3. Februar 2010
Dave Aitel schrieb heute auf seiner Dailydave-Mailingliste:
ASLR
DEP
were gaining wide acceptance. Execshield was on almost all Linux systems, and the „golden age“ of buffer overflow exploitation looked like it was coming to a close.
Today, Immunity released a working version of the Aurora exploit for Windows 7 and IE8 today to CANVAS Early Updates. It does this by playing some very odd tricks with Flash’s JIT compiler. This technique is extendible to almost all similar vulnerabilities. In other words, ASLR and DEP are not longer the shield they once were.
Wenn das alles so stimmt (Dave Aitel will primär sein Canvas verkaufen, da ist einiges mit Vorsicht zu genießen) schließe ich zwei Sachen daraus:
- Just-in-Time Compiler sind böse, weil die meisten JIT Compiler ASLR und/oder DEP abschalten und damit Angriffe erleichtert werden.
- ASLR und DEP sind längst nicht die goldenen Schilde die vor allen möglichen Programmierfehlern und Schlampereien der Entwickler schützen, insbesondere was Puffermanagement angeht, sobald der Anwender z.B. Flash, Java, etc. verwendet.
Ob da jetzt Adobe (wie bei Apple) der Böse ist oder der Flash JIT nur verwendet wird, weil er weit verbreitet ist, kann ich noch nicht sagen. Die Canvas Early Updates in denen das bisher released wurde sind derart teuer, die will ich mir nicht leisten. Aber ich denke es lohnt sich nicht nur für Exploitprogrammierer, das Thema zu beobachten.
Nachtrag:
The Register hat das Thema aufgegriffen.
Wie inzwischen alle Medien berichten, ist der europäische Emissionshandel großflächig zerlegt worden. Angeblich haben sich Hacker mittels Phishing-Mails Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts übertragen und für mehrere Millionen Euro verkauft.
Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da richtet also das Bundesumweltamt, ein Geschäftsbereich des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit eine Webseite ein, auf der Emissionsrechte im Wert von vielen Millionen Euro gehandelt werden können. Und wie wird das abgesichert? Mit einem popeligen Passwort. Das der User selbst wählen muss. Einzige Bedingung: das Passwort muss mindestens 10 Zeichen, eine Ziffer und einen Buchstaben enthalten. Fertig. Dazu gibt es dann den freundlichen Hinweis:
„Transaktionen müssen mit großer Sorgfalt durchgeführt werden, da die DEHSt grundsätzlich keine Möglichkeit hat, abgeschlossene Transaktionen (z. B. falscher Empfänger, falsche Zertifikateanzahl) rückgängig zu machen.“
Keine Einmalpasswörter, Token oder Smartcards für die Anmeldung, keine TANs, iTANs oder mTANs zur Absicherung der Transaktionen, nix, null, niente. Selbst die schlechteste Onlinebank ist besser abgesichert als so eine Monsterbehörde. Statt dessen macht man den Laden laut FTD lieber zu:
„Die Stelle in Berlin hat am Freitag den Betrieb eingestellt. „Dabei bleibt es mindestens für den Rest dieser Woche“, sagte eine Sprecherin.“
Das sind dann die Momente in denen ich mich frage, welcher Versager das Sicherheitssystem entworfen und welcher Stümper das abgenommen hat. Im Impressum steht unter „Technische Unterstützung“ die Materna GmbH. Für jeden halbwegs gebildeten Menschen ist klar, dass derart hohe Werte natürlich Kriminelle anziehen wie Gesetzesentwürfe von Schäuble die Fliegen. Gleichzeitig sind für diesen Handel in den meisten Firmen Mitarbeiter verantwortlich, denen man IT-Kenntnisse nicht unbedingt zutrauen muss. Optionale Angebote wie die Möglichkeit, Transaktionen von zwei Personen genehmigen zu lassen werden sowieso nicht genutzt, weil viel zu umständlich.
Da hätte man mal besser die Anmeldegebühren von 200 Euro auf 250 Euro hoch gesetzt und dafür allen Nutzern einen Smartcard-Reader und eine Smartcard für die Authentisierung geschickt. Im Verhältnis zu den zu schützenden Werten und dem möglichen Schaden ist das eine lächerlich kleine Investition.
Das einzige das fehlt um die Pleite komplett zu machen ist lediglich noch so ein TÜV-Siegel „Safer Shopping“ oder so, auf der Seite der DEHSt. Ich kann mir nicht vorstellen, dass eine Bundesbehörde was online gehen lässt, ohne sich eine TÜV-Bescheinigung einzuholen. Und dann würde sich der Kreis natürlich schließen.
