s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Geschlossene Systeme und ihre Zukunft am Beispiel des iphone Kein Unternehmen hat sich je in derartiger Weise wie Phönix aus der Asche erhoben, wie dies Apple in der Lage war. In den 8er und 9er Jahren durch andere Hersteller und Plattformen belächelt - am lautesten gelacht hat Microsoft -, gilt das Unternehmen um Steve Jobs mittlerweile neben Google als Branchenriese mit der erfolgträchtigsten Zukunft. Es sind die Produkte ipod, iphone und ipad, die Apple zu neuer Marktstärke verholfen haben. Rückblickend sind zwei Dinge für diesen Erfolg massgeblich verantwortlich. Einerseits ist dies eine durchdachte und hochgradig moderne Marketing-Strategie, an der sich ganze Lehrbücher orientieren werden. Andererseits ist es die unglaubliche Einfachheit und hohe Ergonomie, die die jeweiligen Produkte mitzubringen in der Lage sind. Wer ein aktuelles Modell eines iphone in der Hand gehabt hat, der will nur ungern zurück zur hakeligen und ungestümen Funktionsweise von Windows Mobile, BlackBerry und Symbian. Apple hat aber nicht nur in Bezug auf diese Eigenarten ein komplett neues Zeitalter für technische Geräte eingeläutet. Ebenso sind itunes und der AppStore ein wichtiges Instrument, um den bestmöglichen Gewinn für den Hersteller herauszuwirtschaften. Durch die zentrale Steuerung wird es möglich, an jedem Download - sei dies nun Musik, Podcast oder Anwendungen - mitzuverdienen. Die Produzenten und Entwickler stellen ihr Erzeugnis Apple zur Verfügung, die es wiederum im Store zum Download anbieten. Dadurch kann gleichzeitig ein Qualitätsmanagement durchgesetzt werden. Denn entspricht ein Produkt nicht den Wünschen und Anforderungen von Apple, wird es einfach zurückgewiesen. Dabei können technische, funktionale und ergonomische Gründe verantwortlich sein. Oder es können wirtschaftliche, politische oder gar moralische Einschränkungen mitschwingen. Da die Endgeräte dank der geschlossenen Plattform und der DRM-Einschränkungen nicht ohne weiteres Produkte aus anderen Quellen beziehen können, sind sowohl Entwickler als auch Endanwender der Gunst des Übervaters Apple unterworfen. Es gibt eine schier unendliche Anzahl an Apps, die im AppStore angeboten werden. Eine Vielzahl an Entwicklern buhlt mit ihren Tools und Gadgets um die Gunst der Anwender. Die meisten Entwickler haben dabei mehr früher als später das grosse Geld im Blick. Wird eine App für 2 EUR angeboten und diese 1' Mal heruntergeladen, dann hat man schon mal schnell 2' EUR verdient. Nicht schlecht für eine Handy-Applikation. Es gibt wohl nur wenige Hobby-Programmierer, die in der Vergangenheit mit ähnlichem Gewinn aufwarten konnten. Eine regelrechte Goldgräberstimmung hat sich damit entwickelt. Doch die meisten Entwickler merken früher oder später, dass eine qualitativ gute App nicht zwingend Geld einspülen wird. Viel mehr muss man sich zuerst mit der Gängelung von Apple herumschlagen. Sind dies einerseits technische Einschränkungen, die die Zielplattform nunmal mit sich bringen (z.b. bis ios4 keine speicherresidenten Prozesse). Andererseits aber auch die willkürlich erscheinende Politik von Apple in Bezug auf die Freigabe von Produkten: Mal muss man ewig auf Feedback warten. Mal kriegt man eine Absage ohne ersichtlichen Grund (z.b. falsche Verwendung eines Objekts). Und mal konkurriert man zwangsläufig mit einem Produkt von Apple selbst. 1/13

2 Auf die Goldgräberstimmung folgt bei vielen die Katerstimmung. Man beginnt sich zu fragen, warum man sich diese Unterwürfigkeit überhaupt antut. Schliesslich gibt es so viele populäre, effiziente und offene Plattformen, auf denen man sich nach Herzenslust austoben kann. Man braucht kein OS X, kein Objective-C, kein Xcode/Cocoa. Man kann für die Entwicklung das Betriebssystem, die Programmiersprache und die Technologie - also das Werkzeug seiner Wahl - nehmen. Niemand schreibt einem vor, was und wie man zu programmieren hat. Man kann sein Produkt gratis, kostenpflichtig, vorkompiliert oder quelloffen veröffentlichen. Wie es einem beliebt. Durch geschlossene Systeme werden junge Programmierer in ihrer Entfaltung gehemmt. Sie werden gezwungen, sich in die Abhängigkeit eines grossen Unternehmens zu begeben, das in erster Linie seinen Aktienkurs im Blick hat. Apple ist deshalb massgeblich mitverantwortlich, dass eine ganze Generation von Entwicklern ein komplett schiefes Weltbild in Bezug auf die Software-Entwicklung entwickeln wird. So sehr ich den Verdienst von Apple zu würdigen weiss, schliesslich haben sie eine ganze Branche wach gerüttelt, so sehr hoffe ich, dass sie durch weltoffene und weitsichtige Entwickler und Kunden wieder in ihre Schranken verwiesen werden. Man darf es sich dabei nicht zu einfach machen, und pauschal ein gesamtes Unternehmen vergöttern oder verdammen. Stattdessen liegt es daran Kompetenz dafür zu entwickeln, welche Aspekte positive und welche negative Auswirkungen haben werden. Das iphone überzegt noch immer in Bezug auf seine Ergonomie. Aber dass nach dem ipad nun ebenfalls OS X mit AppStore/DRM eingeschränkt werden soll, das lässt sich definitiv nicht mehr rechtfertigen. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 23. August scip AG Informationen 2.1 Security Coaching Das Ziel des Security Coaching ist die direkte Beratung und das unmittelbare Coaching des Kunden in den Bereichen der Information Security zur Sicherstellung nachhaltiger und sicherer Prozesse, Architektur- und Technologieentscheide. Der Kunde bespricht mit uns seine Ziele und Vorgaben. Anhand dessen unterstützen wir den Kunden mit unserer fachmännischen Expertise und langjährigen Erfahrung im Security Bereich. Bei Sitzungen mit Partnern stellen wir das entsprechende Know-How zur Formulierung wichtiger Nachfragen zur Verfügung. Vorbereitung: Zusammentragen aller vorhandenen Informationen zur anstehenden Aufgabe. Research: Einholen von weiteren Informationen (z.b. Erfahrungen von anderen Kunden). Diskussion: Besprechung der Aufgabe und der daraus resultierenden Möglichkeiten. Empfehlung: Aussprechen und Dokumentieren eines vertretbaren Lösungswegs. In erster Linie soll in beratender Weise eine direkte Hilfestellung mit konkreten Empfehlungen und Lösungen bereitgestellt werden. Eine Dokumentation (Protokolle, Kommunikationsmatrizen, Statements etc.) erfolgt auf Wunsch des Kunden. Durch die direkte Beteiligung an einem Projekt kann unmittelbar Einfluss ausgeübt, damit die Etablierung schwerwiegender Fehler verhindert und ein Höchstmass an Sicherheit erreicht werden. Da Sicherheit von Beginn an zur Diskussion steht, lassen sich von vornherein vermeiden. Aufwendigen Tests und nachträgliche Anpassungen können so vorgebeugt werden. Dank unserer langjährigen Erfahrung und unserem ausgewiesenen Expertenwissen konnten wir als scip AG bereits eine grosse Anzahl an Kunden beraten und begleiten. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Chris Widmer unter der Telefonnummer oder senden Sie im eine Mail an chris.widmer@scip.ch. 2/13

3 3. Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Okt 21 - Nov sehr kritisch 5 1 kritisch 8 3 problematisch 7 1 Contents: 4219 Apple ios Emergency Call Passcode Lock Security Bypass 4218 Mozilla Firefox "document.write()" und DOM Insertion Schwachstelle 4217 Adobe Shockwave Player verschiedene 4215 Apple QuickTime verschiedene 4214 Google Chrome verschiedene 4213 Adobe Reader "Doc.printSeps()" Memory Corruption 4212 Internet Explorer CSS Tag Parsing Code Execution 4211 Google Chrome Flash Player unspezifizierte Code Execution 421 Adobe Reader authplay.dll 429 Adobe Flash Player verschiedene 3.1 Apple ios Emergency Call Passcode Lock Security Bypass Risiko: problematisch Datum: scip DB: ios (bis Juni 21 iphone OS) ist ein Betriebssystem der Firma Apple für mobile Geräte. Es basiert auf Mac OS X und ist das Standard-Betriebssystem der Apple-Produkte iphone, ipod touch, ipad und der zweiten Generation des Apple TV. Es bietet eine Anbindung zu dem itunes Store und dem App Store. Der MacRumors Benutzer jordand321 identifiziert unlängst einen Flaw, bei dem der Device Lock aktueller ios Versionen umgangen werden kann. Durch das Drücken der Sperrtaste direkt nach dem Wählen einer (inexistenten) Notfallnummer, kann der Device Lock teilweise umgangen werden. Während diese Schwachstelle nicht zwingend kritisch ist, sollte aufgrund des verbleibenden Restrisikos das zeitnahe Einspielen entsprechender Patches angestrebt werden. 3.2 Mozilla Firefox "document.write()" und DOM Insertion Schwachstelle Risiko: sehr kritisch Datum: scip DB: Firefox ist ein freier Webbrowser des Mozilla- Projekts. Der seit Mitte 2 entwickelte Open- Source-Webbrowser bietet die Möglichkeit, eine breite Palette an Erweiterungen zu implementieren. Firefox ist weltweit nach dem Internet Explorer der am zweithäufigsten genutzte Webbrowser. Im deutschen Sprachraum ist er seit Mitte 9 mit aktuell 5,4 % (Stand: Ende September 21) der meistgenutzte Browser vor dem Internet Explorer von Microsoft mit 36,8 %. Der Researcher Morten Kråkvik der Firma Telenor SOC identifizierte unlängst eine Schwachstelle (Pufferüberlauf) in aktuellen Versionen der vorliegenden Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. 3/13

4 Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.3 Adobe Shockwave Player verschiedene Risiko: sehr kritisch Datum: scip DB: Shockwave bezeichnet ein Dateiformat (*.dcr) des Herstellers Adobe (bis 6 Macromedia), das interaktive Inhalte, die mit Adobe Director erstellt wurden, enthält und in einem Webbrowser mittels des kostenlosen Shockwave-Players abgespielt werden kann. Ein Kollektiv von Researchern beschreibt eine Reihe von, vornehmlich der Kategorie Pufferüberlauf in verschiedenen Versionen des Produktes. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden. 3.4 Apple QuickTime verschiedene Risiko: kritisch Datum: scip DB: QuickTime ist eine von der Firma Apple entwickelte Multimedia-Architektur für Mac OS und Windows. Diese besteht im Kern aus drei Elementen: dem Framework, dem API und dem Dateiformat. Basisanwendungen, die auf diese Architektur aufbauen, sind zum Beispiel der QuickTime Player, der QuickTime Broadcaster oder der QuickTime Streaming Server. QuickTime wird irrtümlicherweise zumeist auf den QuickTime Player reduziert. Dabei arbeitet es als zugrundeliegender technologischer Unterbau in zahlreichen Applikationen wie zum Beispiel Adobe Premiere, Apple Logic, Optibase Media 1, itunes, Final Cut Pro oder den Avid- Videoschnittprogrammen. Eine Gruppe von Researchern beschreibt eine Reihe von, vornehmlich der Kategorie Pufferüberlauf in verschiedenen Versionen des Produktes. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.5 Google Chrome verschiedene Risiko: kritisch Datum: scip DB: Google Chrome ist ein Webbrowser, der von Google Inc. entwickelt wird und seit dem 2. September 8 verfügbar ist. Am 11. Dezember 8 erschien die erste finale Version. Zentrales Konzept ist die Aufteilung des Browsers in optisch und auf Prozessebene getrennte Browser-Tabs. Eine Gruppe von Researchern beschreibt eine Reihe von in verschiedenen Versionen des Produktes. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.6 Adobe Reader "Doc.printSeps()" Memory Corruption Risiko: kritisch Datum: scip DB: Adobe Reader (früher Acrobat Reader) ist ein Computerprogramm der Firma Adobe zum Anzeigen von PDF-Dokumenten, also ein Dateibetrachter. Es ist Teil der Adobe-Acrobat- Produktfamilie. Ein Researcher der Security Solutions Research Lab veröffentlichte unlängst ein Advisory, indem er eine Schwachstelle (Pufferüberlauf) in verschiedenen Versionen des Produktes beschreibt. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. 4/13

5 Betroffene Systeme sollten zeitnah mit Patches versorgt werden. 3.7 Internet Explorer CSS Tag Parsing Code Execution Risiko: sehr kritisch Datum: scip DB: Der Internet Explorer (offiziell Windows Internet Explorer; früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser vom Softwarehersteller Microsoft für dessen Betriebssystem Windows. Seit Windows 95B ist der Internet Explorer fester Bestandteil dieser Betriebssysteme. Bei älteren Windows-Versionen kann er nachinstalliert werden. Die aktuelle Version ist Internet Explorer 8. Ein Researcher identifizierte unlängst eine Schwachstelle (Pufferüberlauf) in aktuellen Versionen der vorliegenden Applikation. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.8 Google Chrome Flash Player unspezifizierte Code Execution Risiko: sehr kritisch Datum: scip DB: Google Chrome ist ein Webbrowser, der von Google Inc. entwickelt wird und seit dem 2. September 8 verfügbar ist. Am 11. Dezember 8 erschien die erste finale Version. Zentrales Konzept ist die Aufteilung des Browsers in optisch und auf Prozessebene getrennte Browser-Tabs. Die Firma Google beschreibt in einem Advisory eine Schwachstelle (Pufferüberlauf) in aktuellen Versionen der Applikation. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.9 Adobe Reader authplay.dll Risiko: sehr kritisch Datum: scip DB: Unter Adobe Acrobat wird eine Gruppe von Programmen zusammengefasst, die zum Lesen, Erstellen, Verwalten, Kommentieren und Verteilen von PDF-Dateien verwendet werden. Dieses kostenpflichtige Programmpaket des Software-Unternehmens Adobe Systems enthält ein Anwendungsprogramm zum Erstellen und Bearbeiten von PDF-Dokumenten. Adobe bietet in seiner Acrobat-Familie weitgehende Unterstützung von digitalen Unterschriften (Signaturen) und grundsätzliche Unterstützung von Verschlüsselungstechnologien. Ein Kollektiv von Researchern beschreibt eine Reihe von, vornehmlich der Kategorie Format String in verschiedenen Versionen des Produktes. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.1 Adobe Flash Player verschiedene Risiko: sehr kritisch Datum: scip DB: Adobe Flash (kurz Flash, ehemals Macromedia Flash) ist eine proprietäre integrierte Entwicklungsumgebung von Adobe Systems zur Erstellung multimedialer, interaktiver Inhalte, der so genannten Flash-Filme. Der Benutzer produziert mit dieser Software Dateien im proprietären SWF-Format. Bekannt und umgangssprachlich gemeint ist Flash als Flash Player, eine Softwarekomponente zum Betrachten dieser SWF-Dateien. Ein Kollektiv von Researchern beschreibt eine Reihe von, vornehmlich der Kategorie Pufferüberlauf in verschiedenen Versionen des Produktes. Ein Angreifer kann durch die vorliegende Schwachstelle beliebigen Code zur Ausführung bringen und somit die Kompromittierung des Systems anstreben. 5/13

6 Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 6/13

7 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. November problematisch kritisch sehr kritisch Verlauf der Anzahl pro Jahr Sep 21 - Okt 21 - Nov 21 - Sep 21 - Okt 21 - Nov problematisch kritisch sehr kritisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting 1 1 (XSS) Denial of Service (DoS) 1 1 Designfehler 2 Directory Traversal Eingabeungültigkeit 2 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 1 Konfigurationsfehler Pufferüberlauf Race-Condition 1 Schw ache Authentifizierung Schw ache Verschlüsselung Verlauf der letzten drei Monate Schwachstelle/Kategorie 7/13

8 21 - Jan 21 - Feb 21 - Mrz 21 - Apr 21 - Mai 21 - Jun 21 - Jul 21 - Aug 21 - Sep 21 - Okt 21 - Nov 21 - Dez Registrierte by scip AG Verlauf der Anzahl pro Monat - Zeitperiode Jan 21 - Feb 21 - Mrz 21 - Apr 21 - Mai 21 - Jun 21 - Jul 21 - Aug 21 - Sep 21 - Okt 21 - Nov 21 - Dez problematisch kritisch sehr kritisch Verlauf der Anzahl /Schweregrad pro Monat - Zeitperiode 21 8/13

9 Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 1 Konfigurationsfehler Pufferüberlauf Race-Condition 1 Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle 21 - Jan 21 - Feb 21 - Mrz 21 - Apr 21 - Mai 21 - Jun 21 - Jul Umgehungs-Angriff 1 1 Unbekannt Aug 21 - Sep 21 - Okt 21 - Nov 21 - Dez Verlauf der Anzahl /Kategorie pro Monat - Zeitperiode 21 9/13

10 Registrierte by scip AG Verlauf der Anzahl pro Quartal seit / problematisch kritisch sehr kritisch Verlauf der Anzahl /Schweregrad pro Quartal seit / /13

11 Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl /Kategorie pro Quartal seit /3 11/13

12 5. Labs Auf der scip Labs Webseite ( werden regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Walled Garden - Ziele und Möglichkeiten Marc Ruef, maru@scip.ch Modularität ist ein wichtiges Konzept der modernen IT-Landschaft. Viele Produkte bieten mittlerweile das Nachrüsten von Funktionalität mittels Plugins, Addons, Extensions und Apps an. Einer der wichtiger Vorreiter, der dieses Prinzip breitflächig bekannt gemacht hat, ist der populäre Webbrowser Firefox. Mit dem Installieren von Add-Ons wird es gar möglich, den Browser um komplexe Mechanismen wie HTML-Editor, FTP- Client und HTTP-Sniffer zu erweitern. In anderen Bereichen hat dieses Konzept ebenso Früchte getragen und massgeblich zum Erfolg ganzer Industriezweige beigetragen. Zum Beispiel die beim Apple iphone nutzbaren Apps, die zusätzliche Software auf dem Gerät installieren lassen. Oder die bei Facebook aktivierbaren Third-Party Applications, durch die Auswertungen, Informations-Austausch und Spiele möglich werden. Das Problem Um solche modularen Erweiterungen anbieten zu können, muss die zugrunde liegende Plattform entsprechende Schnittstellen anbieten. Bei Firefox werden auf XML/Javascript zurückgegriffen, bei Apple kommt Xcode/Cocoa zum Einsatz und bei Facebook wird FQL/FBML verwendet. Grundsätzlich erschliessen sich durch ein solches Konzept der Erweiterbarkeit zwei grundlegende Probleme: Ein Angreifer kann die bereitgestellten Schnittstellen angreifen und eine Kompromittierung des Systems anstreben. Der unerlaubte Zugriff auf geschützte Bereiche (Daten) könnte die Folge davon sein. Ein Angreifer kann die bereitgestellten Mechanismen missbrauchen, um eine böswillige Komponente erstellen und verbreiten zu lassen. Attacken auf Nutzer und Missbrauch der bereitgestellten Zugriffsmöglichkeiten könnten die Folge davon sein. Die Angreifbarkeit von Schnittstellen ist für die Nutzer sekundär. Denn in erster Linie ist der Betreiber der Lösung für die Sicherheit dieser verantwortlich. Doch die Verbreitung von korrupten Erweiterungen kann eine direkte Gefahr für die Anwender darstellen. Immer wieder werden Fälle bekannt bei praktisch allen Anbietern -, bei denen eine Hintertür unentdeckt eingeschmuggelt wurde. Die Lösung Apple sieht in ihrem Prozess vor, dass eine für den App Store vorgesehene Anwendung zuerst reviewed werden muss. Erst nach einer Prüfung wird die Freigabe erteilt. Dadurch kann sowohl die Qualität als auch die Sicherheit der App gewährleistet werden. Andere Anbieter, wie zum Beispiel Mozilla oder Facebook, verzichten auf eine solche Review. Die Folge davon ist, dass mit einer relativ hohen Anzahl korrupter Anwendungen in diesen Systemen gerechnet werden muss. Graham Cluley, ein bekannter Blogger und Mitarbeiter der Firma Sophos, führte nach einer viel diskutierten Weitergabe von Benutzerinformationen einer populären Facebook-Anwendung eine Umfrage durch. In dieser wollte er wissen, wie viele Leute eine Review der für Facebook vorgesehenen Applikationen wünschen: Last week, I asked a simple question of our blog readers Should Apple follow Facebook s example, and have a walled garden, verifying all apps? and the response was a resounding Yes. Die Antwort war relativ eindeutig, denn so waren 95.51% der Personen der konservativen Meinung, dass ein solcher Walled Garden von Vorteil wäre. Nur 4.49% vertraten die liberale Meinung, dass auf eine Prüfung und Einschränkung verzichtet werden sollte. (Die Antwort wird voraussichtlich bezüglich anderen Plattformen sehr ähnlich ausfallen.) Die Möglichkeiten Das Problem ist, dass eine Prüfung mit sehr viel Aufwand verbunden ist. Je nachdem auf welcher Ebene und wie intensiv die Analyse vorgenommen wird, muss ein Mehr an gut ausgebildetem Personal eingesetzt werden. Eine umfassende Prüfung müsste theoretisch eine Quelltext- Analyse beinhalten. Die Kosten hierfür wären exorbitant hoch und zudem würde sich die Freigabe der Applikationen enorm verzögern. Kein Wunder, ist Apple mit seiner wirtschaftlich guten Stellung bisher das einzige Unternehmen, welches ein Prozess dieser Art durchzusetzen in der Lage ist. Gerade Facebook beschränkt sich bisher auf eine möglichst restriktive Formulierung der Schnittstellen. Dadurch soll schon von vornherein verhindert werden, dass eine Anwendung mit böswilliger Funktionalität erstellt werden kann. 12/13

13 Doch dieser Ansatz ist langfristig zum Scheitern verurteilt, denn es wird immer wieder neue Wege geben, die auferlegten Restriktionen durch kreativen Umgang mit den Möglichkeiten auszuhebeln. Wenn sich zum Beispiel irgendwie geschützte Daten in eine Netzwerkkommunikation einbinden lassen, dann wird das irgendwann auch gemacht werden. Anbieter wie Facebook täten gut daran, wenn sie neben der restriktiven Implementierung der Schnittstellen ebenso eine möglichst automatisierte Analyse der Anwendungen vornehmen würden. Durch das Identifizieren potentiell gefährlicher Funktionen könnten teilweise automatisiert verdächtige Code-Teile ausgemacht werden. Diese müssten zwar noch immer einem manuellen Review unterzogen werden. Jedoch ist ein erfahrener Analyst oftmals innert weniger Minuten in der Lage zu sagen, ob ein Codeblock nun legitim ist oder nicht. 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH-848 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 13/13