Facebooks Internet Defense Prize für Forscher der Uni Bochum

Facebook hat erstmals den mit 50.000 US-Dollar dotierten Internet Defense Prize verliehen. Sieger sind Johannes Dahse und Thorsten Holz von der Ruhr-Uni Bochum. Ziel des Preises: Die Sicherheit im Internet zu erhöhen.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Uli Ries

Facebook will das Netz sicherer machen

(Bild: Facebook)

Facebook hat sich Großes vorgenommen: Mit dem erstmals ausgelobten Internet Defense Prize will das Unternehmen dazu beitragen, das Web insgesamt sicherer zu machen. Der Fokus des Preises liegt auf Verteidigungs- und Schutzmechanismen, nicht auf den laut Facebook leidlich überrepräsentierten Informationen über neue Angriffsvarianten. Daher tat sich Facebook mit der in Wissenschaftskreisen gut angesehenen Usenix-Organisation zusammen, um neue Verteidigungsstrategien zu sichten.

Gesichert haben sich den Preis Johannes Dahse und Thorsten Holz von der Bochumer Ruhr-Universität. Ihr für das Usenix Symposium eingereichter Beitrag „Static Detection of Second-Order Vulnerabilities in Web Applications“ überzeugte die aus Usenix- und Facebook-Vertretern besetzte Jury. Nach Angaben von John “Four” Flynn, Security Engineering Manager bei Facebook, fanden die Forscher durch die von ihnen entwickelte Technik über 150 bislang unbekannte Schwachstellen in gängigen Web-Anwendungen. Facebook selbst beanspruche nach Aussage von Flynn keinerlei Rechte an der mit 50.000 US-Dollar ausgezeichneten Arbeit. Sollte es jedoch einen Ansatzpunkt geben, die eigenen Dienste durch Einsatz der von Dahse und Holz entwickelten Verfahren sicherer zu machen, dann sei man dafür natürlich offen und würde gern mit den Forschern zusammenarbeiten, so der Facebook-Vertreter.

Die in der Arbeit behandelten Second-Order-Schwachstellen bedeuten laut Thorsten Holz, dass zwei Lücken nacheinander missbraucht werden müssen, um eine Schwachstelle auszunutzen. Holz illustrierte einen solchen Angriff gegenüber heise Security an einem Beispiel: Zunächst müssen Inhalte in die hinter einer Web-Anwendung liegende Datenbank eingeschleust werden. Diese Daten nutzt die Applikation dann im zweiten Schritt für weitere Berechnungen, wodurch letztendlich ein Angriff möglich wird. Anstatt also durch eine einfache SQL-Injection ans Ziel zu gelangen, müssten Angreifer für eine erfolgreiche Attacke auch den nächsten Verarbeitungsschritt kontrollieren.

„First Order-Schwachstellen wie SQL-Injections sind relativ einfach zu finden“, sagt Holz. Um Second-Order-Lücken zu entdecken, müsse man viel genauer analysieren und die gesamte Applikation untersuchen, um problematische Zusammenhänge zu entdecken. Die Arbeit rund um die Schwachstellen zweiter Ordnung sei eine Weiterentwicklung des Dissertationsthemas von Johannes Dahse. Insgesamt haben die beiden Forscher rund sechs Monate am Thema gearbeitet, inklusive Implementierung und Evaluierung. Die Arbeit sei Teil eines größeren Projekts, in dessen Rahmen Dahse und Thorsten Holz die Sicherheit von Web-Apps untersuchen und neue Analysetechniken entwickeln wollen.

Das Preisgeld wollen die Experten verwenden, um die weiteren Arbeiten am Analysesystem zu finanzieren und so „hoffentlich mehr Schwachstellen finden“, sagt Holz. Der Informatik-Professor ist der Meinung, dass Preise wie der von Facebook oder Microsofts Bug Bounty-Programm die Sicherheitsgemeinde motivieren und so neue Schutzmechanismen und sicherere Software entstehen. Facebook selbst sei laut Manager Flynn derzeit noch dabei, Zeitplanung und Details zu künftigen Preisverleihungen zusammen zu tragen. Man wolle gemeinsam mit Usenix zu einem späteren Zeitpunkt Weiteres verlauten lassen.

Thorsten Holz war übrigens auch schon als Autor für heise Security aktiv und hat unter anderem zwei Folgen der Serie Tatort Internet verfasst:

(fab)