"Wie Code veröffentlicht wird, sagt wenig über Sicherheit und Qualität aus"
Max Moser ist Mitgründer der auf IT-Sicherheit spezialisierten Firma Modzero. Seine Spezialgebiete sind Protokollanalysen, Forschung und Penetrationstests komplexer Umgebungen. Er wird am 16. Mai die Keynote am Hacking Day halten. Im Interview äussert er sich zu Fragen der IT-Sicherheit und sagt, was die Teilnehmer bei Digicomp erwartet.
Sie halten die Keynote am Hacking Day. Was dürfen wir erwarten?
Max Moser: Die Teilnehmer haben die Möglichkeit, sich in kurzer Zeit über verschiedene Bereiche der IT-Security zu informieren. Es stehen insgesamt vier Tracks zur Verfügung, die parallel geführt werden. Zwei mit Fokus auf technische Themengebiete und zwei aus dem Bereich des Security Managements und Organisation. Ich werde in der Keynote über Malvertising sprechen – dies ist das gezielte Verteilen von Schadcode mittels eines Werbenetzwerks.
Wird Programmatic Advertising zu einem Schlaraffenland für Erpresser und autoritäre Regimes führen?
Viele Teile eines modernen Newsportals beinhalten Elemente und Code aus nicht vertrauenswürdiger Quelle. Während wir heute kaum noch über die Gefahren von Phishing-Mails oder Cross-Site-Scripting-Schwachstellen diskutieren müssen, werden die Gefahren durch eingebetteten Code in Websites stillschweigend hingenommen. Heute werden diese Werbenetzwerke dazu missbraucht, Schadsoftware in der Masse zu verbreiten oder gezielt zu platzieren. Dank der immer ausgeklügelteren Verfahren von Werbenetzwerken können Zielgruppen und Personen gezielt mit Inhalten beliefert werden, wobei hier Inhalte nicht nur Werbung, sondern auch ausführbarer Code, also möglicherweise Schadcode, sein können.
Nehmen Schweizer Unternehmen IT-Sicherheit ernst genug?
Ja und nein. Ich gehe davon aus, dass viele Firmen ihre eigene Sicherheit ernst nehmen. Manche sind jedoch gar nicht in der Lage, die Komplexität ihrer Strukturen und Datenflüsse im Auge zu behalten und zu ermessen, wie sich eine neue Schwachstelle oder ganz generell eine neue Komponente in deren IT-Ökosystem auswirken wird.
Was sind die grössten IT-Sicherheitsprobleme in Unternehmen?
Absolute Sicherheit gibt es nicht und wird auch nicht erreichbar sein. Daher sollte sich Firmen darüber im Klaren sein, was zu schützen ist und sich darauf fokussieren, wie im Schadensfall die Auswirkungen auf ein erträgliches Mass reduziert werden können. Tatsächlich sehe ich hier die fundamentalsten Probleme. Die teilweise ignorante Grundhaltung gegenüber Sicherheitsrisiken und Schutzmassnahmen zeigt sich in diversen technischen und organisatorischen Problemen, wie etwa Passwortqualität, Systemarchitektur und Gadgetwahn.
Man hat heute oft das Gefühl, das Unternehmen ihre Produkte vor dem Release gar nicht mehr richtig testen. Täuscht das?
In manchen Branchen kann man diesen Eindruck durchaus gewinnen. Natürlich führen Preisdruck und kurze Releasezyklen immer wieder dazu, dass Fehler gemacht und nicht vor der Veröffentlichung erkannt werden. Insgesamt würde ich aber behaupten, dass die Qualität der Software gestiegen ist. Heutige Betriebsysteme und Programmierumgebungen haben mehr Sicherheitsfunktionen als jemals zuvor. Medien berichten vermehrt über erfolgte Attacken, dies unterstützt dieses Gefühl ebenfalls.
Wären die Produkte sicherer, wenn die Hersteller stärker auf Open Source und offenen Quellcode setzen würden?
Eher nein. Die Art und Weise der Veröffentlichung von Programmcode sagt wenig über die Sicherheit und Qualität des Programmcodes aus. Natürlich hat die Quelloffenheit Vorteile, wenn es um die Analyse von Programmcode oder die Wiederverwendung von bewährten und geprüften Code-Elementen geht.
Sie haben ein Tool namens "fix windows 10" herausgebracht. Was macht es genau, und was ist mit Windows 10 nicht in Ordnung?
Jedes Betriebssystem sammelt heute direkt oder indirekt verschiedene Informationen über dessen Benutzer. Microsofts Windows 10 ist hier keine Ausnahme. Unser Werkzeug ist eine Sammlung von Einstellungen, die es dem Nutzer ermöglicht einzugrenzen, welche Informationen er an den Hersteller senden will. Das Sammeln und Auswerten von Benutzerverhalten ist weit verbreitet und wird von einer breiten Masse akzeptiert. Die Benutzer, die das aus verschiedenen Gründen nicht akzeptieren können, brauchen eine Möglichkeit, das ohne technisches Fachwissen abzuschalten; diesem Benutzerkreis wollten wir ein Werkzeug hierfür an die Hand geben.
Software wird heute meist agil entwickelt, alles muss schnell gehen und flexibel sein. Macht das die Software unsicherer?
Die Geschwindigkeit der Entwicklung und die Methodik hat grundsätzlich nichts mit der Sicherheit des resultierenden Produkts zu tun. Jedoch ist es tatsächlich so, dass durch Zeitdruck (Time-To-Market) oder Featureoffenheit nicht gerade dazu beigetragen wird, dass Architekturen sicher entworfen werden und Code stabil und möglichst fehlerfrei entwickelt wird.
Sie haben zusammen mit Thorsten Schröder die Modzero AG gegründet. Was bieten Sie an, und wie läuft das Geschäft?
Wir bieten nun seit sechs Jahren praxisnahe, sehr technische IT-Sicherheitsuntersuchungen an. Wir untersuchen Systemdesigns, Programmcode, Webseiten, Hard- und Firmware mit der Perspektive der Computersicherheiten, identifizieren Schwachstellen und unterstützen unsere Kunden dabei, die richtigen Gegenmassnahmen zu treffen, um das Risiko für das Unternehmen auf ein akzeptables Mass zu reduzieren. Als kleine und spezialisierte Firma ist es uns möglich, äusserst flexibel und effizient auf die Rahmenbedingungen und Produkte unserer Kunden einzugehen. Wir freuen uns über eine stetig wachsende Zahl von zufriedenen Kunden aus dem nationalen und internationalen Markt.
Das Internet der Dinge ist ein riesiges Security-Desaster. Einverstanden?
Ja. Viele der aktuell verfügbaren Geräte basieren auf veralteten Technologien oder werden mit heisser Nadel gestrickt. Das Niveau der verwendeten Betriebssysteme und Hardwarekomponenten entspricht oft dem eines PCs der 90er-Jahre. Man kann sich leicht ausmalen, was passiert, wenn man diese Systeme nun auch noch mit dem Internet verbindet. Ein weiteres Problem ist der Kostenfaktor: Wenn ein Consumer-Produkt nach aktuellen IT-Sicherheitsstandards hergestellt werden soll, würden die Kosten so hoch sein, dass vermutlich nur wenige bereit wären, sich das Produkt zu kaufen.
Sie sind Mitgründer der Linux-Distribution Backtrack, die von Kali Linux abgelöst wurde. Wie kam es eigentlich dazu?
Der initiale Gedanke 2004 war, dass ich für meine tägliche Arbeit eine Werkzeugsammlung schnell zur Hand haben wollte, ohne viel repetitiven Konfigurationsaufwand. Offensichtlich war ich da nicht der Einzige. 2006 ist daraus Backtrack entstanden, das sich innerhalb kurzer Zeit weltweit zur meistverwendeten Linux-Distribution für Sicherheitsprüfungen entwickelte. 2013 zog ich mich aus der Entwicklung zurück, und aus Backtrack wurde Kali Linux, was bis heute eine der meistverbreiteten Werkzeugsammlungen für Sicherheitsanalysen ist.
Android, iOS, Mac OSX, Windows, Chrome OS, Linux, Unix, Solaris – welches Betriebssystem ist am sichersten?
Das Betriebssystem, das der Nutzer am besten beherrscht. Wer sich mit seinen Werkzeugen auskennt, weiss auch über dessen Schwächen Bescheid und lernt damit umzugehen. Ansonsten ist "Sicherheit" ein sehr weitreichender Begriff. Es lässt sich nicht sagen, welches Betriebssystem nun generell das sicherste sein soll. Das Betriebssystem, das am besten gegen Angriffe aus dem Internet gehärtet ist, besitzt schlichtweg keine Netzwerkverbindungen. In jedem Fall rate ich, unabhängig vom eingesetzten Betriebssystem, das System sowie verwendete Applikationen stets aktuell zu halten und nicht benötigte Funktionen und Programme zu entfernen.
Was werden die grössten IT-Security-Herausforderungen der Zukunft sein?
Da wird sich meiner Meinung nach nicht viel ändern: Das Schaffen von Sicherheitsbewusstsein, vor allem bei den Herstellern von IT-Systemen. Erst wenn IT-Sicherheit in der Produktentwicklung eine ebenso wichtige Rolle spielt wie Funktionalität und Usability, wird es deutlich höhere Hürden für Angreifer und Datendiebe geben.
Hacking Day 2017
Am 16. Mai wird bei Digicomp in Zürich der Hacking Day 2017 stattfinden. Thema dieser Ausgabe ist Cyber Security. Die Teilnehmer dürfen sich auf 20 Sessions mit Referaten und auf viele wertvolle Tipps und Tricks von IT-Experten freuen. Am Nachmittag bietet die Veranstaltung die Möglichkeit, in der Hands-on-Session den Titel "Switzerland’s Bug Bounty Hacker 2017" zu holen. Es winkt ein Security-Training! Weitere Infos unter: www.digicomp.ch/hackingday