Exploits: Schwert oder Schild?

"Ich werde keine weiteren Exploits mehr veröffentlichen. Zu viele Anfeindungen von Leuten, die den Sinn von Exploits nicht verstehen. Ein zu hohes Risiko, dass der Exploit in die falschen Hände gelangt. Mein Bestreben, Anderen den Code für Penetration- und Patch-Tests zur Verfügung zu stellen, schlug fehl." Mit diesen Sätzen zieht Johnny Cyberpunk, Mitglied der Hackergruppe "The Hackers Choice" einen Schlusstrich unter den seit mehreren Tagen geführten Hick Hack auf der Mailingliste Full Disclosure und in Webforen zu einem von ihm veröffentlichen Exploit für Microsofts Internet Information Server. Wird das Netz damit nun sicherer? Wohl kaum!

Auf den ersten Blick mag es zwar den Anschein haben, als würde das Nicht-Veröffentlichen von Exploits und Sicherheitslücken erfolgreichen Angriffen auf verwundbare Systeme entgegenwirken. Viele Softwarehersteller, allen voran Microsoft, fordern seit langem solche Veröffentlichungen zu unterbinden. Probleme sollen solange unter Verschluss gehalten werden, bis man eine Lösung gefunden hat. Damit ist dem Anwender aber nicht geholfen, denn er wiegt sich in falscher Sicherheit. Ohnehin ist die Vorstellung falsch, wenn im Internet keine Exploits und Meldungen über Lücken kursieren, wäre alles in bester Ordnung. Die Informationen und Tools sind ja weiterhin da, nur hat nun nicht mehr jedermann Zugriff darauf.

Öffentliche Exploits geben Anwendern die Möglichkeit zu verstehen, wie die Sicherheitslücke funktioniert. Sie können testen, ob ihre Systeme verwundbar sind und die installierten Patches auch wirklich funktionieren. Schließlich passiert es schon mal, dass Patches ihre Wirkung verfehlen. Auch wenn noch kein Patch des Herstellers zur Verfügung steht, helfen Exploits alternative Workarounds zum Schutz der Rechner zu überprüfen. Mitunter eignen sie sich auch als Argumentationshilfe bei angeblich "praktisch nicht ausnutzbaren und unkritischen" Sicherheitslücken, um vielleicht doch ein Wartungsfenster zur Installation der schützenden Patches zu bekommen.

Viele Sicherheitsspezialisten benutzen Exploits, um Schwachstellen bei ihren Kunden aufzuzeigen und zu beseitigen. Plug-ins für Schwachstellenscanner wie Nessus basieren auf Exploit-Code und Regeln für Intrusion-Detection-Systeme wie Snort bestehen aus deren Signaturen. Der c't-Browsercheck demonstriert Sicherheitslücken in Browsern durch den Einsatz von Exploits.

Natürlich lässt sich ein Exploit in den falschen Händen, etwa von Skrippt-Kiddies, als Angriffswerkzeug einsetzen. Selbst die Demos des Browserchecks benutzen sie als Vorlagen, um Web-Seiten zusammenzubasteln, die Rechner mit Viren infizieren. Wir sind dennoch davon überzeugt, dass dieser Service dazu beiträgt, das Internet sicherer zu machen und werden ihn aufrecht erhalten. Der Missbrauch durch eine Minderheit darf nicht zu einer Reglementierung führen, die die Arbeit der produktiven Mehrheit beeinträchtigt. Die Axt im Baumarkt ist schließlich auch für jedermann erhältlich.

Ohne die Offenlegung von Informationen und Quellcode für Tools können Anwender sich nicht auf Angriffe vorbereiten. Würmer - die nicht veröffentlichte Schwachstellen ausnutzen - erscheinen ohne Vorankündigung und verbreiten sich ungebremst. Administratoren wundern sich über Einbrüche in voll gepatchte und sauber konfigurierte Server. Das verzweifelte Raten um Ursachen und Abhilfe beginnt. Man kann nur hoffen, dass Andere dem Beispiel von Johnny Cyberpunk nicht folgen werden, denn das vollständige Offenlegen von Sicherheitsproblemen, einschließlich funktionfähiger Demonstrationen - kurz Full Disclosure - macht das Netz sicherer.

Daniel Bachfeld (dab)