Lernen wir jemals dazu? Diese Frage mag etwas hart klingen, aber sie scheint gerechtfertigt, wenn man sich die Größe und den Umfang der kürzlich entdeckten Java-Sicherheitslücke ansieht. In den letzten Wochen haben wir erfahren, dass ein kleines Stück Software, das auf fast jedem modernen PC installiert ist, seit vielen, vielen Jahren eine tödliche Hintertür hat.
Wir alle wissen, dass die Softwareentwicklung eine komplexe Angelegenheit ist und dass die Entwicklung sicherer Anwendungen so ist, als würde man seinen eigenen Schatten jagen - man scheint zwar nahe dran zu sein, aber man holt nie wirklich auf. Dennoch sollten wir uns der langen Geschichte von Softwarefehlern bewusst sein und versuchen, sicherzustellen, dass das, was wir jetzt entwickeln, besser ist als das, was vorher war.
Schließlich sind die Fehler der anderen die schmerzloseste Art zu lernen.
Deshalb habe ich beschlossen, eine Liste mit 5 berüchtigten Sicherheitslücken zusammenzustellen, die in den letzten Jahren entdeckt wurden - mit Vorschlägen, was wir von ihnen lernen könnten.
1) Der mächtige Java-Bug
Beginnen wir mit der Sache, die diesen Artikel inspiriert hat. Ende 2012 erfuhren wir von einer spektakulären Java-Sicherheitslücke, die es schon sehr lange gab. Sie betraf nicht nur die Version 7 des Java-Plug-ins, sondern auch die Versionen 5 und 6. Das sind alle Java-Versionen der letzten acht Jahre! Die Sicherheitslücke ermöglichte es, aus der vom Plugin geschaffenen Sandbox auszubrechen und relativ einfach bösartigen Code auf einem entfernten Computer auszuführen. Potenzielle Opfer? Eine Milliarde Benutzer.
Hacker aller Art haben diesen Exploit schnell als Waffe eingesetzt, als er öffentlich bekannt wurde. Schon bald war er in zwei der beliebtesten Web-Bedrohungs-Tools enthalten - dem BlackHole Exploit Kit und dem Cool Exploit Kit.
Oracle, ein Unternehmen, das Java entwickelt hat, hat sich beeilt, eine Lösung zu finden. Am 14. Januar wurde ein Sicherheits-Patch veröffentlicht, aber viele behaupten, er sei übereilt und unvollständig. Laut ArsTechnica bot ein Mitglied einer der Untergrund-Hacker-Communities an, für einen angemessenen Preis von 5000 Dollar den Weg zu verraten, wie man das Loch im gepatchten Java-Plugin wieder öffnen kann.
Er könnte ein einfacher Betrüger gewesen sein, aber Sicherheitsberater sind sich einig, dass das Patchen dieses Exploits komplizierter sein könnte, als Oracle uns glauben machen will. Die Experten von CMU/SEI CERT empfehlen, das Java-Plugin auch nach der Installation eines Patches zu deaktivieren. Der Chief Security Officer von Rapid 7 behauptet, dass es bis zu zwei Jahre dauern kann, bis Oracle eine wirklich sichere Version des Plug-ins entwickelt hat.
Wir sind noch nicht aus dem Schneider, und Oracle ist es auch nicht.
Was haben wir gelernt? Selbst wenn eine Software viele Jahre lang verwendet und geprüft wurde, kann sie immer noch überraschende Hintertürchen enthalten. Nichts, was wir verwenden, ist zu 100 % hacksicher. Daher sollten wir versuchen, die Anzahl der aktiven Laufzeiten oder Codeausführungsumgebungen auf unserem System auf das absolute Minimum zu reduzieren.
2) Das XP Tag-Null-Rätsel
Dieses Thema ist zwar schon etwas älter, aber dennoch interessant, und zwar aufgrund eines einfachen Paradoxons. Allzu oft erhalten Menschen Software in einem unfertigen Zustand. Das liegt vor allem an den fiesen Fristen, die das obere Management der Softwareentwicklungsfirmen sehr ernst nimmt. Das hat viele Unternehmen dazu veranlasst, bestimmte Probleme nach der Veröffentlichung mit Patches und Updates zu beheben. Und das ist alles schön und gut, bis Sie feststellen, dass Sie zum Herunterladen dieser Updates zunächst eine Internetverbindung mit einem System herstellen müssen, das wie ein Reibeisen durchlöchert ist.
Wenn Sie glauben, dass dieses Zeitfenster zu klein ist, um von jemandem ausgenutzt zu werden, irren Sie sich. Genau das ist vielen Windows XP-Benutzern passiert, die kompromittiert wurden, bevor sie überhaupt die Chance hatten, Sicherheitsupdates herunterzuladen oder Antiviren-Software zu installieren. Was die Sache noch schlimmer macht, ist die Tatsache, dass es eine große Gruppe von Späteinsteigern gibt, die diese lästigen Patches offenbar nie installiert haben. Sie verwenden die Software jahrelang in einem Zero-Day-Zustand, ohne sich der Bedrohungen bewusst zu sein.
Die jüngste Zero-Day-Schwachstelle in Windows XP wurde 2010 entdeckt und ermöglichte es Hackern, dank einer Lücke im Modul Help & Support Center aus der Ferne Anwendungen und Malware auf dem System zu installieren. Kurz nach Bekanntwerden des Fehlers meldete Microsoft bis zu 10 000 Angriffe aus aller Welt auf frische oder nicht aktualisierte Kopien von Windows XP.
Wir stehen also vor einem verblüffenden Paradoxon: Wie können Sie Ihr System vor Hackern schützen, wenn schon das Einschalten des Systems dazu führt, dass Sie gehackt werden?
Was haben wir gelernt? Seien Sie nett zu Leuten, die auf große Schwachstellen in Ihrer Sicherheit hinweisen. Der Mann, der den jüngsten XP-Bug entdeckt hat, Tavis Ormandy von Google, hat ihn veröffentlicht, nachdem er 60 Tage lang versucht hatte, Microsoft zu kontaktieren und sie dazu zu bringen, die Lücke zu schließen. Sollte der Softwaregigant schneller reagieren, würde er sich eine gewisse Schande ersparen und gleichzeitig 10.000 Menschen vor einer Datenpanne bewahren. Außerdem sollten Sie, bevor Sie ein System oder eine Software installieren, nach den bereits bekannten Zero-Day-Schwachstellen suchen, Offline-Patches herunterladen und diese anwenden, bevor Sie das Ethernet-Kabel in die Steckdose stecken.
3) Eine von Hackern manipulierte Spielefirma
2011, am 20. April, gab Sony zur Überraschung vieler Kunden bekannt, dass sein PlayStation-Netzwerk kompromittiert wurde. Bald darauf zog das Unternehmen den Stecker des gesamten Netzwerks - und jeder erkannte, dass es sich um weit mehr als einen gewöhnlichen Hacking-Versuch handelte. Immerhin wurden dadurch Millionen von PS3- und PSP-Besitzern für mehrere Tage ihrer Online-Funktionen beraubt.
Ein Sony-Sprecher gab einem externen Eindringling die Schuld, aber wie wir alle wissen, sind "externe Eindringlinge" meist auf Sicherheitslücken und Schwachstellen zurückzuführen.
Genau wie bei dem Java-Plugin handelte es sich bei dem Fehler im PlayStation Network um einen grundlegenden Fehler, dessen Behebung sich als teuer und zeitaufwändig erwies. Sony hat sieben Tage gebraucht, um herauszufinden, was passiert ist, wie es passiert ist und um die Liste der gestohlenen Daten zu erhalten.
Wie sich herausstellte, wurde auf die Daten von 77 Millionen Menschen zugegriffen und diese heruntergeladen. Dazu gehörten Anmeldedaten, Kreditkartennummern, Transaktionshistorien und Adressen aus der realen Welt. Das Netzwerk war 24 Tage lang offline, während die IT-Mitarbeiter versuchten, die Sicherheitslücke zu schließen.
Was war die Ursache? Sony hält sich zu diesem Vorfall sehr bedeckt, aber glücklicherweise liegen uns Berichte von Sicherheitsunternehmen vor, die den Hack untersucht haben. Ihnen zufolge liefen der PlayStation-Service und der Authentifizierungsdienst von Sony auf alten, ungepatchten Apache-Webservern mit bekannten Sicherheitslücken. Die Server waren ohne angemessene Firewalls mit dem Internet verbunden, und ihre Konfiguration war unsicher.
Und der letzte Strohhalm? Die Mitarbeiter von Sony wussten von der Schwachstelle, ignorierten sie aber, vermutlich weil die Behebung der gesamten Architektur zu viel Arbeit bedeuten würde. Wahrscheinlich wollten sie auch nicht, dass ihre Vorgesetzten wissen, dass die Server überhaupt anfällig für Angriffe waren.
Was haben wir gelernt? Aktualisieren Sie Ihr Material. Ihre Plattform ist nur so sicher wie ihr schwächstes Glied. Seien Sie sich bewusst, dass Datenbanken von außergewöhnlichem Wert außergewöhnliche Anstrengungen von Hackern anziehen werden. Wenn Sie von einer möglichen Schwachstelle erfahren, tun Sie alles, um sie so schnell wie möglich zu beheben. Es ist fast sicher, dass auch jemand anderes davon weiß. Verlassen Sie sich nicht auf interne Bewertungen - wenn Sie wissen wollen, ob etwas wirklich sicher ist, beauftragen Sie einen Dritten damit, es zu testen.
4) Ein 8 Jahre altes Webformular führt zu einer Katastrophe
Der Sony-Hack war wohl der berühmteste der letzten Jahre. Er wurde sowohl in den Spielemedien als auch in der Wirtschaftspresse ausführlich kommentiert. Das liegt daran, dass das betreffende Unternehmen so bekannt war und die Betroffenen meist junge und technikbegeisterte Menschen waren.
Aber es war bei weitem nicht der größte Sicherheitsverstoß. Diese Krone geht an eine einfache Sicherheitslücke, die ungebetene Gäste in die Datenbank von Heartland Payment Systems - einem führenden US-Zahlungsverarbeitungsunternehmen - eindringen ließ und zum Diebstahl von 130 Millionen Datensätzen führte. Das ist fast doppelt so viel wie die Daten, die von Sony entwendet wurden.
Bis heute gilt dies als die größte Datenpanne in der Geschichte der IT.
Und das alles geschah dank eines 8 Jahre alten Webformulars, das irgendwo auf der Unternehmenswebsite von Spinnweben bedeckt vor sich hin dümpelte. Vielleicht weil es in einer anderen Zeit erstellt wurde, vielleicht aber auch aufgrund eines einfachen Versehens des Programmierers, war dieses Formular anfällig für SQL-Injection-Angriffe. Im Klartext: Wenn Sie statt eines richtigen Textes ein spezielles SQL-Skript in das Textfeld einfügen, wird es vom Server ausgeführt und Sie erhalten Zugriff auf Dinge, auf die Sie keinen Zugriff haben sollten.
In diesen acht Jahren führte Heartland Systems mehrere Sicherheitsaudits durch, aber die meisten davon betrafen die Module zur Zahlungsverarbeitung. Niemand hat sich jemals die Mühe gemacht, einen Blick auf die kleinen Webformulare zu werfen, die tief in der verworrenen Struktur des Front-End von Heartland verborgen waren.
Inzwischen gibt es viele automatisierte Tools, mit denen Sie Ihre Webanwendung auf potenzielle SQL-Injection-Ziele überprüfen können. Die Mitarbeiter von Heartland haben sie nie benutzt. Einige geschäftstüchtige Hacker taten es. Nachdem sie sich Zugang zum Unternehmensnetzwerk verschafft hatten, konnten sie die Zahlungsverarbeitungssysteme von innen knacken und eine Menge Daten stehlen.
So führte ein Stück veralteter Code zu 130.000.000 verlorenen Datensätzen und 3,5 Milliarden Dollar Schaden.
Was haben wir gelernt? Seien Sie sich aller veralteten Architekturen in Ihrem System bewusst. Ein längst vergessenes Suchfenster, ein ungenutztes Protokoll, eine veraltete API - unter den richtigen Umständen werden sie alle zu Einfallstoren für unerwünschte Gäste. Bleiben Sie auf dem Laufenden über die von Hackern verwendeten Tools. Vergewissern Sie sich, dass Ihr System nicht mit einem riesigen "Angriff mich"-Schild versehen ist. Wenn Sie Ihre Systeme auf Sicherheit testen, testen Sie alle, nicht nur die vorrangigen Systeme. Sie könnten alle auf eine Weise miteinander verbunden sein, die Sie sich nicht einmal vorstellen können.
5) Republikanische Wunderwaffe fällt flach
Es war weder eine Sicherheitslücke noch ein Hack, aber es verdient eine lobende Erwähnung. ORCA, eine von Mitt Romneys Mitarbeitern vorbereitete Webanwendung, war eine Geheimwaffe, die den freiwilligen Wahlhelfern der Republikaner am Wahltag einen entscheidenden Vorteil verschaffen sollte, indem sie sie auf Menschen hinwies, die noch nicht gewählt hatten.
Doch dann kam es zu einem spektakulären Absturz, bei dem sich die Nutzer im ganzen Land den Kopf zerbrachen, und zwar wegen etwas, das kaum zu glauben ist.
Die ORCA-Web-App verwendet das HTTPS-Protokoll und niemand hat sich die Mühe gemacht, eine automatische Umleitung von der HTTP-Adresse einzurichten. Als die Wähler am Wahltag versuchten, auf die Web-App zuzugreifen, wählten ihre mobilen Android- und iOS-Browser standardmäßig die HTTP-Adresse und zeigten eine generische Server-Fehlermeldung an.
Mehr über das ganze Fiasko können Sie hier lesen.
Es ist fast schon beängstigend, dass eine maßgeschneiderte Anwendung, die für eine wohlhabende politische Partei in einem der mächtigsten Länder der Welt entwickelt wurde, für solche grundlegenden Fehler anfällig sein könnte.
Noch beängstigender ist, dass Tests, die vor dem Einsatz durchgeführt wurden, diese Schwachstelle nicht aufzeigten. Es scheint, dass nicht eine einzige Person ihr persönliches Smartphone herausgeholt und versucht hat, außerhalb der geplanten Tests auf das ORCA zuzugreifen. Das war nicht einfach. Die meisten Endbenutzer hatten bis zum Wahltag nicht einmal die Chance, die App zu sehen.
Was haben wir gelernt? Manchmal vergessen die Leute die grundlegendsten Dinge. Achten Sie darauf, die offensichtlichen Dinge zu überprüfen, und tun Sie es genau so, wie es ein Endbenutzer tun würde. Geben Sie sich nicht mit Skripten und automatisierten Testtools zufrieden. Lassen Sie echte Benutzer die Anwendung oder eine Plattform auf ihrer eigenen Hardware und in ihrem eigenen Netzwerk testen. Im Fall von ORCA genügte die einfache Tatsache, dass jemand zuvor denselben Browser für den Zugriff auf die App verwendet hatte, um die Ergebnisse zu verfälschen, da er die HTTPS-Adresse automatisch vervollständigte.
Zusammenfassung
Und damit ist meine persönliche Liste der fünf größten Sicherheitslücken der jüngeren Geschichte abgeschlossen. Was am meisten auffällt, ist, dass fast alle von ihnen leicht hätten vermieden werden können, wenn jemand, irgendwo, zu irgendeiner Zeit besonders vorsichtig gewesen wäre.
Das ist einer der Gründe, warum Xebia kürzlich die Konferenz Quality in IT in sechs polnischen Großstädten mitveranstaltet hat. Das ist auch der Grund, warum wir das kleine, aber sehr erfolgreiche Unternehmen TestBenefit übernommen haben, das sich auf Softwaretests, Sicherheit und Qualitätssicherung spezialisiert hat. Die Spezialisten von TestBenefit arbeiten jetzt bei den meisten größeren Projekten mit uns zusammen. Wir kümmern uns auch darum, uns über viele aktuelle und vergangene Software-Sicherheitsprobleme zu informieren.
Das sollten alle Softwareentwickler bedenken, sonst landen sie auf einer Liste wie dieser und wir müssen uns eine weitere Geschichte von "überraschenden Hintertüren" und "vermeidbaren Fehlern" durchlesen.
Contact