Die jüngsten kritischen Sicherheitslücken bei Java und Internet Explorer lassen einen unangenehmen Verdacht aufkommen? Begünstigen Sicherheitsprogramme gegen Angriffe aus dem Netz ebendiese Angriffe womöglich erst?

In den letzten Wochen wurde die IT-Welt von zwei kritischen Sicherheitslücken beschäftigt, die besonders weit verbreitete Software und somit viele potentielle Opfer betraf. Zunächst traf es Java, das auf vielen PCs installiert ist und mit einem außerplanmäßigen Update gesichert werden musste. Kaum war dieses Thema vorbei, wurde eine Sicherheitslücke in praktischen allen verbreiteten Versionen des Internet Explorer bekannt. In beiden Fällen handelte es sich um sogenannte Zero-Day-Exploits, also Sicherheitslücken, die in Hackerkreisen bereits bekannt waren und nachweislich bereits aktiv genutzt wurden, um die Kontrolle über PCs zu übernehmen.

Auffällige Gemeinsamkeiten bei den jüngsten Zero-Day-Exploits

Soweit ist das nichts Ungewöhnliches und kommt leider immer wieder vor. Aber es gibt mehr Gemeinsamkeiten: Beide Sicherheitslücken wurden dem jeweiligen Softwarehersteller von der Zero Day Initiative (ZDI) gemeldet, einer Initiative, die Forschern und IT-Experten ein „Kopfgeld“ für das Melden von Sicherheitslücken zahlt. Ziel dieser Initiative ist es, einerseits die Hersteller einer Software über die Lücken zu informieren, damit diese bald geschlossen werden können. Zum anderen werden die Hersteller von Sicherheitssoftware über neue Lücken informiert, damit sie Daten dazu in die Signaturen ihrer Intrusion Prevention Systeme (IPS) einfügen können. Prinzipiell könnte die ZDI oder einzelne von deren Mitarbeitern diese Informationen aber ebenso an andere „interessierte“ Kreise liefern.

Wer bewacht die Bewacher?

Aber selbst ein solches – im Zweifelsfall kriminelles – Vorgehen muss nicht mal die Ursache dafür sein, dass Informationen über Sicherheitslücken an Hacker gelangen. Eine unterschätzte Gefahr sind die IPS-Produkte, die ständig mit den neuesten Signaturen von Sicherheitslücken versehen werden. Dazu muss man verstehen, dass das Erstellen einer solchen Signatur relativ einfach ist. Meist werden sie bereits wenige Stunden nach Bekanntgabe einer neuen Sicherheitslücke durch die ZDI per Update verteilt. Das Erstellen eines Updates für die betroffene Software hingegen kann mehrere Wochen dauern. Insbesondere bei weit verbreiteten Programmen muss das Update nicht nur erstellt sondern auch gründlich getestet werden, bevor es verteilt werden kann.

Reverse Engineering der Sicherheitssignaturen?

Zwischen dem Verteilen der Signatur einer Sicherheitslücke und dem Beheben ebendieser Lücke liegen also Wochen, die von Hackern genutzt werden können. Insbesondere da in dieser Zeit nur die IPS-geschützten PCs sicher sind, alle anderen aber über die Lücke angegriffen werden können. Hacker müssen also nur Kenntnis von solchen kritischen Sicherheitslücken erhalten. Und da kommen eben die IPS-Signaturen ins Spiel, die im Grunde genommen genau diese Informationen enthalten. Schon auf der BlackHat-Sicherheitskonferenz 2007 hatten Robert Graham und David Maynor demonstriert, dass es möglich ist, IPS-Systeme so zu manipulieren, dass man die Informationen aus den Signaturen per Reverse Engineering auslesen und verwenden kann. So kann man an Informationen über die Sicherheitslücken gelangen, die mit ebendiesen Signaturen blockiert werden sollen. Anstatt wieder und eine Internetsoftware zu knacken, müssten Hacker also lediglich eine IPS-Software installieren und bekämen die neuesten Sicherheitslücken ständig quasi frei Haus geliefert.

Nur Zufälle oder ein Fehler im System?

Dass dies wirklich passiert – und z. B. bei den jüngsten Zero-Day-Exploits bei Java und Internet Explorer passiert ist – lässt sich nicht beweisen und ist bislang deshalb Spekulation. Andererseits ist nicht bekannt, dass die Hersteller von IPS-Software ihre Signaturen mittlerweile besser schützen würden, als das 2007 der Fall war. Schließlich kommt hier wieder das alte Problem aller Sicherheitssoftware ins Spiel: Wenn sie zu gut ist und alle Gefahren vollständig eliminiert, ist das letztlich nicht gut fürs Geschäft des Herstellers. Ab und zu ein paar saftige Schlagzeilen wie in den letzten Wochen helfen dem Umsatz hingegen stets auf die Sprünge. Und die Parallelen bei den letzten beiden großen Sicherheitslücken sind schon auffällig. Wenn aber der Schutz gegen Sicherheitslücken das aktive Ausnutzen ebendieser Lücken erst möglich macht, dann ist etwas gewaltig faul im System. Sicherlich eine Entwicklung, die es sich zu beobachten lohnt.