Abo
  • Services:

Black Hat: Langer Atem für IT-Sicherheit

Google-Sicherheitsexpertin Parisa Tabriz eröffnet in Las Vegas die Black-Hat-Konferenz. Sie wünscht sich mehr Transparenz und Zusammenarbeit und erläutert anhand der Site-Isolation in Chrome, welche Herausforderungen manchmal bei größeren Sicherheitsverbesserungen zu überwinden sind.

Artikel veröffentlicht am , Hanno Böck
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich.
Parisa Tabriz ist bei Google für Project Zero und für die Sicherheit von Chrome verantwortlich. (Bild: Black Hat)

Parisa Tabriz, bei Google für Project Zero und die Sicherheit von Chrome zuständig, eröffnete am Mittwoch die diesjährige Black-Hat-Konferenz in Las Vegas. Anhand von Beispielen aus der eigenen Arbeit erläuterte sie, wie langwierig manchmal Veränderungen sein können, dass sie sich am Ende jedoch auszahlen. Auch rief sie die Teilnehmer dazu auf, für mehr Transparenz und Zusammenarbeit in Sachen IT-Sicherheit zu sorgen.

Stellenmarkt
  1. MTS Group, Landau, Rülzheim
  2. BWI GmbH, Nürnberg, Bonn, Köln, Strausberg, München

Googles eigene Mühen in Sachen Transparenz wurden dabei nicht immer von allen begrüßt. Project Zero, das Team bei Google, das häufig kritische Sicherheitslücken in der Software anderer Firmen aufdeckt, hat eine strikte Policy, die Details nach 90 Tagen zu veröffentlichen - egal ob die Bugs auch gefixt wurden. Laut Tabriz hatte das zu Beginn zu einigem Gegenwind geführt, der Widerspruch sei aber leiser geworden. Inzwischen würden 98 Prozent der von Project Zero gemeldeten Lücken innerhalb der 90 Tage behoben.

Langwierige Änderungen

Anhand von zwei Beispielen aus der Entwicklung des Chrome-Browsers berichtete Tabriz, wie langwierig und schwierig Änderungen sind: die Umstellung auf HTTPS als Standard im Netz und die Einführung der sogenannten Site-Isolation in Chrome.

Bereits 2014 gab es im Chrome-Sicherheitsteam erste Diskussionen darum, dass die Sicherheitsindikatoren im Browser nicht besonders hilfreich sind. HTTP-Seiten wurden damals ohne jeden Hinweis auf eine unsichere, unverschlüsselte Verbindung angezeigt, während bei HTTPS-Seiten mit Problemen ein rotes, durchgeschnittenes Schloss angezeigt wurde. Doch ein erster Versuch, das Chrome-Team hier zu einer Änderung zu bewegen, wurde abgelehnt.

Zwar sei dem Sicherheitsteam von Anfang an klar gewesen, wo man hinwolle - HTTP-Verbindungen sollen standardmäßig mit einem Warnsymbol angezeigt werden -, doch es war klar, dass eine solche Änderung über einen langen Zeitraum mit Zwischenschritten stattfinden müsse. Chrome hatte erst vor wenigen Wochen eine generelle Warnung bei HTTP-Seiten scharfgeschaltet.

Site-Isolation schützt vor Spectre

Eine Änderung, die deutlich weniger öffentliche Aufmerksamkeit erhielt, der aber ebenfalls ein langer Vorlaufprozess vorausging, ist die Site-Isolation in Chrome. Laut Parisa Tabriz war dies die größte Änderung im Chrome-Code, die es je gab. Ein Team von zehn Leuten habe daran gearbeitet und ursprünglich gehofft, nach einem Jahr damit fertig zu sein. Doch das erwies sich als nicht realistisch - letztendlich dauerte es sechs Jahre.

Zwar nutzt Chrome schon lange Sandbox-Funktionalität, um die Render-Prozesse des Browsers abzuschotten, so dass eine Sicherheitslücke nicht gleich dazu führt, dass eine bösartige Webseite Malware auf dem System installieren kann. Doch bis vor kurzem liefen trotzdem alle Renderprozesse zusammen. Das bedeutet praktisch, dass eine Sicherheitslücke beim Rendern dazu führt, dass eine Webseite auf die Daten von anderen Webseiten desselben Nutzers zugreifen kann.

Trotz aller Hürden und der langen Entwicklungszeit erwies sich die Trennung der Render-Prozesse als Glücksfall für Chrome. Als Jann Horn von Googles Project Zero die CPU-Sicherheitslücke Spectre entdeckte, hatte das Chrome-Team mit der Site-Isolation bereits eine gute Möglichkeit, den Browser gegen viele der Spectre-Angriffsszenarien zu schützen. Und das, obwohl laut Tabriz zu Beginn der Entwicklung niemand mit einer Sicherheitslücke wie Spectre rechnen konnte.



Anzeige
Blu-ray-Angebote
  1. (Prime Video)
  2. (u. a. The Equalizer Blu-ray, Hotel Transsilvanien 2 Blu-ray, Arrival Blu-ray, Die glorreichen 7...
  3. 4,25€

wizzla 09. Aug 2018 / Themenstart

warum nicht. Dieses Unternehmen möchte halt das/der einzige sein der Daten abgreift...

Kommentieren


Folgen Sie uns
       


Subdomain Takeover - Interview mit Moritz Tremmel

Golem.de Redakteur Moritz Tremmel erklärt im Interview die Gefahren der Übernahme von Subdomains.

Subdomain Takeover - Interview mit Moritz Tremmel Video aufrufen
Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. TU Graz Der Roboter als E-Tankwart
  2. WLTP VW kann Elektro- und Hybridautos 2018 nicht mehr verkaufen
  3. Elektroautos Daimler-Betriebsrat will Akkuzellen aus Europa

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  3. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Chang'e 4 China stellt neuen Mondrover vor
  2. Raumfahrt Cubesats sollen unhackbar werden
  3. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an

    •  /