Abo
  • Services:

Black Hat: Langer Atem für IT-Sicherheit

Google-Sicherheitsexpertin Parisa Tabriz eröffnet in Las Vegas die Black-Hat-Konferenz. Sie wünscht sich mehr Transparenz und Zusammenarbeit und erläutert anhand der Site-Isolation in Chrome, welche Herausforderungen manchmal bei größeren Sicherheitsverbesserungen zu überwinden sind.

Artikel veröffentlicht am , Hanno Böck
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich.
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich. (Bild: Black Hat)

Parisa Tabriz, bei Google für Project Zero und die Sicherheit von Chrome zuständig, eröffnete am Mittwoch die diesjährige Black-Hat-Konferenz in Las Vegas. Anhand von Beispielen aus der eigenen Arbeit erläuterte sie, wie langwierig manchmal Veränderungen sein können, dass sie sich am Ende jedoch auszahlen. Auch rief sie die Teilnehmer dazu auf, für mehr Transparenz und Zusammenarbeit in Sachen IT-Sicherheit zu sorgen.

Stellenmarkt
  1. Stadt Waldkirch, Waldkirch
  2. Bosch-Gruppe, Reutlingen

Googles eigene Mühen in Sachen Transparenz wurden dabei nicht immer von allen begrüßt. Project Zero, das Team bei Google, das häufig kritische Sicherheitslücken in der Software anderer Firmen aufdeckt, hat eine strikte Policy, die Details nach 90 Tagen zu veröffentlichen - egal ob die Bugs auch gefixt wurden. Laut Tabriz hatte das zu Beginn zu einigem Gegenwind geführt, der Widerspruch sei aber leiser geworden. Inzwischen würden 98 Prozent der von Project Zero gemeldeten Lücken innerhalb der 90 Tage behoben.

Langwierige Änderungen

Anhand von zwei Beispielen aus der Entwicklung des Chrome-Browsers berichtete Tabriz, wie langwierig und schwierig Änderungen sind: die Umstellung auf HTTPS als Standard im Netz und die Einführung der sogenannten Site-Isolation in Chrome.

Bereits 2014 gab es im Chrome-Sicherheitsteam erste Diskussionen darum, dass die Sicherheitsindikatoren im Browser nicht besonders hilfreich sind. HTTP-Seiten wurden damals ohne jeden Hinweis auf eine unsichere, unverschlüsselte Verbindung angezeigt, während bei HTTPS-Seiten mit Problemen ein rotes, durchgeschnittenes Schloss angezeigt wurde. Doch ein erster Versuch, das Chrome-Team hier zu einer Änderung zu bewegen, wurde abgelehnt.

Zwar sei dem Sicherheitsteam von Anfang an klar gewesen, wo man hinwolle - HTTP-Verbindungen sollen standardmäßig mit einem Warnsymbol angezeigt werden -, doch es war klar, dass eine solche Änderung über einen langen Zeitraum mit Zwischenschritten stattfinden müsse. Chrome hatte erst vor wenigen Wochen eine generelle Warnung bei HTTP-Seiten scharfgeschaltet.

Site-Isolation schützt vor Spectre

Eine Änderung, die deutlich weniger öffentliche Aufmerksamkeit erhielt, der aber ebenfalls ein langer Vorlaufprozess vorausging, ist die Site-Isolation in Chrome. Laut Parisa Tabriz war dies die größte Änderung im Chrome-Code, die es je gab. Ein Team von zehn Leuten habe daran gearbeitet und ursprünglich gehofft, nach einem Jahr damit fertig zu sein. Doch das erwies sich als nicht realistisch - letztendlich dauerte es sechs Jahre.

Zwar nutzt Chrome schon lange Sandbox-Funktionalität, um die Render-Prozesse des Browsers abzuschotten, so dass eine Sicherheitslücke nicht gleich dazu führt, dass eine bösartige Webseite Malware auf dem System installieren kann. Doch bis vor kurzem liefen trotzdem alle Renderprozesse zusammen. Das bedeutet praktisch, dass eine Sicherheitslücke beim Rendern dazu führt, dass eine Webseite auf die Daten von anderen Webseiten desselben Nutzers zugreifen kann.

Trotz aller Hürden und der langen Entwicklungszeit erwies sich die Trennung der Render-Prozesse als Glücksfall für Chrome. Als Jann Horn von Googles Project Zero die CPU-Sicherheitslücke Spectre entdeckte, hatte das Chrome-Team mit der Site-Isolation bereits eine gute Möglichkeit, den Browser gegen viele der Spectre-Angriffsszenarien zu schützen. Und das, obwohl laut Tabriz zu Beginn der Entwicklung niemand mit einer Sicherheitslücke wie Spectre rechnen konnte.



Anzeige
Top-Angebote
  1. 15,66€

wizzla 09. Aug 2018 / Themenstart

warum nicht. Dieses Unternehmen möchte halt das/der einzige sein der Daten abgreift...

Kommentieren


Folgen Sie uns
       


Smarte Soundbars - Test

Wir haben die beiden ersten smarten Soundbars getestet. Die eine ist von Sonos, die andere von Polk. Sowohl die Beam von Sonos als auch die Command Bar von Polk dienen dazu, den Klang des Fernsehers zu verbessern. Aber sie können auch als normale Lautsprecher verwendet und dank Alexa auch mit der Stimme bedient werden. Zudem lässt sich auf Zuruf ein Fire-TV-Gerät verbinden und mit der Stimme steuern. Allerdings reagieren beide Soundbars dabei zu träge.

Smarte Soundbars - Test Video aufrufen
Flugautos und Taxidrohnen: Der Nahverkehr erobert die dritte Dimension
Flugautos und Taxidrohnen
Der Nahverkehr erobert die dritte Dimension

In Science-Fiction-Filmen gehören sie zur üblichen Ausstattung: kleine Fluggeräte, die einen oder mehrere Passagiere durch die Luft befördern, sei es pilotiert oder autonom. Bald könnte die Vision aber Realität werden: Eine Reihe von Unternehmen entwickelt solche Individualflieger. Eine Übersicht.
Ein Bericht von Werner Pluta

  1. Flughafen Ingenieure bringen Drohne das Vögelhüten bei
  2. Militär US-Verteidigungsministerium finanziert Flugtaxis
  3. Gofly Challenge Boeing zeichnet zehn Fluggeräte für jedermann aus

Disenchantment angeschaut: Fantasy-Kurzweil vom Simpsons-Schöpfer
Disenchantment angeschaut
Fantasy-Kurzweil vom Simpsons-Schöpfer

Mit den Simpsons ist er selbst Kult geworden, und Nachfolger Futurama hat nicht nur Sci-Fi-Nerds mit einem Auge für verschlüsselte Gags im Bildhintergrund begeistert. Bei Netflix folgt nun Matt Groenings Cartoonserie Disenchantment, die uns trotz liebenswerter Hauptfiguren in Märchenkulissen allerdings nicht ganz zu verzaubern weiß.
Eine Rezension von Daniel Pook

  1. Promotion Netflix testet Werbung zwischen Serienepisoden
  2. Streaming Wachstum beim Pay-TV dank Netflix und Amazon
  3. Videostreaming Netflix soll am Fernseher übersichtlicher werden

IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

    •  /