OMG it’s a bug!’ Vorsicht vor dem Schnickschnack rund um die Offenlegung von Sicherheitslücken

Cyber Security News

Eine Website für den M1racles M1 Apple-Chip-Fehler, der von dem unabhängigen Forscher Hector Martin entdeckt wurde. Einige in der Sicherheitsforschungs-Community sind besorgt, dass die übermäßige Vermarktung von Schwachstellen-Enthüllungen die Öffentlichkeit über deren wahre Auswirkungen in die Irre führt.

Anfang dieser Woche veröffentlichte ein angesehener Sicherheitsforscher neue Details zu einem Hardware-Fehler in einem brandneuen Prozessorchip von Apple. Er würde es zwei Anwendungen, die auf dem Betriebssystem laufen, ermöglichen, verdeckt zu kommunizieren und Daten auszutauschen. Er kann unabhängig vom Benutzerstatus oder den Kontorechten ausgenutzt werden. Das Schlimmste daran ist, dass er in Apples M1-Chip-Design eingebaut ist, was bedeutet, dass er nicht gepatcht oder ohne ein neues Redesign behoben werden kann.

Oh, und noch etwas: Es ist nicht wirklich eine Bedrohung für Sie oder Ihr Unternehmen in irgendeinem sinnvollen Sinne.

“M1racles” ist ein echter Fehler, der von dem unabhängigen Sicherheitsforscher Hector Martin mit einer echten CVE entdeckt wurde, und eine von ihm erstellte Website für die Offenlegung bietet alle zugrunde liegenden technischen Details und Beweise, die man bei einer typischen Offenlegung von Sicherheitslücken erwarten kann. Aber trotz seiner atemlosen Beschreibung in der Einleitung, macht ein Abschnitt “Häufig gestellte Fragen” weiter unten deutlich, dass er nicht glaubt, dass Unternehmen oder Einzelpersonen oder irgendjemand wirklich zu besorgt darüber sein sollte.

M1racles kann nicht verwendet werden, um Ihren Computer zu übernehmen oder Daten zu stehlen, und es kann auch nicht durch gängige Sprachen wie Javascript ausgenutzt werden. Außerdem funktioniert es nur, wenn zwei bösartige, nicht autorisierte Anwendungen versuchen, auf Ihrem Betriebssystem zu kommunizieren, ein Zustand, der darauf hindeutet, dass Sie viel größere Fische zu braten haben.

“Wirklich, niemand wird in der Praxis eine schändliche Verwendung für diesen Fehler finden”, schrieb Martin in einem Abschnitt. “Außerdem gibt es bereits eine Million Seitenkanäle, die Sie für kooperative prozessübergreifende Kommunikation verwenden können, und … verdeckte Kanäle sind völlig nutzlos, es sei denn, Ihr System ist bereits kompromittiert.”

Es mag seltsam erscheinen, dass Martin sich die Zeit genommen hat, eine auffällige Webseite zu entwickeln, sich einen einprägsamen Namen auszudenken und eine Video-Demonstration für einen Fehler aufzunehmen, den er nicht als beunruhigend ansieht, aber es steht in direktem Zusammenhang mit einem größeren Punkt, den er versucht, über die Art und Weise, wie Sicherheitslücken-Enthüllungen an die Medien und die Öffentlichkeit vermarktet werden, zu machen.

Mit anderen Worten: “Nur weil es eine auffällige Webseite hat oder es in die Nachrichten schafft, heißt das nicht, dass man sich darum kümmern muss.”

“Sehr oft gibt es eine tiefe Kluft zwischen den praktischen Auswirkungen einer Schwachstelle und der Art und Weise, wie sie vermarktet wird, und dem Medienkreislauf, der sich schließlich darum herum entwickelt”, sagte Martin in einem Interview mit SC Media. “Manchmal bekommt man [disclosures] Schwachstellen, die einfach, das verspreche ich Ihnen, komplett und völlig nutzlos sind, und es wird zu diesem riesigen Medienkreislauf.”

Es gibt eine Reihe von Faktoren, die dazu führen können, dass eine Schwachstelle mit geringer Auswirkung als unmittelbare, dringende Bedrohung für IT- und Sicherheitsexperten gemeldet wird. Es kann sein, dass die Forscher wirklich anderer Meinung sind, was den Schweregrad angeht, oder dass sie nicht das letzte Wort darüber haben, wie ihre Arbeit von ihrem Unternehmen vermarktet wird. Es kann sein, dass sie unbewusste Vorurteile haben, die sie dazu bringen, die Wichtigkeit eines gefundenen Fehlers zu übertreiben, oder Details oder den Kontext zu vernachlässigen, die dazu dienen, die Auswirkungen herunterzuspielen. Manchmal lesen Journalisten oder Verbraucher nur die obersten paar Absätze und verstehen oder erforschen die Implikationen der zugrundeliegenden technischen Forschung nicht vollständig.

Über die FAQ hinaus hat Martin sein Bestes getan, um auf der gesamten Website Hinweise darauf zu geben, dass die Bedrohung nicht ganz so groß ist, wie sie in der Zusammenfassung dargestellt wird: Ein Link oben auf der Seite mit dem Titel “Sollten Sie sich Sorgen machen? Wahrscheinlich nicht” führt Sie direkt zu dem Abschnitt, in dem die tatsächlichen Auswirkungen des Fehlers in weitaus nüchterneren und weniger sensationslüsternen Tönen beschrieben werden. Dennoch bemerkte er amüsiert, dass einige Nachrichtenagenturen über M1racles als eine einfache Schwachstelle berichteten, über die die Öffentlichkeit Bescheid wissen sollte – was im Wesentlichen seinen Standpunkt über die Art und Weise beweist, wie einige Schwachstellen der Öffentlichkeit gegenüber irreführend dargestellt werden.

Um es klar zu sagen, während er möchte, dass Journalisten die Forschung, über die sie berichten, vollständig aufnehmen und mit anderen Forschern außerhalb der entdeckenden Organisation über die Auswirkungen sprechen, glaubt Martin, dass Sicherheitsforscher die Pflicht haben, die Schwachstellen, die sie finden, ehrlich für ein weniger technisches Publikum zu beschreiben und jeden wichtigen Kontext zu liefern, der FUD abwenden könnte – ein Industriebegriff für “Fear, Uncertainty and Doubt”.

“Ich weiß nicht, inwieweit es Absicht ist, inwieweit es Nachlässigkeit ist, aber die Informationssicherheits-Community … macht einen ziemlich schlechten Job, wenn es darum geht, diese Dinge Laien zu erklären, den Leuten in den Medien, den Leuten, die darüber berichten werden”, sagte er. “Es ist sehr, sehr einfach, etwas zu überhöhen oder einfach zu vernachlässigen, über die Teile zu sprechen, die die Risiken abschwächen. [flaw], und das war irgendwie mein Gedanke”, als ich die Website erstellt habe.

Wie man Schwachstellen am besten öffentlich kommuniziert oder vermarktet, ist ein häufiges Diskussionsthema in der Informationssicherheits-Community. Insbesondere Praktiken wie das Erstellen von schick aussehenden, benutzerdefinierten Websites und einprägsamen Namen für neue Kampagnen oder Schwachstellen sind kein neues Phänomen (Fehler wie Heartbleed wurden bereits 2014 auf diese Weise behandelt), aber die Taktik wirft Fragen darüber auf, ob das Ziel darin besteht, die Öffentlichkeit zu erschrecken oder genau zu informieren.

Auf der einen Seite kann es Forschern und Unternehmen helfen, sich in einer überfüllten Umgebung für Schwachstellenmeldungen abzuheben. Andererseits kann es auch dazu genutzt werden, bei den Lesern den Eindruck zu erwecken, dass die Schwachstelle schwerwiegender ist als in Wirklichkeit.

“Optimistisch betrachtet ist die Benennung und Vermarktung einer schwerwiegenden Sicherheitslücke oder eines Exploits eine gute Sache. Es erregt Aufmerksamkeit und macht es den Forschern leichter, darüber zu diskutieren. [and] Es bewegt die Leute dazu, Patches zu entwickeln und zu installieren oder anderweitig Abhilfe zu schaffen”, sagte Brian Donohue, ein leitender Sicherheitsspezialist beim Threat Intelligence-Unternehmen Red Canary, in einer E-Mail. “Die nicht ernstzunehmenden Exploits auf der selbstdarstellerischen Seite des Spektrums trüben jedoch das Wasser, indem sie es schwer machen, zwischen Marketing-Hype und ernsthafter Angelegenheit zu unterscheiden.”

Donohue sagte, dass einzelne Forscher und Forschungskonsortien oft eine erhebliche Kontrolle über die Art und Weise haben, wie ihre Arbeit gestaltet oder der Öffentlichkeit präsentiert wird. Wenn der betroffene Anbieter in die Offenlegung involviert ist, werden die Dinge “komplizierter” und der Beitrag des Forschers könnte gegenüber anderen Interessengruppen an Bedeutung verlieren.

Während Medien und Verbraucher ihren Verstand schulen sollten, um benannte und überbewertete Enthüllungen mit der gleichen Aufmerksamkeit zu behandeln, die sie jeder anderen gemeldeten Schwachstelle entgegenbringen, sagte Donohue, dass einige Forscher und Unternehmen ihrer eigenen Arbeit auf eine Art und Weise zu nahe stehen können, die ihre Perspektive verfärben kann.

“Forscher verbringen viel Zeit damit, diese Schwachstellen zu entdecken, Proof-of-Concept-Exploits für sie zu entwickeln und in Blogs und ihren Kollegen zu erklären, wie sie funktionieren. Sie sind auch zu Recht stolz auf ihre Arbeit”, so Donohue. “All diese Faktoren können zu einer Art Echokammereffekt führen, bei dem die Leute, die den Exploit entdeckt haben, voreingenommen werden und möglicherweise den Blick für das große Ganze verlieren und die Bedeutung oder Schwere ihrer Arbeit überschätzen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com