Die DNS-Schwachstelle, das Aushebeln des Pufferüberlauf-Schutzes in Windows Vista und gefälschte fälschungssichere Ausweise - das sind die Themen dieses "Standpunkt Sicherheit".

DNS-Schwachstelle, zum x.ten

Mal wieder, schon wieder, und so wie es aussieht, noch für einige Zeit immer wieder - die DNS-Schwachstelle. So, wie es zur Zeit aussieht, wird sie uns direkt oder indirekt noch einige Zeit beschäftigen. Dan Kaminsky hat letzte Woche auf der Sicherheitskonferenz Black Hat die letzten noch geheimen Details veröffentlicht, und damit ist die nächste Runde von "Wer weiß mehr als andere" eröffnet. Ging es erst darum, die Details zur Schwachstelle selbst vor ihrer Veröffentlichung heraus zu bekommen, ist jetzt das Rennen nach möglichen Angriffen eröffnet. Einige hat Dan Kaminsky schon in seiner Präsentation aufgeführt, weitere werden sicher folgen. Ein möglicher Angriff ergibt sich aus der Kombination der DNS-Schwachstelle mit den von Debian erzeugten schwachen OpenSSL-Schlüsseln. Für OpenID wurde von Ben Laurie und Dr. Richard Clayton bereits die Möglichkeit von Man-in-the-Middle-Angriffen nachgewiesen. Das größte Problem dabei sind die noch gültigen unsicheren Zertifikate: Solange die Zertifikat-Rückruflisten (Certificate Revocation List, CRL) von den meisten Programmen ignoriert werden, kann sich jeder, der so ein Zertifikat fälscht, als derjenige ausgeben, für den das betreffende Zertifikat ausgestellt wurde. Und das so lange, bis entweder die Gültigkeitsdauer der unsicheren Zertifikate abgelaufen ist oder alle Programme, insbesondere die Webbrowser, die CRLs auswerten. Ich fürchte, dieses Problem wird von der Zeit gelöst und nicht von den Programmherstellern.

Risiken und Nebenwirkungen noch nicht alle bekannt

Mal abwarten, was man mit der Schwachstelle alles anstellen kann. Dan Kaminsky hat in seiner Präsentation bereits einiges aufgeführt, wobei das meiste auf Man-in-the-Middle-Angriffe hinausläuft und auch SSL keinen zwingend zuverlässigen Schutz bietet. Dann sind da alle Sicherheitsfunktionen, die in irgend einer Weise DNS nutzen - nutzlos, wenn DNS nicht vertrauenswürdig ist. Automatische Updates beziehen ihre Daten unter Umständen vom falschen Server, und Nameserver in lokalen Netzen können ebenso angegriffen werden wie Nameserver im Internet, von der Nutzung unsicherer Upstream-Nameserver ganz abgesehen (siehe den Angriff, dem H D Moore indirekt zum Opfer gefallen ist). Gut, das inzwischen ein Großteil aller Nameserver bereits gepatcht ist.

Und noch mal zur Black Hat

Dan Kaminsky war bei weitem nicht der einzige, der auf der Black Hat Konferenz einen Vortrag gehalten hat. Ein weiterer Vortrag stammt von Alexander Sotirov und Mark Dowd: 'How to Impress Girls with Browser Memory Protection Bypasses'. Sie zeigen darin, wie man verschiedene Schutzmaßnahmen gegen Pufferüberläufe in Windows Vista aushebeln kann. Eine Maßnahme ist die Data Execution Prevention (DEP, auch NX, "no-execute", genannt), die verhindert, das in markierten Speicherbereichen, z.B. dem Stack, Code ausgeführt wird. Diese Schutzmaßnahme kann über eine Kombination aus bösartigen Java-Applet (Suns virtuelle Java-Maschine hat eine eigene Speicherverwaltung und ignoriert DEP) und einem Pufferüberlauf in einer anderen Browserkomponente ausgehebelt werden, so dass eingeschleuster Code doch ausgeführt wird. Java, Black Hat - da war doch was? Genau, schon im Standpunkt der vorigen Woche hatte ich auf einen Vortrag von Nathan McFeters, Billy Rios, John Heasman und Rob Carter hingewiesen: Als GIF getarnte JAR-Archive werden vom Browser als Bild gerendert und von der Java Virtual Machine als Java-Applet ausgeführt. Ob man das kombinieren kann? Vielleicht könnte man ja den Browser zum Absturz bringen, während er das falsche GIF rendert...

Fälschungssicherer biometrischer Ausweis gefälscht

Unsere Innenpolitiker werden nicht müde, zu versichern, das wir alle unsicher leben, solange wir keine sicheren biometrischen Ausweise haben. Da wäre ich mir nicht so sicher. Erst mal klingt das sowieso schon so sehr nach Snakeoil, das man spontan nach Teer und Federn Ausschau hält, und dann gibt es da auch noch so böse Spielverderber wie die britische Times, die sich mit einen fußaufstampfenden "Das ist sicher!" nicht zufrieden gibt und der Sache auf den Grund geht. Und was kommt dabei raus: Die Dinger sind eben nicht fälschungssicher wie behauptet, sondern die Daten lassen sich innerhalb weniger Minuten austauschen. Wirklich fälschungssicher wären die Ausweise erst, wenn die Daten mit einer digitalen Signatur geschützt werden. Dafür muss aber zuvor die zugehörige Public Key Infrastruktur und ein Public Key Directory aufgebaut werden, an denen sich alle Staaten beteiligen müssen, die entsprechende Ausweise ausgeben. Bisher nehmen nur 10 von 54 Staaten, die biometrische Ausweise ausgeben, am Public Key Directory teil - und nur 5 davon nutzen es. Noch Fragen?

Microsoft-Patchday im Schnelldurchlauf

Angekündigt wurden 12 (in Worten: zwölf) Security Bulletins, darunter 7 als kritisch eingestufte. Betroffen ist so ziemlich jedes Microsoft-Programm. Das klingt nach einem heißen Dienstag.

Carsten Eilers