(COTS = Commercial Off-the-Shelf)

Beispiele

• Datenmüll in der Textverarbeitung
• Ausführbare Inhalte in Dokumenten:
  • Makros und Makroviren,
  • ASCII- und Postscript-Bomben - auch PDF ist gefährdet,
  • Aktive Inhalte im WWW.
  Versand von gelöschten Passagen, Müll und Macro-Viren per Diskette, ftp oder Multimedia-Mail (MIME), Verbreitung über das WWW.
  Siehe auch Makro-Viren, die neue Bedrohung (BSI-Faltblatt).
• Immer wieder schwacher Passwortschutz ...
• ... oder vermeintlicher Passwortschutz, siehe »Cut and paste defeats Excel's password protection«.
• Schwache Verschlüsselungsverfahren, z. B. Lotus Notes mit Hinterlegung von Schlüsselbits (CliNet).
• Netmeeting erzwingt Öffnung des Firewalls.
• Sicherheitslücken und ungenügende Voreinstellung in Betriebssystemen (Windows 95/98, NT, Unix).
  Die meisten Computernutzer und viele Administratoren sind Laien. Sie ändern niemals die Voreinstellungen.
• Die UPnP-Schnittstelle (Universal Plug and Play) in Windows XP, die auch einen Netzdienst anbietet und ein Riesensicherheitsloch aufmachte [Heise, 21.12.2001] [CERT Advisory CA-2001-37]. Die als erste Notmaßnahme empfohlene Deaktivierung des Dienstes setzte den Sound-Chip außer Gefecht. Was hat ein Internetdienst mit lokalen Geräten zu tun?
• Sicherheitsprobleme mit World-Wide-Web-Software (ausführbare Inhalte, Browser, Server).
• Datenschutzmängel bei SAP [siehe 14. Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten].

Beware of mechanisms that offer automatic upgrades, no matter how convenient they may seem. [P. G. Neumann, Risks-21.83]

Verschlüsselung in Standardsoftware?

Zitat aus dem Handbuch des Verschlüsselungsprogramms PGP:

»Es gibt eine Firma namens AccessData, die für $185 ein Programmpaket vertreibt, das die eingebauten Verschlüsselungsverfahren von WordPerfect, Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox und MS Word knackt. - Der Autor sagte, man brauche nur den Bruchteil einer Sekunde zum Knacken, aber er habe einige Verzögerungsschleifen eingebaut, damit es für den Kunden nicht zu leicht aussieht.«

Siehe auch http://www.crak.com.

Gründe für die Mängel

• Konzeptionelle Schwächen.
  • Offenheit der Systeme und der Netze,
  • nicht vorhandene oder naive Sicherheitsmodelle, fehlende Risikoanalyse,
  • naives Missverständnis des grundlegenden Unterschieds zwischen einer funktionalen Spezifikation und einer Sicherheitsspezifikation,
    • Funktion: »Programming a computer« - es läuft.
    • Zuverlässigkeit: »Programming Murphy's computer« (Schneier) - es läuft auch bei Fehlersituationen.
    • Verlässlichkeit: »Programming Satan's computer« (Anderson) - es läuft auch in feindlicher Umgebung.
  • - statt dessen »penetrate and patch« (Entfernung von Nadeln aus dem Heuhaufen statt Vermeidung),
  • unzureichende Abgrenzung von Sicherheitsbereichen, z. B. Manipulation des Betriebssystem-Kerns bei Treiber-Updates in MS-Windows,
  • unzureichende Unterscheidung zwischen Lese- und Ausführungsrechten,
  • unzureichende Unterscheidung zwischen Daten und Funktionen,
  • keine sichere Rückfallposition -
    Sicherheit muss redundant sein! -
  • kryptographischer Analphabetismus,
  • keine (oder nur eine karikaturenhafte) Authentisierung von Software.
• Trügerische Sicherheit durch Vernebelungstaktik (`Security by Obscurity') -
  • Verschweigen von Sicherheitsproblemen
  • ... und Erschießen des Überbringers der schlechten Nachricht,
  • typisches Beispiel: Empfehlung, die Administratorkennung umzubenennen,
  • ungenügender Schutz für Passwörter.
• Ungeeignetes Benutzermodell (oder gar keins?) -
  • Aushebeln der Benutzerkontrolle, Entmündigung des Benutzers an Stellen, wo er leicht selbst entscheiden könnte, [Smart Tags, Groß- und Kleinschreibung von Dateinamen, Autokorrektur, ...]
  • Überforderung des Benutzers mit Entscheidungen, deren Tragweite er mit den angebotenen Informationen er nicht beherrschen kann [Beispiel],
  • kein Gefahrenbewusstsein für unkontrollierte Programmausführung,
  • verdeckte Informationspreisgabe.
• Mangelhafte Softwareentwicklung -
  • fehlende kommerzielle Motivation, Unlust, z. T. auch Verunsicherung, der Softwarefirmen,
  • schlampige Programmierung,
  • ... und immer wieder Programmierfehler,
  • unsaubere Speicherverwaltung (z. B. kein Löschen bei Speicherfreigabe),
  • Blähware (`bloatware') - aufgeblähte Programme mit megabyteweise totem Code, Dokumente mit umfangreichem Datenmüll, [siehe auch Risks-20.35, 36, 37, 38]
    • Bei fast allen gegenwärtigen UNIX-Varianten: Betriebssystem-Kern aufgebläht - im Gegensatz zur Philosophie des »kleinen, verlässlichen Kerns«.
    • Bei Windows-NT/2000/XP noch viel aufgeblähter: Sogar Druckertreiber im Kern - Neu heruntergeladener Treiber kann Trojanisches Pferd im Kern installieren!
  • Mangelhafte Qualitätssicherung,
  • Missbrauch der Benutzer als Beta-Tester, Reifen der Software beim Kunden (»Bananenprinzip«); typisch: Windows XP sendet nach einem Absturz einen Speicherdump an Microsoft.
  • Marktdruck, Erster zu sein (`Software Engineering meets Internet Time'),
  • Marktdruck, die meisten Funktionen anzubieten (»Featuritis«).
»Testing and verification is a very time consuming process and from a marketing standpoint it is far better to get people using your product than to spend time testing it.« [Bill Stackpole, Firewalls-List, 22 Jun 1999]
• Lizenzvereinbarungen, die die volle Verantwortung für Produktfehler dem Kunden aufbürden.
• Hybris (Größenwahn).

Siehe auch die Artikel von Peter Gutmann:

• Where do your encryption keys want to go today? (How to recover private keys for Microsoft Internet Explorer, Internet Information Server, Outlook Express, and many others)
• PFX - how not to design a crypto protocol/standard

Die Grundthese dieser Vorlesung

Verlässlichkeit, insbesondere informationstechnische Sicherheit, lässt sich erreichen, wenn man

• manche Risiken und Gefährdungen ausschließen kann,
  (also relativ zu einem Bedrohungsmodell - nicht absolut)
• nicht auf Großtechnik (wie .NET) setzt, sondern auf dezentrale Verantwortung und Machtverteilung