Inside IONOS

Transkript

Zurück zur Episode

00:00:00: Music.

00:00:06: Hallo und herzlich willkommen bei Inside IONOS. Mein Name ist Andreas Maurer.

00:00:12: Sie nutzen zu Hause oder im Büro wahrscheinlich einen Windows-PC oder einen Rechner von Apple mit Mac OS.

00:00:17: Ein großer Teil der Internet Infrastruktur läuft aber auf dem freien Betriebssystem Linux. Und wenn es hier zu Sicherheitslücken kommt können die schnell Auswirkungen auf Millionen von Nutzerinnen und Nutzern haben.

00:00:26: Max Kellerman ist Softwareentwickler bei unserem Tochterunternehmen CM4all und hat vor kurzem eine solche schwere Sicherheitslücke entdeckt. Max, was ist da genau passiert? Das ist eine Lücke mit der man die Sicherheitsmechanismen des Linux-Kernels umgehen kann.

00:00:40: Das ist ein Fehler im sogenannt Linux-Kernel der die Daten alle Applikationen verwaltet und dir kann ich anstellen wo es eigentlich nicht möglich sein sollte Dinge zu daten zu beschreiben kann ich eben dann beliebig,

00:00:53: Daten überschreiben und manipulieren vielleicht mal kurz erklären was genau ist das.

00:00:59: Der Kanne nennt man den Kern des Betriebssystem der ist die Brücke zwischen der eigentlichen Hardware und den Applikationen

00:01:08: und der verwaltet eben alle Gerätetreiber verwaltet alle Daten verwaltet die Daten auf allen Festplatten und ist

00:01:14: dafür zuständig die Berechtigungen alle Applikationen zu überprüfen,

00:01:18: genau dafür ist ging's ja eigentlich bekannt dass es da sehr granulare Berechtigung gibt das heißt ich kann bei jeder Datei sagen ob die jemanden einzelne Nutzer oder eine Gruppe ausführen lesen.

00:01:27: Oder beschreiben darf was ist da schief gegangen dass das auf einmal jeder konnte.

00:01:31: Die Berechtigung funktionieren natürlich nur dann wenn er kann sich darüber im Klaren ist was eigentlich gerade passiert ist gibt viele Möglichkeiten Berechtigung für bestimmte Aktion einzustellen.

00:01:40: Hier ist es kommt aber kommt aber zu einem Missverständnis.

00:01:44: Was ist ein einen Fehler in der Verarbeitung dieser Rechte gibt dass er an einer Stelle ist ein Trick gibt um man kann sozusagen vorbeizulaufen sich hinter diesem Bericht der Mechanismen zu verstecken,

00:01:55: das sind Fehler die treten immer mal wieder auf jede Software hat irgendwo ihre Bugs.

00:02:00: Und das ist dann durchaus normale Sache dass sie dann entdeckt wird und dann eben behoben wird warum ist diese Sicherheitslücke jetzt eigentlich genauso gefährlich.

00:02:09: Die ist deswegen gefährlich weil man sich normalerweise darauf verlässt das ein Betriebssystem ob das Linux Windows oder ein anderes ist dass das.

00:02:17: Auch die Daten gut aufpasst also nicht nur dass das darf nicht auf der Festplatte speichere auch genauso wieder da rauskommen dass sie nicht kaputt gehen in unserem Fall war also dass sie kaputt gegangen sind im anderen Fall kann so ein Fehler auch dazu führen dass ein Angreifer darf noch manipulieren kann.

00:02:30: Wenn der wenn der Angreifer möchte dann kann er bestimmte Dateien an bestimmten Stellen überschreiben und sagen beim wichtigen Dokumenten irgendwelche Werte ändern,

00:02:38: er kann selber wie sie sich mehr Berechtigung geben also eigentlich hatte er kann damit ja auch Daten auslesen da die eigentlich nicht lesen sollte und das sind die Dinge die für die der Colonel normalerweise zuständig sind wenn ein Bug Auftritt dann schafft er eben das nicht.

00:02:53: Dass du garantieren und da man sich darauf verlässt dass er das tut ist das eben wichtig dass eben solche Lügner noch schnell geschlossen werden

00:02:59: ihr habt diese Lücke jetzt dirty pipe getauft im ich glaube diesen pipe stecke auch schon so bisschen drin wo der Fehler lag

00:03:05: ja das ist so ein bisschen Augenzwinkern der Referenz auf in ein anderes Sicherheits noch dass es glaube ich vor fünf Jahren schon mal gegeben hat das ehrlich funktioniert hatte wo man auf ähnliche Weise beliebige Daten überschreiben konnte.

00:03:16: Das haben die Kinder damals dirty cow genannt Chaos nicht die Kuh sondern ist eine Abkürzung für copy-on-write das ist ein Mechanismus im Kabel wo es um das Teilen von Daten zwischen Schienen Prozessen geht,

00:03:27: das geht bei uns eben nicht um copy-on-write um diesen Mechanismus sondern um sogenannte pipes

00:03:32: und pipes ist eine ist ein anderer Mechanismus wo verschiedene Applikationen untereinander Daten austauschen können und um diese Zeit geht das eben das ist ein Trick wo ich den kann über eine Pipe davon überzeugen kann bestimmte Daten zu beschreiben,

00:03:44: du bist du jetzt überhaupt auf diese Lücke aufmerksam geworden.

00:03:46: Da bin ich unfreiwillig drüber gestolpert weil wir auf vereinigen Servern immer wieder kaputte Dateien haben und ich bin einfach nicht drauf gekommen wie unsere Software dazu kam da,

00:03:59: naja die Daten kaputt zu machen das war ein Fehler drin dass er gab alles überhaupt keinen Sinn und ich habe gesucht und gesucht und gesucht und habe nichts gefunden bis ich am Ende.

00:04:07: Über viele Umwege draufgekommen bin dass es ein Bug in Kandel ist der eben meine Anfragen bestimmte Daten irgendwohin zu schreiben an die Haltestelle schreibt.

00:04:16: Und was hast du dann unternommen als du das Problem identifiziert hattest.

00:04:22: Ja ich habe erst mal genau geschaut wo ist die wo ist diese Probleme im Colonel habe dann relativ schnell festgestellt also ich konnte das reproduzieren konnte Abendprogramm geschrieben wo ich nach einer Sekunde sehen kommt okay das heißt dass ich dich kaputt.

00:04:35: Das eigentlich immer das allerschwierigste wenn man so ein Fehler hat der Daten kaputt macht wie wie kriege ich das nachgestellt das einmal nachgestellt hat dann kann man gucken ok der können bei dieser neuesten Kernel Version 3 Fehler auf dann sucht man keine Version die

00:04:48: Bayern alte Version bitte das nicht mehr auftritt die habe ich relativ schnell gefunden.

00:04:52: Und such dann exakt die Stelle dazwischen wo die Version dazwischen die hier die erste ist die verwundbar ist gegen diese gegen dieses Problem und nachdem ich das genau identifiziert hatte an welcher Stelle das zuerst,

00:05:04: aufgetreten ist habe ich dann das Linus keine secret gegeben kontaktiert per E-Mail das sind bestimmt keine Entwickler die genau wisse kühlt die Fragen zuständig sind unter anderem Linus Torvalds der Erfinder von Linux,

00:05:16: und habe mit denen darüber gemeldet und die haben mir dann bestätigt da das ist genau dieser dieser Fehler ich hatte den dann direkt schon,

00:05:24: eine Lösung für das Problem geschrieben und das haben die danach dann aufgenommen und habe dann mit den weiteren Zeitplan besprochen wie wir weiter damit umgehen.

00:05:33: Dass er glaube ich auch noch ein wichtiger. Linux ist eine sogenannte Open-Source-Software das heißt der Quellcode ist frei und es gibt auch keine Firma der Linux gehört.

00:05:39: Das heißt das ist eigentlich nur eine freie Gruppe von Entwicklern Jahren die du dich da gewendet hast ja das richtig ist wird von vielen tausenden programmieren auf alle Welt entwickelt,

00:05:49: viele davon sind auch angestellt bei Firmen die sich für Linus interessieren und die liegen selber reinsetzen.

00:05:57: Und die natürlich an den dem Moment sich das Know-how.

00:06:01: Dann nennen er in der Firma haben wollen aber im Endeffekt ist es dann doch ein Loser Haufen von von Leuten die aus ihrer Freizeit machen und Leuten die das auch beruflich machen,

00:06:10: und da gibt es eben eine bestimmte erreiche von Teams die sich dann um bestimmte Teile von,

00:06:14: Teams verantwortlich kümmern und ein Team davon ist eben dass er kühlt die den Kontakt habe und die hat die ganze Zeit über Linux gesprochen aber betroffen waren ja glaube ich auch Smartphones mit dem Betriebssystem Android wie hängt das zusammen,

00:06:29: Android ist auch Linux das sieht zwar ein bisschen also aus und bedient sich ein bisschen anders als das klassische Linux was man vielleicht kennt.

00:06:36: Aber rein technisch gesehen ist es das gleiche Betriebssystem also der gleiche Betriebssystem Kabel wo eben nur andere eine andere Art von Applikationen drauf installiert sind.

00:06:46: Und dementsprechend wenn Linux von einer Lücke betroffen ist ist oft auch ein Deuter von betroffen und was hätte jetzt auf Android-Smartphones passieren können da sind ja normalerweise nicht mehrere Nutzer die dieselbe Telefon benutzen.

00:06:58: Das stimmt wer wichtig bei Android ist nicht die Isolation von verschiedenen Benutzern untereinander wenn mehrere Benutzer der einen Computer benutzen.

00:07:06: Sondern der er hauptsächlich dass verschiedene Apps bestimmte Berechtigungen haben es gibt z.b. Apps die dürfen von der Kamera Bilder aufnehmen es geht andere Apps wiederum sollen das eben nicht wenn ich mir ein klassischer Fall ich lad mir ein Puzzle Spiel runter,

00:07:21: dann soll das mich nicht dabei filmen oder bei ihr oder wäre das in meine Gespräche aufnehmen,

00:07:25: das hat dann eben keine Berechtigung dazu die Spiele ab darf z.b. auch nicht meine WhatsApp Nachrichten lesen die verschlüsselt auf dem Handy installiert sind

00:07:32: und er an der Fälle ist es ja auch besonders wichtig dass eben die Apps voneinander gut getrennt sind dass sie eben nicht sich gegenseitig in die Quere kommen oder meine Privatsphäre verletzen wenn ich das nicht will,

00:07:41: und deswegen ist das hier so gefährlich weil der Colonel ist eben nicht mehr schafft die Apps gegeneinander ab zu regeln.

00:07:50: Das jetzt ja glaube ich über zwei Wochen her dass du diese Lücke entdeckt hast das ist ein Prozess der nennt man glaube ich responsible disclosure was ist jetzt in den zwei Wochen passiert.

00:07:59: Ja zunächst habe ich direkt am Meer am selben Tag geben dass Linus keine Security Team kontaktiert habe dann ein paar Tage später mit einer anderen privaten Mailingliste gesprochen.

00:08:08: Das sind die Linus durch Portionen die eben auch Vorbereitungszeit brauchen um Security Update herauszugeben.

00:08:15: Ja ich habe mit Google viel gemeldet die natürlich auch ein Interesse daran haben das Android dass das Problem Android behoben wird.

00:08:23: Und responsible disclosure hast du eben schon angesprochen das ist eben ein Verfahren wo man sagt ich habe einen Sicherheit Loch gefunden aber startet das sofort zu veröffentlichen und sagen hey ich haben sich jetzt noch gefunden,

00:08:33: sag mal wie wir geben erst mal den Hersteller in dem Fall natürlich die weltweite Linux community,

00:08:38: wir gehen den erstmal die Chance dass sie secret die Update rausbringen und erst wenn sie das gemacht haben nach einer vernünftigen Frist sagt man jetzt gehen wir an die Öffentlichkeit und jetzt veröffentlichen wir die ganze Sache und informieren eben.

00:08:50: Gegen den Rest der Welt von der ganzen Sache nachdem erst alle die Chance hatten sich eben die Updates zu installieren.

00:08:57: Wenn man das sofort veröffentlichen würde dann wäre wäre eben das Problem dass es noch keine Updates geht.

00:09:02: Und jeder er verwundbar ist und das ist eine Sache die man eigentlich vermeiden möchte von einem reduziert man so das Risiko für alle Linux Benutzer

00:09:10: zum Schluss dann die Frage die sich glaube ich bei jeder Sicherheitslücke stellt was müssen jetzt die Nutzer von Android und von Linux Systemen beachten was soll man jetzt tun

00:09:18: auf jeden Fall Ausschau halten nach Sicherheitsupdates alle Update immer einspielen dass es immer wichtig das gilt für jeden Computer und auf jede Smartphone.

00:09:27: Und das wird sich jetzt eben einstellen dass die nächsten Tage diese Update eben auch veröffentlicht werden wie stehen alle schon in den Startlöchern vielen and Max Kellerman.

00:09:36: In den Shownotes zu dieser inside IONOS Folge finden Sie den Link zu einem Blogpost in den Max ausführlich beschreibt wie er dirty pipe gefunden hat.

00:09:43: Wir freuen uns wie immer über Kommentare und Bewertungen für unseren Podcast,

00:09:47: sie erreichen unser Team ganz einfach über Podcast étaient aus.com oder wird es auch schon wieder Kanäle Jonas unterstrich de auf Twitter,

00:09:54: ionos. Deutschland auf Facebook oder auf LinkedIn ganz einfach Jonas vielen Dank fürs Zuhören alles Gute und hoffentlich bis bald.

00:10:01: Music.