Software, die besonders erfolgreich angegriffen werden kann

Einführung

Diese Woche wurde ein neuer Bericht über Sicherheitsrisiken veröffentlicht. Der Bericht „The Top Cyber Security Risks“ (Die größten Sicherheitsrisiken im Cyberspace) wurde von den Sicherheitsorganisationen  TippingPoint, Qualys und SANS gemeinsam erstellt. Im Sicherheitsartikel dieser Woche möchten wir einen bestimmten Punkt in diesem Bericht besprechen: Patches für Software.

Die Ergebnisse der Studie lassen darauf schließen, dass Organisationen sowie einzelne Benutzer ihre Patchprozesse ändern bzw. aktualisieren müssen, um ihre Sicherheit zu verstärken.

Sicherheitslücken in Software – ein großes Sicherheitsrisiko

In den letzten Jahren haben wir mehrere Sicherheitsartikel über die Tatsache veröffentlicht, dass Autoren von Malware Sicherheitslücken in Betriebssystemen und Anwendungen nutzen, um Malware zu verbreiten und/oder Zugriff auf vertrauliche Informationen zu erlangen. Der oben erwähnte Bericht zeigt dazu einige interessante Statistiken auf:

• Sicherheitslücken in Anwendungen erhalten weniger Aufmerksamkeit und werden nicht so schnell gepatcht wie Sicherheitslücken in Betriebssystemen.
• In Anwendungen werden mehr Sicherheitslücken entdeckt als in Betriebssystemen.

An einer Sicherheitslücke können mindestens drei Parteien beteiligt sein:

1. Der Softwareanbieter, der die Software mit der Sicherheitslücke geschrieben hat und der einen Patch zur Verfügung stellen kann, sobald diese Sicherheitslücke bekannt geworden ist.
2. Die Person und/oder Organisation, die die Sicherheitslücke entdeckt und diese dem Softwareanbieter eventuell meldet. Diese Person und/oder Organisation kann die Sicherheitslücke auch durch Malware oder auf anderen Wegen ausnutzen.
3. Die Person und/oder Organisation, die Software mit dieser Sicherheitslücke verwendet. Wird vom Hersteller ein Patch angeboten, wird dieser nicht unbedingt installiert.

Die Überlegungen zu Punkt 2 oben beinhalten auch die Frage, ob die Sicherheitslücke der Öffentlichkeit mitgeteilt werden sollte, ein z. B. in diesem Artikel diskutierter Punkt.
Diesmal möchten wir uns jedoch mehr auf die anderen beiden Punkte in der Liste oben konzentrieren.

Sicherheitslücken in Anwendungen erhalten weniger Aufmerksamkeit und werden nicht so schnell gepatcht wie Sicherheitslücken in Betriebssystemen.

Dieses Ergebnis aus dem Bericht ist keine Überraschung. Man kann wohl mit Sicherheit annehmen, dass diese Beobachtung stimmt, da:

• Updates für Betriebssysteme, sofern das so eingerichtet ist, oft automatisch heruntergeladen und sogar installiert werden;
• Sicherheitslücken in Betriebssystemen in den Medien im Allgemeinen mehr Aufmerksamkeit als Sicherheitslücken in Anwendungen erhalten und daher der Bedarf für Updates offensichtlicher ist;
• die für IT-Sicherheit Verantwortlichen in einer Organisation sich (korrekterweise!) mehr auf weit verbreitete Sicherheitslücken konzentrieren als auf die, die nur auf einigen Computern bestehen (alle Computer verfügen über ein Betriebssystem, aber normalerweise verfügen nicht alle über eine bestimmte Anwendung). 

In Anbetracht dieser Tatsache wird jedoch der vernunftbegabte Durchschnittsautor von Malware-Programmen seine Aufmerksamkeit auf andere Schwerpunkte verlagern. Statt sich auf Sicherheitslücken in Betriebssystemen zu konzentrieren – mit einem sehr großen Potenzial, aber einem engen Zeitrahmen – bietet es sich an, sich auf Sicherheitslücken in weit verbreiteten Anwendungen zu konzentrieren. Die reine Anzahl der Installationen ist geringer, aber der Zeitrahmen für eine erfolgreiche Ausnutzung der Sicherheitslücken kann viel weiter sein.

Wenn man dann noch die oben erwähnte Beobachtung hinzunimmt, wird deutlich: Die Aktualisierung von Anwendungen ist oft umständlich. Einige Anwendungen verfügen nicht über einen automatischen Updatemechanismus, sondern verlangen eine vollständig neue Installation der neuen Version. (Für einige muss sogar die Version mit der Sicherheitslücke vor der Installation der neuen Version komplett entfernt werden.) Andere müssen manuell konfiguriert werden, damit sie nach aktualisierten Versionen suchen. Wieder andere haben Updatemechanismen, die nur sehr selten automatisch nach aktualisierten Versionen suchen. Und einige Anwendungen schließlich besitzen gar kein System, das den Benutzer über eine neuere (sicherere) Version informiert.

Zusammengefasst kann böswillige Software, die auf (beliebte) Anwendungen abzielt, generell monate- und sogar jahrelang bestehen, nachdem der Anbieter eine sicherere Version und/oder einen Patch für die Sicherheitslücke bereitgestellt hat.

In Anwendungen werden mehr Sicherheitslücken entdeckt als in Betriebssystemen.

Ein Grund dafür kann natürlich sein, dass Betriebssysteme sicherer sind als Anwendungen. Das kann stimmen.

Wir würden jedoch eher davon ausgehen, dass „die Bösen“, wie oben besprochen, wissen, dass die Patchhäufigkeit für Anwendungen geringer ist. Der beim Auffinden einer Sicherheitslücke in einer häufig verwendeten Anwendung benötigte Aufwand zahlt sich daher eher aus, da die Malware diese Lücken länger ausnutzen kann.

Solange die Situation sich nicht ändert, wird der Fokus sehr wahrscheinlich weiterhin auf Sicherheitslücken in Anwendungen liegen – zumindest bei weit verbreiteten Anwendungen.

Zu viele Updatetechnologien

Wie oben erwähnt gibt es für die Aktualisierung von Anwendungen keinen Standard.

Man kann argumentieren, dass Anbieter von Betriebssystemen (wie Microsoft) für ihre Anwendungen ähnliche Updatemechanismen zur Verfügung stellen wie für das Betriebssystem. Es trifft auch zu, dass in einigen Fällen Anwendungen desselben Anbieters identische oder ähnliche Updatemechanismen besitzen. Es bestehen jedoch keine anbieter- oder anwendungsübergreifenden Updatemechanismen.

Patchverwaltungssysteme

Aus dieser Tatsache ist eine neue Reihe von Produkten entstanden, die diese Anforderung erfüllen möchten – Systeme für die Verwaltung von Patches und Updates. Es gibt mehrere Systeme, und Organisationen, die sie erwerben, installieren und aktualisieren (sic!), verfügen über topaktuelle und weit sicherere Anwendungen als diejenigen, die keinen Prozess für Patches und Updates haben.

Vor allem kleinere Organisationen und einzelne Benutzer können diese Systeme aus finanziellen Überlegungen heraus oft nicht nutzen.

Überprüfen einer Anwendung aus einer anderen heraus

Interessanterweise hat das Mozilla-Projekt, das z. B. für die Entwicklung des beliebten Browsers Firefox zuständig ist, diesen Monat angekündigt, dass die neuen Versionen von Firefox über Systeme verfügen, die Benutzer warnen, sobald deren Version des Adobe Flash Player-Plugins für Firefox veraltet ist. Dies ist nur ein Beispiel für einen Anwendungshersteller, der dafür Verantwortung übernimmt, Benutzer vor Sicherheitslücken in den Produkten anderer Anbieter zu schützen.

Initiative vonseiten der Betriebssystemhersteller?

Einige vertreten die Ansicht, dass ein allgemeines System für die Aktualisierung von Anwendungen – Patches, allgemeine Programmupdates oder beides – von den Betriebssystemherstellern entwickelt werden sollte.

Ein solches System könnte eine API (Application Programming Interface) sein, dass Drittanbieterprogrammierer dafür verwenden könnten, um einem Betriebssystem Zugang zu den Updatemechanismen des Produkts zu gewähren. Benutzer und IT-Administratoren könnten dann Updateschemas über eine einzelne Schnittstelle konfigurieren, analog dazu, wie andere globale Einstellungen vorgenommen werden.

Referenzen

• The Top Cyber Security Risks (Bericht vom September 2009 mit Daten und Analysen von TippingPoint, Qualys und SANS)