Marc Ruef, Security Consultant bei einer schweizer Firma, stellt einige interessante Überlegungen zum Thema Security Audits, Netzwerk-Scans und Reverse Engineering an. Er weist auf Unzulänglichkeiten und Unzuverlässigkeiten von netzwerk-basierten Scans hin, erkennt ein Ausbleiben kommerziellen Erfolges host-basierter Audit-Produkte und siniert über die Möglichkeit des Einsatzes von Reverse Engineering Techniken bei der Schwachstellenanalyse von Applikationen. Alles in allem ein informativer Artikel über Trends und Notwendigkeiten im Bereich Security Audits.

„… Eines ist sicher: Netzwerkbasierte Tests haben je länger je mehr als eigenständige Analysetechniken in einem professionellen Projekt ausgedient. Nur unter Zuhilfenahme weiterer Methoden, wie die Quelltext-Analyse oder das klassische Software Reverse Engineering, können mit einem Höchstmass an Effizienz und Zuverlässigkeit bestehende Fehler identifiziert werden. Zur Umsetzung dieser umfassenden Überprüfungen fehlen jedoch noch immer effiziente Werkzeuge, obschon auch in diesem Bereich in den letzten Jahren enorme Fortschitte gemacht wurden(z.B. die neuen Erweiterungen von Datarescue IDA Pro 5.0). Und auch das Wissen bezüglich Assembler-Programmierung und Code-Analysen ist bei den meisten Auditoren gar nicht vorhanden.“

Ich lese sein Blog recht gern, bietet es doch immer wieder einige interessante Ansätze zu weiteren Recherchen für meinen beruflichen Alltag. Seine Beiträge bewegen sich auf hohem Niveau, sind allerdings sicherlich gelegentlich schwere Kost für Otto-Normal-Blogleser. Seis drum, ich verweise an dieser Stelle trotzdem gern mal wieder auf sein Blog.

Über einen recht interessanten Fall einer GPL-Verletzung bin ich soeben bei heise gestolpert: Marc Ruef, der Entwickler des Schwachstellen Scanners Attack Tool Kit (ATK) hat seine Software unter der GPL (General Public License) veröfentlicht. Diese besagt unter anderem, das Teile des veröffentlichten Quellcodes in anderen Projekten verwendet werden dürfen, sofern diese ebenfalls unter der GPL veröffentlicht werden und die Quellcodes frei zugängig gemacht werden. Soweit die Regelungen.

Im Februar diesen Jahres wurde Marc nun darauf aufmerksam gemacht, dass ein kostenpflichtiges Produkt der Firma WEKA verdächtige Übereinstimmungen mit seinem Attack Tool Kit (ATK) aufweise. Unter anderem schien der WEKA Security Scanner sämtliche seiner Plugin zu enthalten (identische Anzahl, identische Namen inkl. seiner originalen Falsch-Übersetzungen etc.). Nachdem Marc die Testversion etwas genauer unter die Lupe genommen hatte, fand er mehrere eindeutige Hinweise darauf, dass seine Quellcodes für dieses Produkt verwendet wurden. Seine Versuche, den Hersteller des Produktes daraufhin zur Einhaltung der GPL zu verpflichten schlugen fehl, stattdessen wurde eilig eine neue Produktversion auf den Markt geworfen, in der die während den Verhandlungen genannten eindeutigen Hinweise beseitigt wurden und zudem ein Reverse Engineering erschwert wurde. Trotz allem sind immer noch genügend Hinweise vorhanden, die ein Kopieren seiner Entwicklung belegen können, aus diesem Grunde wird Marc nun juristische Schritte gegen das Unternehmen WEKA  einleiten.

Wesentlich mehr Details zu diesem Fall findet Ihr in Marcs Blog.