Datenskandale im Finanzbereich, merkwürdige Statistiken und Microsofts Probleme mit 'Responsible Disclosure' sind die Themen dieses Standpunkt Sicherheit.

Diese Augenblicke, in denen man denkt "Das habe ich doch schon mal erlebt" kennt sicher jeder. Letzte Woche war es wieder mal soweit, gleich zwei Mal dachte ich "Och, nicht schon wieder, das wird doch Langweilig!": Sowohl Datenskandale als auch merkwürdige Interpretationen von Statistiken scheinen sich mit mehr oder weniger schöner Regelmäßigkeit zu wiederholen.

Bald gibt es wieder Weihnachtsgeschenke...

... aber auch ohne hat die Datenskandal-Saison schon begonnen. Während letztes Jahr noch hungrige Kurierfahrer für einen Datenskandal bei der Landesbank Berlin (LBB) sorgen mussten (siehe Standpunkt Sicherheit vom 15. und 22. Dezember 2008), schaffen das die Deutsche Bank (evtl. auch nicht) und der AWD ganz allein. Solle man ihnen zu dieser Leistung gratulieren?

Der AWD-Fall ist hier natürlich besonders interessant: Die geben ihre Daten an externe IT-Berater weiter und denken sich nicht mal was dabei (denn hätten sie das getan, hätten sie die Daten niemals raus gegeben). Die Pressemitteilung dazu ist aber wirklich genial:

Der NDR berichtet über angeblich neue Sicherheitslücken beim AWD. Konkret geht es um den Zugang externer IT-Berater zum Datennetzwerk des Unternehmens. Dazu ist festzustellen:

Sofern externe Berater - wie in jedem größeren Unternehmen üblich - tätig sind, haben diese die Pflicht, die Regeln des Datenschutzes und der Verschwiegenheit zu befolgen und so einen unrechtmäßigen Zugriff auf Kundendaten auf legale Art und Weise unmöglich zu machen.

Kann man so naiv sein? "auf legale Art und Weise unmöglich zu machen" - glauben die das wirklich? In welcher Welt leben die? Haben die noch nie was von Verbrechen gehört? Wahrscheinlich nicht, kann es ja gar nicht geben, denn die sind ja verboten und damit unmöglich. Oh weh - stecken die Gefängnisse voller Unschuldiger? An Stelle des Verantwortlichen würde ich schon mal anfangen zu beten, das die Daten wirklich nur beim NDR und nicht auch bei Konkurrenten gelandet sind. Die IT-Berater, die das ausgeplaudert haben, scheinen jedenfalls vertrauenswürdiger als ihre Auftraggeber zu sein, denn für die Daten hätten sich sicher auch andere Abnehmer als der NDR finden lassen. Und vielleicht hat ja schon früher mal jemand zugegriffen? Andererseits hat der AWD so viele Datenlecks, das er als Schiff auf hoher See schon längst abgesoffen wäre, auf eins mehr oder weniger kommt es da schon nicht mehr an.

Datenschutz egal, Unternehmen egal, ...

Außerdem scheint den Verantwortlichen ihr eigenes Unternehmen ziemlich egal zu sein. Selbst wenn jemanden der Datenschutz völlig egal ist, die Betriebsgeheimnisse sollte doch eigentlich jeder schützen wollen. Und was gibt es bei einem Finanzberater wichtigeres zu schützen als die Kundendaten? Ohne Kundendaten keine Kunden, ohne Kunden kein Geschäft. Solche Daten gibt doch niemand aus der Hand, der noch einige Zeit am Markt bleiben will. Das ist ja fast so, als würde Coca Cola das Cola-Rezept an Berater verteilen, damit die damit ihre Textverarbeitung testen können.

Warum keine Testdaten?

Warum hat man überhaupt die echten Daten verwendet - war man nicht in der Lage, Testdaten zu erzeugen? Je nachdem, wie plausibel die sein müssen, lässt man die von einem simplen Skript erzeugen, oder man setzt ein paar Studis hin, die sich was ausdenken. Will man sich als international tätiges Unternehmen präsentieren, kann man das auch z.B. nach Indien auslagern und damit auf der Homepage kokettieren: "Am 11.11. wurde unser IT-Zentrum im indischen Bangalore eröffnet. 10 Mitarbeiter arbeiten dort an der Vervollkommnung unserer IT-Systeme". Das die zehn Leute nur einfach irgend welche Texte eingetippt haben und nach ein paar Tagen getaner Arbeit wieder entlassen wurden, muss man ja nicht extra melden.

Kommen wir zum nächsten Déjà-vu: Dem

"Web Application Security Trends Report"

Cenzic hat den "Web Application Security Trends Report" (PDF) für das erste und zweite Quartal 2009 veröffentlicht. Da der aber Äpfel mit Birnen und Zitronen vergleicht und einfach nur wild mit Zahlen hantiert, ist er zumindest teilweise nicht besonders aussagekräftig. Dazu nur ein Ausschnitt aus den "Key Findings":

Of the browser vulnerabilities, the big surprise was that Firefox at 44 percent had significantly more vulnerabilities than the other browsers. What was also surprising was that Safari vulnerabilities which are usually very low came in at 35 percent, significantly higher than even Internet Explorer which comprised 15 percent of the browser vulnerabilities.

Was wurde da gezählt? Alle Schwachstellen? Alle gefundenen Schwachstellen? Alle behobenen Schwachstellen? Warum wurde nicht berücksichtigt, wie lange eine Schwachstelle bekannt war, bevor sie behoben wurde? Warum wurde nicht die Schwere der Schwachstellen berücksichtigt? Mir persönlich sind in einem Browser offene DoS- und XSS-Schwachstellen deutlich lieber als welche, die das Einschleusen von Code erlauben. Naja, warum solche Vergleiche sowieso zwecklos sind, hatte ich ja schon öfter geschrieben, z.B. im Standpunkt Sicherheit vom 10. Dezember 2007 und vom 7. Juli 2008.

Auch bei den 'Top 10 Vulnerabilities of Q1-Q2 2009' hat man einfach ein paar Schwachstellen raus gesucht, eine Begründung, warum gerade diese gewählt wurden, fehlt. Vor allem, wenn PHP Code Injection und Cross Site Scripting in diesen einen Topf geschmissen werden, fragt man sich doch, wieso die XSS-Schwachstellen gefährlicher sind als all die anderen Schwachstellen, die das Ausführen von Code erlauben wie z.B. jede Menge RFI-Schwachstellen, die auch reichlich gefunden wurden.

Statistiken - die selbst gefälschten, Pardon, vom Marketing erstellten, sind und bleiben halt die besten. Nur veröffentlichen sollte man sie nicht, sonst kommt bestimmt irgend wer und hat was dran zu meckern. ;-)

Zum Schluss noch eine kurze Bemerkung zu

Microsoft und 'Responsible Disclosure'

Microsoft hat ein Security Advisory zur in der vorigen Woche entdeckten DoS-Schwachstelle in Windows 7 und Server 2008 R2 veröffentlicht. Darin beklagt man sich

Microsoft is concerned that this new report of a vulnerability was not responsibly disclosed, potentially putting computer users at risk. We continue to encourage responsible disclosure of vulnerabilities.

Laurent Gaffié, der Entdecker der Schwachstelle, dürfte das etwas anders sehen:

X. REVISION HISTORY
-------------------------
November 8th, 2009: MSRC contacted
November 8th, 2009: MSRC acknoledge the vuln
November 11th, 2009: MRSC try to convince me that multi-vendor-ipv6 bug shouldn't appears on a security bulletin.
November 11th, 2009: Win 7 remote kernel smash released

Das Microsoft Security Response Center sollte vielleicht mal seine Organisation prüfen, da scheint der eine nicht zu wissen, was der andere unter den Tisch kehren möchte, oder so ähnlich. Dumm gelaufen, oder?

Nachtrag:

Laut einem Blogeintrag von Ryan Naraine bezieht sich der 'multi-vendor-ipv6 bug', der zur Veröffentlichung des Proof-of-Concept führte, auf eine andere Schwachstelle:

Gaffié wrote in to clarity that his decision to release this exploit was related to Microsoft’s stance on a different vulnerability, which is also unpatched.

Damit ist nun nicht ganz klar, ob Microsoft über die DoS-Schwachstelle informiert war oder nicht. Sollte Microsoft wirklich nichts davon gewusst haben, bitte ich meinen Kommentar dazu zu entschuldigen. Und Laurent Gaffié sollte wohl besser mal seine Formulierungen prüfen. Oder gibt es irgend einen Anlass dafür, anzunehmen, die 'REVISION HISTORY' würde sich nicht vollständig auf die veröffentlichte Schwachstelle beziehen?