Die Krux mit Frameworks, XR und Apple

Im Berner Kursaal ist am 12. Oktober 2021 die Swiss Cyber Storm über die Bühne gegangen. Die 11. Ausgabe der Fachtagung für IT-Sicherheit konnte vergangenes Jahr aufgrund der Pandemie nicht stattfinden. Auch dieses Jahr sei es schwierig gewesen, den Event auf die Beine zu stellen, sagte Bernhard Tellenbach, Präsident der Konferenz, zu Beginn des Anlasses. Program Chair Christian Folini bedankte sich bei den Sponsoren für ihr Engagement. Es sei riskant, in diesen Zeiten einen solchen Event durchzuführen.

SBOMS, Frameworks und Grenzen

Die letzte Ausgabe der Swiss Cyber Storm fand 2019 statt. Das Motto damals lautete "Embrace the hackers". Ursprünglich, verriet Folini, hätte danach eine Fachtagung zum themenschwerpunkt E-health stattfinden sollen. Doch dann sei die Pandemie gekommen, und mit ihr eine breite E-health-Diskussion. "Das Thema wäre heiss gewesen", sagte Folini im Interview. Dieses Jahr habe man sich aber für einen anderen Schwerpunkt entschieden, denn "Die Leute mögen nicht länger über Corona und E-health reden."

Program Chair Christian Folini. (Source: Swiss Cyber Storm)

Stattdessen lautete das Motto der diesjährigen Konferenz "Securing the Supply Chain". Das Thema sei dieses Jahr wichtiger geworden, sagte Folinii. "Mehr Leute beschäftigen sich damit, und Staaten sprechen mehr über kritische Infrastrukturen und deren Supply Chain."

Warum es für ein Unternehmen schwierig ist, die gesamte Lieferkette ihrer IT im Auge zu behalten, zeigte Keynote-Sprecherin Wendy Nather, Leader des Advisory CISO Team bei Cisco. Demnach gibt es Möglichkeiten und Tools, Daten zur eigenen Supply Chain zu sammeln. Namentlich erwähnte Nather die "Software Bill of Materials" (SBOM). Darin werden alle zu einer Software gehörenden Komponenten aufgelistet. Allerdings nützt das Sammeln möglichst vieler Daten zur Supply Chain nichts, wenn nicht auch klar ist, was mit den Daten geschieht. Ein Unternehmen müsse sich im klaren sein, wem es vertraut und wen es bei möglichen Vorfällen informiert. Das Definieren der dazu notwendigen Prozesse ist komplex, wie Nathers Referat verdeutlichte. Auch wurde klar, dass es die 100-prozentige Sicherheit nicht geben kann, denn "es gibt keinen Endpunkt einer Lieferkette" und "wir sind alle voneinander abhängig".

Wendy Nather, Leader des Advisory CISO Team bei Cisco. (Source: Swiss Cyber Storm)

Um Abhängigkeiten in einem sehr spezifischen Bereich der Softwareentwicklung ging es im Referat von Ksenia Peguero. Sie ist Senior Manager of Research Engineering bei Synopsys und suchte im Rahmen ihrer PhD in verschiedenen oft genutzten Frameworks der populären Programmiersprache JavaScript nach Schwachstellen. Unter Entwicklern gelte oft der Grundsatz: "Schreibe nicht deine eigenen Sicherheitsfunktionen, sondern nutze dafür ein Framework - das ist sicherer", erklärte Peguero. Doch wie sie während ihrer Forschungsarbeit feststellte, enthält so manche populäre JavaScript-Bibliothek gravierende Sicherheitslücken. In diesen Fällen liegt es am Entwickler, seinen Code mittels zusätzlicher Funktionen abzusichern. Eine weitere Möglichkeit sei, die Sicherheit eines Frameworks mittels zusätzlicher Plug-ins zu erhöhen. In jedem Fall liege es an den Entwicklern, die Sicherheit aller eingesetzter Komponenten zu überprüfen, sagte Peguero. Sie wies in ihrer Präsentation auch darauf hin, dass sich seit ihrer Erhebung im Jahr 2016 bei den Frameworks einiges getan habe, und manche Schwachstelle beseitigt worden sei.

Welche Programmiersprachen nebst JavaScript sonst noch besonders beliebt sind, lesen Sie hier.

Mit VR in den Tod

Unter den mehr als 30 Referaten stachen ein paar hervor, die sich mit besonders neuen Entwicklungen auseinandersetzten. Kavya Pearlman, Gründerin und CEO der Extended Reality Safety Initiative (XSRI), Thematisierte AR- und VR-Anwendungen, die sie jeweils unter dem Begriff Extended Reality (XR) zusammenfasste. Die Technologien werden schon längst nicht mehr nur für neuartige Games verwendet. Grosse Konzerne arbeiten aktiv daran, XR zu einem Teil unseres Alltags werden zu lassen, sagte Pearlman. Als Beispiel verwies sie mehrfach auf Facebook-CEO Mark Zuckerbergs Vision eines Multiversums (Multiverse). Sie nannte aber auch andere XR-Anwendungen etwa aus der Medizin.

Kavya Pearlman, Gründerin und CEO der Cross Reality Safety Initiative. (Source: Swiss Cyber Storm)

Das Problem bei all diesen Anwendungen sei im Grunde ein uraltes, sagte Pearlman: Sicherheit und Datenschutz seien bei der Entwicklung erst ein nachträglicher Gedanke. Pearlman, die einst selbst für Facebook gearbeitet hatte, warnte vor der gigantischen Datenmenge, die das soziale Netzwerk dank VR-Brillen über seine User sammeln und auswerten kann.

Später beschrieb sie mögliche Cyberattacken auf XR-Anwendungen: Namentlich könnte ein Angreifer etwa die auf der VR-Brille angezeigten Bilder und Informationen manipulieren. Damit würde es möglich, den Anwender gezielt in eine bestimmte Richtung zu lenken und zu verletzen. Einen Todesfall habe es im Zusammenhang mit VR-Anwendungen schon gegeben, erwähnte Pearlman im Interview. Wie "Gamestar" berichtet, starb im Jahr 2017 ein Gamer. Laut dem Portal sei er beim Spielen "unglücklich gestolpert". Hinweise auf eine Manipulierte VR-Anwendung scheint es in diesem Fall keine zu geben.

Gefordert wären jetzt eigentlich staatliche Regulierungsbehörden, sagte Pearlman. Aber: "Sie fangen jetzt erst damit an, die Probleme des Jahres 2016 zu lösen", sagt sie im Interview, und verweist auf den Datenskandal um das Britische Unternehmen Cambridge Analytica.

Hoffnung setzt sie auch auf die Community ethischer Hacker: "Wir müssen den Bad Guys beim hack der virtuellen Realität voraus sein. So können wir den Regierungen die Gefahren aufzeigen, und dadurch bessere Gesetze erhalten."

Private Daten sind nicht mehr privat

Auch Nadim Kobeissi, CEO von Capsule Social, erhob eine warnende Stimme. Er befasste sich mit dem heftig umstrittenen "Kinderporno-Scanner", den der Tech-Gigant Apple in sein Smartphone-Betriebssystem iOS einbauen wollte. Dabei würden die auf iPhones gespeicherten Fotos - oder zumindest deren Hashes - mit jenen verglichen, die von ausgesuchten Kinderschutz-Organisationen in eine Datenbank eingetragen wurden.

Nadim Kobeissi, CEO von Capsule Social. (Source: Swiss Cyber Storm)

Dass ein Techkonzern die privaten Fotos eines Nutzers automatisch durchsucht, ist eigentlich nicht neu, merkt Kobeissi im Interview an. Aber: "Der Scan wird in diesem Fall gänzlich offline, auf dem privaten Gerät des Nutzers, durchgeführt. Es ist ein sehr grosser Unterschied zu Initiativen wie etwa von Google Photos oder Microsoft Onedrive, die die Fotos auf ihren eigenen Servern scannen." Der Nutzer besitze die Server der Tech-Giganten nicht, erläutert Kobeissi, im Gegensatz zum privaten Smartphone, und fragt zur Verdeutlichung rhetorisch: "Würden Sie sich einen Tresor unter der Bedingung anschaffen, dass der Hersteller alle paar Wochen bei Ihnen vorbeischaut, um zu prüfen, ob Sie Drogen darin lagern?"

Natürlich sei es wichtig, gegen den Missbrauch von Kindern vorzugehen, merkte Kobeissi an. Aber: "Ich sehe darin einen sehr gefährlichen Präzedenzfall." Er warnte davor, dass Regierungen dereinst von Apple verlangen könnten, auch andere Fotos den Behörden zu melden. "In bestimmten Ländern wird etwa Homosexualität nicht akzeptiert", erklärte er, "und in diesen Ländern könnte man verlangen, dass entsprechende Fotos ebenso gestoppt werden." Apple habe zwar gesagt, solchen Anordnungen nicht Folge zu leisten. Aber Kobeissi nannte gleich mehrere Beispiele, in denen Apple sehr wohl auf Druck von Behörden etwa zusätzliche Verschlüsselungsmassnahmen nicht eingeführt oder auf Druck von Regierungen Apps aus dem App Store verbannt habe. Immerhin: Das Unternehmen wird vorläufig darauf verzichten, den Kinderporno-Scanner zu veröffentlichen, wie Sie hier lesen können.

(Source: Swiss Cyber Storm)

Nächstes Jahr am selben Ort

Nach der Konferenz zieht Program Chair Christian Folini ein positives Fazit: "Wir komponieren ein Programm, welches wie ein Blumenstrauss zusammenpasst, mit Talks die aufeinander aufbauen. Und ich glaube, dass uns dies wieder geglückt ist." Die Referate zeigten auf, wie komplex die Entwicklung von sicherem Code und die Kontrolle der Supply Chain geworden seien. "Es ist eigentlich auch das Problem von uns Security Officers, dass wir das Leben der Entwickler nicht einfacher machen."

Die nächste Swiss Cyber Storm findet am Dienstag, 25. Oktober 2022 erneut im Berner Kursaal statt. Das Schwerpunktthema ist laut Folini aktuell noch nicht festgelegt. Möglichkeiten dürfte es genug geben.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.