Wenn Sicherheitslücken online gestellt werden - Googles Project Zero
dear_theophilusopenclipart.org/detail/193012/man-working-at-computers-by-dear_theophilus-193012CC0 1.0
Vor allem zwei Ereignisse haben 2014 die Debatte rund um die Sicherheit im Internet wieder angeheizt: Zum einen wurde die Sicherheitslücke Heartbleed bekannt, durch die es möglich war geheime Schlüssel, Passwörter und Daten aus verschiedenen Computersystemen auszulesen. Zum anderen haben die Betreiber der beliebten kostenlosen Verschlüsselungssoftware Truecrypt bekannt gegeben, dass ihre Software eventuell Sicherheitslücken enthält und die Arbeit an ihrer Software eingestellt. Beide Vorfälle hatten eines gemeinsam: Es war bzw. ist scheinbar immer wieder möglich Sicherheitslücken in Programmen auszunützen und damit mehr oder weniger Schaden anzurichten oder vertrauliche Daten auszulesen.
Das Problem:
Enthält eine Software oder auch ein Betriebssystem Sicherheitslücken, so können diese von Außenstehenden ausgenützt werden um sich unerwünscht Zugriff auf diese Software oder gleich auf das ganze Computersystem zu verschaffen. Dann können etwa Daten ausgelesen, bearbeitet oder gelöscht werden - ganz unauffällig und ohne dass einem dies bewusst ist.
Absicht oder Unvermeidbar:
Es stellt sich nun die Frage, ob diese Sicherheitslücken absichtlich bestehen oder unvermeidbar sind. Überall wo gearbeitet wird, können natürlich Fehler passieren und meist fallen diese bereits im Rahmen von Überprüfungen und Tests frühzeitig auf und werden gleich behoben. Leider werden etwaige Fehler jedoch nicht immer sofort entdeckt. Dann ist die Software bereits veröffentlicht und es gilt den Fehler im Nachhinein zu beseitigen. Aber kann es auch sein, dass Sicherheitslücken absichtlich bestehen? Offenbar ist die Antwort darauf leider ja. Zumindest wenn man Eduard Snowden und anderen Glauben schenkt, die berichten, dass solche Sicherheitslücken oft schon sehr früh erkannt, aber nicht behoben werden bzw. bewusst bestehen, damit sich Geheimdienste oder die Hersteller der Software selbst über diese Sicherheitslücken Zugang zu Rechnern verschaffen können. Genau dieser Umstand war und ist Google ein Dorn im Auge und so gründete Google das Project Zero um das Schließen von solchen Sicherheitslücken zu beschleunigen und diesen Zustand somit zu beenden.
Googles Project Zero:
Project Zero wurde 2014 von Google ins Leben gerufen und Google hat für dieses mehrere erfahrene Hacker angestellt, die diverse Software von Google und anderen Anbietern auf mögliche Sicherheitslücken hin untersuchen und die Programmierer der Software auf diese Fehler aufmerksam machen sollen. Dies ist in dieser Branche durchaus üblich, aber Googles Vorgehensweise unterscheidet sich in einem Punkt von jener der anderen: Google räumt den betroffenen Anbietern eine Frist von 90 Tagen ein um die Sicherheitslücke zu schließen, anderenfalls wird sie so wie alle anderen von Google gefundenen Sicherheitslücken hier auf der Seite von Google Security Research veröffentlicht, selbst wenn die Sicherheitslücke noch nicht geschlossen wurde. Und dies ist in der Branche gänzlich neu und war bisher absolut verpönt. Neben der Art der Sicherheitslücke wird noch der Status angegeben (neu, behoben, etc.) und nach erfolgter Lösung auf die entsprechende Lösung hingewiesen. Google will mit dieser Vorgehensweise Sicherheitslücken aufdecken und für deren rasche Schließung sorgen, um zu verhindern, dass Sicherheitslücken teils sogar ohne dem Wissen der Hersteller von anderen für Spionage und dergleichen ausgenützt werden können.
Fluch oder Segen:
Ist dies jetzt ein Gewinn für die Sicherheit im Internet oder nicht? Das kann man wohl nicht so einfach beantworten. Das Aufspüren von Sicherheitslücken durch Spezialist_innen ist an sich eine gute Sache, den Ersteller der Software auf diese aufmerksam zu machen und diese nicht für eigene Zwecke auszunützen ebenso. An der Frage der Sinnhaftigkeit offene Sicherheitslücken zu publizieren scheiden sich dann allerdings die Geister. Zum Einen setzt es die Softwarehersteller sicher unter Druck etwaige Lücken schneller zu schließen, wenn ansonsten eine Veröffentlichung selbiger drohen könnte, was durchaus als positiv zu bewerten ist. Andererseits gibt es auch kritische Stimmen zu Googles Art der Vorgehensweise, die in der Veröffentlichung von offenen Softwarelücken eine Vergrößerung der Gefahr sehen. Denn durch eine Veröffentlichung würden die Lücken erst recht zusätzlichen Personen bekannt werden, die diese dann entsprechend ausnützen könnten.
Fazit:
Es ist sicher immer zu begrüßen, wenn Sicherheitslücken zeitnah gefunden werden und wenn ein gewisser Druck für Hersteller besteht, diese dann schnellstmöglich zu schließen. Eine drohende Veröffentlichung sogar offener Sicherheitslücken ist dafür sicher ein mögliches und vermutlich wirksames Mittel. Aber eben genauso eine Gefahr, wenn Hacker dann vielleicht nur mehr auf Googles Project Zero Seite nachsehen müssen, wenn sie nach bestehenden Sicherheitslücken in Software suchen. Bis vor kurzem war es auch nicht nötig Sicherheitslücken vor deren Schließung zu veröffentlichen, da alle gefundenen Probleme von den entsprechenden Anbietern rechtzeitig innerhalb der Frist von 90 Tagen behoben wurden. Bisher, denn mittlerweile wurde die erste ungelöste Sicherheitslücke veröffentlicht und anschließend in allen Medien verbreitet. Wer wissen will um welche Sicherheitslücke es sich handelt, kann sie hier finden - sie ist aber mittlerweile behoben.
Links:
- googleprojectzero.blogspot.co.at: offizieller Blog von Google Project Zero
- code.google.com: google-security-research: Seite von Google Project Zero auf der Softwarelücken bekannt gegeben werden
- cnet.com: Google's Project Zero plans to plug zero-day attacks
- derstandard.at: Project Zero: Google stellt Team an Elite-Hackern vor
- code.google.com: Issue 118
- de.wikipedia.org: Heartbleed
- de.wikipedia.org: TrueCrypt