IT-Sicherheit Der Traum vom Hacker-Vollautomaten

Eine Maschine, die selbstständig neue Sicherheitslücken in beliebiger Software findet - daran arbeitet ein Team um den Berliner Fabian Yamaguchi. Kann damit jeder zum Hacker werden?

Als Hacken noch Handarbeit war
Getty Images

Als Hacken noch Handarbeit war

Von


Alles, was automatisiert werden kann, wird früher oder später automatisiert. Das gilt auch für den Job von Fabian Yamaguchi. Der Chefwissenschaftler des Start-ups ShiftLeft und sein Team arbeiten an einer Maschine, die ihnen das Hacken abnimmt. "Zero-day Machine" nennen sie ihr Projekt.

Die Maschine, die eigentlich eine Software ist, soll bisher unbekannte Sicherheitslücken im Code beliebiger Computerprogramme finden. "Zero day" heißt so eine Lücke, weil der Hersteller des betroffenen Produkts im Fall eines Angriffs null Tage Zeit hat, Abwehrmaßnahmen zu entwickeln.

Eine Sicherheitslücken-Suchmaschine

"Ein Google für Code" solle die Software mal werden, "das ist die große Vision", sagt Yamaguchi im Gespräch mit SPIEGEL ONLINE. Eine Sicherheitslücken-Suchmaschine. Sie soll Angriffe verhindern helfen, indem sie wunde Punkte erkennt, bevor es jemand anderes tut.

ShiftLeft, Ende 2016 im kalifornischen Santa Clara gegründet, will damit ein Multifunktionswerkzeug anbieten, eine Art Schweizer Taschenmesser fürs Hacken: geeignet für Software in verschiedenen Programmiersprachen und mit verschiedenen Bestandteilen.

"Jeder schreibt sein Programm mit anderen Mitteln. Und jedes dieser Mittel bringt typische Fehlermuster mit sich", sagt Yamaguchi. Die große Herausforderung sei es, diese Muster sowie die menschliche Kreativität, die erforderlich ist, um zu erkennen, wie ein Fehler im Code ausgenutzt werden kann, in einer Software zu vereinen.

Die "Zero-day-Maschine" soll Zeit und Geld sparen

Auf der Website der Firma klingt das zurückhaltender. Dort steht nichts von einer "Zero-day Maschine". Verständlich, denn der Name klingt nach offensivem Hacken, nicht nach Abwehr. Yamaguchi hat ihn sich vor zehn Jahren ausgedacht. Schon damals, als 21-Jähriger, träumte er von einer solchen Maschine.

Er forschte und promovierte in Göttingen zu automatischer Schwachstellensuche. Seit gut einem Jahr versucht er im Berliner Büro des Start-ups, seine Erkenntnisse in ein Produkt zu übersetzen, das es so noch nicht gibt. Es führe zwei Ansätze zusammen, sagt er: "Erstens die statische Codeanalyse, in der man auf einen Programmcode schaut, ohne ihn auszuführen. Und zweitens die dynamische Analyse, in der man das Programm bei der Arbeit beobachtet." Am Ende soll herauskommen, an welchen Stellen der Code einem Angreifer einen Zugang ermöglichen könnte: Mit welchen sensiblen Daten geht das Programm wie um? Wo fehlt eine Authentifizierung, wo ist eine Schnittstelle schlecht gesichert?

Für beide Arten der Analyse gibt es jeweils eigene Methoden und kommerzielle Lösungen von verschiedenen Anbietern wie zum Beispiel Veracode, dessen Software-Scanner ebenfalls selbsttätig nach Verwundbarkeiten suchen. In seiner Kombination aus statischer und dynamischer Analyse, der Geschwindigkeit und der Flexibilität aber, sagt Yamaguchi, sei sein Ansatz neu.

Screenshot der Analysesoftware von ShiftLeft

Screenshot der Analysesoftware von ShiftLeft

Typische Kunden, von denen ShiftLeft bereits einige hat, seien Anbieter von Cloud-Anwendungen.

Deren Software werde teils mehrmals täglich aktualisiert. "Das bedeutet aber auch, dass sie ständig neue Schwachstellen in die Cloud schubsen. Solche Unternehmen müssen das entsprechend schnell erkennen können." Wenn hingegen "ein Chiphersteller oder ein Unternehmen, das Anwendungen für die Bahn entwickelt, seine Software einmal veröffentlicht hat, können sie die nicht mehr so leicht ändern. Wenn man dann eine Schwachstelle findet, ist das ein Problem. Solche Unternehmen müssen im Vorfeld sehr viel testen". Der Einsatz der "Zero-day Machine" könne "eine Menge Zeit und Geld sparen". Teure IT-Profis solle man "lieber darauf ansetzen, komplexere Probleme aufzudecken, die sich nicht automatisiert finden lassen".

Wie schnell die Analysen ablaufen, demonstrierten Yamaguchi und zwei seiner Mitarbeiter am Freitag auf der Hackerkonferenz OffensiveCon. Andreas Bogk, ein erfahrener Sicherheitsexperte, saß im Publikum und sagte anschließend: "Alles, was sie da in wenigen Sekunden gezeigt haben, dauert manuell jeweils einen Tag."

Prinzipiell hat die "Zero-day Machine" ein gewisses Missbrauchspotenzial - je nachdem, wer sie einsetzt. ShiftLefts Kunden müssen dem jungen Unternehmen ihren Code entweder ganz anvertrauen oder sie lassen die Analyse im eigenen Haus laufen und übergeben ShiftLeft nur die Ergebnisse zur Ausweitung. So können sie zwar das Geschäftsgeheimnis schützen, das ihr Code darstellt. Aber die Schwachstellen sieht ShiftLeft trotzdem. "Wenn man jemandem Code gibt, muss man ihm eben vertrauen", sagt Yamaguchi.

"Wie ein Hammer"

In Zukunft soll es auch möglich sein, alles innerhalb des Systems der Kunden laufen zu lassen. In dem Fall wird es ShiftLeft sein, das ein Stück weit die Kontrolle über seine Maschine verliert und nicht mehr hundertprozentig sicher sein kann, dass sie zur defensiven Absicherung des Kunden genutzt wird - oder zum offensiven Einsatz gegen Dritte.

"So etwas kann man nie ausschließen", sagt Yamaguchi. "Das ist wie ein Hammer - man kann damit verschiedene Dinge tun." Was er persönlich ausschließt, ist eine Zusammenarbeit mit Behörden, die aktiv nach IT-Sicherheitslücken suchen, um Strafverfolgung oder Geheimdienstüberwachung zu ermöglichen.

Er konzentriert sich ohnehin lieber auf die Weiterentwicklung der Maschine. Der Hacker-Vollautomat ist sein Fernziel. Aber im Moment braucht die "Zero-Day-Maschine" noch manuelle Unterstützung, etwa bei der sinnvollen Eingabe des zu untersuchenden Codes oder der Analyse der entdeckten potenziellen Schwachstellen.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs, vergleicht sie in ihrem derzeitigen Zustand eher mit einer sehr einfachen, aber immer noch manuell zu bedienenden Espressomaschine. Sie sei zwar "sehr nützlich" und die Zeitersparnis, die sie bringe, "extrem". IT-Sicherheitsexperten aber müssen seiner Ansicht nach "noch keine Angst um ihre Arbeitsplätze haben".

SPIEGEL TV über Cyber-Angriffe in der Industrie - Hacker deckt Sicherheitslücken auf

SPIEGEL TV
Mehr zum Thema


insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
divStar 18.02.2018
1. Also...
.. so ganz stimmt das nicht. Zwar gibt es tatsächlich keine Software, die einem potentielle Sicherheitslücken aufzeigt. Allerdings gibt es Software, die Logik- und Denkfehler im Code anzeigt - z.B. SonarLint (für Java- und andere Sprachen). Was tatsächlich innovativ wäre, ist eine "Zero-day machine", die auf fertig kompilierten Anwendungen läuft. Aber da wüsste ich nicht wie das ohne weiteres funktionieren soll. Statische und dynamische Code-Analyse (auch auf Warnungen usw. hin) gibt es seit vielen Jahren. Dem entgegen steht der Umstand, dass - zumindest subjektiv gesehen - immer weniger in Tests und Qualität investiert wird. Das Problem für Sicherheitsfehler liegt also oft daran, dass nicht genügend getestet bzw. gereviewt wurde - meist aus Zeitdruck.
gweihir 19.02.2018
2. Geht nicht
An etwas "zu arbeiten" garantiert keinen Erfolg. Vor allem wenn man anscheinend nicht wirklich versteht, was man da zu tun versucht.
quark2@mailinator.com 19.02.2018
3.
In dem Zusammenhang kann ich nur mal wieder auf die fatale Monokultur durch permanente Updates hinweisen. Während man vor 10..15 Jahren auf jedem Rechner noch komplett unterschiedliche Versionen und Programme hatte, ist heute gerade bei den "Ahnungslosen" (das soll keine Beleidigung sein, ich bin leider auf vielen Gebieten auch recht ahnungslos) immer das Gleiche drauf. D.h. jeder gefundene Angriffsvektor funktioniert gleich überall. Ich fordere schon immer, daß die Hersteller die gleichen Funktionen mehrfach von unterschiedlichen Teams programmieren lassen und bei den Updates dann beliebig mischen, so daß eine solche Monokultur vermieden wird. Aber dafür braucht es wohl erst wieder Gesetze. Und dafür den GAU, wo ein Virus sich mal eben auf 60% aller Rechner verbreitet und sie stilllegt oder schlimmer.
Velociped 20.02.2018
4. Deckt nur einen Teil ab
Für eine bestimmte Art von Schwachstellen kann eine solche selbstlernende Maschine sinnvoll sein. Andere Schwachstellen wird sie nicht finden. Aber ein bisschen mehr Automatisierung erleichtert das Testen und erhöht die Sicherheit. Eigentlich keine Schlagzeile wert, automatische Tests sind schon lange Alltag in der IT.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.