Vista-Sicherheit: Hackers Lob und Tadel
Konferenz IT-Defense: Angriffe auf Schleichwegen haben Erfolg
Leipzig – Mit Windows-Vista-Sicherheit befassten sich auf der Konferenz IT-Defense in Leipzig gleich mehrere Referenten. Die Zeit des „Microsoft-Bashings scheint vorbei zu sein – die Redmonder Bemühungen um sicherere Software finden durchaus Anerkennung. Trotzdem glaubt die Hackergemeinde durch die Bank nicht an Quantensprünge bei der Windows-Sicherheit.
Neben Felix „FX“ Lindner, der auf die prinzipiellen Grenzen des Qualitätsmanagements bei einer so umfangreichen Software wie dem Windows-System hinwies, befasste sich zum Beispiel auch Michael Steil, einer der Hauptakteure des Linux-Xbox-Projekts, mit den Problemen bei der Sicherheit im Hause Microsoft. Anhand des Sicherheitssystems der Microsoft-Spielekonsole zeigte er, wie ein Security-Konzept allein durch die Ausrichtung auf mehrere Ziele zugleich Lücken bekommen kann: Bei der Xbox etwa kamen sich der Wunsch, Linux-Implementierungen auszuschließen und DRM-Maßnahmen (Digital Rights Management) für den Spiele- und Softwareschutz ins Gehege. Zusätzlich kompromittierten Sparzwänge das Konzept so weit, dass es schließlich geknackt werden konnte. Dass in Vista ähnliche Interessenkonflikte eine Rolle spielen könnten, zeigt ein Beitrag von LANline-Autor Reinhard Wobst zur TPM-gestützten (Trusted Platform Module) Verschlüsselung, der im LANline Technology Guide 2007 erscheinen wird. Ausgangspunkt ist hier, dass auch das TPM-Design eine folgenreiche DRM-Vergangenheit hat.
Marc Maiffret, nach eigenem Bezeugen „Chief Hacking Officer“ bei E-Eye Digital Security, wies in Leipzig darauf hin, dass ein verbessertes Windows immer noch den Sicherheitslücken der darauf installierten Anwendungssoftware ausgeliefert sei. Darüber hinaus zeigte er live ein kurzes Script, das – einfach auf einer Website platziert – beim Aufruf per Internet Explorer kurzerhand die Vista-Firewall ausschaltete und einem Angreifer vollen Zugriff auf den PC erlaubte. Das Wettrennen zwischen Microsoft und den Hackern ist also schon längst in der nächsten Runde. LANLine/wj
Computer-Zeitung.de / LANline.de 16.02.07
zurück
|