Trustworthy Computing, Teil 2: Was der Security Development Lifecycle bringt

Tatsächlich hat das systematisch umgesetzte Konzept von „Trustworthy Computing“ bereits viel gebracht, vor allem werden immer weniger Schwachstellen in neuer Software entdeckt. Dabei setzt Microsoft im Vorfeld sogar Profi-Hacker auf den Programmcode an. Uli Ries wirft einen Blick hinter die Kulissen.

Dieser Beitrag ist mehr als 11 Jahre alt.
Bild: alphaspirit

Hacker helfen Microsoft

Von Uli Ries

Der Security Development Lifecycle zeigte schnell Erfolge: So mussten für Windows XP im ersten Jahr nach der Einführung 65 Sicherheitsupdates veröffentlicht werden. Windows Vista, das bereits vollständig den SDL befolgte, kam mit 36 aus.

Noch besser ist das Ergebnis des SQL Servers 2005, der in den ersten zwölf Monaten nach Einführung keinerlei Patches benötigte, wohingegen der Vorgänger SQL 2000 mit 31 Updates geflickt werden musste.

Im Security Development Lifecycle

Der SDL besteht aus einer Vielzahl von Komponenten, die den kompletten Entwicklungszyklus eines Softwareproduktes begleiten. Stark vereinfacht gesprochen, ist der SDL eine umfangreiche Checkliste, die von Produkt zu Produkt variiert, mehr als 700 Punkte umfassen kann und vollständig abgearbeitet werden muss, bevor ein Produkt in den Handel kommt. Der SDL schreibt z.B bestimmte Einstellungen beim Kompilieren oder spezielle ASP-Kommandos vor.

Serie: Trustworthy Computing
Teil 1 beginnt 2002, als Hacken fast Volkssport war und Windows die Hauptzielscheibe. Damals zog Bill Gates persönlich die Reißleine. Teil 2 spielt den Security Development Lifecycle bis zum Patch Tuesday durch und blickt Hackern über die Schulter, die für Microsoft Einbrecher spielen.

Außerdem umfasst er Richtlinien, wie und womit der Quellcode auf Schwachstellen getestet werden muss. Er hält jeden Entwickler an, sich Gedanken über mögliche Angriffe auf seinen Code zu machen (Threat Modelling) und versucht, die angreifbaren Stellen der Programme zu minimieren: Nicht dringend benötigte Funktionen sind im Lieferzustand der Programme abgeschaltet.

Auch nach Veröffentlichung des Produkts spielt der SDL noch eine Rolle: Tauchen in der Folge neue Angriffsarten auf, werden entsprechende Tests und Vorgaben zum SDL hinzugefügt, um diese Attacken in Zukunft auszukontern. Insbesondere das Threat Modelling wird ständig weiter entwickelt. Denn kaum etwas ist peinlicher als ein erfolgreicher Angriff mittels einer seit Jahren bekannten Attacke.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Gepatcht wird immer dienstags

Mit einem Ergebnis von TwC kommen Windows-Nutzer weltweit jeden Monat in Kontakt: Windows Update wurde im Rahmen von TwC immer weiter verbessert, im Oktober 2003 wurde der monatliche Zyklus eingeführt. In der Prä-TwC-Ära mussten Anwender sich die Updates aus verschiedenen Bereichen der Microsoft-Website herunterladen. Später kam dann der automatische Update-Mechanismus, der durch TwC dann auch auf Microsoft-Anwendungssoftware ausgeweitet und in Microsoft Update umbenannt wurde.

Manchen Experten geht dies aber immer noch nicht weit genug: „Ich wünschte, dass Microsoft das Verteilen von Softwareupdates anderer Hersteller über Windows Update zulassen würde. Zwar können Großkunden unsere Updates inzwischen mit Microsoft-Tools verteilen. Aber wenn auch Anwender außerhalb von Großkonzernen per Windows Update versorgt würden, würde das die Verteilung immens erleichtern“, sagt Brad Arkin, bei Adobe für die Produktsicherheit verantwortlich.

Microsoft Active Protections Program
Damit Anbieter von Sicherheitshard- und Software nicht Monat für Monat rätseln müssen, welche Lücken Microsoft mit den jeweiligen Updates genau schließt und wie diese missbraucht werden können, hat Redmond mit MAPP (Microsoft Active Protections Program) ein eigenes Programm geschaffen. Im Rahmen von MAPP verrät Microsoft Details vorweg, so dass die Hersteller ihren Produkten schon vor Erscheinen der Updates Schutzfunktionen mit auf den Weg gehen können. So sind sie gegen die regelmäßig am „Exploitation Wednesday“ – also am Tag nach dem Update-Dienstag – auftauchenden Attacken gerüstet, auch wenn die Kunden die Microsoft-Patches noch nicht installiert haben.

Kontrahenten helfen hinterrücks

Auf das TwC-Konto geht auch die nach 2005 etablierte Kommunikation mit der weltweiten Hackergemeinde: „Früher handelten wir nach dem Motto ,die gegen uns‘. Hacker waren für uns ausschließlich Gegner, die wir bestenfalls ignorierten“, bestätigte Sarah Blankinship, die heute für den Online-Game-Produzenten Zynga arbeitet. Sie leitete seinerzeit das so genannte Outreach Team, eine Hand voll Microsoft-Mitarbeiter, die Kontakt zur weltweiten Hacker-Community halten sollten.

So arbeiten Redmonder seither mit Hackern zusammen – sofern sie sich kooperativ zeigen. „Wir kennen drei Sorten von Hackern: die Neutralen, die Freundlichen und die Feindlichen. Letztere wollen uns möglichst großen Schaden zufügen oder uns erpressen. In diesem Fall kommt eine Zusammenarbeit natürlich nicht in Frage“, war das Prinzip von Sarah Blankinship. Die freundlich gesinnten Hacker kontaktiert das Outreach Team entweder auf Security-Konferenzen wie der Defcon, oder über das Internet.

Serie: IT-Sicherheit im Mittelstand
Teil 1 erklärt, was zum Grundschutz gehört, welche Türen abgesperrt bleiben müssen und wie das Firmennetzwerk optimale Datenverfügbarkeit gewährleistet. Teil 2 nimmt die häufigste Ausfallursache unter die Lupe: den Anwender. Hier erfahren Sie, was eine gute Nutzerverwaltung leisten soll und warum ein Notfallplan parat liegen muss.

Für die Hacker kann es sich lohnen, mit Microsoft zu kooperieren. Denn seit 2005 lädt der Konzern verschiedene Sicherheitsexperten zur internen Hackerkonferenz namens Blue Hat. Im diesem Rahmen diskutieren die unabhängigen Experten mit Entwicklern und geben ihr Wissen weiter. Ob Microsoft den Blue-Hat-Sprechern Geld zahlt für ihren Auftritt, ist nicht bekannt. Eingeweihte berichten immerhin, dass Microsoft für die Reisekosten aufkommt. „Viele Hacker sind anfangs sehr skeptisch, wenn wir sie kontaktieren. Sie befürchten manchmal, dass wir sie sofort am Flughafen verhaften lassen. Das ist natürlich Unsinn, denn wir wollen ja mit ihnen zusammen arbeiten“, erinnert sich Blankinship.

In der Höhle des Löwen

Microsoft hört aber nicht nur zu, sondern lässt auch arbeiten: Man gewährte erstmals während der Entwicklung von Windows Vista bis zu 30 Hackern Zugang, darunter bekannte Namen wie Dan Kaminsky oder Chris Paget, zum Sourcecode des Systems. Kaminsky sagt:

„Microsoft hat uns aufgefordert, den Code nach Schwachstellen abzusuchen, und sie gaben uns die Macht, binnen 24 Stunden mit jedem Entwicklungsteam auf dem Microsoft Campus über unsere Entdeckungen diskutieren zu können. Auf diese Weise entfernten wir tausende von Bugs aus dem Sourcecode.“

Mehrere tausend Mal fanden Kaminksy & Co. z.B. die C-Bibliothek („strcopy“) im Sourcecode – zur damaligen Zeit das größte Einfallstor für Buffer Overruns.

So stolz Microsoft selbst auf seine Zusammenarbeit ist, sie ist noch nicht gut genug. Das meint zumindest Chaouki Bekrar: „Microsoft lässt sich über Gebühr Zeit, um auf Schwachstellen zu reagieren und diese zu beheben, wenn sie von unabhängigen Sicherheitsforschern gemeldet werden. Kursiert ein Exploit bereits im Netz, geht hingegen alles ganz schnell“, so der Vupen-Geschäftsführer.

So selbstverständlich wie Sicherheit

Die Experten sind sich auch einig, was den generellen Erfolg von Microsofts Bemühungen angeht. Brad Arkin lobt die Redmonder dafür, dass sie andere Unternehmen – darunter natürlich Adobe – an ihren guten und schlechten Erfahrungen haben teilnehmen lassen und große Teile des im letzten Jahrzehnt gesammelten Wissens freigiebig teilen. Bekrar sagt:

„TwC hat das Sicherheitsbewusstsein in der Softwareindustrie positiv beeinflusst. Wahrscheinlich hat TwC auch die Schäden durch Malware verringert, wenngleich der Krieg gegen die Schädlinge noch lange nicht gewonnen ist.“

Nach anderen IT-Unternehmen mit bemerkenswerten Sicherheitskonzepten gefragt, fällt dem Vupen-Boss Google ein. Insbesondere beim Patchen von kritischen Lücken in Chrome sei Google vorbildlich. Gleichzeitig gebe es aber rund um Android noch reichlich Sicherheitsbaustellen. Charlie Miller hingegen sichtet kein anderes Unternehmen, das Microsoft hinsichtlich der Sicherheitsbemühungen das Wasser reichen könnte.

Fazit: Nur Cloud-Software testet keiner

Microsoft selbst verweist darauf, dass die in den letzten zehn Jahren gesammelten Erfahrungen auch dabei helfen, die eigenen Cloud-Dienste sicher(er) zu gestalten. Den Hacker Charlie Miller überzeugt das allerdings nicht:

„Ich traue keiner Cloud-Anwendung, ganz egal, wer sie programmiert. Denn ich habe keine legale Chance, die Applikationen auf Schwachstellen zu testen. Anders als bei lokal installierter Software. Die Erfahrung hat gezeigt, dass Software noch nicht mal in die Nähe der Attribute ,sicher‘ oder ,fehlerfrei‘ kommt, wenn keine externe Kontrolle stattfindet.“

Das von Bill Gates verschickte Memo hat also etliches in Gang gebracht. Eines haben die Redmonder aber nicht erreicht: Gates forderte in seiner E-Mail, dass die von Microsoft hergestellten Produkte „so verfügbar, verlässlich und sicher sind wie die Versorgung mit Strom, Wasser und Telefon.“ Davon ist Microsoft-Software aber weit entfernt.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links