Ausnutzung von Schwachstellen
Trend Micro wird CVE Numbering Authority
Als weltweit agierende Sicherheitsfirma ist Trend Micro mit der offensiven Entdeckung von Schwachstellen und Offenlegung von Fehlern sehr vertraut. Dennoch war der Schritt, eine offizielle CVE Numbering Authority (CNA) zu werden nicht trivial.
Originalbeitrag von Jonn Perez, Sr. Director, Vulnerability Response (PSIRT) and Global Programs
Als weltweit agierende Sicherheitsfirma ist Trend Micro die offensive Entdeckung von Schwachstellen und Offenlegung von Fehlern sehr vertraut. Immer wieder meldeten wir sogar einen Zero Day, wenn ein Hersteller ein kritisches Sicherheitsproblem nicht ernsthaft anging. Dennoch war es etwas anderes, wenn Forscher uns über mögliche Sicherheitslücken in unserer eigenen Technologie informierten – als erste Reaktion wollte man die Nachricht verbergen und hoffen, dass sie nicht viele zu sehen bekämen. Die Übernahme von TippingPoint Ende 2015, zu der auch die Zero Day Initiative (ZDI) gehörte, das weltweit größte herstellerunabhängige Bug Bounty-Programm, beschleunigte unser Bestreben, eingehende Schwachstellen besser zu organisieren und zu handhaben. Wie schon HP, die frühere Muttergesellschaft von TippingPoint, stellt die Übernahme von ZDI auch Trend Micro direkt in den Mittelpunkt, und kurz darauf sahen wir uns mit Berichten zu einen Zustrom von Schwachstellen gegen mehrere unserer Produkte konfrontiert. Und es stellte sich zudem heraus, dass die Forscher nicht nur erwarteten, bei der Offenlegung über die Attribution formell anerkannt zu werden, sondern auch, dass eine CVE-ID vergeben wird.
Interessanterweise fragte die ZDI im Rahmen der Recherchen und Verhandlungen, um eine CVE Numbering Authority (CNA) zu werden, ob Trend Micro auch daran interessiert wäre. (Anmerkung: ZDI und Trend Micro agieren als völlig getrennte Einheiten, wenn es um die Zuweisung von CVE-IDs und die Offenlegung von Sicherheitslücken geht). Obwohl es für ZDI ein Volltreffer war, CNA zu werden, war es für das Schwachstellenreaktionsteam von Trend Micro kein so offensichtlicher Weg. Vom defensiven Standpunkt aus betrachtet, waren einige immer noch der Meinung, dass es der richtige Weg sei, keine Aufmerksamkeit auf Schwachstellen zu lenken, indem man mehr CVE-IDs ausgibt.
„Das bringt zu viel Aufwand mit sich“, „wir werden eine Menge schlechte Presse bekommen“ und „werden einen enormen Anstieg der Menge der Fälle erleben“, waren die anfänglichen Einwände. Doch nachdem wir uns über die Schritte zum CNA und die daraus entstehenden Vorteile informiert hatten, wurde klar:
Wir wären nicht nur in der Lage, unser Schicksal selbst zu kontrollieren, sondern könnten den Kunden und der Sicherheitsbranche zeigen, dass wir keine Angst vor unseren Fehlern und Schwächen haben und daraus lernen, um stärker zu werden.
Natürlich wissen wir aufgrund der Erfahrung mit offensiver Forschung genau, dass selbst mit den besten Absichten und Sicherheits-Codierungspraktiken Schwachstellen eine Realität in der Codeentwicklung sind. Es gibt immer neue und innovative Wege, wie Forscher (und Übeltäter) den Code analysieren und Schwachstellen finden können. Indem wir uns diese Lücken eingestehen und sie durch verantwortungsvolle Offenlegung beheben, können wir unsere Kunden und Benutzer viel besser schützen, denn ihre Gefährdung ist so weit wie möglich limitiert. Da CVE der De-facto-Standard ist (z. B. die „gemeinsame Sprache“ für die Offenlegung von Schwachstellen), können wir sicherstellen, dass wir unseren Anwendern die Notwendigkeit von Abhilfemaßnahmen und Patches effizient kommunizieren.
Vorteile als CNA
Danach ging es nicht nur darum, CVEs in unseren regulären Offenlegungsprozess zu integrieren – das war ziemlich einfach. Am Anfang schien der ganze Prozess einen zusätzlicher Aufwand zu bedeuten: Wir mussten neben unseren regulären Sicherheitsbulletins eine weitere CVE-ID-Einreichung mit einem bestimmten Format vornehmen. Doch in der Rückschau zeigte sich, dass durch die Vorverlagerung der Arbeit, d.h. die Sicherstellung, dass unsere eigenen Sicherheitsbulletins die meisten der erforderlichen CVE-ID-Einreichungsinformationen verwenden, die Qualität unserer eigenen Bulletins verbessert und der gesamte Offenlegungsprozess rationalisiert wurde. CVEs können sowohl für die interne Katalogisierung als auch für die externe Offenlegung verwendet werden.
Der wirkliche Wert aber, den das Programm bietet, liegt auch in der Interaktion mit anderen CNAs – vielen unserer Kollegen (und Konkurrenten), sowie denen außerhalb unserer eigenen Branche. Die Teilnahme an den umfangreichen Arbeitsgruppen des CVE-Programms ermöglicht den Ideenaustausch und zeigt, dass einige unserer Herausforderungen auch andere zu meistern hatten.
Das CNA-Programm besteht aus einer organisierten Gruppe von gleichgesinnten Sicherheitsexperten, und es ist sehr einfach, dazu beizutragen und im Gegenzug viel zu gewinnen. Die Kombination aus den größten und kleineren Unternehmen ergibt viele Stimmen, die gehört werden. Auch geben Schwachstellenjäger und Forschungsorganisationen Einblicke in das, wonach sie suchen und welche Probleme sie mit Anbietern wie uns haben. So haben diese Erfahrungen nicht nur unsere allgemeine Reaktion auf Schwachstellen verbessert, sondern wir konnten einige Erkenntnisse anwenden, um unsere allgemeinen proaktiven, sicheren Entwicklungsprozesse zu bereichern, um potenzielle Probleme bereits in frühen Entwicklungsstadien auszumerzen.