- Die ersten Anzeichen der Sicherheitsaktualisierung von CrowdStrike, die schiefging, traten auf Windows-Computern auf. Patrick Wardle erkannte, dass die Absturzberichte der betroffenen Computer die wahre Ursache für das Problem zeigten. Wardle argumentierte auf der Black Hat Konferenz, dass Absturzberichte ein unterschätztes Werkzeug sind, um Schwachstellen in Software zu finden. Wardles Untersuchungen von Absturzberichten deckten Schwachstellen in Tools wie YARA und macOS auf. Absturzberichte sind wertvoll zur Malware-Erkennung und Aufdeckung potenziell verdächtiger Aktivitäten.
Als eine Sicherheitsaktualisierung des Unternehmens CrowdStrike im letzten Monat schiefging, waren die ersten Anzeichen auf Windows-Computern zu sehen. Webseiten und Dienste fielen aus, während Menschen hastig versuchten, das Chaos zu verstehen. Überall kursierten widersprüchliche und ungenaue Informationen. In diesem Durcheinander wusste der erfahrene Mac-Sicherheitsforscher Patrick Wardle, wohin er schauen musste, um die Wahrheit zu finden: Absturzberichte von betroffenen Computern.
Die Wahrheit in Absturzberichten
„Obwohl ich kein Windows-Forscher bin, war ich fasziniert von den Geschehnissen. Es gab einfach keine brauchbaren Informationen,“ erklärt Wardle. „Leute behaupteten, das Problem liege bei Microsoft, weil Windows-Systeme abstürzten. Es gab viele wilde Theorien, aber tatsächlich hatte es nichts mit Microsoft zu tun. Ich wandte mich den Absturzberichten zu, die für mich die ultimative Wahrheit darstellen. Dort konnte man die Ursache lange vor CrowdStrikes Aussage klar erkennen.“
Auf der Black Hat Sicherheitskonferenz in Las Vegas argumentierte Wardle, dass Absturzberichte ein unterschätztes Werkzeug seien. Solche System-Schnappschüsse bieten Softwareentwicklern Einsicht in mögliche Probleme mit ihrem Code. Wardle betont, dass sie besonders nützlich sein können, um potenziell ausnutzbare Schwachstellen in Software zu finden, sowohl für Verteidiger als auch für Angreifer.
Absturzberichte als Schatztruhe
In seinem Vortrag präsentierte Wardle mehrere Beispiele von Schwachstellen, die er durch die Untersuchung von Absturzberichten gefunden hatte. Benutzer können ihre eigenen Absturzberichte auf Windows, macOS und Linux leicht einsehen. Sie sind auch auf Android und iOS verfügbar, obwohl sie auf mobilen Betriebssystemen schwieriger zugänglich sind. Wardle merkt an, dass man ein grundlegendes Verständnis von in Assemblersprache geschriebenen Anweisungen braucht, um Erkenntnisse aus Absturzberichten zu gewinnen. Doch er betont, dass der Aufwand lohnenswert ist.
Wardle demonstrierte verschiedene Schwachstellen, die er allein durch das Untersuchen von Absturzberichten auf seinen eigenen Geräten entdeckt hatte. Dazu gehörten Fehler im Analysetool YARA und in der aktuellen Version des macOS-Betriebssystems von Apple. Tatsächlich hat Wardle bereits 2018 mithilfe von Absturzberichten herausgefunden, dass Apple sich Chinas Forderungen zur Zensur der taiwanesischen Flagge gebeugt hatte, ihre Zensur-Code jedoch einen Fehler enthielt.
Ungenutztes Potenzial
Wardle betont, dass wenn er allein durch die Untersuchung von Absturzberichten so viele Schwachstellen finden kann, dann sollten Softwareentwickler dies auch tun. Erfahrene Kriminelle und gut finanzierte staatliche Hacker nutzen wahrscheinlich längst ihre eigenen Absturzberichte. Über die Jahre berichteten Nachrichten, dass Geheimdienste Absturzprotokolle für ihre Zwecke auswerten. Wardle weist darauf hin, dass Absturzberichte auch eine wertvolle Quelle zur Erkennung von Malware sind, da sie anomale und potenziell verdächtige Aktivitäten enthüllen können. Berüchtigte Spionage-Malware, wie die einer bestimmten Spyware-Firma, löschte oft Mechanismen in ihre Malware, um Absturzberichte sofort nach der Infektion eines Geräts zu löschen. Und die Tatsache, dass Malware oft fehlerhaft ist, macht Abstürze wahrscheinlicher und Absturzberichte daher für Angreifer wertvoll für das Verständnis, was bei ihrem Code schiefgelaufen ist.
Mit den Worten von Wardle: „Mit Absturzberichten ist die Wahrheit herauszufinden.“
