Der Sicherheitsforscher Charlie Miller hat in der letzten Woche zum dritten Mal in Folge ein Preisgeld beim Hacker-Wettbewerb Pwn2own gewonnen. Dieser findet jährlich im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. Miller hat noch etliche Safari-Bugs auf Lager, ebenso Bugs in Powerpoint, Adobe Reader und OpenOffice.org. Doch er rückt sie nicht heraus.
Miller ist frustriert über die geringen Fortschritte, die bei der Software-Sicherheit gemacht werden. Der ständige Schweinezyklus Lücke-Patch-Lücke-Patch mache die Programme insgesamt nicht sicherer. Um dieses in seinen Augen sinnfreie Wechselspiel zu durchbrechen, hat Miller in einem Vortrag in Vancouver dargelegt, wie er die Schwachstellen gefunden und ausgenutzt hat.
Seine Methode ist an sich wohlbekannt und wird Fuzzing genannt. Ein paar Code-Zeilen reichen Miller, um Programme mit zufälligen, sinnlosen Eingaben zu traktieren, die früher oder später einen Absturz provozieren. Dann gilt es diejenigen Absturzursachen heraus zu filtern, die sich zum Einschleusen von Code ausnutzen lassen. Schließlich muss noch Exploit-Code verfasst werden, der Schutztechniken wie DEP und ASLR umgeht und die Lücke ausnutzt.
Microsoft nutzt Fuzzing seit Jahren im Rahmen seines Security Development Lifecycle (SDL), der Programme bereits während der Entwicklung sicherer machen soll. Doch Charlie Miller findet, es sei viel zu einfach gewesen die Lücken zu entdeckten. Dies habe ihn überrascht und enttäuscht. Apple, Adobe und Microsoft sollten diese Schwachstellen längst selbst gefunden haben.
Es könne nicht angehen, so Miller, dass ein einzelner Forscher mit drei Computern die großen Sicherheitsteams mit ihren Rechnerfarmen schlage. Es sei ja nicht so, dass die Hersteller nicht mit Fuzzing arbeiteten, sie machten es nur nicht gut genug. Er hoffe, Apple, Microsoft und Co. hätten gut zugehört und würden es in Zukunft besser machen. (PC Welt/mje)