Nachrichten wie „Kritische Lücke in Produkt XY gefunden“ erscheinen täglich auf den einschlägigen Seiten oder in Mailinglisten. Von dort aus verbreiten sich die Meldungen weiter. Im Normalfall ist das durchaus positiv, schließlich sollen ja möglichst viele User gewarnt werden. Doch was ist, wenn sich in die ursprüngliche Nachricht ein Fehler eingeschlichen hat, der immer weitere Kreise zieht?
Stein des Anstoßes war diese Sicherheitsmeldung, in welcher der Sicherheitsanbieter Secunia vor einer Sicherheitslücke in einem Web-Shop-System warnt. Laut Secunia war es möglich, SQL-Befehle einzuschleusen, um das System zu manipulieren. „Stimmt nicht“, so der Kommentar des Shop-Herstellers rund ein halbes Jahr später. Diese Lücke habe es nicht gegeben.
Sucht man nun nach einer Bestätigung durch andere Anbieter, finden sich bei Google zahlreiche Seiten, die ebenfalls auf diese Lücke hinweisen. Sie taucht etwa bei F-Secure, Juniper oder der IBM X-Force auf – alles vermeintlich unabhängige Quellen.
Vergleicht man nun aber die einzelnen Einträge, wird man stutzig. Denn der Wortlaut der Meldung ähnelt sich in vielen Fällen, teilweise ist er identisch. Ein Blick auf die Quellenangabe verrät: Es handelt sich größtenteils nicht um selbst recherchierte Sicherheitslücken, sondern man beruft sich auf die vermeintlichen Entdeckungen anderer Dienste. Vor allem Secunia wird häufig als Quelle genannt, manche Anbieter binden den kompletten Feed des Anbieters auf die eigene Seite ein.
Es sei allgemein üblich, dass auch große Sicherheitsseiten Informationen von anderen Diensten übernehmen – auch ohne diese selbst noch einmal zu prüfen, so Secunia-Sprecher Thomas Kristensen. Nur wenige Websites verfügen über einen festen Stab an Personal, der das Know-how hat, solche Sicherheitslücken selbst zu überprüfen, so Kristensen weiter.
So entsteht eine Sicherheitsmeldung
Wir haben nachgehakt, wie eine solche Sicherheitsmeldung entsteht und wo sich im Laufe des Prozesses möglicherweise Fehler einschleichen können. Secunia-Sprecher Kristensen erklärt: Am Anfang der Kette steht der Entdecker, der die Lücke meldet. Diese prüft Secunia zunächst anhand öffentlich zugänglicher Informationen über die jeweilige Software auf Plausibilität. Die Reputation des Entdeckers spielt dabei eine untergeordnete Rolle. Wie ein Sprecher der IBM X-Force erklärt, werden die jeweiligen Quellen einer Sicherheitslücke mithilfe des Ratingsystems CVSS eingestuft.
Ist die betroffene Software verfügbar, wird die Lücke nachvollzogen. In Falle des Shop-Systems war dies aber nicht so einfach, es gab keine Möglichkeit, die Software zu testen. Laut Secunia nutzt man in diesem Fall zunächst alle verfügbaren Informationen, um die Plausibilität der gemeldeten Sicherheitslücke nochmals zu überprüfen, zeitgleich versucht, man den Hersteller zu kontaktieren.
Antwortet der Hersteller nicht und erscheint die Lücke plausibel (eine SQL-Einspeisung in ein Shop-System ist eine durchaus denkbare Sicherheitslücke), versucht Secunia, mehr Informationen vom Entdecker zu erhalten. Sollte der Hersteller dann immer noch nicht reagieren, publiziert man ein Advisory auf Basis der jeweiligen Informationen.
Laut Secunia wollen Hersteller nicht immer einen öffentlichen Patch für eine spezielle Sicherheitslücke bereitstellen, sondern beheben einzelne Lücken ohne viel Aufsehen. Das ist beispielsweise dann sinnvoll, wenn die Lücke nur vergleichsweise wenige Nutzer betrifft. Secunia erhalte regelmäßig E-Mails von Herstellern, die ihre Produkte auf diese Weise abgesichert hätten, ohne dass Kunden und Nutzer explizit auf ein bestehendes Sicherheitsleck hingewiesen würden. Bereits erstellte Sicherheitsmeldungen würden dann entsprechend aktualisiert. Dass ein Hersteller eine Lücke vertuschen will, komme nur selten vor, so Kristensen.
Was die Zuverlässigkeit und Richtigkeit der Lücken betrifft, habe man derzeit mehr als 23 000 Sicherheitsmeldungen veröffentlicht und musste von diesen nur zehn Stück zurückziehen. Im Falle des beanstandeten Online-Shops habe man an dem Tag, an dem die Meldung veröffentlicht wurde, versucht, mit dem Hersteller Kontakt aufzunehmen. Diese sei aber im Sande verlaufen.
So informieren Sie sich als Nutzer
Sicherheitsmeldungen sollte man grundsätzlich ernst nehmen, False-Positive-Meldungen sind extrem selten. Am besten ist es, man informiert sich auf verschiedenen Portalen und fragt beim Hersteller nach. Dieser kann nicht nur die Echtheit der Lücke bestätigen, sondern stellt normalerweise einen Patch oder einen Workaround zur Verfügung.
Ein guter Anlaufpunkt sind etwa die Foren des Herstellers oder unabhängige Webseiten. Vor einem eigenen Eintrag sollten Sie aber die Ankündigungen durchsehen und mithilfe der Suchfunktion prüfen, ob es bereits Diskussionen zur jeweiligen Sicherheitslücke gibt.
Bei den verschiedenen Sicherheitsportalen sollte man allerdings immer auf die angegebenen Quellen achten und die Meldung wenn möglich bis zu ihrem Ursprung zurückverfolgen. Viele Portale übernehmen die Nachrichten voneinander mit der Folge, dass sich wie beim Spiel „Stille Post“ Fehler relativ schnell verbreiten und noch verstärkt werden können.
Kommunikation ist kritisch – Tipps für Hersteller
Das Debakel lässt sich in zwei Wörtern zusammenfassen: fehlende Kommunikation. Die Nachfragen der Sicherheitsfirmen liefen ins Leere, also gingen diese davon aus, dass die Sicherheitslücke legitim ist.
Versucht der Entdecker einer Sicherheitslücke, Kontakt zum Hersteller aufzubauen, sollte man dies nicht ignorieren. Denn die Informationen rund um die Sicherheitslücke landen mit an Sicherheit grenzender Wahrscheinlichkeit im Internet, wo sie für jedermann einsehbar sind. Script-Kiddies haben in diesem Fall leichtes Spiel, wenn sie in die betroffenen Produkte eindringen möchten. Ähnliches gilt, wenn Nutzer der Produkte auf solche Schwachstellen verweisen oder einen entsprechenden Beitrag in einem eventuell vorhandenen Forum starten.
Es lohnt sich, die Webseiten einschlägiger Hersteller regelmäßig nach dem eigenen Produkt zu durchsuchen. Hier bietet sich beispielsweise die NVD an. Diese Datenbank der US-Regierung ist die zentrale Anlaufstelle für Schwachstellen, nahezu alle gemeldeten Lücken fließen hier mit Quellenangaben ein. Alternativ bietet zum Beispiel auch Secunia einen kostenpflichtigen Dienst an, der Nutzer über neue Meldungen zu zuvor definierten Anwendungen informiert.
Handelt es sich tatsächlich um ein fehlerhaftes Advisory, sollte man sich in jedem Fall an die Sicherheitsfirmen wenden. Unter den meisten Sicherheitsmeldungen findet sich eine Kontaktadresse. Erhält man nicht sofort eine Antwort, sollte man nachhaken, allerdings eine mögliche Zeitverschiebung berücksichtigen.
Patches, die in aller Stille ausgerollt, werden, sind nicht immer die beste Lösung. Zum einen fehlt es an der Information für die Nutzer, zum anderen kriegen es nicht alle Sicherheitsanbieter mit, dass die Sicherheitslücke behoben wurde. Idealerweise sendet man den Anbietern einen entsprechenden Link zum Patch-Download und bittet sie, diesen Link in das Advisory aufzunehmen.
Fazit
Gemeldete Sicherheitslücken in eigener oder verwendeter Software sollte man in jedem Fall ernst nehmen. Denn spätestens wenn sie auf Webseiten wie milw0rm auftauchen, sind sie nur noch wenige Klicks von einem Exploit-Baukasten entfernt. Mit diesem lassen sich nahezu automatisch Angriffspakete erstellen, über die jedes Script-Kiddie die betroffenen Installationen angreifen kann. So empfiehlt es sich bereits vorher, einen Ablaufplan zu erstellen – und zwar sowohl als Hersteller als auch als Nutzer.
Hersteller sollten in jedem Fall einen Plan für Krisen-PR zur Hand haben und diesen auch regelmäßig überprüfen. In diesem Plan sollte nicht nur geregelt sein, wie und welche Medien informiert werden, sondern auch, wie und wann man die eigenen Kunden über mögliche Risiken informiert. (mja)