Security 2017: Kampf gegen die Komplexität

Überstrapaziert

David Fuhr

Die Angriffe von überwiegend organisierten Cyberkriminellen nehmen immer größere Ausmaße an und verursachen immer größere Schäden. Gleichzeitig brechen wichtige Sicherheitsmechanismen weg oder schwächeln zumindest. Woran liegt es und wie kann man wieder mehr Sicherheit erlangen?

Die vielen groß angelegten Angriffe der letzten Zeit und die daraus resultierenden Schäden sowie Beinah-Katastrophen haben gezeigt, dass die IT-Sicherheit heutzutage kaum noch beherrschbar ist.

Die Ursachen liegen einerseits in der zunehmenden Komplexität von Soft- und Hardware sowie der Netzinfrastrukturen, andererseits sind grundlegende Sicherheitsmechanismen durch Implementierungsfehler, Kompromittierung oder Rechenleistung bedroht oder nicht mehr wirksam.

Eine einzige Lösung für alle Probleme gibt es nicht – hilfreich wäre jedoch eine Reduzierung der Komplexität, eine Verteilung wichtiger Daten und Infrastrukturen auf viele Schultern sowie ein verstärktes gemeinschaftliches Engagement von Community und Sicherheitsexperten im Kampf gegen Schwachstellen.

Am 18. Februar 2017 kurz nach ein Uhr nachts klingelte das Telefon. Justin Paine, Sicherheitschef von Cloudflare, schreckte aus seinem Bett in der San Francisco Bay Area hoch.

So ähnlich könnte ein Agententhriller der 90er- oder Nullerjahre beginnen. Als es noch Telefon gab und Sicherheitschefs noch schlafen konnten. In Wirklichkeit begann das Drama folgendermaßen:

„Könnte mich dringend jemand von der Cloudflare-Security kontaktieren?“ Dieser Tweet von Ormandy kündigte an, dass wieder einmal eine Sicherheitslücke großen Ausmaßes bekannt zu werden drohte (Abb. 1).

Am 17. Februar 2017 um 16:11 Uhr kalifornischer Zeit – denn dort saßen Urheber wie Adressat der Nachricht – ging ein Zwitschern durchs Netz. Nicht irgendein Zwitschern eines beliebigen komischen Vogels in irgendeinem wenig relevanten Teil des Internets, sondern ein Tweet des Security-Forschers Tavis Ormandy. Auch wenn die Westküste der USA eigentlich gerade dabei gewesen war, sich ins wohlverdiente Wochenende zu verabschieden, ahnten einige Kenner sofort, dass dies einige schlaflose Nächte bedeuten könnte.

Hätte es sich beim Absender um einen gewöhnlichen Twitter-Nutzer gehandelt, wäre es höchstwahrscheinlich um eine Beschwerde bezüglich des einen oder anderen Dienstes gegangen, in der Hoffnung, dem Support durch etwas sozialmediale Aufmerksamkeitsandrohung Beine zu machen. Ormandy ist jedoch nicht irgendeine Stimme im Zwitscherwald. Wenn seine Tweets einen Firmennamen enthalten, der nicht sein Arbeitgeber Google ist, erzittern die IT-Sicherheitsverantwortlichen zwischen Redmond und London.

Taviso, wie er von Sicherheitsforschern genannt wird, gilt als eines der profiliertesten Mitglieder von Googles Putztruppe „Project Zero“. Sie hat es sich zur Aufgabe gemacht, „das Internet“ zu einem sichereren Ort zu machen. Wobei sich „das Internet“ im Fall von Ormandy meist auf dessen größte Träger bezieht. Viele Taviso-Tweets bedeuten viel Arbeit – das mussten Firmen wie Microsoft, Trend Micro, Symantec oder LastPass in den letzten Jahren mehrfach auf schmerzhafte Weise erleben.

Üble Panne bei Cloudflare

Was war passiert? Das US-Unternehmen Cloudflare bietet weit über einer Million Kunden weltweit eine Art vorschaltbaren Schutzschirm für Webseiten und -services. Dies umfasst vor allem Verteidigung gegen Denial-of-Service-Angriffe, aber auch Content Delivery oder das Verbergen von E-Mail-Adressen vor nichtmenschlichen Nutzern, sprich Bots, die diese für Spamming-Zwecke sammeln möchten.

Genau in dieser letzten Funktion war ein Fehler enthalten, der schwer zu erkennen und in seinen Auswirkungen noch schwerer zu beheben war. Zwischen September 2016 und Februar 2017 waren Millionen von Webseiten – inklusive der großen Mehrheit, die die genannte Funktion gar nicht nutzte – davon betroffen. Die Folge des Fehlers bestand darin, dass manchmal, in seltenen Fällen, bestimmte vertrauliche Informationen wie Passwörter, Session-Cookies oder Webseiteninhalte zufällig an bestimmte andere Nutzer (Menschen, Proxies und, am heikelsten, Suchmaschinen) ausgeliefert wurden.

Während sich mit „Cloudbleed“ zeitgemäß schnell ein passender Name für das Problem fand, reagierte Cloudflare prompt und – nicht überraschend – überaus professionell. Schließlich arbeiten dort in Security-Kreisen berühmte Experten wie der am Verschlüsselungsprotokoll TLS 1.3 beteiligte Danilo Sottile. Innerhalb weniger Minuten war die Kommunikation mit Google in vollem Gange, innerhalb weniger Stunden das Problem abgestellt – bis auf das Aufräumen der bereits geleakten vertraulichen Daten.

Wenn die Wolken weinen

Dass der Fehler überhaupt auffiel, ist der sogenannten Due Diligence (zu Deutsch etwa „erforderliche Sorgfalt“) zu verdanken. Während in der rund 70-jährigen Geschichte der Softwareentwicklung dieses Konzept nur zögernd und ausschließlich in bestimmten Bereichen wie Automobil- und Medizintechnik oder Automatisierung Einzug gehalten hatte, haben es datengetriebene Unternehmen wie Google, Facebook und auch Apple mit dem Aufbau globaler Netze aus Rechenzentren top-down eingeführt.

Fachleute wie Ormandy verbringen daher einen Teil ihrer Zeit damit, in einem sehr grundsätzlichen Sinn aufzuräumen: zu analysieren, dass in dem großen Maßstab, in dem Daten verarbeitet werden, nichts schiefläuft. Denn Googles Mutterkonzern Alphabet und Co. haben selbstverständlich höchstes Interesse daran, dass „das Internet“ funktioniert, wächst und das Vertrauen der Nutzer und Anbieter auf hohem Niveau bleibt. Dafür subventionieren sie weltweit Communities (das „Ecosystem“) und (Sub-)Kultur, aber eben auch Security-Forschung abseits des eigenen Produktportfolios.

Aufwendig und komplex war jedoch die Behebung der Folgen. Nicht nur mussten Ormandy und seine Kollegen eigens Skripte entwickeln, die die von Cloudflare in die Welt versprengten Geheimnisse aus Googles eigenen Caches und damit zumindest aus einem großen Teil des weltweiten Gedächtnisses halbwegs zuverlässig entfernten. Denn zunächst waren die vertraulichen Daten durch geschicktes Einsetzen von Suchstrings für jeden leicht aufzufinden. Zudem waren auch Millionen von Site-Betreibern zu warnen, dass sie sicherheitshalber ihre Nutzer zum Passwortwechsel und gegebenenfalls zu weiteren Maßnahmen auffordern sollten. Es bedarf keiner großen Fantasie, um sich den mageren Erfolg von Aktionen wie dem Veröffentlichen von Warnlisten wie auf https://github.com/pirate/sites-using-cloudflare (4 287 625 Einträge) vorzustellen. Aber zumindest stand die Netzgemeinde hier zusammen, man lobte sich gegenseitig – was bei Ormandy-verursachten Stürmen selten vorkommt – und wies verhältnismäßig wenig einander Schuld zu.

Der ganze Vorgang zeigte jedoch ein grundsätzliches Problem, das die Security in den nächsten Jahren prägen wird und von dessen Lösung wir weiter entfernt sind als zuvor.

Diese drei Werte bilden die Basis für die Informationssicherheit (Abb. 2).

Cloudflare ist für die meisten Nutzer der Inbegriff des Schutzes gegen Überlastungsangriffe ((Distributed) Denial of Service, (D)DoS). Auch wenn weitere Funktionen für Vertraulichkeit und Bequemlichkeit verfügbar sind (etwa Domain-Hosting), werden die für ernsthafte Anwendungen nicht gerade geringen Kosten des Dienstes in der Regel als eine Art Versicherung gegen Angriffe durch Mirai und andere Botnetze bezahlt. Damit hat im Fall von Cloudbleed eine Schutzmaßnahme gegen Verfügbarkeitsverlust (DoS) in einem selten gekannten Ausmaß zu weltweitem, unkontrolliertem Vertraulichkeitsverlust geführt.