Der Hack-Automat

Wenn derzeit in wichtigen Anwendungen Sicherheitslöcher auftauchen, werden so genannte Patches, also Aktualisierungsprogramme, per Internet an die betroffenen Rechner geschickt. Forscher an der Carnegie Mellon University haben nun herausgefunden, dass es böswilligen Angreifern möglich ist, diesen Vertriebsweg für sich selbst zu nutzen und innerhalb kürzester Zeit, manchmal in nur 30 Sekunden, einen so genannten Exploit, eine Ausnutzung der Sicherheitslücke, zu generieren. Da es stets länger dauert, bis die Aktualisierungen jeden Rechner im Netz erreicht haben, ließe sich eine große Anzahl noch nicht gepatchter Rechner infizieren, wie David Brumley vom Institut für Elektro- und Computertechnik an der Hochschule sagt.

In seiner Studie produzierten der Forscher und sein Team bösartigen Code, der in Rechner eindringen und von dort aus "Denial of Service"-Angriffe starten konnte. Mit Hilfe dieser Attacken werden Websites mit unnützen Datenpaketen überflutet, sodass legitime Nutzer nicht mehr zugreifen können. Ebenfalls möglich war die Fernsteuerung befallener Rechner. Brumley warnt, dass seine Erkenntnisse Konsequenzen auf die gesamte Internet-Sicherheitslandschaft haben könnten.

Normalerweise läuft das Schließen von Sicherheitslücken wie folgt ab: IT-Security-Experten, die ein Problem auffinden, informieren die betroffenen Firmen oder Organisationen, die hinter einer Software stehen. Der Hersteller schafft dann einen Patch, eine Aktualisierung, um die Lücke zu beheben. Weil diese Patches oft ziemlich große Dateien darstellen, werden sie in Stufen an die betroffenen Rechner verteilt, damit die entsprechende Serverinfrastruktur nicht überlastet wird, wie Christos Gkantsidis, Netzwerk-Forscher bei Microsoft Research in Cambridge, erläutert.

So kann es etwa gut 24 Stunden dauern, bis eine Aktualisierung durch die Update-Routine des Betriebsystems Windows rund 80 Prozent der betroffenen PCs erreicht hat. "Das Problem dabei ist, dass die Infrastrukturkapazität nicht groß genug ist, um alle Nutzer sofort mit einem Patch zu versorgen", sagt Gkantsidis, "wir haben derzeit keine Technologie, die Aktualisierungen so schnell verteilen können, wie sich Viren und Würmer verbreiten". Mit anderen Worten: Angreifer haben stets ein mehr oder weniger großes Zeitfenster, in dem sie Rechner infizieren können, bevor ein Patch verfügbar ist und die Systeme, die ihn benötigen, auch erreicht hat. Brumleys Studie zeigt nun, dass sich diese Chance für Angreifer besser nutzen lässt, wenn diese auf die automatische Herstellung passender Exploits setzen.

Derzeit funktioniert seine Technik nur bei einer bestimmten Art von Fehlern, die allerdings recht häufig vorkommen. Seine Wurzeln hat der Ansatz in Methoden, die derzeit für automatisierte Tests verwendet werden, um Programme auf ihre Funktionsfähigkeit zu überprüfen. Die Technik analysiert dabei einen neuen Patch, um zu ermitteln, welche Veränderungen an der früheren Softwareversion vorgenommen werden. Sind diese Veränderungen einmal isoliert, wird daraus ein Exploit generiert – vor allem ein mathematisches Problem.

Viele Lücken, die die Forscher verwendeten, um ihr System zu testen, wurden von Microsoft als kritisch oder ernst bewertet, sagt Brumley. In zwei Fällen hat der Softwarekonzern bereits vor den von den Wissenschaftlern generierten Exploits gewarnt, in verschiedenen anderen waren zuvor keine Ausnutzungen bekannt.

"Wenn man sich das Ganze eher naiv betrachtet, verteilt man einen Patch, um ein System zu verbessern und Sicherheitslücken zu schließen", meint Dawn Song, Juniorprofessorin an der University of California in Berkeley. "Bei Brumleys Studie geht es nun darum, dass man auch darauf achten muss, welche Sicherheitsauswirkungen die Verteilung haben könnte."

Die Forscher fordern in ihrer Studie deshalb neue Methoden, über die Patches sicherer vertrieben und weniger einfach ausgenutzt werden können. Brumley schlägt etwa vor, die Veränderungen, die ein Patch an Software durchführt, zu verstecken, etwa indem die Aktualisierungen verschlüsselt werden und erst dann entschlüsselt werden können, wenn ein Großteil der Nutzerschaft über die Software verfügt. Auch möglich sei ein Vertrieb über Peer-to-Peer-Netze, mit denen sich Patches sofort verteilen lassen könnten, statt den Rollout in Stufen vorzunehmen. "Ich würde es gerne sehen, dass Sicherheitsforscher sich mit den Herstellern zusammensetzen, um Wege zu finden, wie diese neue Lösung funktionieren könnte."

Gkantsidis sieht das ähnlich – er findet auch, dass die Verteilung von Aktualisierungen verändert werden sollte. Allerdings müsse sichergestellt werden, dass dies nicht dazu führt, dass noch mehr Probleme auftreten. Beispielsweise könnten Peer-to-Peer-Systeme Patches zwar schnell verteilen, doch seien sie womöglich auch hilfreich für Angreifer, die daraus Rückschlüsse ziehen könnten, welche Rechner noch verwundbar sind. Deshalb sei eine Kombination neuer Ansätze notwendig, etwa die Nutzung von Verschlüsselung und Peer-to-Peer-Verteilung.

Bruce Schneier, Technologiechef beim Sicherheitsunternehmen BT Counterpane und bekannter IT-Security-Experte, warnt allerdings vor Schnellschüssen. Zwar sei durchaus interessant, was Brumley und sein Team gezeigt hätten, doch viel verändere sich dadurch nicht. Die bösen Jungs wüssten schon jetzt, wie man aus einem Patch einen Exploit mache. Die neue Studie zeige nur, wie einfach das sei. "Ich denke, dass wir mit der Tatsache leben müssen, dass bei der Verfügbarmachung eines Patches auch der Exploit bekannt ist", sagt er. So funktioniere die Welt nun einmal. Man könne zwar versuchen, das dazu notwendige "Reverse Engineering" zu erschweren, doch ganz zu stoppen sei das nie.

Song hofft, dass automatisierte Technologien, mit denen Sicherheitslücken ausgenutzt werden können, bald auch dabei helfen, Rechner besser abzusichern. Die automatische Codeanalyse biete viele Chancen, Probleme erst gar nicht auftauchen zu lassen, meint die Forscherin. (bsc)