Den Hackern einen Schritt voraus bei der Jagd auf Bugs
Am 9. Dezember 2021 verfiel die Welt der IT-Sicherheit in einen Schockzustand. Ehe sich die Entwicklerinnen und Entwickler versahen, griffen Hacker die Anwendung log4j – Teil der Apache-Suite, die auf den meisten Webservern verwendet wird – an und konnten die Kontrolle über Server und Rechenzentren auf der ganzen Welt übernehmen.
Das Wall Street Journal verbreitete eine Nachricht, die niemand hören wollte: «US-Beamte erklären, dass Hunderte Millionen von Geräten gefährdet sind. Hacker könnten den Fehler nutzen, um Daten zu stehlen, Malware zu installieren oder die Kontrolle zu übernehmen.»
93 % der weltweiten Cloud-Dienste betroffen
Einer Schätzung zufolge waren 93 % der Cloud-Umgebungen von Unternehmen von der Sicherheitslücke betroffen. An der EPFL erhielten alle IT-Administratorinnen und -administratoren die Anweisung, ihre Server-Software sofort zu patchen. Sogar die Oracle Corporation, weltweit führend im Bereich der Informationssicherheit, musste einen Hilferuf aussenden: «Aufgrund der Schwere dieser Sicherheitslücke und der Veröffentlichung von Exploit-Code auf verschiedenen Websites empfiehlt Oracle seinen Kunden dringend, die in unserer Sicherheitswarnung bereitgestellten Updates so schnell wie möglich einzuspielen.»
Zu den Opfern des log4j-Bugs gehörten das belgische Verteidigungsministerium, der britische National Health Service und eine Reihe von Finanzhandelsplattformen. Was haben Unternehmen wie Oracle unternommen, um zu verhindern, dass ein solcher Vorfall erneut auftritt?
Tatsächlich hatte Oracle bereits vor dem Ausbruch des Problems gegen diese Art von Schwachstelle gearbeitet, unter anderem in Zusammenarbeit mit Professor Mathias Payer vom HexHive-Labor der EPFL.
«Wir hatten uns bereits mit ähnlichen Arten von Programmanalysen befasst und im Rahmen des EcoCloud Center der EPFL an der Sicherheit von Clouds gearbeitet», erklärt Payer, «aber wir hatten uns nicht mit Fehlern wie diesem befasst. Dann haben wir mit Oracle Labs zusammengearbeitet, die uns mit einer Spende unterstützten. François Gauthier und Kostyantyn Vorobyov, zwei Oracle-Forscher, führten uns in die komplexen technischen Probleme ein, mit denen sie konfrontiert waren, und wir arbeiteten gemeinsam an der Entwicklung einer Plattform zur Entdeckung dieser Art von Schwachstellen.»
«Seit Jahren versuchen Menschen, Schwachstellen im Servercode zu finden und auszunutzen, auch in dem von Oracle, entweder in der Absicht, sich einen direkten Vorteil zu verschaffen, oder um Geld zu verdienen, indem sie Fehlerberichte einreichen. In jedem Fall handelt es sich um gezielte, manuelle Angriffe. Bei diesen manuellen Angriffen analysiert der Analyst den Quellcode des Ziels gründlich und stellt dann in mühsamer Kleinarbeit seinen Angriff zusammen. Was wir entwickelt haben, ist ein Mechanismus, der diesen Prozess automatisiert und es Oracle ermöglicht, den Angreifern einen Schritt voraus zu sein», so Payer weiter.
Acht Züge voraus, wie ein Schachgrossmeister
«Hinzu kommt, dass die Fehler, die wir finden, viel komplexer sein können als diejenigen, die Fachleute manuell finden. Die meisten Analysten sind darauf trainiert, bis zu einer Tiefe von zwei Manipulationen zu suchen. Unsere Plattform kann eine Suche mit einer Tiefe von bis zu acht Manipulationen durchführen», erklärt Payer.
Der Kampf zwischen IT-Sicherheitsfachleuten und Angreifern ist einer, bei dem die Verteidigerinnen hoffen, Bugs vor den Angreifern zu finden, und jetzt haben Sicherheitsmanager einen entscheidenden Vorteil, wenn es um die Nutzung der HexHive-Plattform geht: «Obwohl unser Tool neutral ist, d. h. sowohl von Angreifenderinnen als auch von Verteidigern genutzt werden kann, haben die Entwicklerinnen und Entwickler vollen Zugriff auf und Verständnis für ihren eigenen Code, was ihnen einen grossen Vorteil gegenüber einem Hacker verschafft, wenn es um die Interpretation der Ergebnisse geht. Sie haben daher eine sehr gute Chance, Schwachstellen vor dem Angreifer zu finden».
Es ist geplant, Praktika für HexHive-Forschende bei der Oracle Corporation einzurichten, was sowohl für das Unternehmen als auch für die EPFL ein Gewinn ist. Oracle wird über Mitarbeitende verfügen, die einen Teil des Codes vor Ort entwickelt haben, was die Integration der Plattform in die eigene Pipeline erleichtert. Gleichzeitig bieten die Praktika den EPFL-Forschenden eine grossartige Erfahrung, der HexHive-Prototyp bleibt quelloffen und alle Fehlerberichte werden veröffentlicht.
Solange es Informationstechnologien gibt, wird der Kampf zwischen Sicherheitsverantwortlichen und Hackern weitergehen. Dank der Zusammenarbeit mit HexHive wird Oracle in der Lage sein, den Angreiferinnen und Angreifern immer einen Schritt voraus zu sein: schneller, höher, stärker.