Als im vergangenen Monat ein fehlerhaftes Software-Update des Sicherheitsunternehmens CrowdStrike unbeabsichtigt weltweit für digitales Chaos sorgte, waren die ersten Anzeichen dafür, dass Windows-Computer den Blue Screen of Death anzeigten. Da Websites und Dienste ausfielen und die Menschen Schwierigkeiten hatten, herauszufinden, was los war, gab es überall widersprüchliche und ungenaue Informationen. Um die Krise zu verstehen, wusste der langjährige Mac-Sicherheitsforscher Patrick Wardle, dass es nur einen Ort gab, an dem man nach Fakten suchen konnte: Berichte über Abstürze von Computern, die von dem Fehler betroffen waren.
„Obwohl ich kein Windows-Forscher bin, war ich fasziniert von dem, was vor sich ging, und es gab diesen Mangel an Informationen“, sagte Wardle gegenüber WIRED. „Die Leute sagten, es sei ein Microsoft-Problem, weil Windows-Systeme einen Bluescreen hatten, und es gab viele wilde Theorien. Tatsächlich hatte es jedoch nichts mit Microsoft zu tun. Also habe ich mir die Vorfallberichte angesehen, die für mich die ultimative Wahrheit enthalten. Und wenn man sie sich ansah, konnte man die zugrunde liegende Ursache erkennen, lange bevor CrowdStrike dies sagte. »
Auf der Black-Hat-Sicherheitskonferenz am Donnerstag in Las Vegas sagte Wardle, dass Absturzberichte ein zu wenig genutztes Tool seien. Diese System-Snapshots geben Softwareentwicklern und -betreuern Einblick in potenzielle Probleme in ihrem Code. Und Wardle weist darauf hin, dass sie sowohl für Verteidiger als auch für Angreifer insbesondere eine Informationsquelle über potenziell ausnutzbare Schwachstellen in Software sein können.
In seinem Vortrag präsentierte Wardle mehrere Beispiele für Schwachstellen, die er in Software entdeckte, als die Anwendung abstürzte, und er durchsuchte den Bericht nach der möglichen Ursache. Benutzer können ihre eigenen Absturzberichte problemlos unter Windows, macOS und Linux anzeigen. Sie sind auch auf Android und iOS verfügbar, obwohl der Zugriff auf sie auf mobilen Betriebssystemen möglicherweise schwieriger ist. Wardle weist darauf hin, dass das Ableiten von Informationen aus Absturzberichten ein grundlegendes Verständnis der Anweisungen erfordert, die im Low-Level-Maschinencode namens Assembly geschrieben sind, betont jedoch, dass sich die Mühe lohnt.
Auf seiner Black-Hat-Konferenz skizzierte Wardle mehrere Schwachstellen, die er allein durch die Durchsicht von Absturzberichten auf seinen eigenen Geräten entdeckt hatte, darunter Fehler im YARA-Scan-Tool und in der aktuellen Version des Betriebssystems Apple macOS. Als Wardle 2018 entdeckte, dass ein iOS-Fehler dazu führte, dass Apps jedes Mal abstürzten, wenn sie das Emoji mit der taiwanesischen Flagge anzeigten, konnte er mithilfe von Absturzberichten herausfinden, was passierte.
„Wir haben schlüssig enthüllt, dass Apple den Forderungen Chinas, die taiwanesische Flagge zu zensieren, nachgegeben hat, aber ihr Zensurcode hatte einen Fehler, das ist lächerlich“, sagt er. „Mein Freund, der das ursprünglich beobachtet hatte, sagte zu mir: ‚Mein Telefon wird von den Chinesen gehackt.‘ Jedes Mal, wenn Sie mir eine Nachricht senden, stürzt diese ab. Oder hackst du mich? Und ich sagte: „Das ist unhöflich, ich würde dich nicht hacken.“ Außerdem, unhöflich, wenn ich dich hacken würde, würde ich dein Telefon nicht zum Absturz bringen. » Also habe ich mir die Absturzberichte angesehen, um zu sehen, was passiert ist. »
Wardle weist darauf hin, dass auch Softwareentwickler einen Blick darauf werfen müssen, wenn er allein durch die Betrachtung der Absturzberichte von seinen eigenen Geräten und denen seiner Freunde so viele Schwachstellen finden kann. Erfahrene kriminelle Akteure und gut finanzierte, staatlich unterstützte Hacker ziehen wahrscheinlich bereits Ideen aus ihren eigenen Absturzberichten. Im Laufe der Jahre deuten Berichte darauf hin, dass Geheimdienste wie die US-amerikanische National Security Agency Absturzprotokolle ausnutzen. Wardle weist darauf hin, dass Absturzberichte auch eine wertvolle Informationsquelle für die Erkennung von Malware sind, da sie ungewöhnliche und potenziell verdächtige Aktivitäten aufdecken können. Der beliebte Spyware-Broker NSO Group hat beispielsweise häufig Mechanismen in seine Malware eingebaut, um Absturzmeldungen unmittelbar nach der Infektion eines Geräts zu unterdrücken. Und die Tatsache, dass Malware oft fehlerhaft ist, erhöht die Wahrscheinlichkeit von Abstürzen und macht Absturzberichte auch für Angreifer nützlich, um zu verstehen, was mit ihrem Code schief gelaufen ist.
„Mit den Unfallberichten ist die Wahrheit ans Licht gekommen“, sagte Wardle. „Oder, ich nehme an, da drin.“ »