Venue

ISSS Security Lunch: 23. & 25. September 2014 Zürich & Bern

Content

Laufend werden neue Sicherheitsschwachstellen entdeckt, die von Cybercriminals ausgenutzt werden und dadurch erhebliche finanzielle Verluste für Anbieter, Nutzer und die Gesellschaft als ganzes mit sich bringen.

Der klassische Lösungsansatz, mit dem versucht wird das Problem in den Griff zu kriegen, besteht oft darin, immer mehr und komplexere Sicherheitstechnologien einzusetzen, in der Hoffnung Attacken zu verhindern oder zumindest einzugrenzen. Die Erfahrung zeigt uns aber, dass damit zumindest bisher kein durchschlagender Erfolg verzeichnet werden konnte.

Dr. Stefan Frei wird in seinem Referat auf eine andere, neuartige Möglichkeit eingehen um mit der Bedrohung durch Softwareschwachstellen umzugehen. Die Ergebnisse basieren auf einer umfassenden Studie, die er im Rahmen seiner Funktion als Research Director von NSS Labs geleitet hat. Dabei wird er zuerst aufzeigen, dass aktuelle Ansätze um die Problematik einzugrenzen tatsächlich einen begrenzten Nutzen bringen. So verfügten z.B. privilegierte Gruppen im Durchschnitt an jedem Tag der letzten drei Jahre über mehr als 100 noch nicht publizierte und damit den Betroffenen noch nicht bekannte Schwachstellen , sogenannte “Known Unknowns”.

Feedback

Dr. Stefan Frei – bei dem sich die ISSS auch nochmals ganz herzlich bedankt – stellte im Rahmen seines Referats eine neuartige Möglichkeit vor, wie man mit ausnutzbaren Softwareschwachstellen umgehen könnte. Sie basiert insbesondere auf der Erkenntnis, dass es die Softwareindustrie mit all ihren Software- und Sicherheitsspezialisten nicht schafft, die Zahl der ausnutzbaren Softwareschwachstellen wirklich zu reduzieren – ganz im Gegenteil: Die Anzahl dieser Schwachstellen hat insbesondere bei den Top 10 Herstellern (Cisco, IBM, Oracle, Microsoft, Apple, RedHat, Google, Mozilla, Linux und HP) in den letzten 10 Jahren stetig zugenommen.

Diese Zahlen sind nicht aus der Luft gegriffen, sondern basieren auf einer umfassenden Analyse, die Herr Frei im Rahmen seiner Funktion als Research Vice President von NSS Labs geleitet hat. Dabei wurden auch Vulnerability Purchase Programme analysiert, um eine Aussage machen zu können, wie lange Schwachstellen nur privilegierten Gruppen – also z.B. dem Softwarehersteller oder einem Cybercriminal – bekannt sind, bevor sie öffentlich publiziert werden. Das Ergebnis zeigt, dass an jedem Tag der letzten Jahre rund 150 Schwachstellen existieren, welche nur einer privilegierten Gruppe bekannt sind – Herr Frei bezeichnet dies als „Known Unknowns“. Da nur ein relativ kleiner Teil aller Schwachstellen von den Vulnerability Purchase Programmen aufgekauft werden, kann man davon ausgehen, dass es in der Realität ein Vielfaches davon ist. Die Studie legte ebenfalls dar, dass es im Durchschnitt rund 150 Tage dauert, bis eine solche Schwachstelle öffentlich bekannt wird.

Herr Frei ging auch auf das Incentive-Problem ein: Für jemanden, der eine Schwachstelle findet, ist es finanziell viel lukrativer, diese auf dem Cyber Black Markt anzubieten als dem Hersteller mitzuteilen oder einem Vulnerability Purchase Program zu verkaufen. Und genau hier setzt Stefan Frei’s neuartiger Ansatz an: Eine Organisation oder die Softwarehersteller selbst könnten doch einfach konsequent bessere Preise anbieten als auf dem Cyber Black Market; man würde den Cybercriminals die Schwachstellen also einfach wegkaufen. Dadurch würden lukrative Anreize geschaffen, dass der grösste Teil der Schwachstellen nicht in die Hände von Kriminellen fallen und damit auch nicht in Attacken ausgenutzt werden.

Ökonomisch macht dies durchaus Sinn: In einer Modelrechnung zeigte Herr Frei auf, dass bei einem Kaufpreis von USD 150'000 pro Schwachstelle die resultierenden Gesamtkosten weit unter 1% des Umsatzes der Softwarehersteller liegen. Insbesondere betragen sie nur einen Bruchteil des geschätzten gesamtwirtschaftlichen Schadens von Cyberkriminalität. Zudem wird es grundsätzlich immer möglich sein, den Cyber Black Market zu überbieten und gleichzeitig einen finanziellen Nutzen zu erzielen, denn die üblichen „Kunden“ des Cyber Black Markets – die Cybercriminals – können nur einen kleinen Teil des durch eine Cyberattacke erzeugten Gesamtschaden als eigenen Gewinn verbuchen; der grösste Teil sind Kollateralschäden (z.B. durch Reputationsverlust oder Aufräumaktionen). Entsprechend werden sie für Schwachstellen nur Preise zahlen, die unter dem erwarteten Gewinn liegen.

Abschliessend und auch in der folgenden Fragerunde ging Herr Frau darauf ein, dass der Ansatz natürlich ein radikales Umdenken bedingt, der er kaum in kurzer Zeit umsetzbar ist und sich auch die Frage stellt, wer ein solche Programm auf die Beine stellen könnte. Eine echte Alternative sieht er aber nicht, denn heute vertraut die Softwareindustrie auf ehrliche Finder von Schwachstellen, während der Cyber Black Market auf der anderen Seite sehr attraktive Preise bietet – die Vergangenheit hat klar bewiesen, dass dieser Weg untauglich ist.

References