"What could possibly go wrong?" - Anatomie einer Schwachstelle
Anhand einer Design-Schwachstelle im Zertifikatsmanagement der Software Sennheiser HeadSetup stellen wir beispielhaft den Ablauf von ersten Entdeckung über die Kommunikation mit dem Hersteller bis zur Veröffentlichung von Advisories und Meldungen in den einschlägigen Medien dar.
Die betroffene Software fügt bei der Installation ohne Wissen des Benutzers ein neues Zertifikat zum lokalen Speicher für vertrauenswürdige Zertifizierungsstellen hinzu, und gibt einem Angreifer den zugehörigen privaten Schlüssel preis. Wir erläutern wie es zu dieser Schwachstelle kam und wie ein Angreifer sie ausnutzen könnte.
Wir stellen dar, gegen welche altbekannten Design-Prinzipien für sichere Software verstoßen wurde und wie ein deutlich sichererer Ansatz aussieht, um das gleiche Ziel zu erreichen. Abschließend betrachten wir einige einfache Grundregeln, die beherzigt werden sollten, um das Risiko, in eine derartige Schwachstelle zu laufen, zu verringern.
Hans-Joachim Knobloch
Hans-Joachim Knobloch, Diplom-Informatiker,erwarb Ende 1989 sein Diplom in Informatik an der Universität Karlsruhe. Er arbeitete seit 1988 am Europäischen Institut für Systemsicherheit. Zu Beginn des Jahres 1996 wechselte er zur NTG Netzwerk und Telematik GmbH, nachmals Xlink und KPNQwest Germany. Bei Xlink/KPNQwest war er als Security Engineer und Senior Consultant am Aufbau des Bereichs Security-Services beteiligt. Seit Oktober 2000 ist er als Security Consultant bei der Secorvo Security Consulting GmbH tätig.
Hans-Joachim Knobloch verfügt über langjährige Erfahrung in den Bereichen Kryptologie, Public Key Infrastrukturen, Smartcard-Software, Netzwerk- und E-Mail-Sicherheit. Er ist Autor bzw. Koautor zahlreicher Veröffentlichungen auf diesen Gebieten. Durch seine langjährige Tätigkeit für einen führenden Internet-Provider besitzt er Erfahrungen in allen Aspekten der Internet-Security und hat Firewall-Systeme und VPN-Lösungen für namhafte Unternehmen konzipiert und umgesetzt. Im Rahmen seiner Tätigkeit bei Secorvo hat er sich unter anderem mit Entwurf und Analyse von Sicherheits- und Umsetzungskonzepten für Public Key Infrastrukturen, E-Mail-Sicherheit und Mehr-Faktor-Authentisierung beschäftigt. Er war am Entwurf eines sicheren Digital Rights Management Systems beteiligt und als Projektleiter für die Realisierung des Testbeds zum Common PKI Standard (vormals ISIS-MTT) verantwortlich. Er ist Mitglied des Common PKI Beirats der Arbeitsgemeinschaft deutscher Trustcenter (T7 e.V.) und von TeleTrusT e.V. anerkannter T.I.S.P. Trainer.
André Domnick
André Domnick, Bachelor of Science (B.Sc.), studierte Unternehmens- und IT-Sicherheit an der Hochschule Offenburg. Im Februar 2014 veröffentlichte er seine Bachelorarbeit über IPv6 Sicherheit im LAN. Daneben erwarb er vertiefende Erfahrungen in den Bereichen Softwareentwicklung, Netzwerksicherheit, Penetrationstests sowie Reverse Engineering.
Seit März 2014 ist er Security Consultant bei der Secorvo Security Consulting GmbH. 2015 erwarb er im Bereich Penetrationstests das Zertifikat zum Offensive Security Certified Professional (OSCP). Seit 2017 ist er zertifizierter TeleTrusT Information Security Professional (T.I.S.P.). Seine Beratungsschwerpunkte sind Penetrationstests sowie Sicherheitsaudits, Netzwerksicherheit, Sicherheit von Webanwendungen und Anwendungssicherheit.