21. Dezember 2015

Vertrauen in Produkthersteller? Backdoors bei Sophos, McAffee und anderen

Vertrauen Symbol

Während derzeit sich vor Allem VW für Software-Manipulationen im Kreuzfeuer befindet, häufen sich Meldungen über Hintertüren in Software von Sicherheitsanbietern.

Ein paar Beispiele der jüngsten Vergangenheit:
Im Betriebssystem ScreenOS von Juniper wurden – durch den Hersteller selbst – zwei Schwachstellen, die man getrost als Hintertüren bezeichnen kann, gefunden. Die erste ermöglicht den Zugriff als Administrator mit dem Standardpasswort „<<< %s(un='%s') = %u" (Quelle). Offensichtlich wurde das Passwort so gewählt, dass es im Quelltext nicht sofort als Passwort erkennbar ist. Die zweite Schwachstelle ermöglicht im Nachhinein das Entschlüsseln von VPN-Verbindungen (CVE-2015-7756). Die Entschlüsselung macht vor Allem dann Sinn, wenn man massenhaft Datenverkehr an zentralen Kontenpunkten mitschneidet. Aber das würde in demokratischen Ländern ja niemand machen.

Ein weiteres Beispiel: In McAfees Enterprise Security Manager konnte man sich mit dem Benutzernamen „NGCP|NGCP|NGCP“ und einem beliebigen Passwort anmelden (CVE-2015-8024). So etwas programmiert man auch nicht zufällig.

Das letzte Beispiel: Zum Schutz seines lokalen Netzes kann man sich Appliances der Firma FireEye kaufen. Diese analysieren den Datenverkehr zwischen lokalen Netzen und dem Internet und durchforsten dabei E-Mails, Webverkehr, etc. Durch eine Schwachstelle der Analysefunktion war es möglich, eine Shell auf der Appliance zu starten und administrative Rechte einzunehmen, so Googles Project Zero.

Es ist rein spekulativ über die Ursachen zu befinden. Denkbar ist es, dass die Firmen gezielt angegriffen oder unterwandert wurden. Möglich ist aber auch, dass sie schlicht mit Diensten kooperierten. Natürlich ist auch möglich, dass es sich um die Missetaten einzelner Mitarbeitern handelt. Vor dem Hintergrund der Erkenntnislage über staatliche Akteure ist dies jedoch leidlich unwahrscheinlich.

Die Großen können..
Es ist nun an den Herstellern, durch Transparenz und Offenheit zu den Gründen bei derartigen Schwachstellen verlorengegangenes Terrain zurückzuerobern. Jedoch ist es wohl leider so, dass sie das nicht müssen. Warum? Weil die Endverbraucher im Enterprise-Umfeld die Zeichen der Zeit wohl noch immer nicht erkannt haben. So sah Amazon 2013 keine Einbrüche im europäischen Cloud-Geschäft. Meldungen häufen sich nicht, dass Anbieter Umsatzverluste aufgrund eines diffusen oder konkreten Unsicherheitsgefühls der Kunden in Kauf nehmen müssen.

..von den Kleinen lernen.
Es scheint, als ob kleinere Kunden hier wesentlich sensibler geworden sind. So hat der Provider Domainfactory, bei dem auch secuvera Dienste hostet, den Plan alle Daten in ein Rechenzentrum nach Frankreich zu verlagern zwar nicht ad acta gelegt. Jedoch wird es aufgrund von massenhaften Kundenrückmeldungen auch künftig „Hosting made in Germany“ geben. Wenngleich gegen Aufpreis.

Es bleibt zu hoffen, dass die großen Kunden ihre Marktmacht gegenüber Anbietern nutzen und auf Transparenz und Aufklärung drängen und die „toter Mann“ Taktik nicht mehr aufgehen kann.