Backdooring wird stets unterschätzt
Marc Ruef | 15.12.2008

Jetzt mal ehrlich: Jeder von uns verwendet irgendwie und irgendwo closed-source Software. Also eine Anwendung, deren Quellen und interne Funktionsweise nicht einsehbar sind. Dies bedeutet, dass wir als Endanwender vor einer mysteriösen "Blackbox" sitzen, die wir nicht verstehen können, an die wir blind glauben müssen. Wahrscheinlich sitzen Tag für Tag mehr "Gläubige" vor einem Computer, weder in der Kirche.

"Wieso hackt der nun wieder auf closed-source rum? Es ist doch alles nur halb so schlimm?" wird sich der eine oder andere Fragen. Nein, ich bin kein religiöser Fundamentalist, der seinen open-source Fanatismus zur Schau stellen muss. Viel mehr geht es darum aufzuzeigen, dass geschlossene Produkte immer ein unkalkulierbares Risiko in sich bergen.

Gehen wir davon aus, wir sind ein Unternehmen, dem Sicherheit am Herzen liegt. Wir kaufen von einer israelischen Firma (die Herkunft derer ist rein zufällig gewählt) ein Sicherheitsprodukt ein. Es handelt sich dabei um ein ausgeklügeltes Authentisierungs-System, das durch Best Practice-Ansätze und State of the Art-Mechanismen ein Höchstmass an Sicherheit gewährleisten will. Ein kleines Beispiel einer solchen Anwendung habe ich hier (Binary und Sourcen) (http://www.computec.ch/mruef/software/backdoor_example.zip) bereitgestellt.

Nun ist es so, dass sich hier nur jemand mit einem legitimen Login authentisieren kann. Ohne das Wissen um den Benutzernamen und das geheime Passwort wird man sich nicht anmelden können. Der von uns eingerichtete Benutzer lautet "admin" und dessen Passwort lautet "secret". Da wir diese Information für uns behalten, wird sich da niemand einfachso anmelden können. Wir jubeln, denn wir haben ein tolles Produkt. Die israelische Firma jubelt auch, denn die hat dafür unser gutes Geld gekriegt.

Die Firma in Israel ist aber nicht ganz so lieb und dachte sich: "Okay, vielleicht wollen wir uns trotzdem irgendwann mal anmelden. Wer weiss, vielleicht macht unser Kunde irgendwann Geschäfte mit dem bösen Iran?". Aus diesem Grund hat einer der Entwickler eine Hintertür eingerichtet. Schreibt er in das erste Feld den Benutzernamen "backdoor" und klickt auf die Taste F12, wird er auch ohne legitimes Konto authentisiert...!

Das Problem ist, dass man eine solche Hintertür nur mit erheblichem Aufwand entdecken kann. In einem Real-World Test müsste man alle möglichen Eingaben und Abläufe durchprobieren. Die Hintertür könnte aber auch durch das dreimalige Klicken auf den Login-Button, die Eingabe von "stfu23" in das Passwortfeld und das Drücken der Tastenkombination Ctrl+Alt+4+2 aktiviert werden. Ein Ding der Unmöglichkeit, dies zeitnah herauszufinden!

Alternativ könnte man versuchen durch ein Disassemblieren der Binaries ein Reversing durchzusetzen. Mit viel Aufwand und Wissen könnte man die Hintertür ausmachen. Doch bis dann existieren wahrscheinlich entweder Israel oder der Iran in der gegenwärtigen Form nicht mehr. Oder unser fiktives Unternehmen wurde durch einen amerikanischen Konzern übernommen und wir mittlerweile durch indische Entwickler ersetzt.

Wäre die Anwendung quelloffen und damit eine Source Code Analyse möglich, könnte man mit relativ wenig Aufwand die unliebsamen Codeteile ausfindig machen. Ein geübter Analyst sähe eine Prozedur wie folgende spätestens auf den zweiten Blick:

codePrivate Sub txtUser_KeyUp(KeyCode As Integer, Shift As Integer)
    If (txtUser.Text = "backdoor" And KeyCode = 123) Then
        MsgBox "You are authenticated with the secret backdoor sequence!", vbCritical, "Authentication successfull"
    End If
End Sub/code

Längerfristig ist es nur ein Vorteil, wenn eine Anwendung offen angeboten wird. Im Bereich und zu Gunsten der Sicherheit ist es gar eine Pflicht! Doch nach wie vor haben das viele Firmen und Organisationen nicht verstanden. Da werden geschlossene VPN-Lösungen aus Übersee eingekauft, die dubiose HTTP-Ports an der externen Schnittstelle anbieten, die ihrerseits angeblich keinen Nutzen haben (wieso sind sie denn vorhanden?!). Oder halt die Schweizer Armee, die irgendwelche Technologiespielereien aus dem Heiligen Land einkauft (http://www.israswiss.ch/israswiss/archiv/il2005/50457396030ca8301.html) und sich dabei auf die Zusicherung verlässt, dass alles mit rechten Dingen zugeht. Kein Wunder werden die westlichen Nachrichtendienste seit Jahrzehnten durch den Mossad belächelt (siehe hierzu die nicht unumstrittenen Enthüllungen von Viktor Ostrovsky).

Bekanntlich sind aber in der Liebe und im Krieg alles erlaubt... Und nur weil man nicht mitbekommt, dass andere Menschen böse Dinge planen und durchführen, heisst es nicht, dass es sie nicht gibt. In diesem Fall ist man ja schliesslich gerade darum bemüht, dass solche Bestrebungen nie ans Tageslicht kommen. Und dank closed-source haben die Nutzer eher schlechte Karten.