News 31.03.2010, 06:00 Uhr

Hausaufgabe für Microsoft & Apple

Der dreimalige Gewinner des Hackerwettbewerbs Pwn2own, Charlie Miller, will die von ihm gefundenen Sicherheitslücken in Apple- und Microsoft-Programmen nicht an die Hersteller übergeben.
Charlie Miller hat in der letzten Woche zum dritten Mal in Folge ein Preisgeld beim Hacker-Wettbewerb Pwn2own gewonnen. Dieser findet jährlich im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. Miller hat noch etliche Safari-Bugs auf Lager, ebenso Bugs in PowerPoint, Adobe Reader und OpenOffice.org. Doch er rückt sie nicht heraus.
Miller ist frustriert über die geringen Fortschritte, die bei der Software-Sicherheit gemacht werden. Der ständige Zyklus Lücke-Patch-Lücke-Patch mache die Programme insgesamt nicht sicherer. Um dieses in seinen Augen sinnlose Wechselspiel zu durchbrechen, hat Miller in einem Vortrag in Vancouver dargelegt, wie er die Schwachstellen gefunden und ausgenutzt hat.
Seine Methode ist an sich bekannt und wird Fuzzing genannt. Ein paar Code-Zeilen reichen Miller, um Programme mit zufälligen, sinnlosen Eingaben zu traktieren, die früher oder später einen Absturz provozieren. Dann gilt es, diejenigen Absturzursachen herauszufiltern, die sich zum Einschleusen von Code ausnutzen lassen. Schliesslich muss noch Exploit-Code verfasst werden, der Schutztechniken wie DEP und ASLR umgeht und die Lücke ausnutzt.
Microsoft nutzt Fuzzing seit Jahren im Rahmen seines Security Development Lifecycle (SDL), der Programme bereits während der Entwicklung sicherer machen soll. Doch Miller findet, es sei viel zu einfach gewesen, die Lücken zu entdecken. Dies habe ihn überrascht und enttäuscht. Apple, Adobe und Microsoft sollten diese Schwachstellen längst selbst gefunden haben.
Es könne nicht angehen, so Miller, dass ein einzelner Forscher mit drei Computern die grossen Sicherheitsteams mit ihren Rechnerfarmen schlage. Es sei ja nicht so, dass die Hersteller nicht mit Fuzzing arbeiteten, sie machten es nur nicht gut genug. Er hoffe, Apple, Microsoft und Co. hätten gut zugehört und würden es in Zukunft besser machen.



Kommentare
Avatar
Nebuk
31.03.2010
Die Mitarbeiter sind halt auch nicht mehr das, was sie mal waren :D Scheint aber fast so, als ob sie die offensichtlichen Lücken nicht sehen könnten. :D MS, Apple etc. könnten ja ihre Mitarbeiter zu ihm in den Lehrgang schicken. Davon könnten sie sicher profitieren.

Avatar
killer_91
01.04.2010
Ich könnte mir das sehr gut vorstellen das die Hersteller und deren Sicherheitsteams viel zu kompliziert suchen und die Lücken an einem Ort suchen wo es viel zu schwirig wäre dort ran zu kommen. Deshalb kommt dann wieder ein Hacker und präsentiert viele Lücken im einfachen Format. Könnte für mich noch logisch tönen. gruss