Von Hackern lernen

06.01.2008

Erkenntnisse von Hackern fließen zunehmend in Produkte und Strategien von IT-Sicherheitsabteilungen und Software-Firmen ein. Viele Unternehmen müssen jedoch noch lernen, dass Hacker keine Feinde sind. Mehr dazu heute, 22.30 Uhr, im Ö1-Magazin matrix.

"Deine Feinde zu kennen ist der Schlüssel zum Erfolg", erkannte Sun Tse, der chinesische Meister der Kriegsstrategie, schon vor 2.500 Jahren. Umgelegt auf IT-Sicherheit bedeutet das: Alles, was machbar ist, wird eines Tages gemacht werden, deshalb ist es gut zu wissen, was machbar ist.

Die besten Auskünfte kommen dabei von Hackern, die sich in Programmen und Systemen so gut auskennen und so viel Forscherdrang haben, dass sie Sicherheitslücken irgendwann entdecken – hoffentlich vor den Menschen mit krimineller Energie.

Die Erkenntnisse von Hackern wären aber für die Gesellschaft nur von geringem Wert, wenn sie nicht in Produkte und Strategien von Sicherheitsfirmen und Sicherheitsabteilungen einfließen würden.

Auf der Suche nach Sicherheitslücken

Einer, der Software-Herstellern Ezzes geben kann, ist der Sicherheitsexperte und Hacker Fukami. Er lebt im Raum Köln, ist Mitglied im Chaos Computer Club und beschäftigt sich beruflich mit Web-Security. Sein derzeitiges "Hobby" ist das Studium von Flash-Exploits.

Flash hat eine ganze Reihe von Sicherheitslücken [vor allem die älteren Versionen, die aber noch weit verbreitet sind], die das Einschleusen von Trojanern oder den Diebstahl von Daten ermöglichen können.

Eine Gefahr für die Privatsphäre sind die "shared objects" bei Flash, eine Art Cookies. Das Problem ist, dass sie persistent sind, dass sie kein Ablaufdatum haben und dass sie Browser-übergreifend wirken.

Es hilft also gar nichts, wenn man Flash-Cookies zum Beispiel bei Firefox nicht erlaubt, beim Internet Explorer aber schon. Selbst wenn man eine bestimmte Domain sperrt oder Cookies löscht, kann das Surfverhalten getrackt werden.

Die Flash-Community

Fukami beschäftigt sich seit einigen Monaten mit Sicherheitsproblemen von Flash und stieß im Zuge dessen auf den Italiener Stefano di Paola, der kurz zuvor begonnen hatte, sich Flash in Bezug auf Sicherheitslücken anzuschauen. Mittlerweile hat sich um das Thema eine kleine Community gebildet.

Ist es eigentlich üblich, dem Entwickler des jeweiligen Produkts - also im Falle von Flash der Software-Firma Adobe - Tipps und Hinweise zu Sicherheitslücken zu geben? Wenn man wisse, dass das Problem massiv sei und unzählige User möglichen Angriffen schutzlos ausgeliefert seien, sei es klar, dass man ein Problem melde, so Fukami.

Das Problem bei Adobe sei jedoch, dass die Veröffentlichung einer neuen Verison immer "Feature-getrieben" sei und sicherheitsrelevante Updates deshalb oft lange auf sich warten ließen.

Grundsätzlich sei der Kontakt mit den Verantwortlichen für Produktsicherheit bei Adobe in jüngster Zeit aber gut, betont Fukami.

Klage statt Dank

Viele Software-Firmen müssen aber noch lernen, dass Hacker und selbstständige Sicherheitsexperten keine Feinde sind, sondern man besser an einem Strang zieht.

In der Vergangenheit sei es immer wieder vorgekommen, dass Leute, die auf Sicherheitslücken hingewiesen hatten, mit Klagen bedroht wurden, ihren Konferenzvortrag aus dem Programm reißen mussten oder dergleichen mehr, sagt Paul Böhm, selbst Sicherheitsexperte, Gründer des Metalab und Veranstalter der Wiener Sicherheitskonferenz DeepSec.

Sicherheitsprobleme zu leugnen könne aber viel Schaden anrichten, deshalb sei es besser, miteinander zu reden und die Probleme nicht zu verstecken, sondern offensiv anzugehen, sagt Böhm.

An einem Strang ziehen

Die Kräfte zu bündeln und den Kontakt zu den Herstellern zu erleichtern ist auch deshalb wichtig, weil es ohnehin nicht besonders viele Leute gibt, die in das innerste Innenleben eines Programms so guten Einblick haben, dass sie versteckte Sicherheitslücken entdecken können.

Weil die Systeme immer komplexer werden und immer schwerer zu durchschauen sind, leide der Bereich unter Nachwuchsproblemen, so Böhm.

Mit der Konferenz DeepSec, die im November 2007 zum ersten Mal stattfand, möchte er den Kontakt zwischen Hackern, Sicherheitsfirmen, Sicherheitsabteilungen von Firmen und Software-Herstellern verbessern.

Am Sonntag in "matrix"

Mehr zum Thema gibt es am Sonntag um 22.30 Uhr im Ö1-Magazin "matrix".

(matrix | Sonja Bettel)