Drei Fragen und Antworten: Wo Zero-Day-Lücken lauern – und wie man sie aufspürt
Zero-Day-Lücken sind besonders gefährlich – doch mit den richtigen Werkzeugen kann man ihnen trotzdem auf die Spur kommen.
(Bild: iX)
Zero-Day-Exploits sind der Schrecken der IT-Welt. Sie nutzen unbekannte Schwachstellen aus, sodass signaturbasierte Malwarescanner keine Chance haben. Es gibt aber eine ganze Reihe Methoden und Tools, um mögliche Schwachstellen im eigenen Quellcode aufzuspüren. Wir haben mit Jonas Hagg, Titelautor der neuen iX und Penetrationstester, über die Zero-Day-Bedrohungen gesprochen.
Wo lauern die gefährlichsten unentdeckten Lücken?
In den Komponenten der täglich genutzten Betriebssysteme, die von Millionen von Nutzern verwendet werden – Windows, Android, iOS und macOS sowie die Linux-basierten Systeme, die häufig als Server zum Einsatz kommen. Eine unentdeckte Sicherheitslücke in diesen Systemen betrifft so viele Geräte, dass sie für Angreifer besonders wertvoll ist.
Wenn sie unentdeckt sind und womöglich in externen Komponenten stecken, besteht denn eine Chance, sie aufzuspüren?
Grundsätzlich ja. Wie bei der XZ-Lücke gezeigt, können solche Probleme teilweise sogar erkannt werden, ohne den Quelltext zuvor analysieren zu müssen. Sicherheitslücken in nicht öffentlich zugänglichen Komponenten aufzuspüren, ist jedoch sehr aufwendig und erfordert noch mehr Zeit, Geduld und Expertise als das Aufdecken von Schwachstellen in Open-Source-Projekten.
Wie sollte man vorgehen, wenn man eine Lücke gefunden hat?
Optimalerweise folgt man dem Prinzip der verantwortungsvollen Offenlegung (Responsible Disclosure). Dabei wird der Hersteller zunächst über die Sicherheitslücke informiert, um ihm Zeit zu geben, einen Patch zu entwickeln und zu veröffentlichen. Erst nach einer angemessenen Frist sollte die Öffentlichkeit über die Schwachstelle informiert werden. Wenn man sich über den Prozess und die rechtlichen Rahmenbedingungen (beispielsweise über den Hackerparagraph) unsicher ist, können das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Chaos Computer Club hierbei unterstützen.
Herr Hagg, vielen Dank für die Antworten! Einen detaillierten Überblick zu Zero-Day-Lücken sowie zu Methoden und Tools, mit denen man Schwachstellen aufspüren kann, finden Leser in der neuen iX 11/2024, die ab sofort am Kiosk und im heise Shop erhältlich ist.
In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(fo)