Ineffektive Sicherheitskontrollen bei Software-Entwicklung
Hacker lassen Microsoft ganz schön lahm aussehen
WMF-Debakel zeigt Microsofts Probleme
Ineffektive Sicherheitskontrollen bei Software-Entwicklung
Das kürzliche Debakel mit Windows WMF zeigt, dass Microsofts “Trustworthy Computing Initiative” nur wenig mehr als eine Luftnummer ist. Die Vorstellung, dass Microsoft sich seinen gesamten Quellcode mal sehr eingehend ansieht, überprüft und dabei alle Bugs entfernt, war schon immer zum Lachen. Dafür wäre es notwendig, die gesamte Microsoft-Software neu zu schreiben und zu testen – was für ein Unternehmen mit einem so großen Software-Volumen wie Microsoft undenkbar wäre.
Der WMF-Skandal wurde bekannt, als Microsoft über eine per Internet ausbeutbare Schwachstelle informiert wurde, die ausgelöst werden konnte, wenn man eine speziell angefertigte WMF-Datei öffnete. Microsoft hatte die Bedeutung der Schwachstelle heruntergespielt und argumentiert, dass den Verantwortlichen nicht bekannt ist, dass irgendein System der Kunden über dieser Schwachstelle kompromittiert worden wäre. Klar ist, dass dies nicht das Gleiche ist, als wenn jemand sagt, dass die Systeme der Kunden nicht geschädigt wurden. Als dann aber einige Tage später Berichte über verschiedene Exploits im Internet kursierten, hat dies Microsoft wahrscheinlich zu einer 180-Grad-Wendung veranlasst: Das Unternehmen stellte einen WMF-Patch zur Verfügung.
So finden Hacker die Bugs
Ineffektive Sicherheitskontrollen bei Software-Entwicklung
Es liegt klar auf der Hand, dass es keine Hoffnung gibt, die Sicherheit von Windows zu erhöhen, wenn Microsoft nicht besser als die Outsider dabei wird, Schwachstellen zu finden und in Ordnung zu bringen. Der WMF-Bug zeigt, dass dies im Moment nicht der Fall ist. Er zeigt aber auch, dass die vorangegangenen Überprüfungen der Codes weitgehend ineffektiv gewesen sind – ansonsten wäre die Schwachstelle längst identifiziert und bereinigt worden.
Die Schlüsselfrage ist: Wie findet Microsoft die Fehler und wie stehen die Methoden dafür im Vergleich zu anderen Methoden da? Hacker finden neue Schwachstellen häufig dadurch, dass sie von den Vorangegangenen lernen. Wenn eine Schwachstelle in der Form ans Licht kam, wie z.B. ein Webserver mit HTTP Chunked Encoding umgegangen ist, haben sich diese Burschen angesehen, wie andere Webserver mit HTTP Chunked Encoding umgegangen sind. Und ganz sicher haben sie neue Schwachstellen gefunden, die sie ausbeuten können.
Aller Wahrscheinlichkeit nach hat eine beträchtliche Anzahl von Leuten sich auch die früheren TIF-, GIF- und JPEG- Schwachstellen angesehen und festgestellt, dass es sich lohnen könnte, auch noch andere Dateiformate unter die Lupe zu nehmen.
Fest angestellte Bug-Jäger?
Ineffektive Sicherheitskontrollen bei Software-Entwicklung
Eine weitere Schlüsselfrage ist, wie viele Leute bei Microsoft in Vollzeit angestellt sind, um genau diese Arbeit zu tun. Wenn die Anzahl von Bug-Jägern bei Microsoft die Anzahl von Hackern und außen stehenden Forschern nicht ganz wesentlich übersteigt, werden die Schwachstellen weiterhin ausgebeutet werden, bevor die Patches erscheinen.
Während der letzten ein bis zwei Jahre habe ich den meisten Sicherheitsexperten bei Microsoft diese Fragen gestellt und keiner hat eine Antwort parat gehabt. Fairerweise muss man sagen: Ich weiß nicht wie die verschiedenen anderen Abteilungen meines Unternehmens vorgehen.
Aber wenn so viel auf dem Spiel steht, dann könnte ich mir vorstellen, das bei wirklich großen Anstrengungen in diesem Bereich die Microsoft-Manager sagen würden: Wir kennen die Antwort nicht, werden sie aber finden und Sie dann darüber informieren. Doch auch ein solches Angebot wurde niemals gemacht.