Traditionell konzentriert sich die Sicherheitskonferenz Black Hat auf die Jagd nach Bugs sowie mögliche Systemattacken. In diesem Jahr bot der Hacker-Event in Las Vegas jedoch auch Raum für eine ganze Vortragsreihe von Microsoft zur Sicherheit seines künftigen Betriebssystems Windows Vista und des Internet Explorer 7. Anders als zunächst befürchtet, erfreuten sich die Darbietungen der Gates-Company - einer der Hauptsponsoren des diesjährigen Hacker-Events - regen Zulaufs und wurden weitgehend positiv aufgenommen. Es habe sich weniger um Marketing, als um rein technische Diskussionen gehandelt, so ein Black-Hat-Veteran.
Windows Vista gehackt
Allem Sicherheitsengagement der Redmonder zum Trotz lässt sich jedoch etwa der Kernel-Schutz in Vista offenbar umgehen: Obwohl die 64-Bit-Version des künftigen OS ausschließlich signierte Treiber akzeptieren soll, um das Laden von Malware zu verhindern, gelang es Joanna Rutkowska, Sicherheitsforscherin bei der Security-Firma Coseinc, unsignierten Code in den Kernel zu laden. Das bedeute allerdings nicht, dass Vista komplett unsicher sei, so die Spezialistin. "Es ist nur nicht ganz so sicher, wie versprochen." Einen hundertprozentig effektiven Kernel-Schutz in ein Allzweck-Betriebssystem zu implementieren, sei eben grundsätzlich eine große Herausforderung.
Die "blaue Pille"
Darüber hinaus präsentierte Rutkowska ein für Vista 64x entwickeltes Rootkit namens "Blue Pill", das AMDs Virtualisierungstechnik "Secure Virtual Machine" nutzt, um Schadroutinen zu verstecken und darauf folgende Systemangriffe zu verbergen. Bislang gäbe es noch keine Möglichkeit, die "blaue Pille" aufzuspüren, so Rutkowska. Obwohl für Vista entwickelt, lasse sich das Rootkit auch auf andere Plattformen portieren.
Microsoft nahm die Forschungsergebnisse der Expertin offenbar ernst. Allerdings erfordere das Umgehen der Code-Signierung in Vista Administratorenrechte, während ein Standardnutzer hier nichts bewirken könne, so Austin Wilson, Director der Windows Client Group bei Microsoft. Microsoft werde sich des Problems annehmen, deshalb aber nicht die Markteinführung des OS verschieben, stellte er gegenüber der US-Presse klar. Im Hinblick auf das Virtual-Machine-Rootkit versicherte Wilson, man werde gemeinsam mit Intel und AMD nach Lösungen suchen, die derartige Angriffe bis zur endgültigen Vista-Version ausschließen.
Neben Microsofts Vista-Beta nahmen die Sicherheitsexperten auch die von ihren Anbietern als Schutzschild belagerter Firmennetze beworbenen NAC-Systeme (Network Admission Control) ins Visier. So warnte Ofir Arkin, Chief Technology Officer (CTO) bei Insightix, vor Schwachstellen in den aktuellen NAC-Techniken etwa von Cisco, Microsoft und Symantec, die externen Angreifern ein Eindringen ins Fimennetz ermöglichen. Ein Beispiel: NAC-Lösungen, die zur Durchsetzung von Sicherheitsrichtlinien DHCP-Proxy-Server (Dynamic Host Configuration Protocol) nutzen, verhindern laut Arkin nicht, dass Systeme statische IP-Adressen (anstelle von DHCP) für ihre Netzverbindungen erhalten. So würden große Bereiche des Firmennetzes für die NAC-Produkte unsichtbar.
Selbst Lösungen, die den Netzzugang über Switches erzwingen wie Ciscos NAC, weisen dem Insightix-CTO zufolge Schwächen auf. Da die Cisco-Technik spezifisch für dessen Switches und Router sei, Unternehmen hier jedoch häufig einen Mix aus Komponenten einsetzten, könnten sich Hacker unschwer über einen nicht verwalteten Switch in das Firmennetz einklinken.
Die NAC-Technik stecke noch in den Kinderschuhen und könne erst mittelfristig umfassende Sicherheit bieten, räumte Ciscos Chief Security Officer (CSO) John Steward ein. In jedem Fall ermögliche sie jedoch, das Firmennetz in gutem Zustand zu halten. Cisco wolle die Schwachstellen beseitigen, sich jedoch primär auf die Vorteile der Technik konzentrieren, so Steward.
Macbook-Attacke via WLAN
Ebenso schonungslos wurden auf der Security-Konferenz die mit Wireless-Techniken einhergehende Gefahren demonstriert: Wie angekündigt, zeigten David Maynor, Research Engineer bei Internet Security Systems (ISS), und Jon Ellch, Student an der US Naval Postgraduate School in Monterey, wie Übeltäter über die Manipulation fehlerhafter WLAN-Gerätetreiber die Kontrolle über Laptops übernehmen könnten (siehe www.computerwoche.de/ 577841). Das aktuelle Ziel ihrer Attacke: ein Macbook. Den Spezialisten zufolge lassen sich auf diese Weise aber nicht nur Apple-, sondern auch Windows-Notebooks erfolgreich kapern. (kf)