Woche in den CERTs dieser Welt die Warnlampen an. Kritische Sicherheitslücken beschäftigten die Computer-Notfallteams. Betroffen waren und sind Microsofts Internetexplorer, Adobes PDF-Reader Acrobat 9 und Apples Multimedia-Player Quicktime. Was besonders kritisch ist: Für all diese Schwachstellen sind bereits sehr wirksame Angriffsprogramme unterwegs. Was machen diese Programme, Peter Welchering?

    Peter Welchering: Genau das, was Programme dieser Art immer machen: Sie schleusen Schadgut ein – in allen Fällen Trojaner. Sie laden teilweise Spionage-Programme nach und sie kapern regelrecht die infizierten Computer. Und die Angriffsprogramme, die die Sicherheitslücke im Internetexplorer ausnutzen, hatten es in dieser Woche, nach allem, was man aus den CERTs hört, vor allen Dingen auf Kontendaten abgesehen – da wurden also Nutzer beim Online-Banking ausspioniert und man muss jetzt abwarten, welche Bankkonten dann anschließend wohl geräubert werden. Besonders ärgerlich dabei ist, dass die ausgenutzten Sicherheitslücken teilweise schon vor zwei Jahren, teilweise vor drei Jahren veröffentlicht wurden, im Fall Internetexplorer eben vor zwei Jahren. Und damals haben beim Falle des Explorers, drei japanische Entwickler beschrieben, wie bei allen marktüblichen Browsern durch das Laden von Seitenbeschreibungsprozeduren, also von Cascading Style Sheets, das ist der Fachbegriff dafür, ein Angriffsprogramm eingeschleust werden kann, das sich als Schriftfont tarnt. Mozilla und andere Browserhersteller haben dann nach längeren Diskussionen allerdings auch erst darauf reagiert. Immerhin ein Jahr hat es gedauert, bis dann bei den meisten Browsern diese Lücke geschlossen war. Microsoft hat diese Lücke im Internetexplorer 8 eben nicht dicht gemacht und das ist die eigentliche Gefahr dabei. Wir haben es zunehmend mit älteren Sicherheitslücken zu tun, die beschrieben sind, die bekannt sind. Und die werden eben für neue Angriffsprogramme ausgenutzt, die darauf entwickelt werden.

    Kloiber: Und wie ist das bei den Sicherheitslücken im PDF-Reader und bei Quicktime?

    Welchering: Die haben eine weitere Gemeinsamkeit. Denn da überwindet das Angriffsprogramm gleich zwei wesentliche Schutzfunktionen des Windows-Betriebssystems – nämlich die sogenannte Daten-Ausführungsverhinderung und gleichzeitig die Speicherverwürfelung. Die Speicherverwürfelung – das ist ein interessanter Punkt. Das ist ganz spannend, weil damit dann für das Angriffsprogramm sämtliche verfügbare Rücksprungadressen offenliegen, die ausgenutzt werden können, um Schadsoftware einzuschleusen. Das ist im Prinzip der selbe Mechanismus, der übrigens auch bei diesem Jailbreaking beim iPhone verwendet wurde. Und innerhalb eines Betriebssystems muss man ja sehr oft von einem Softwaremodul in ein anderes springen. Und die Stellen, von denen aus in einem Unterprogramm dann aus diesem Softwaremodul weggesprungen wird, werden vom Betriebssystem in einem gesonderten Speicherbereich verwaltet. Und da werden auch alle Programmstellen abgelegt und vorgehalten, die eben aus so einem Softwaremodul dann angesprungen wurden. Also ich habe eine ganz dolle Kontrolle über den gesamten Computer, wenn ich auf diesen Speicherbereich zugreifen kann. Und wenn nun wieder in ein bestimmtes Softwaremodul zurückgesprungen werden soll, dann wird eben diese Rücksprungadresse, also die Programmstelle, ab der exakt die Abarbeitung des Programms vorgenommen werden soll, aus diesem speziellen Speicherbereich ausgelesen. Und nun kann eine Rücksprungadresse, die in diesem Verwaltungsmodul des Betriebssystems als Rücksprungadresse hinterlegt war, gegen so eine Schadfunktion ausgetauscht werden. Und diese Schadfunktion kann dann aus bereits im Speicher vorhandenen Codefragmenten, aus verschiedenen Programmzeilen zusammengestellt werden. Um in diesen Speicherbereich dann eben mit den Rücksprungadressen zu gelangen, wird in der Regel ein Speicherüberlauf ausgelöst. Das war auch so bei Quicktime und Adobe. Und diese Sicherheitslücke ist eben auch seit zwei Jahren bekannt.

    Kloiber: Erklären Sie uns den Hintergrund, dass gleich mehrere ältere Sicherheitslücken jetzt von neuen Angriffsprogrammen ausgenutzt werden.

    Welchering: Das ist ein weiterer, hochgradig spannender Aspekt dabei. Denn Sicherheitsexperten haben die Angriffsprogramme zurückverfolgt und das war ein ziemliches Verwirrspiel, nach allem, was man so hört. Denn zunächst sind sie auf einem US-amerikanischen Server gelandet. Dann gab es einen Weg zu einem australischen Server – dabei hat man auch so ein paar Dropzones, Sammelstellen von Kontendaten, gefunden. Und dann sind sie an einen Server geraten, der in Thailand steht. Und jetzt wird es ganz schwierig, denn diesen Server haben sich dann Computerwissenschaftler der Chulalongkorn-Universität in Bangkok genauer angeschaut, mit denen ich auch gestern noch einmal sprechen konnte. Und die haben mir gesagt: Es gibt einige Anzeichen, dass wir es bei diesen neuen Angriffsprogrammen mit unglaublich flexiblen Schadprogrammen, also Exploits zu tun haben, die sich sozusagen selbstständig weiterentwickeln. Auf diesem Server fanden die Spezialisten so eine Art Werkzeugkasten. Und dieser Werkzeugkasten besteht aus einer ganzen Sammlung von Sicherheitslücken und dazu passenden Angriffsprozeduren. Und über ein Konfigurationsprogramm werden dann diese Angriffsprozeduren zu einem Angriffsprogramm zusammengesetzt. Und da werden dann gleich mehrere bekannte Sicherheitslücken angegriffen. Das heißt, dieses Angriffsprogramm sucht sich dann bei einem System, das es vorfindet aus: Welche Sicherheitslücken kann ich denn hier finden? Und die Sicherheitslücke, die am besten gefunden werden kann, nutzt es aus, und das entsprechende Angriffsprogramm wird dann eben gestartet. Und das ist die Gefährlichkeit dabei.