Abo
  • IT-Karriere:

Black Hat: Langer Atem für IT-Sicherheit

Google-Sicherheitsexpertin Parisa Tabriz eröffnet in Las Vegas die Black-Hat-Konferenz. Sie wünscht sich mehr Transparenz und Zusammenarbeit und erläutert anhand der Site-Isolation in Chrome, welche Herausforderungen manchmal bei größeren Sicherheitsverbesserungen zu überwinden sind.

Artikel veröffentlicht am , Hanno Böck
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich.
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich. (Bild: Black Hat)

Parisa Tabriz, bei Google für Project Zero und die Sicherheit von Chrome zuständig, eröffnete am Mittwoch die diesjährige Black-Hat-Konferenz in Las Vegas. Anhand von Beispielen aus der eigenen Arbeit erläuterte sie, wie langwierig manchmal Veränderungen sein können, dass sie sich am Ende jedoch auszahlen. Auch rief sie die Teilnehmer dazu auf, für mehr Transparenz und Zusammenarbeit in Sachen IT-Sicherheit zu sorgen.

Stellenmarkt
  1. Deloitte, verschiedene Einsatzorte
  2. Bundesamt für Kartographie und Geodäsie, Bad Kötzting

Googles eigene Mühen in Sachen Transparenz wurden dabei nicht immer von allen begrüßt. Project Zero, das Team bei Google, das häufig kritische Sicherheitslücken in der Software anderer Firmen aufdeckt, hat eine strikte Policy, die Details nach 90 Tagen zu veröffentlichen - egal ob die Bugs auch gefixt wurden. Laut Tabriz hatte das zu Beginn zu einigem Gegenwind geführt, der Widerspruch sei aber leiser geworden. Inzwischen würden 98 Prozent der von Project Zero gemeldeten Lücken innerhalb der 90 Tage behoben.

Langwierige Änderungen

Anhand von zwei Beispielen aus der Entwicklung des Chrome-Browsers berichtete Tabriz, wie langwierig und schwierig Änderungen sind: die Umstellung auf HTTPS als Standard im Netz und die Einführung der sogenannten Site-Isolation in Chrome.

Bereits 2014 gab es im Chrome-Sicherheitsteam erste Diskussionen darum, dass die Sicherheitsindikatoren im Browser nicht besonders hilfreich sind. HTTP-Seiten wurden damals ohne jeden Hinweis auf eine unsichere, unverschlüsselte Verbindung angezeigt, während bei HTTPS-Seiten mit Problemen ein rotes, durchgeschnittenes Schloss angezeigt wurde. Doch ein erster Versuch, das Chrome-Team hier zu einer Änderung zu bewegen, wurde abgelehnt.

Zwar sei dem Sicherheitsteam von Anfang an klar gewesen, wo man hinwolle - HTTP-Verbindungen sollen standardmäßig mit einem Warnsymbol angezeigt werden -, doch es war klar, dass eine solche Änderung über einen langen Zeitraum mit Zwischenschritten stattfinden müsse. Chrome hatte erst vor wenigen Wochen eine generelle Warnung bei HTTP-Seiten scharfgeschaltet.

Site-Isolation schützt vor Spectre

Eine Änderung, die deutlich weniger öffentliche Aufmerksamkeit erhielt, der aber ebenfalls ein langer Vorlaufprozess vorausging, ist die Site-Isolation in Chrome. Laut Parisa Tabriz war dies die größte Änderung im Chrome-Code, die es je gab. Ein Team von zehn Leuten habe daran gearbeitet und ursprünglich gehofft, nach einem Jahr damit fertig zu sein. Doch das erwies sich als nicht realistisch - letztendlich dauerte es sechs Jahre.

Zwar nutzt Chrome schon lange Sandbox-Funktionalität, um die Render-Prozesse des Browsers abzuschotten, so dass eine Sicherheitslücke nicht gleich dazu führt, dass eine bösartige Webseite Malware auf dem System installieren kann. Doch bis vor kurzem liefen trotzdem alle Renderprozesse zusammen. Das bedeutet praktisch, dass eine Sicherheitslücke beim Rendern dazu führt, dass eine Webseite auf die Daten von anderen Webseiten desselben Nutzers zugreifen kann.

Trotz aller Hürden und der langen Entwicklungszeit erwies sich die Trennung der Render-Prozesse als Glücksfall für Chrome. Als Jann Horn von Googles Project Zero die CPU-Sicherheitslücke Spectre entdeckte, hatte das Chrome-Team mit der Site-Isolation bereits eine gute Möglichkeit, den Browser gegen viele der Spectre-Angriffsszenarien zu schützen. Und das, obwohl laut Tabriz zu Beginn der Entwicklung niemand mit einer Sicherheitslücke wie Spectre rechnen konnte.



Anzeige
Top-Angebote
  1. 47,95€
  2. 185,00€ (Bestpreis + Geschenk!)
  3. 98,00€ (Bestpreis!)
  4. 469,00€

wizzla 09. Aug 2018

warum nicht. Dieses Unternehmen möchte halt das/der einzige sein der Daten abgreift...


Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

    •  /