Wassenaar-Abkommen: Forscher zensieren sich selbst
Mit Verweis auf das Wassenaar-Abkommen zur Rüstungskontrolle entfernte ein Forscher ganze Seiten und Bilder aus seiner Dissertation zur Effektivität von Microsofts Schutz-Werkzeug EMET.
(Bild: Dino Dai Zovi, Practical ROP)
Das Wassenaar-Abkommen zur Exportkontrolle von konventionellen Waffen sowie Dual-Use-Gütern und -Technologien wurde kürzlich so erweitert, dass es auch Software-Exploits umfasst. Als Konsequenz hat ein britischer Sicherheitsforscher aus seiner Abschlussarbeit An Evaluation of the Effectiveness of EMET 5.1 ganze Seiten und Bilder entfernt. Das Abkommen und die Ethik-Richtlinien der Universität verböten es, Exploits öffentlich zu präsentieren.
Microsofts Enhanced Mitigation Experience Toolkit (EMET) aktiviert eine ganze Reihe von zusätzlichen Schutzmechanismen in Windows, die das Ausnutzen von Sicherheitslücken erschweren sollen. So kann man etwa mit EMET die Verwendung der Adressverwürfelung ASLR erzwingen. In seiner Dissertation untersuchte der Forscher die wesentlichen Schutzkonzepte in EMET – natürlich indem er versuchte, sie gezielt zu überwinden. Das gelang in der Tat bei allen; allerdings zum Teil nur in bestimmten Konstellationen.
Guter Schutz
Insgesamt kommt Grant Willcox zu dem Schluss, EMET sei eine "hoch-effiziente Lösung, um Angreifer daran zu hindern, übliche Schwachstellen in Programmen auszunutzen". Der Schutz sei zwar nicht perfekt, aber er erhöhe den Aufwand für funktionierende Exploits ganz beträchtlich. Wie es in Forschungsarbeiten üblich ist, dokumentierte Wilcox die einzelnen Schritte seiner Angriffsversuche und auch die resultierenden Exploits. Letztere wollte er jedoch nicht veröffentlichen, um nicht gegen Gesetze und die Richtlinien seiner Uni zu verstoßen.
Das Wassenaar-Abkommen hat in den letzten Monaten einige Kritik aus der Security-Community erfahren, weil es Forschung und insbesondere die internationale Zusammenarbeit von Sicherheitsforschern verhindere. Ob es tatsächlich auf Forschungsarbeiten anwendbar ist, ist allerdings fraglich. Immerhin enthält die aktuelle Auflistung der durch das Wassenaar-Abkommen reglementierten Güter dazu eine Einschränkung:
Controls do not apply to "technology" "in the public domain", to "basic scientific research" or to the minimum necessary information for patent applications.
(ju)
