20.10.2017 Kryptografische Hintertüren

Backdoors erkennen dank offenem Quellcode

Von: Dr. Amir Alsbih

Ein offener Quellcode kann die Suche nach Hintertüren, sogenannten Backdoors, für die Verantwortlichen deutlich einfacher machen.

Offener Quellcode kann die Suche nach Hintertüren vereinfachen.

Es ist nicht davon auszugehen, dass Sicherheitsbehörden von ihrem Ziel der Verbrecherjagd per Backdoor ablassen werden.

Die Diskussion um kryptografische Hintertüren (Backdoors) in Verschlüsselungslösungen reißt nicht ab. Erst Ende Juli hat der US-amerikanische Sicherheitsanbieter Venafi auf der „Black Hat Conference“ IT-Sicherheitsexperten nach Encryption-Backdoors befragt. Ergebnis: 91 Prozent der Experten gehen davon aus, dass Cyber-Kriminelle CIA- oder NSA-Backdoors missbrauchen könnten, um selbst an sensible Daten zu gelangen. Damit hätten sich Regierungen und nationale Sicherheitsbehörden selbst ein Bein gestellt, denn eigentlich wollen sie mithilfe der Zugangsmöglichkeiten schneller Verdächtige aufspüren, anstatt neue Angriffspotentiale zu kreieren.

Es ist nicht davon auszugehen, dass Sicherheitsbehörden von ihrem Ziel der Verbrecherjagd per Backdoor ablassen werden. Doch wie können Unternehmen ihre Sicherheitslösungen dann überhaupt noch bedenkenlos einsetzen? Schließlich möchte auch niemand, dass sich seine Haustür mit jedem beliebigen Schlüssel öffnen lässt. Unternehmen müssen nachprüfen können, ob ihre Sicherheits-Software Schlupflöcher enthält. Dies gelingt nur, wenn der Quellcode frei zugänglich und auditierbar ist. Dies fordern bereits seit Langem auch renommierte Wissenschaftler und Experten wie Bruce Schneier.

Im Quellcode können IT-Sicherheitsverantwortliche wichtige Details prüfen: Sind die Startpunkte und Kurvenparameter einer Lösung sauber programmiert oder sind darin beispielsweise Nobody-but-us-Backdoors (Nobus) verborgen? Diese Nobus-Hintertüren in Verschlüsselungslösungen sind nur wenigen Eingeweihten bekannt, die wissen, welche Zahlen an welcher Stelle die Verschlüsselung derart schwächen, dass ein unbefugter Zugang möglich ist. Nobody-but-us-Backdoors entstehen u.a., wenn Entwickler schwache Primzahlen in eine Kryptobibliothek einschleusen oder einen bereits eingesetzten Schlüssel durch entsprechende Ziffern verlängern. Und dies ist bereits Realität: Der in mehreren proprietären IT-Sicherheitslösungen aus den USA eingesetzte Zufallsgenerator Dual EC DRBG erhält z.B. nachweislich eine Hintertür, mit der es möglich ist, die Verschlüsselung der Produkte zu „knacken“.

Gezielt nach Anomalien suchen


Schwachpunkte lassen sich u.a. durch Penetrationstests, dynamische Analysen oder Fuzzing-Methoden aufdecken. Mithilfe von statischen und dynamischen Code-Analysen sowie einer Untersuchung des Datenflusses, der kryptografischen Algorithmen und Kryptografieparameter können IT-Sicherheitsexperten gezielt Anomalien aufspüren und schließen.

Wie gesagt sind diese Maßnahmen nur durchführbar, wenn der Quellcode offen zur Verfügung steht. Im Fall von proprietären Software-Lösungen haben IT-Sicherheitsexperten im Anwenderunternehmen kaum oder nur sehr begrenzt die Möglichkeit, diese Analysen durchzuführen. So können Unternehmen den Code im Rahmen von Software-Escrow-Verträgen einsehen – aber auch nur, wenn die Software von geschäftskritischer Bedeutung ist und/oder der Anbieter beispielsweise Insolvenz angemeldet hat. Der Quellcode ist dafür bei einem neutralen Dritten hinterlegt. Oftmals sind darüber hinaus noch juristische und bürokratische Hürden zu überwinden. Und selbst dann kann ein Nutzer nicht sicher sein, den vollständigen oder aktuellen Code vorliegen zu haben. Bei der Klärung all dieser Fragen vergeht meist wertvolle Zeit, in der die kryptografischen Backdoors offen für Angreifer stehen. Das kann schwerwiegende Folgen haben: Dass Backdoors von Dritten missbraucht werden, zeigt das von Hackern eingebaute SSH-Master-Passwort, das eine VPN-Lücke bei Juniper zur Folge hatte. Es ist stets davon auszugehen, dass schwache Systeme, Software und Verschlüsselung von Angreifern ausgenutzt werden. Die Sicherheitslücken sind immer häufiger Angriffspunkte für Ransomware, die Kryptografie missbraucht, um Daten zu zerstören.

Fazit: Sei schneller als die Angreifer


Weder proprietäre Software noch Open-Source-Lösungen sind frei von Fehlern und zu 100 Prozent sicher. Es kommt vielmehr darauf an, wie schnell sich Schwachstellen im Wettlauf mit kriminellen Angreifern aufspüren und eliminieren lassen. Bei einer Open-Source-Software kann dies aufgrund des offenen Konzepts für Unternehmen deutlich besser möglich sein als bei geschlossenem Code, und insbesondere die Kryptografie lässt sich bei proprietärer Software nicht überprüfen.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Darüber hinaus rät Key Identity, ein Anbieter von Multi-Faktor-Authentifizierungslösungen, dazu, dass IT-Sicherheitsverantwortliche großen Wert darauf legen sollten, einen sicheren Software-Entwicklungsprozess unter Einhaltung aktuellster Security-Standards zu etablieren. Auch die Entwickler selbst sollten in Anwendungssicherheit geschult sein und Technologien einsetzen, mit denen etwaige Bedrohungen von vornherein antizipiert und ausgeschlossen werden können. Dann steht einem sicheren Einsatz von Sicherheitslösungen nichts mehr im Wege.


Checkliste …

… zur Vermeidung kryptografischer Schwachstellen

  •   Klärung der Fragen: Sind sämtliche Konstanten im Source-Code unverändert? Genügen die verwendeten Konstanten des Algorithmus den Anforderungen?
  •   Etablierung eines sicheren Software-Entwicklungsprozesses, der auch unautorisierte Änderungen am Source-Code entdeckt
  •   Auf offenen Quellcode (Open Source) der eingesetzten Software-Komponenten achten. Kontinuierliche Auditierung und Analyse des Quellcodes auf etwaige Backdoors, insbesondere nach Updates
  •   Durchführung von Bedrohungsanalysen. Ausschließliche Verwendung von sicheren Algorithmen und Betriebsarten (z.B. aus BSI-Richtlinien)
  •   Schulung der Entwickler über neue Angriffsszenarien

Quelle: Key Identity


Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH