Microsoft und Adobe ändern erfolgreich ihre Abwehrstrategien

Pragmatische Exploit-Abwehr

| Autor / Redakteur: Michael Matzer / Peter Schmitz

Statt alle Exploits und jede Malware abzuwehren, setzen Microsoft und Adobe pragmatisch darauf, nur die häufigsten Bedrohungen zu bekämpfen.
Statt alle Exploits und jede Malware abzuwehren, setzen Microsoft und Adobe pragmatisch darauf, nur die häufigsten Bedrohungen zu bekämpfen. (Bild: Grafvision - Fotolia.com)

Microsoft und Adobe haben im letzten Jahr ihre Sicherheitsstrategien signifikant geändert. Nicht mehr die Bekämpfung aller Bugs, Code-Exploits und Malware-Angriffe steht im Vordergrund, sondern die pragmatische Bekämpfung jener Risiken, die in wirtschaftlicher Hinsicht für den Angreifer das lukrativste Einfallstor bilden. Der Erfolg scheint den beiden Unternehmen recht zu geben.

Der 12. September 2012 war für das Unternehmen Adobe einer der schwärzesten seiner Geschichte. Unbekannte Angreifer hatten einen schlecht geschützten Build Server gekapert, um sich in den Besitz von Code-Signing-Zertifikaten zu bringen. Sie konnten damit offenbar spezielle Schadprogramme mit einer gültigen digitalen Unterschrift versehen. Diese Tools wurden dann wohl für einen gezielten Angriff eingesetzt. Chief Security Officer Brad Akin hat den Vorfall in seinem Blog genau dokumentiert, ohne jedoch Details zu verraten.

Die Folgen dieses Vorfalls waren jedoch dramatisch. Adobe plante daraufhin, das geltende Code-Signing-Zertifikat Anfang Oktober 2012 zu widerrufen, woraufhin 3000 Adobe-Mitarbeiter zwölf Tage Vollzeit schuften mussten, um alle 76 Produkte bis zur Veröffentlichung des Vorfalls am 27.9. so abzusichern, dass sie weiterhin verkauft werden konnten, ohne Regressforderungen der Kunden gewärtigen zu müssen.

Weckruf mit Folgen

Eine langfristigere Folge besteht darin, dass Adobe seine Schutz- und Abwehrstrategie völlig umstellte. Arkin konnte diese Neuorientierung mit Hinweis auf das Desaster rechtfertigen und gegen massive Widerstände in den betroffenen Abteilungen durchdrücken. Denn Sicherheitsmaßnahmen kosten Zeit und Geld.

Arkins These sieht folgendermaßen aus: Die wirtschaftlichen Regeln von Exploits legen es dem Angreifer nahe, stets den kosteneffizientesten Weg zu gehen, um sein Ziel zu erreichen. Die Verringerung der Anzahl von Schwachstellen in Programmcode ändert diese Regeln jedoch nicht, sondern erst die Abwehrmaßnahmen (mitigations) tun dies. Es bringt also im Grunde nichts, nach Exploits und Bugs zu suchen und laufend Löcher zu stopfen. Vielmehr ist es viel effektiver, es dem Angreifer durch geeignete Maßnahmen zu verleiden, solche Schwachstellen überhaupt ausnutzen zu können.

So wurden beispielsweise Adobe Acrobat Reader und Adobe Flashplayer mit einer - laut Arkin sehr aufwändigen - Sandboxing-Technologie versehen. Dieser abgegrenzte Speicherraum soll infiltrierende Übergriffe des Programms auf das übrige System verhindern. Ist dieses System nun sicher genug, um das Produkt freigeben zu können, muss sich der CSO fragen. Die pragmatische Antwort gemäß der neuen Strategie lautet: Es ist dann sicher genug, wenn es für den Angreifer zu teuer wird, das Produkt schädigend einsetzen zu wollen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42263929 / Schwachstellen-Management)