Abo
  • IT-Karriere:

Black Hat: Langer Atem für IT-Sicherheit

Google-Sicherheitsexpertin Parisa Tabriz eröffnet in Las Vegas die Black-Hat-Konferenz. Sie wünscht sich mehr Transparenz und Zusammenarbeit und erläutert anhand der Site-Isolation in Chrome, welche Herausforderungen manchmal bei größeren Sicherheitsverbesserungen zu überwinden sind.

Artikel veröffentlicht am , Hanno Böck
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich.
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich. (Bild: Black Hat)

Parisa Tabriz, bei Google für Project Zero und die Sicherheit von Chrome zuständig, eröffnete am Mittwoch die diesjährige Black-Hat-Konferenz in Las Vegas. Anhand von Beispielen aus der eigenen Arbeit erläuterte sie, wie langwierig manchmal Veränderungen sein können, dass sie sich am Ende jedoch auszahlen. Auch rief sie die Teilnehmer dazu auf, für mehr Transparenz und Zusammenarbeit in Sachen IT-Sicherheit zu sorgen.

Stellenmarkt
  1. Auswärtiges Amt, Berlin
  2. Joyson Safety Systems Aschaffenburg GmbH, Berlin

Googles eigene Mühen in Sachen Transparenz wurden dabei nicht immer von allen begrüßt. Project Zero, das Team bei Google, das häufig kritische Sicherheitslücken in der Software anderer Firmen aufdeckt, hat eine strikte Policy, die Details nach 90 Tagen zu veröffentlichen - egal ob die Bugs auch gefixt wurden. Laut Tabriz hatte das zu Beginn zu einigem Gegenwind geführt, der Widerspruch sei aber leiser geworden. Inzwischen würden 98 Prozent der von Project Zero gemeldeten Lücken innerhalb der 90 Tage behoben.

Langwierige Änderungen

Anhand von zwei Beispielen aus der Entwicklung des Chrome-Browsers berichtete Tabriz, wie langwierig und schwierig Änderungen sind: die Umstellung auf HTTPS als Standard im Netz und die Einführung der sogenannten Site-Isolation in Chrome.

Bereits 2014 gab es im Chrome-Sicherheitsteam erste Diskussionen darum, dass die Sicherheitsindikatoren im Browser nicht besonders hilfreich sind. HTTP-Seiten wurden damals ohne jeden Hinweis auf eine unsichere, unverschlüsselte Verbindung angezeigt, während bei HTTPS-Seiten mit Problemen ein rotes, durchgeschnittenes Schloss angezeigt wurde. Doch ein erster Versuch, das Chrome-Team hier zu einer Änderung zu bewegen, wurde abgelehnt.

Zwar sei dem Sicherheitsteam von Anfang an klar gewesen, wo man hinwolle - HTTP-Verbindungen sollen standardmäßig mit einem Warnsymbol angezeigt werden -, doch es war klar, dass eine solche Änderung über einen langen Zeitraum mit Zwischenschritten stattfinden müsse. Chrome hatte erst vor wenigen Wochen eine generelle Warnung bei HTTP-Seiten scharfgeschaltet.

Site-Isolation schützt vor Spectre

Eine Änderung, die deutlich weniger öffentliche Aufmerksamkeit erhielt, der aber ebenfalls ein langer Vorlaufprozess vorausging, ist die Site-Isolation in Chrome. Laut Parisa Tabriz war dies die größte Änderung im Chrome-Code, die es je gab. Ein Team von zehn Leuten habe daran gearbeitet und ursprünglich gehofft, nach einem Jahr damit fertig zu sein. Doch das erwies sich als nicht realistisch - letztendlich dauerte es sechs Jahre.

Zwar nutzt Chrome schon lange Sandbox-Funktionalität, um die Render-Prozesse des Browsers abzuschotten, so dass eine Sicherheitslücke nicht gleich dazu führt, dass eine bösartige Webseite Malware auf dem System installieren kann. Doch bis vor kurzem liefen trotzdem alle Renderprozesse zusammen. Das bedeutet praktisch, dass eine Sicherheitslücke beim Rendern dazu führt, dass eine Webseite auf die Daten von anderen Webseiten desselben Nutzers zugreifen kann.

Trotz aller Hürden und der langen Entwicklungszeit erwies sich die Trennung der Render-Prozesse als Glücksfall für Chrome. Als Jann Horn von Googles Project Zero die CPU-Sicherheitslücke Spectre entdeckte, hatte das Chrome-Team mit der Site-Isolation bereits eine gute Möglichkeit, den Browser gegen viele der Spectre-Angriffsszenarien zu schützen. Und das, obwohl laut Tabriz zu Beginn der Entwicklung niemand mit einer Sicherheitslücke wie Spectre rechnen konnte.



Anzeige
Spiele-Angebote
  1. 4,31€
  2. (-79%) 12,50€
  3. 3,99€
  4. 44,99€

wizzla 09. Aug 2018

warum nicht. Dieses Unternehmen möchte halt das/der einzige sein der Daten abgreift...


Folgen Sie uns
       


World of Warcraft Classic angespielt

Spielen wie zur Anfangszeit von World of Warcraft: Golem.de ist in WoW Classic durch die Fantasywelt Azeroth gezogen und hat sich mit Kobolden und Bergpumas angelegt.

World of Warcraft Classic angespielt Video aufrufen
Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

    •  /