Lebenszyklus einer Schwachstelle

Ähnliche Dokumente
Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Internet Explorer Version 6

Fragebogen ISONORM 9241/110-S

Professionelle Seminare im Bereich MS-Office

Beschreibung des MAP-Tools

Optimal vorbereitet. Fit fürs Studium mit den Vorbereitungskursen der OHN. Fragen? Jetzt anmelden!

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Windows wird nicht mehr unterstützt Was bedeutet das? Was muss unternommen werden? Compi-Treff vom 9. Mai 2014 Thomas Sigg

Was meinen die Leute eigentlich mit: Grexit?

Maintenance & Re-Zertifizierung

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Pflegende Angehörige Online Ihre Plattform im Internet

Datensicherung. Beschreibung der Datensicherung

Studieren- Erklärungen und Tipps

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Psychologie im Arbeitsschutz

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Protect 7 Anti-Malware Service. Dokumentation

Überprüfung der digital signierten E-Rechnung

Content Management System mit INTREXX 2002.

Kurzanleitung Registrierung / Kauf Basispaket Anbieter

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Forschen - Schreiben - Lehren

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

Dr. Kraus & Partner Ihr Angebot zu Konfliktmanagement

Schriftliche Opfererklärung und Rederecht

plus Flickerfeld bewegt sich nicht

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

WO IST MEIN HUND? SICHER, SCHNELL UND ZUVERLÄSSIG

Im Prüfungsteil Mündlicher Ausdruck sollen Sie zeigen, wie gut Sie Deutsch sprechen.

Elternzeit Was ist das?

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Alle gehören dazu. Vorwort

Kommunikations-Management

Marketing-Leitfaden zum. Evoko Room Manager. Touch. Schedule. Meet.

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

4. Das neue Recht der GmbH ein Überblick

Pädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?

Einbindung einer ACT!12-16 Datenbank als Datenquelle für den Bulkmailer 2012

Die Invaliden-Versicherung ändert sich

Leichte-Sprache-Bilder

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus: Übungsbuch für den Grundkurs mit Tipps und Lösungen: Analysis

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Windows 10 activation errors & their fixes.

a) Bis zu welchem Datum müssen sie spätestens ihre jetzigen Wohnungen gekündigt haben, wenn sie selber keine Nachmieter suchen wollen?

Avira Support Collector. Kurzanleitung

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Nicht über uns ohne uns

Deutsches Forschungsnetz

Newsletter Immobilienrecht Nr. 10 September 2012

FreieSoftwareOG. Creative Commons und freie Lizenzen- Ein kurzer Überblick

Was ich als Bürgermeister für Lübbecke tun möchte

Ende von Vertragsbeziehungen

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

M a r k t r i s i k o

Wie oft soll ich essen?

Die Post hat eine Umfrage gemacht

Verwendung des IDS Backup Systems unter Windows 2000

Zimmertypen. Zimmertypen anlegen

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Ein Gesuch erfassen und einreichen

Der Vollstreckungsbescheid. 12 Fragen und Antworten

EINE PLATTFORM

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Nachkalkulation. Hat sich das Objekt CVO Auxilium hilden im Juni rentiert?

Information zur Durchführung von. Software-Updates

Die Captimizer BTZ-Datei 2015

COMPUTER MULTIMEDIA SERVICE

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

TechNote: Exchange Journaling aktivieren

Kurzanleitung zur Bereitstellung von Sachverhalten und Lösungen zum Universitätsrepetitorium auf dem Server unirep.rewi.hu-berlin.

Adventskalender Gewinnspiel

Naturgewalten & Risikoempfinden

.. für Ihre Business-Lösung

Sollten während der Benutzung Probleme auftreten, können Sie die folgende Liste zur Problembehebung benutzen, um eine Lösung zu finden.

Mitarbeiterbefragung als PE- und OE-Instrument

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Buchhaltung mit WISO EÜR & Kasse 2011

ÜBER DIE ROLLE DER NATIONALEN PARLAMENTE IN DER EUROPÄISCHEN UNION

GEVITAS Farben-Reaktionstest

Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender FHNW, Services, ICT

Einfache und effiziente Zusammenarbeit in der Cloud. EASY-PM Office Add-Ins Handbuch

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Existenzgründer Rating

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

Guide DynDNS und Portforwarding

TECHNISCHE INFORMATION LESSOR LOHN/GEHALT BEITRAGSNACHWEIS-AUSGLEICH BUCH.-BLATT MICROSOFT DYNAMICS NAV

Transkript:

GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines Patches ein Workaround für betroffene Systeme beschrieben ist. So oder so ähnlich lauten oft die Mitteilungen der IT-Abteilungen oder die Presseberichte, in denen von einer neuen Software-Schwachstelle die Rede ist. Schwachstellen in Software-Produkten sind eine der wesentlichen Ursachen für IT-Sicherheitsvorfälle. Die folgende Analyse beschreibt den Lebenszyklus einer Schwachstelle von ihrer Entdeckung bis zur Behebung. BSI-Analysen zur Cyber-Sicherheit Auftreten von Schwachstellen Aufgrund der großen Komplexität heutiger Software sind Fehler bei der Entwicklung nur schwer zu vermeiden. Die meisten dieser Fehler sind nicht unmittelbar sicherheitskritisch, oder Schutzmechanismen im Betriebssystem oder in der Software selbst verhindern eine schadhafte Ausnutzung. Moderne Entwicklungsprozesse wie etwa der Security Development Lifecycle (SDL) von Microsoft unterstützen zwar die Entwicklung sicherer Software, dennoch treten Schwachstellen nach wie vor häufig auf. Viele Schwachstellen werden nicht öffentlich bekannt, da ein Hersteller sie im Idealfall selbst entdeckt und behebt, bevor ein Dritter sie finden und insbesondere ein Angreifer sie ausnutzen kann. Wird jedoch eine sicherheitskritische Schwachstelle nicht durch den Hersteller, sondern durch einen Dritten gefunden, gibt es unterschiedliche Möglichkeiten, wie ihr Lebenszyklus und die daraus resultierende Gefährdung für den Nutzer verlaufen kann. Wichtig ist dabei die Rolle und das Selbstverständnis des Entdeckers. Neben Personen, die sich beruflich mit IT-Sicherheit beschäftigen, kann beispielsweise auch akademische Forschung zur Entdeckung von Schwachstellen beitragen. Es kann sich um gezielte Suche nach Schwachstellen handeln, aber auch Zufallsfunde sind möglich. Der Lebenszyklus hängt daher stark von Verhalten und Motivation des Entdeckers sowie von der Reaktion des Herstellers ab: Ist dem Entdecker daran gelegen, die IT-Sicherheit zu verbessern, oder möchte er die Schwachstelle für eigene, möglicherweise kriminelle Zwecke nutzen? Wie viele Informationen über die Schwachstelle werden öffentlich bekannt? Schätzt der Hersteller die entstehende Gefährdung richtig ein und kann er schnell genug Abhilfe schaffen? Um die Diskussion über Schwachstellen zwischen Entdeckern, Herstellern und weiteren Beteiligten zu systematisieren, wurde zur einheitlichen Benennung von öffentlich bekannten Schwachstellen und zur Sammlung der darüber verfügbaren Informationen mit den Common Vulnerabilities and Exposures (CVE) ein herstellerübergreifender Industriestandard geschaffen. Mit diesem Standard wird sichergestellt, dass alle Beteiligten während des gesamten Lebenszyklus tatsächlich jeweils dieselbe Schwachstelle meinen. Zudem werden statistische Auswertungen ermöglicht. BSI-A-CS 002 Version 1.00 vom 02.03.2012 Seite 1 von 5

Schematischer Lebenszyklus Grundsätzlich basiert der Lebenszyklus einer durch Dritte entdeckten Schwachstelle auf dem folgenden Schema: 1. Die Schwachstelle wird durch einen Dritten entdeckt und untersucht. 2. Der Hersteller erlangt auf einem der folgenden Wege Kenntnis von der Schwachstelle: Der Entdecker veröffentlicht sämtliche Informationen über die Schwachstelle. Full Disclosure Der Entdecker informiert den Hersteller direkt und verzichtet zunächst auf eine detaillierte Veröffentlichung. Coordinated Disclosure Die Schwachstelle wird für Angriffe ausgenutzt und diese werden entdeckt. Zero-Day-Exploit Der Hersteller wird indirekt über die Schwachstelle informiert. Schwachstellen-Broker 3. Der Hersteller beginnt mit der Entwicklung eines Patches (von engl. Flicken), einer Nachbesserung der Software, mit der die Schwachstelle behoben wird. 4. Der Hersteller veröffentlicht eine Schwachstellenwarnung, ein sogenanntes Advisory. Dieses enthält üblicherweise allgemeine Informationen zur Schwachstelle, eine Bewertung der entstehenden Gefährdung sowie mögliche vorläufige Gegenmaßnahmen (sogenannte Workarounds oder Mitigations). Ein Advisory wird vor allem dann schon vor Verfügbarkeit des Patches veröffentlicht, wenn auch die Öffentlichkeit bereits Kenntnis von der Schwachstelle hat und die Gefährdung hoch ist. Häufig erscheinen Advisory und Patch jedoch zeitgleich. 5. Der Hersteller stellt zusammen mit einer entsprechenden Beschreibung (Bulletin) einen Patch zur Behebung der Schwachstelle bereit. Durch Analyse des Patches kann ein Angreifer unter Umständen so viele Details über die Schwachstelle herausfinden, dass er sie ausnutzen kann. Daher steigt mit der Veröffentlichung des Patches die Gefährdung für ungepatchte Systeme an. 6. Der Benutzer der betroffenen Software installiert den Patch, schließt dadurch die Schwachstelle und ist erst dann vor ihrer Ausnutzung geschützt. Dies unterstreicht die enorme Bedeutung eines effektiven Patchmanagements. Abbildung 1: Lebenszyklus einer Schwachstelle BSI-A-CS 002 Version 1.00 vom 02.03.2012 Seite 2 von 5

Abweichungen von diesem Schema sind möglich, der Ablauf kann sich dynamisch ändern. So kann ein Hersteller beispielsweise eine Schwachstelle als unkritisch einschätzen und auf die Entwicklung eines Patches zunächst verzichten. Wird zu einem späteren Zeitpunkt doch eine Ausnutzungsmöglichkeit bekannt, so kann der Hersteller dadurch zu einer entsprechenden schnellen Reaktion gezwungen sein. Bekanntwerden von Schwachstellen Wie im schematischen Lebenszyklus beschrieben hat der Entdecker einer Schwachstelle unterschiedliche Möglichkeiten, mit seiner Entdeckung umzugehen. Dies hat unmittelbare Auswirkungen auf den Hersteller und die Gefährdung der Benutzer des betroffenen Software-Systems. Welche der beschriebenen Möglichkeiten mit welchen Vorteilen und Risiken verbunden ist, hängt stark vom jeweiligen Einzelfall ab. Full Disclosure Bei einer Full Disclosure stellt der Entdecker einer Schwachstelle alle ihm darüber vorliegenden Erkenntnisse vollständig der Öffentlichkeit zur Verfügung, etwa auf einer entsprechenden Mailingliste. Dies schließt üblicherweise die technischen Details der Schwachstelle sowie Maßnahmen zur Entdeckung und Ausnutzung (sogenannte Exploits) ein. Abbildung 2: Typischer Verlauf der Gefährdung bei Full Disclosure Das Konzept der Full Disclosure wird kontrovers diskutiert. Verfechter sehen darin einen Weg zur Erhöhung der Sicherheit. Durch die Veröffentlichung ist der betroffene Hersteller gezwungen, möglichst schnell einen Patch bereitzustellen, um Schäden abzuwenden. Dies verkürzt den Gefährdungszeitraum. Außerdem können Hersteller von Schutzprogrammen die veröffentlichten Informationen nutzen, um vorläufige Gegenmaßnahmen zu konzipieren. Kritiker der Full Disclosure führen an, dass eine umfassende Veröffentlichung aller Details die Ausnutzung der Schwachstelle zu bösartigen Zwecken unnötig erleichtert. Entwickler von Schadsoftware bekommen möglicherweise eine einfache Vorlage zur Durchführung von Angriffen auf verwundbare Systeme. Coordinated Disclosure Um die offensichtlichen Risiken einer Full Disclosure zu vermeiden, hat sich industrieweit das Konzept der Coordinated Disclosure etabliert. Dieses wird häufig auch als Responsible Disclosure oder Limited Disclosure bezeichnet. Eine Coordinated Disclosure setzt allgemein eine enge Zusammenarbeit zwischen dem Entdecker der Schwachstelle und dem Hersteller des betroffenen Produkts voraus. Der Entdecker informiert den Hersteller über seinen Fund und gibt zunächst keine oder nur wenige Informationen an die Öffentlichkeit. Meistens wird nur auf die Existenz und gegebenenfalls auf die Art einer Schwachstelle in einem Produkt hingewiesen. Alle weiteren Details über die Schwachstelle bleiben zunächst einem kleinen Kreis von Personen vorbehalten, zu dem neben Entdecker und Hersteller auch Dritte gehören können, wie etwa Sicherheitsdienstleister und Hersteller von Schutzprogrammen. Stellt der betroffene Hersteller nach Ablauf einer bestimmten Zeitspanne, die im Ermessen des Entdeckers liegt, keinen Patch für BSI-A-CS 002 Version 1.00 vom 02.03.2012 Seite 3 von 5

die Schwachstelle zur Verfügung, so werden meist doch alle Details an die Öffentlichkeit gebracht ( Full Disclosure). Eine Coordinated Disclosure ermöglicht die Diskussion von Schwachstellen, ohne dass Details zu ihrer Ausnutzung in falsche Hände geraten und eine unmittelbare Gefährdung bewirken. Jedoch verleitet dies Hersteller manchmal dazu, Risiken zu unterschätzen, Schwachstellen zu ignorieren oder die Entwicklung von notwendigen Patches hinauszuzögern. Abbildung 3: Typischer Verlauf der Gefährdung bei Coordinated Disclosure Zero-Day-Exploit Die Ausnutzung einer Schwachstelle, die nur dem Entdecker bekannt ist, charakterisiert man mit dem Begriff Zero-Day- Exploit. Die Öffentlichkeit und insbesondere der Hersteller des betroffenen Produkts erlangen in der Regel erst dann Kenntnis von der Schwachstelle, wenn Angriffe entdeckt werden, die auf dieser Schwachstelle basieren. Der Begriff Zero- Day leitet sich also davon ab, dass ein entsprechender Exploit bereits vor dem ersten Tag der Kenntnis der Schwachstelle durch den Hersteller existierte also an einem fiktiven Tag Null. Der Hersteller hat somit keine Zeit, die Nutzer vor den ersten Angriffen zu schützen. Abbildung 4: Typischer Verlauf der Gefährdung bei einem Zero-Day-Exploit Angriffe mit einem Zero-Day-Exploit sind effizient, da sie eine Schwachstelle schnell und großflächig ausnutzen können, bevor der Hersteller ein Advisory oder einen Patch bereitstellen kann. Sie stellen daher die größte von einer Schwachstelle ausgehende Gefahr dar. BSI-A-CS 002 Version 1.00 vom 02.03.2012 Seite 4 von 5

Bug Bounties und Schwachstellen-Broker Im Zusammenhang mit dem Suchen und Finden von Schwachstellen haben sich mittlerweile verschiedene Geschäftsmodelle entwickelt. Einige Hersteller, wie etwa Google oder Mozilla, zahlen Entdeckern einen bestimmten Geldbetrag, wenn diese sicherheitskritische Schwachstellen im Rahmen einer Coordinated Disclosure melden. Diese Bug Bounties, also Kopfgelder auf Schwachstellen, können einen deutlichen Anreiz für die Suche nach und die Meldung von Schwachstellen darstellen. Andere Hersteller, wie etwa Adobe und Microsoft, lehnen hingegen eine Bezahlung für die Meldung einzelner Schwachstellen ab. Auch per Zwischenhandel funktioniert dieses Geschäft: Schwachstellen-Broker wie TippingPoint (Zero-Day Initiative) oder idefense (Vulnerability Contributor Program) bezahlen ebenfalls für an sie gemeldete Schwachstellen. Anschließend arbeiten sie üblicherweise mit den betroffenen Herstellern im Rahmen einer Coordinated Disclosure zusammen. Gleichzeitig nutzen sie die erworbenen Informationen, um eigene Dienstleistungen und Produkte zum Schutz vor diesen Schwachstellen anzubieten. Andere Unternehmen wie beispielsweise VUPEN handeln wiederum auch mit Schwachstellen, die sie unter anderem Geheimdiensten und Ermittlungsbehörden zur Verfügung stellen. Zusätzlich existieren inoffizielle und zum Teil auch kriminelle Märkte, auf denen insbesondere Zero-Day-Exploits für effiziente Angriffe gehandelt werden. No Disclosure No Disclosure bezeichnet einen Spezialfall, der vor allem im Umfeld der Schwachstellen-Broker zu finden ist. Dabei wird der Hersteller vom Entdecker der Schwachstelle nicht informiert, wohl aber die eigenen Kunden, beispielsweise um sie vor Angriffen zu schützen oder um ihnen Zero-Day-Exploits zugänglich zu machen. Mit den BSI-Analysen veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) Statistiken und Berichte zu aktuellen Themen der Cyber-Sicherheit. Kommentare und Hinweise richten Sie bitte an: cs-info@bsi.bund.de. BSI-A-CS 002 Version 1.00 vom 02.03.2012 Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback