Schadcode

Download

• MP3 (48,0 MiB)
• Ogg Vorbis (30,8 MiB)
• Opus (18,4 MiB)

Shownotes

Die drei wichtigsten Dinge, die Experten über Software-Sicherheit wissen:

1. Software ist unglaublich unzuverlässig und unsicher.
2. Nein, wirklich, ihr könnt es euch nicht vorstellen.
3. Es ist sogar noch schlimmer als das.

Matt Blaze auf Twitter (Achtung: zweiter Link geht zu einer Domain von Elon Musk)

• Vorbemerkung: für offensive und defensive Computernutzung wird regelmäßig der Wortteil "Cyber-" verwendet (z.B. "Cyberangriff", "Cybersicherheit")

  • in IT-Kreisen, insb. im CCC-Umfeld, gilt "Cyber-" als Schibboleth für Leute, die von IT keine tiefgehende Ahnung haben (siehe z.B. "Unsere Cyber-Cyber-Regierung")
  • wir bleiben deswegen sicherheitshalber bei "IT-Angriff" :)

• Grundlage: Sicherheitslücken ("Fehler in einer Software oder einer Hardware, durch [die] ein Programm mit Schadwirkung oder ein Angreifer in ein Computersystem eindringen kann")

  • siehe STP037: heutige berühmte Softwarefehler sind meist Sicherheitslücken (z.B. Heartbleed, wie in STP037 besprochen)
  • siehe STP039: handwerkliche Fehler in der Authentifizierung oder Autorisierung ergeben meist besonders gut ausnutzbare Sicherheitslücken (siehe gerade neulich Azure AD)
  • siehe STP045/STP047: Grundlage vieler Sicherheitslücken sind Speicherverwaltungsfehler (z.B. Pufferüberlauf, wie in STP047 besprochen)
  • Sicherheitslücken werden aktiv gesucht, entweder von "Whitehats" (Sicherheitsforschern oder den Red-Teams der Softwarehersteller selbst) oder von "Blackhats" (die die Lücken für tatsächliche Angriffe ausnutzen wollen oder an Angreifer verkaufen wollen)
  • bekannte Sicherheitslücken werden in der CVE-Datenbank ("Common Vulnerabilities and Exposures", dt. "Bekannte Schwachstellen und Anfälligkeiten") geführt (z.B. Heartbleed ist CVE-2014-0160)

• zweiter Schritt: Exploit (eine systematische Methode, um eine Sicherheitslücke auszunutzen)

  • auch für Whitehats sind Exploits wichtig, um die Kritikalität einer Sicherheitslücke zu demonstrieren
  • für Blackhats sind Exploits die handelbare Form von Sicherheitslücken
  • Preise für Exploits orientieren sich an Angebot und Nachfrage, z.B. für RCE-Exploits in iOS oder Android bis zu 20 Mio. $ (RCE = Remote Code Execution)
  • Angriffe auf der Grundlage von Exploits haben meist eines von zwei Zielen: Ausführung von Schadcode oder Ausschleusung von Informationen (z.B. Passwörter)

• Schadcode: der große Nachteil von Computern ist auch ihr Vorteil; sie tun genau all das, was man ihnen sagt :)

  • Computervirus: ein sich selbst verbreitendes Programm, dass sich in einen Computer einnistet (biologisches Analog: Pilze, die die Gehirne von Insekten infizieren)
  • Computerwurm: wie ein Virus, aber nistet sich nicht ein, sondern verbreitet sich nur weiter (z.B. über E-Mails oder USB-Sticks)
  • Trojaner: ein Virus, der sich nicht mittels Exploit einer Sicherheitslücke verbreitet, sondern sich als nützliches Programm tarnt
    • in der netzpolitischen Debatte vor allem relevant in Form von Staatstrojanern

• Vorschau: zweiter Teil in STP051 (Ablauf eines IT-Angriffs)

• im Gespräch erwähnt: Vortrag von HonkHase zu Hackback und Digitalen Waffen

Audioquellen in Abspielreihenfolge (soweit nicht gemeinfrei)

• MastersDisaster: "Switch ON - Livingroom (Sample)"
• Garuda1982: "Switch on the fluorescent tube sound effect"
• Konrad Zuse: "HR-Fernsehbericht von 1958"
• Donald Knuth: "Lehrveranstaltung von 1981"
• Jung & Naiv Ultras: "Unsere Cyber Cyber Regierung"