Security-Forscher an Microsoft und Apple
30.03.2010, 10:18 Uhr
"Findet Eure Lücken doch selbst!"
Der dreimalige Gewinner des Hackerwettbewerbs Pwn2own, Charlie Miller, will die von ihm gefundenen Sicherheitslücken in Apple- und Microsoft-Programmen nicht an die Hersteller übergeben. Sie sollen sie selbst finden. Miller verrät immerhin, wie.
Miller hat in der letzten Woche zum dritten Mal in Folge ein Preisgeld beim Hacker-Wettbewerb Pwn2own gewonnen. Dieser findet jährlich im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. Miller hat noch etliche Safari-Bugs auf Lager, ebenso Bugs in Powerpoint, Adobe Reader und OpenOffice.org. Doch er rückt sie nicht heraus.
Miller ist frustriert über die geringen Fortschritte, die bei der Software-Sicherheit gemacht werden. Der ständige Zyklus Lücke-Patch-Lücke-Patch mache die Programme insgesamt nicht sicherer. Um dieses in seinen Augen sinnlose Wechselspiel zu durchbrechen, hat Miller in einem Vortrag in Vancouver dargelegt, wie er die Schwachstellen gefunden und ausgenutzt hat.
Seine Methode ist an sich wohlbekannt und wird Fuzzing genannt. Ein paar Code-Zeilen reichen Miller, um Programme mit zufälligen, sinnlosen Eingaben zu traktieren, die früher oder später einen Absturz provozieren. Dann gilt es diejenigen Absturzursachen heraus zu filtern, die sich zum Einschleusen von Code ausnutzen lassen. Schliesslich muss noch Exploit-Code verfasst werden, der Schutztechniken wie DEP und ASLR umgeht und die Lücke ausnutzt.
Microsoft nutzt Fuzzing seit Jahren im Rahmen seines Security Development Lifecycle (SDL), der Programme bereits während der Entwicklung sicherer machen soll. Doch Miller findet, es sei viel zu einfach gewesen die Lücken zu entdecken. Dies habe ihn überrascht und enttäuscht. Apple, Adobe und Microsoft sollten diese Schwachstellen längst selbst gefunden haben.
Es könne nicht angehen, so Miller, dass ein einzelner Forscher mit drei Computern die grossen Sicherheitsteams mit ihren Rechnerfarmen schlage. Es sei ja nicht so, dass die Hersteller nicht mit Fuzzing arbeiteten, sie machten es nur nicht gut genug. Er hoffe, Apple, Microsoft und Co. hätten gut zugehört und würden es in Zukunft besser machen.