• Artikel

Sicherheit auf dem PrüfstandNeubetrachtung der 10 unveränderlichen Gesetze zur Sicherheit, Teil 1

Jesper M. Johansson

Im Jahr 2000 veröffentlichte Scott Culp eine Abhandlung mit dem Titel „10 unveränderliche Gesetze zur Sicherheit“. Es ist eine der besten Abhandlungen zum Thema Sicherheit, die ich je gelesen habe. Die Informationen, die er vorstellte, sind noch immer Grundlage für alle Arbeiten im Bereich der Informationssicherheit, und ich empfehle Ihnen, den Artikel zu lesen (und auszudrucken), wenn Sie dies nicht bereits getan haben. Sie finden ihn unter microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx.

Die Abhandlung rief unterschiedliche Reaktionen hervor. Einige meinten sarkastisch, dass Microsoft damit vermied, Fehler zu beheben, die von vielen als ernste Probleme betrachtet wurden. Andere betrachteten den Artikel als ein fundamentales Dokument zum Thema Sicherheit und haben ihn aufgrund seiner enormen Wichtigkeit nach Belieben plagiiert. Einige meiner Lieblingsreaktionen sind jedoch jene, in denen die Leser dazu angeregt wurden, ihre eigenen Listen zu erstellen, wie beispielsweise jene, die unter edgeblog.net/2006/10-new-immutable-laws-of-it-security zu finden ist.

In den acht Jahren nach Veröffentlichung dieser Abhandlung ist im Bereich Sicherheit viel geschehen. Es wurde praktisch fast jeder bemerkenswerte Wurm veröffentlicht. Wir befinden uns nun in einem Informationskrieg (mit organisiertem Verbrechen, politischen Organisationen und so weiter). Verschiedene neue Wörter und Ausdrücke sind Teil des allgemeinen Wortschatzes geworden, beispielsweise Phishing, Pharming, Botnet, Spyware und siteübergreifende Anforderungsfälschung. Unter Windows werden einige der hochentwickeltsten Rootkits ausgeführt, die je erstellt wurden. Wir haben neue Betriebssystemversionen, die insbesondere Sicherheitsaspekte berücksichtigen, und andere Betriebssysteme, bei denen die Sicherheit zum größten Teil noch ignoriert wird.

Social Engineering hat sich zu einer großen Bedrohung entwickelt. Datenschutzverletzungen, wie beispielsweise durch einen großen Einzelhändler, der 94 Millionen Kreditkartennummern verfügbar machte, sind uns aus den Nachrichten vertraut (und dennoch wird weiterhin in solchen Geschäften eingekauft). Die Regierungen der USA und Großbritanniens haben es gemeinsam fertiggebracht, private Daten über einen beträchtlichen Prozentsatz der Einwohner der westlichen Welt einfach zu verlegen (und dennoch reichen die Betreffenden immer noch private Daten bei diesen Regierungen ein). Ein enormes Sicherheitstheater ist in unseren Leben – und an unseren Flughäfen – gang und gäbe.

Ich denke, es ist an der Zeit, noch einmal einen Blick auf die Gesetze zu werfen. Wenn wir alle Änderungen in den ersten Jahren dieses Jahrhunderts in Betracht ziehen, können wir dann immer noch behaupten, dass diese Gesetze unveränderlich sind? Wenn sie es sind (wenn sie die letzten 8 Jahre überdauert haben), können wir wahrscheinlich mit Sicherheit behaupten, dass sie auch die nächsten 10 überdauern werden.

In dieser dreiteiligen Reihe werde ich mich kritisch mit jedem der 10 Gesetze auseinandersetzen. In diesem Monat behandle ich die Gesetze 1 bis 3. Im Artikel des nächsten Monats geht es um die Gesetze 4 bis 7 und im letzten Artikel um die Gesetze 8 bis 10. Im dritten Teil werde ich außerdem zusätzliche Denkanstöße und Kommentare vorstellen, die angesichts der Dinge, die seit der ursprünglichen Veröffentlichung der Gesetze im Jahre 2000 geschehen sind, vernünftig scheinen.

Gesetz 1: Wenn ein Angreifer Sie überreden kann, sein Programm auf Ihrem Computer auszuführen, ist es nicht mehr Ihr Computer.

Dieses Gesetz erklärt im Prinzip, dass jede beliebige Software, die Sie auf Ihrem Computer ausführen, diesen Computer kontrollieren kann. Als die unveränderlichen Gesetze ursprünglich veröffentlicht wurden, waren die damaligen Microsoft-Betriebssysteme Windows 98, Windows Me und Windows NT 4.0. Heute haben wir Windows Vista und Windows Server 2008.

Unter Windows 98 und Windows Me hatte jede beliebige Software, die ausgeführt wurde, die vollständige Kontrolle über den Computer. Windows NT 4.0 hatte ein sehr stabiles zugrunde liegendes Sicherheitsmodell, aber wenn es als Administrator ausgeführt wurde, wurde sein Isolierungsmodell im Prinzip auf das von Windows 98 und Windows Me heruntergestuft. Es war möglich, Windows NT 4.0 als Nichtadministrator auszuführen, aber dies war ziemlich mühsam, und sehr wenige Organisationen hielten sich daran (Sie könnten wahrscheinlich die Gesamtzahl der Unternehmen, die sich daran hielten, abzählen, ohne Ihre Schuhe auszuziehen).

Angenommen, Sie haben Windows NT 4.0 als Nichtadministrator ausgeführt. Traf Gesetz 1 dann überhaupt zu, als es damals verfasst wurde? Die Antwort lautet „Ja“. Erstens wies Windows NT 4.0 eine große Zahl bedeutender Lücken auf. So gab es beispielsweise Berechtigungen, die strenger hätten sein können, insbesondere im Hinblick auf Kernelobjekte und in der Registrierung. Es gab auch viele Arten von Angriffen, die noch nicht entdeckt worden waren, die aber von Fachleuten erwartet wurden. So hatten Benutzer 1999 noch nicht erkannt, dass Prozesse, die mit erhöhten Rechten auf dem interaktiven Desktop ausgeführt wurden, den Computer beeinträchtigen konnten. Erst 2002 wurde dies allgemein bekannt, als Chris Paget sein Whitepaper zu Schmetterangriffen veröffentlichte („Exploiting the Win32 API“, seclists.org/bugtraq/2002/Aug/0102.html).

Hatte Microsoft diese Shatter-Angriffe vorhergesehen, als Gesetz 1 verfasst wurde? Nein, eigentlich nicht. Microsoft erkannte jedoch eine einfache Tatsache: Es gibt sehr wenige echte Sicherheitsbegrenzungen, die eine Anwendung, die auf einem Computer ausgeführt wird, daran hindern können, die Kontrolle über diesen Computer zu erlangen.

Windows Vista und Windows Server 2008 sind zwei Generationen von Windows NT 4.0 entfernt. Haben sie Gesetz 1 entkräftet? Gibt es andere Betriebssysteme, die dies tun? Das kommt ganz darauf an. Es gibt sicherlich stabilere Sicherheitsbegrenzungen in den neuen Betriebssystemen, und es gab damals im Jahr 2000 einige experimentelle Betriebssysteme, die richtige Sicherheitsbegrenzungen hatten. Es jedoch immer noch nur wenige dieser Begrenzungen. Die Codezugriffssicherheit in Microsoft .NET Framework beispielsweise ist eine Sicherheitsbegrenzung. Sie wurde so entworfen, dass sich Code, der innerhalb der Sandbox ausgeführt wird, nicht auf das zugrunde liegende Betriebssystem auswirkt.

Iframes in Internet Explorer bietet eine weitere Sicherheitsbegrenzung. Iframes wirken sich aber nicht auf den Zugriff auf das Betriebssystem selbst aus, sondern nur auf den Zugriff zwischen Teilen des Inhalts auf einer Webseite. Beim geschützten Modus in Internet Explorer, der in Abbildung 1 dargestellt ist, handelt es sich um eine Sicherheitsbegrenzung auf Betriebssystemebene. Ihr Zweck besteht darin, Code, der innerhalb eines Browsers ausgeführt wird, daran zu hindern, sich – ohne Benutzeraktion – auf das zugrunde liegende Betriebssystem auszuwirken. Es gibt einige andere, z. B. Standardbenutzerkonten, die ein Benutzerkonto daran hindern sollen, sich auf das zugrunde liegende Betriebssystem oder andere Benutzer auszuwirken.

fig01.gif

Abbildung 1 Internet Explorer 7 verwendet eine Sicherheitsbegrenzung, die als geschützter Modus bezeichnet wird (zum Vergrößern auf das Bild klicken)

Es ist äußerst wichtig zu verstehen, was mit dem Begriff „Sicherheitsbegrenzung“ gemeint ist. Es handelt sich dabei nicht um eine unverletzliche Mauer, die garantiert undurchlässig ist und vollständige Isolierung bietet. Vielmehr ist damit gemeint, dass der Softwarehersteller, Microsoft beispielsweise, dafür verantwortlich ist, Verstöße gegen diese Begrenzung mithilfe eines Sicherheitspatches zu beheben. Software wird immer Fehler aufweisen, und wir werden zweifellos weitere Verstöße entdecken, die von den Softwareherstellern weiterhin gepatcht werden. Im Laufe der Zeit sollten sie ihre Software so verbessern, dass diese Sicherheitsrisiken im Vorfeld verhindert werden. Dies könnte als Bestätigung betrachtet werden, dass Gesetz 1 noch immer gilt.

Es gibt noch etwas Entscheidendes, das in Betracht gezogen werden muss. Ihnen dürfte vorhin der Begriff „ohne Benutzeraktion“ aufgefallen sein. Bei Gesetz 1 geht es eigentlich nicht um Mängel oder Sicherheitsrisiken in der Software. Vielmehr geht es um das menschliche Sicherheitsrisiko! Wichtig sind die Worte „Sie überreden kann“. Wenn ein Angreifer Sie überreden kann, sein Programm auszuführen, kann er Sie wahrscheinlich dazu überreden, dies in einem Kontext zu tun, der dem Programm erhöhte Berechtigungen gibt.

Selbst wenn Sie keine Administratorrechte haben, sind Sie nicht völlig geschützt. Sie haben als Standardbenutzer immer noch Zugriff auf viele interessante Informationen: Ihre Bankdateien, Liebesbriefe, Bilder, Videos und vertrauliche Unternehmensdaten. Alle diese Daten können für einen Angreifer möglicherweise interessant sein, und sie alle können ohne erhöhte Berechtigungen gelesen werden. Im Hinblick auf die Informationen, die Sie auf Ihrem Computer verwalten, wird durch die Ausführung eines schädlichen Programms alles, was sie tun, an den Angreifer übergeben. Wenn Sie Ihren Computer als die Daten definieren, die Sie auf Ihrem Computer verwalten, können Sie daher jegliche Diskussionen über Berechtigungen ignorieren und einfach zu dem Schluss kommen, dass Gesetz 1 noch immer gilt.

Auch ohne Haarspaltereien in Bezug auf die Definition Ihres Computers scheint dieses Gesetz die Zeiten überdauert zu haben. Bei Gesetz 1 geht es darum, dass Sie als Nutzer eines Computers die Verantwortung für die Software übernehmen müssen, die Sie auf diesem Computer ausführen. Wenn Sie einen schädlichen Treiber oder ein bösartiges Videocodec installieren, haben Sie die vollständige Kontrolle über diesen Computer an einen Kriminellen übergeben!

Obwohl Softwarehersteller viel tun können, um zufällige Gefährdungen zu verhindern (was im Grunde Sinn und Zweck von Sicherheitsbegrenzungen ist), wird das absichtliche Ausführen von Malware gewöhnlich alle diese Schutzmaßnahmen zunichte machen. Aus diesem Grund ist die Benutzererziehung neben der Sicherstellung, dass Benutzer nicht berechtigt sind, administrative Aufgaben durchzuführen, enorm wichtig. Daher können wir mit Sicherheit sagen, dass Gesetz 1 auch heute noch gilt, wobei wir aber die Definition Ihres Computers leicht ändern.

Gesetz 2: Wenn ein Angreifer das Betriebssystem auf Ihrem Computer verändern kann, ist es nicht mehr Ihr Computer.

Oberflächlich betrachtet, scheint dieses Gesetz recht unkompliziert. Wenn ein Angreifer das Betriebssystem auf Ihrem Computer verändern kann, können Sie dem Computer offensichtlich nicht mehr vertrauen. Aber was mit dem Begriff „Betriebssystem“ gemeint ist, hat sich mit der Entwicklung der IT-Anforderungen geändert. Vor vielen Jahren habe ich für die Blackwell Encyclopedia of Management (managementencyclopedia.com) eine Definition des Begriffs „Betriebssystem“ verfasst. Laut Definition verwaltet ein Betriebssystem den Zugriff auf Eingabe- und Ausgabegeräte, Zugriff auf Hardware und ähnliche Dinge. Ich habe nie eine Kopie der Enzyklopädie erhalten, und mein ursprünglicher Vorschlag ist verlorengegangen, aber ich habe mit Sicherheit nicht erwähnt, dass ein Betriebssystem Solitär, ein Tableteingabesystem und Videotranscoder enthält.

Aufgrund der zunehmend komplexeren Computertechnologie unterstützen Betriebssysteme heute viel mehr Funktionen. Das Ganze wird noch komplizierter, da OEMs oft ihre eigene Auswahl zusätzlicher Software hinzufügen, wobei diese zusätzliche Software sowohl nützlich als auch absolut schädlich sein kann. Ein Teil dieser zusätzlichen Software dupliziert Funktionen, die bereits in das Kernbetriebssystem integriert sind.

Eine Standardinstallation von Windows Server 2008 Enterprise Edition beispielsweise hat einen Speicherplatzbedarf von mehr als 5 Gigabyte. Windows Vista Ultimate Edition enthält über 58.000 Dateien und umfasst mehr als 10 Gigabyte. Dabei besteht das Betriebssystem aus mehr als nur aus Dateien. Es enthält viele tausend Konfigurationseinstellungen, und es gibt Daemons und Dienste.

Alle diese Dinge sind Teil des Betriebssystems. Es ist ein Sammelbegriff, der alle Dateien, alle Konfigurationseinstellungen und alle Dienste sowie alle Laufzeitobjekte (Semaphoren, Named Pipes, RPC-Endpunkte) umfasst, die von den Dateien und den Konfigurationseinstellungen erstellt werden. Sogar stark abstrakte Konstrukte wie die Systemzeit und bestimmten Datentypen, z. B. Ereignisprotokollinhalte, sollten als Teil des Betriebssystems betrachtet werden.

Trifft es angesichts des Wachstums und der Entwicklung des Betriebssystems wirklich zu, dass der Computer nicht mehr vertrauenswürdig ist, wenn eine dieser Dateien geändert wird? Die direkte Antwort lautet „Nein“. Windows Vista ist beispielsweise mit edlin.exe ausgestattet, dem alten MS-DOS-Zeileneditor. Ich kann es nicht mit Sicherheit sagen, aber ich würde darauf wetten, dass edlin.exe seit Veröffentlichung des Betriebssystems nur zweimal über alle installierten Kopien von Windows Vista hinweg aufgerufen wurde. Beide Aufrufe fanden vor ungefähr drei Minuten statt, als ich versuchte, mich an die Syntax zu erinnern. Wenn jemand edlin.exe oder eine andere Datei ändert, die niemand je verwendet, bedeutet dies wirklich, dass Ihr Computer nicht mehr Ihr Computer ist?

Edlin.exe ist ein unbestreitbar Teil des Betriebssystems, aber wenn die Datei nie ausgeführt wird, wie kann eine Änderung dann Ihren Computer beeinträchtigen? Die Antwort lautet natürlich, dass dies nicht geschehen wird. Das Ändern eines nie verwendeten Teils des Betriebssystems wird Ihren Computer nicht beeinträchtigen. Es gibt viele Teile des Betriebssystems, die nie verwendet werden.

Die indirekte Antwort lautet jedoch „Ja“. Sie können nicht nur betrachten, ob jemand eine Datei ausführt, wenn es darum geht, ob ihre Änderung zu einer Beeinträchtigung Ihres Computers führen könnte. Das Problem ist etwas komplizierter. Sehen Sie sich beispielsweise die Zugriffssteuerungsliste (access control list, ACL) für edlin.exe in Abbildung 2 an.

fig02.gif

Abbildung 2 Die ACL für edlin.exe wirkt stark einschränkend (zum Vergrößern auf das Bild klicken)

Die ACL für edlin.exe wirkt stark einschränkend. Nur der TrustedInstaller-Dienst hat die Berechtigung, die ausführbare Datei zu ändern. Dies ist sehr wichtig: Es bedeutet, dass sich eine indirekte Auswirkung für einen Angreifer ergibt, der diese Datei auf Ihrem Computer ändert. Das Ändern von edlin.exe bedeutet, dass es nicht mehr Ihr Computer ist. Wesentlich ist hier die Tatsache, dass der böswillige Benutzer die Möglichkeit hat, edlin.exe zu ändern. Wenn der Angreifer diese Datei ändern kann, kann er jede beliebige Datei ändern, und das bedeutet, dass Sie auf dem Computer keiner Sache mehr vertrauen können.

Das Betriebssystem wird sich selbst schützen. Dienste sind vor nicht autorisierter Änderung geschützt. Konfigurationseinstellungen sind vor nicht autorisierter Änderung geschützt. Dateien auf dem Datenträger sind vor nicht autorisierter Änderung geschützt. Selbst die Semaphoren und RPC-Endpunkte, die vom Betriebssystem verwendet werden, sind vor nicht autorisierter Änderung geschützt. Wenn ein Angreifer irgendeines dieser geschützten Objekte ändern kann, kann er alle ändern und hat dies vermutlich bereits getan.

Dies ist ein wichtiger Punkt. Bei mehreren der unveränderlichen Gesetze ist es nicht die Handlung als solche, die dazu führt, dass Ihr Computer beeinträchtigt ist. Wichtig ist allein die Tatsache, dass jemand die Möglichkeit hat, etwas zu tun. Dieser Punkt darf nicht übersehen werden. Bei jedem Aspekt der Computersicherheit müssen Sie immer daran denken, dass die Fähigkeit oft weitaus wichtiger als die eigentliche Aktion ist.

Ist ein Computer, der für das Internet weit offen und monatelang ungepatcht ist, noch vertrauenswürdig? Nein. Dieser Computer muss als beeinträchtigt betrachtet werden. Sie können auf einem System, das möglicherweise beeinträchtigt wurde, keiner Sache vertrauen. (Ich habe dasselbe vor fünf Jahren in meinem Artikel „Hilfe! Mein Computer wurde gehackt. Was kann ich tun?“ geschrieben, der unter technet.microsoft.com/library/cc512587 verfügbar ist.) Wenn Sie es mit einem geschickten Gegner zu tun haben, zeigt ein beeinträchtigtes System möglicherweise keinerlei Anzeichen von Beeinträchtigung. Das System sieht u. U. völlig normal aus.

Fraglos trifft Gesetz 2 immer noch zu. Wenn ein Angreifer die Möglichkeit hat, irgendein geschütztes Objekt auf Ihrem Computer zu ändern, ist es nicht mehr Ihr Computer. Denken Sie daran, dass die Möglichkeit zum Ändern dieser Objekte wichtig ist, nicht die Tatsache, dass sie tatsächlich angegriffen wurden.

Gesetz 3: Wenn ein Angreifer uneingeschränkten physischen Zugriff auf Ihren Computer hat, ist es nicht mehr Ihr Computer.

Dieses Gesetz war im Jahr 2000 sehr wichtig. Vielen war nicht völlig bewusst, was bei physischem Zugriff auf ein System möglich ist. Selbst einige Regierungsbehörden, die es eigentlich besser wissen sollten, begriffen diesen grundlegenden Punkt nicht. Damals empfahlen Sicherheitsrichtlinien, die Option „Allow shut down without logon“ (Herunterfahren des Systems ohne Anmeldung zulassen) zu deaktivieren. Dadurch wird die Schaltfläche „Herunterfahren“ auf dem Anmeldebildschirm abgeblendet dargestellt. Dies beruhte auf der Theorie, dass sich der Benutzer zum Herunterfahren des Computers zuerst anmelden muss, sodass in einem Überwachungseintrag festgehalten wird, wer das System heruntergefahren hat.

Dies ist ein Fallbeispiel für fehlerhaftes Denken. Um über Zugriff auf die Schaltfläche „Herunterfahren“ auf dem Anmeldebildschirm zu verfügen, müssen Sie die Konsole vor sich haben. Wenn Sie an der Konsole sitzen und den Computer wirklich ausschalten wollen, können Sie dies normalerweise mithilfe der großen Taste vorn am Computer oder sogar mithilfe des Netzkabels tun. Das System ist abgeschaltet. Ein Überwachungsprotokoll ist nicht vorhanden.

Windows 2000 enthält eine Sicherheitseinstellung namens „Entfernen ohne vorherige Anmeldung erlauben“, und diese Option ist auch in Windows Vista immer noch verfügbar, wie Abbildung 3 zeigt. Es war dasselbe Prinzip. Um einen Laptop von seiner Dockingstation abzudocken, ist es erforderlich, sich zuerst beim System anzumelden.

fig03.gif

Abbildung 3 Warum würden Sie nicht einfach den Computer und die Dockingstation stehlen? (zum Vergrößern auf das Bild klicken)

Der tatsächliche Sicherheitswert dieser Einstellung ist äußerst zweifelhaft. Ich denke, die Theorie dabei war folgende: Wenn jemand Zugang zum Laptop hat und ihn abdocken kann, könnte er ihn leicht stehlen. Ich selbst würde nie einen Laptop stehlen, aber wenn ich es wollte, würde mich diese Vorbeugemaßnahme nicht abschrecken. Ich würde wahrscheinlich einfach den Laptop zusammen mit der Dockingstation mitnehmen. Warum nicht auch gleich das Netzwerkkabel und das Netzkabel mitgehen lassen? Es ist eine absolut bedeutungslose Sicherheitsoptimierung!

Die Bedeutung des physischen Zugriffs wurde wirklich offensichtlich, als Petter Nordahl-Hagen seinen Offline NT Password & Registry Editor erstellte. Dabei handelte es sich einfach um eine Linux-Startdiskette mit einem experimentellen NTFS-Dateisystemtreiber, der Lese- und Schreibzugriff auf ein NTFS-Volume ermöglichte. Die Software auf der Startdiskette stellte die Registrierung auf dem lokalen Computer bereit und schrieb ein neues Kennwort für das Administratorkonto in die SAM-Struktur (Software Asset Management). Dazu waren lediglich physischer Zugriff auf das System und ein paar Minuten Zeit erforderlich.

Wegen Tools wie diesem wurde Gesetz 3 geschrieben. Tatsächlich wurde das Tool von Nordahl-Hagen in vielen Demos verwendet. Leider wurde dieser Punkt dem großen Publikum nie so recht bewusst. Ich habe das Tool persönlich in einigen Demos verwendet, gab dies aber auf, da ich genug hatte von Fragen wie: „Wie können wir dafür sorgen, dass unsere Benutzer solche Tools nicht kennen?“ oder „Was unternimmt Microsoft, um dieses Problem zu beheben?“ Ein erschreckend großer Anteil von Mitarbeitern in der IT-Branche wollte es einfach nicht akzeptieren oder verstehen, dass physischer Zugriff alles andere zunichte machen würde.

In dieser Umgebung war Gesetz 3 eine sehr wichtige Aussage. Die Kritiker fielen jedoch gnadenlos darüber her. Das Gesetz wurde als Versuch von Microsoft verlacht, das Beheben von Problemen zu vermeiden, die auch nur im Entferntesten an den physischen Zugriff gebunden sein könnten. Gesetz 3 wurde tatsächlich in mehreren Fällen verwendet, um Meldungen über Sicherheitsanfälligkeiten einschließlich des Offline NT Password & Registry Editor-Hack als bedeutungslos abzutun. Das Abblocken von Angreifern, die physischen Zugriff auf das System haben, ist allerdings wirklich nur auf eine Art und Weise möglich: Stellen Sie sicher, dass sie keinen Zugang haben.

Dort liegt möglicherweise der schwache Punkt von Gesetz 3. Seit die Gesetze geschrieben wurden, hat sich durch die Technologie zur vollständigen Datenträgerverschlüsselung eine mögliche Lösung ergeben. Mit vollständiger Datenträgerverschlüsselung, die richtiger als vollständige Volumeverschlüsselung bezeichnet wird, kann ein ganzes Volume (bei anderen Betriebssystemen als Partition bezeichnet) verschlüsselt werden. Wenn also das gesamte Startvolume (d. h. das Volume mit dem Betriebssystem) verschlüsselt ist, müssen wir uns die Frage stellen, ob Gesetz 3 noch immer gilt.

Die Antwort dürfte „sehr wahrscheinlich ja“ lauten. Zum einen müssen die Entschlüsselungsschlüssel irgendwo gespeichert werden. Der einfachste Speicherort für die Schlüssel und die Standardoption in BitLocker ist ein TPM-Chip (Trusted Platforms Module) auf dem Computer. Dadurch kann der Computer unbeaufsichtigt gestartet werden. Nachdem der Computer gestartet wurde, kann ein einfallsreicher und gut ausgestatteter Angreifer mit permanenter physischer Kontrolle über den Computer ihn auf vielfältige Weise angreifen. Da der Computer jetzt mit einem beliebigen Netzwerk verbunden werden kann, könnte es netzwerkbezogene Möglichkeiten für Angriffe auf das System geben.

Der Angreifer könnte beispielsweise mithilfe eines Geräts für den direkten Speicherzugriff (Direct Memory Access, DMA), wie z. B. einem USB-Flashlaufwerk, Lese- und Schreibvorgänge im Speicher durchführen. Wenn der Computer erst einmal ausgeführt wird, ist einem Angreifer mit physischem Zugriff auf diesen Computer alles möglich.

Wenn die Schlüssel nicht auf dem Computer selbst gespeichert werden, hängt der Erfolg des Angriffs davon ab, ob der Angreifer die Schlüssel erlangen oder erraten kann. Wenn ein PIN-Code zum Starten des Computers verwendet wird, kann der Angreifer den Code wahrscheinlich mit relativ wenig Mühe erraten. Wenn die Schlüssel auf einem separaten Hardwaregerät, z. B. auf einem USB-Flashlaufwerk oder einem Fob mit einem Einmalkennwort, gespeichert sind oder dort abgeleitet werden, muss der Angreifer Zugriff auf dieses separate Gerät haben. Es gibt sicherlich Möglichkeiten, sich diese Schlüssel zu verschaffen oder das Leben der Person, die darauf Zugriff hat, sehr unangenehm zu machen, wobei der erforderliche Aufwand jedoch etwas höher ist.

Sie könnten Gesetz 3 auch auf etwas andere Art interpretieren: „Falls ein Angreifer physischen Zugriff auf Ihren Computer hat, wurde der Computer wahrscheinlich gestohlen, und es ist daher unwahrscheinlich, dass Sie ihn zurückerhalten werden.“ Aus dieser Perspektive betrachtet, gehört der Computer Ihnen wirklich nicht mehr. Unter diesem Gesichtspunkt könnte es für den Angreifer bedeutungslos sein, ob er auf die Daten auf Ihrem Computer zugreifen kann oder nicht. Darum geht es jedoch im Gesetz 3 gar nicht. Vielmehr war damit gemeint, dass der Angreifer Zugriff auf die Daten auf Ihrem Computer und nicht nur auf den Computer selbst hatte.

Alles in allem Dinge gilt Gesetz 3 immer noch. Es stimmt, dass bestimmte Technologien heute viel dazu beitragen, viele Angreifer mit physischem Zugriff abzuwehren, und folglich die Anzahl der Angreifer minimieren, die auf Daten auf einem Computer mit implementierten Sicherheitsmaßnahmen zugreifen können. Abgesehen davon, hängt es immer von den Fähigkeiten des Angreifers ab, wie viel er tatsächlich erreichen kann, und neue Technologien wirken sich – in gewissem Maße – auf viele der 10 unveränderlichen Gesetze aus. Der physische Zugriff bietet aber immer Möglichkeiten zum Zugriff auf ein System, auch wenn sie komplexer sein mögen.

Bis jetzt erweisen sich die unveränderlichen Gesetze zur Sicherheit sowohl im Hinblick auf den technologischen Fortschritt als auch die Zeit als sehr stabil. Von den ersten drei Gesetzen steht das dritte am ehesten auf schwachen Füßen, aber auch dieses Gesetz gilt in einigen Fällen immer noch. Es ist jedoch das Gesetz, für das es die meisten leicht verfügbaren und stabilen Schutzmaßnahmen gibt. In den nächsten beiden Ausgaben des TechNet Magazins werde ich diese Diskussion fortsetzen und erörtern, ob die Gesetze 4 bis 10 immer noch unveränderlich sind.

Jesper M. Johansson ist Softwarearchitekt mit dem Schwerpunkt Sicherheitssoftware und schreibt redaktionelle Beiträge für das TechNet Magazin. Er hat seine Doktorarbeit zum Thema Management Information Systems geschrieben, verfügt über mehr als 20 Jahre Erfahrung auf dem Gebiet der Sicherheit und ist Microsoft MVP (Most Valuable Professional) im Bereich Unternehmenssicherheit. Sein aktuelles Buch ist das „Windows Server 2008 Security Resource Kit“.