Abo
  • Services:

Black Hat: Langer Atem für IT-Sicherheit

Google-Sicherheitsexpertin Parisa Tabriz eröffnet in Las Vegas die Black-Hat-Konferenz. Sie wünscht sich mehr Transparenz und Zusammenarbeit und erläutert anhand der Site-Isolation in Chrome, welche Herausforderungen manchmal bei größeren Sicherheitsverbesserungen zu überwinden sind.

Artikel veröffentlicht am , Hanno Böck
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich.
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich. (Bild: Black Hat)

Parisa Tabriz, bei Google für Project Zero und die Sicherheit von Chrome zuständig, eröffnete am Mittwoch die diesjährige Black-Hat-Konferenz in Las Vegas. Anhand von Beispielen aus der eigenen Arbeit erläuterte sie, wie langwierig manchmal Veränderungen sein können, dass sie sich am Ende jedoch auszahlen. Auch rief sie die Teilnehmer dazu auf, für mehr Transparenz und Zusammenarbeit in Sachen IT-Sicherheit zu sorgen.

Stellenmarkt
  1. via experteer GmbH, Bonn
  2. Apollo-Optik Holding GmbH & Co. KG, Schwabach

Googles eigene Mühen in Sachen Transparenz wurden dabei nicht immer von allen begrüßt. Project Zero, das Team bei Google, das häufig kritische Sicherheitslücken in der Software anderer Firmen aufdeckt, hat eine strikte Policy, die Details nach 90 Tagen zu veröffentlichen - egal ob die Bugs auch gefixt wurden. Laut Tabriz hatte das zu Beginn zu einigem Gegenwind geführt, der Widerspruch sei aber leiser geworden. Inzwischen würden 98 Prozent der von Project Zero gemeldeten Lücken innerhalb der 90 Tage behoben.

Langwierige Änderungen

Anhand von zwei Beispielen aus der Entwicklung des Chrome-Browsers berichtete Tabriz, wie langwierig und schwierig Änderungen sind: die Umstellung auf HTTPS als Standard im Netz und die Einführung der sogenannten Site-Isolation in Chrome.

Bereits 2014 gab es im Chrome-Sicherheitsteam erste Diskussionen darum, dass die Sicherheitsindikatoren im Browser nicht besonders hilfreich sind. HTTP-Seiten wurden damals ohne jeden Hinweis auf eine unsichere, unverschlüsselte Verbindung angezeigt, während bei HTTPS-Seiten mit Problemen ein rotes, durchgeschnittenes Schloss angezeigt wurde. Doch ein erster Versuch, das Chrome-Team hier zu einer Änderung zu bewegen, wurde abgelehnt.

Zwar sei dem Sicherheitsteam von Anfang an klar gewesen, wo man hinwolle - HTTP-Verbindungen sollen standardmäßig mit einem Warnsymbol angezeigt werden -, doch es war klar, dass eine solche Änderung über einen langen Zeitraum mit Zwischenschritten stattfinden müsse. Chrome hatte erst vor wenigen Wochen eine generelle Warnung bei HTTP-Seiten scharfgeschaltet.

Site-Isolation schützt vor Spectre

Eine Änderung, die deutlich weniger öffentliche Aufmerksamkeit erhielt, der aber ebenfalls ein langer Vorlaufprozess vorausging, ist die Site-Isolation in Chrome. Laut Parisa Tabriz war dies die größte Änderung im Chrome-Code, die es je gab. Ein Team von zehn Leuten habe daran gearbeitet und ursprünglich gehofft, nach einem Jahr damit fertig zu sein. Doch das erwies sich als nicht realistisch - letztendlich dauerte es sechs Jahre.

Zwar nutzt Chrome schon lange Sandbox-Funktionalität, um die Render-Prozesse des Browsers abzuschotten, so dass eine Sicherheitslücke nicht gleich dazu führt, dass eine bösartige Webseite Malware auf dem System installieren kann. Doch bis vor kurzem liefen trotzdem alle Renderprozesse zusammen. Das bedeutet praktisch, dass eine Sicherheitslücke beim Rendern dazu führt, dass eine Webseite auf die Daten von anderen Webseiten desselben Nutzers zugreifen kann.

Trotz aller Hürden und der langen Entwicklungszeit erwies sich die Trennung der Render-Prozesse als Glücksfall für Chrome. Als Jann Horn von Googles Project Zero die CPU-Sicherheitslücke Spectre entdeckte, hatte das Chrome-Team mit der Site-Isolation bereits eine gute Möglichkeit, den Browser gegen viele der Spectre-Angriffsszenarien zu schützen. Und das, obwohl laut Tabriz zu Beginn der Entwicklung niemand mit einer Sicherheitslücke wie Spectre rechnen konnte.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand

wizzla 09. Aug 2018

warum nicht. Dieses Unternehmen möchte halt das/der einzige sein der Daten abgreift...


Folgen Sie uns
       


Far Cry New Dawn - Test

Far Cry New Dawn ist eine wesentlich rundere und damit spaßigere Version von Far Cry 5 - wenn man über den Ingame-Shop hinwegsieht.

Far Cry New Dawn - Test Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Ottobock: Wie ein Exoskelett die Arbeit erleichtert
Ottobock
Wie ein Exoskelett die Arbeit erleichtert

Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
Ein Erfahrungsbericht von Werner Pluta


    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

      •  /