Eigentlich Werbung für Sicherheit & Vista

Mal ein Artikel der anderen Art. Ich schreibe hier eine kleine Aufklärung oder Entgegnung zu Artikeln, die höchstwahrscheinlich erst in den nächsten Stunden/Tagen auf anderen Webmedien online gehen. Mal sehen ob ich recht habe🙂

Worum geht es?

Auf der von Microsoft mitgesponsorten Black Hat Security Konferenz gab es einen Vortrag mit dem Titel „How to Impress Girls with Browser Memory Protection Bypasses„. Den technischen Background dazu findet man diesem PDF: http://taossa.com/archive/bh08sotirovdowd.pdf

Windows Vista hat viele neue Sicherheitsmechanismen eingeführt, die Out-of-the-box mit dabei sind: ASLR, DEP, Heap Protection,… Wie jede Sicherheitsmaßnahme, lassen sich diese möglicherweise umgehen,… darum geht es jedenfalls in dem Vortrag.

Wir werden in Kürze ziemlich sicher tolle und super reißerische Artikel lesen mit knackigen Headlines wie „Vista Sicherheit komplett sinnlos“,… obwohl die ganze Geschichte *eigentlich* eher Werbung ist für Vista, … Die werte Presse wird das wohl nicht so sehen.

Deswegen hier ein paar Argumente vorab, warum man die Kirche im Dorf lassen sollte:

  • XP/Server 2003 wäre um ein vielfaches mehr betroffen, als Vista oder Server 2008, da die neu eingeführten Sicherheitsmaßnahmen in den alten Betriebssystemen nicht implementiert sind – und deshalb erst gar nicht umgangen werden müssen.
  • Die im Paper als Beispiel verwendete Sicherheitslücke (CVE-2007-0038) wurde sechs Tage nach der Entdeckung im März 2007 geschlossen. Siehe Security Bulletin. Deswegen funktioniert der Sample-Code auch nicht mit Vista SP1 bzw. Server 2008. Oder einem Windows, das automatische Updates einspielt. Es braucht für das Ausnutzen der beschriebenen Umgehungstechniken immer noch eine Sicherheitslücke,…
  • Die Lücke CVE-2007-0038, die als Beispiel für die Exploits dient, lief unter Vista schon damals nur, wenn der Internet Explorer als Administrator gestartet war (sprich UAC ausgeschalten).
  • Ebenso dient der IE nur als Beispiel. Andere Browser sind genauso, bzw. ähnlich betroffen. (in einem Punkt ist Firefox 3 dem IE voraus: dort ist DEP bereits aktiviert, beim IE erst IE8).
  • Kritisiert wird, dass PlugIns (Java, Flash, .net) im Browserprozess mit den selben Rechten laufen, wie der Browser. Tja, und der läuft allerdings (wenn man sein System nicht selbst unsicher macht) im Protected Mode. Protected Mode heißt: selbst wenn der Browser kompromitiert wird, ist der potentielle Schaden gering. Dennoch: Attacken richten sich immer mehr gegen PlugIns, da sie das leichtere (sprich unsicherere) Ziel sind. Wer die Wahl hat, Vista direkt anzugreifen oder Flash wird eher Flash attackieren (dann geht der Exploit oft auch gleich auf Macs und Linux).

Fazit:

Jegliche Panikmache oder sensationslüsterne Artikel sind fehl am Platze. Neben einer – so weit ich das beurteilen kann – beachtlichen Leistung der Autoren und Speaker auf der Black Hat Alexander Sotirov (VMWare) und Mark Dowd (IBM), bleiben eigentlich bekannte Schlüsse:

  • Vista und Server 2008 heben die Hürde für Angreifer *ordentlich* an.
  • Jedes Sicherheitssystem kann irgendwie umgangen werden.
  • Einen Browser als Administrator zu starten (egal welchen) ist eine schlechte Idee.
  • Systeme müssen up-to-date gehalten werden.

Damit: Nicht neues im Westen.

Link auf Medien, die es nicht verstanden haben:

  • Platzhalter (vermutlich etwas das mit C beginnt und mit NET weitergeht)
  • Platzhalter d**S******* (deutsche Übersetzung von C***)
  • Platzhalter

Link auf Medien mit technischer Kompetenz
(sprich: die es verstehen, und auch korrekt die Tragweite und Relation erfassen,…)

Wer Links findet auf Medien über die Geschichte, immer her damit…

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s