Binary Planting: Die Schweinegrippe der IT

Selten gibt es in der IT einen so unbegründeten Hype wie es seit Wochen mit dem Thema des Binary Platning der Fall ist. Auf vielen Seiten und Foren wird vor dem angeblich schlimmen Problem gewarnt. Einen wirklichen Grund dafür gibt es jedoch nicht. Angezettelt wurde der Hype von ACROS, einem kleinen Sicherheitsunternehmen das anscheinend keine anderen Themen kennt und sich einen Namen machen möchte.
Binary Planting ist nicht neu. Es ist einfach nur ein Namen dafür wie Windows schon seit Jahren arbeitet. Damit ein Programmierer nicht immer wieder den selben Code schreiben muss, kann er häufig benutzte Funktionen in so genannte DLL(Dynamic Link Library)-Dateien auslagern. Diese Dateien können anschließend von jedem Programmierer verwendet werden und befinden sich meist in einem bestimmten Ordner des Betriebssystems. Sobald ein Programm eine DLL-Datei benötigt wird diese an mehreren Stellen gesucht. Der erste Fund wird dem Programm übergeben.
Die einzelnen Ordner werden in folgender Reihenfolge durchsucht:

  1. Der Ordner in dem sich das Programm befindet.
  2. Der System32-Ordner.
  3. Der System-Ordner.
  4. Der Windows-Ordner.
  5. Der aktuell geöffnete Ordner.
  6. Alle Ordner die in der PATH-Umgebungsvariable stehen.
Das ganze ist kein Fehler, sondern absichtlich so gewollt. So kann ein Programmierer seinem Programm DLL-Dateien anfügen ohne diese in das Betriebssystem installieren zu müssen. Auch in Linux wird es so gemacht. Es sollte dabei jedoch darauf geachtet werden, den Ordner in dem sich das Programm befindet an letzter Stelle zu haben. Grund hierfür ist genau das Problem des Binary Planting. Angenommen ein Programm wie etwa Firefox benötigt die xy.dll. Diese Datei befindet sich im System32-Ordner. Ein bösartiger Zauberer hat jedoch eine eigene xy.dll geschrieben, welche einen Virus enthält und diese in den Programmordner von Firefox gezaubert. Startet nun Firefox und benötigt die DLL, so wird zuerst in dem Programmordner und nicht in dem System32-Ordner nach dieser Datei gesucht. Obwohl Firefox selbst nicht verändert wurde konnte so ein Virus gestartet werden.
Warum hab ich nun von einem Zauberer geredet? Weil es nun einmal Zauberkräfte braucht die Datei in den Programmordner zu bringen. Genau hier liegt auch der Grund warum das Binary Planting total überbewertet ist. Es ist einfach nicht möglich. Jetzt sagen vielleicht viele, dass es immer dumme Benutzer geben wird, die sich Schadcode von unglaubwürdigen Seiten herunterladen. Aber falls dies sowieso der Fall ist, so kann auch gleich das gesamte Programm infiziert werden. DLL-Dateien werden zudem genauso von Antiviren durchsucht wie Exe-Dateien (von denen ACROS behautet diese als neue Sicherheitslücke entdeckt zu haben). Der ganze Hype ist deswegen total unbegründet und nichts weiter als Panikmache.
Um das nicht vorhandene Problem zu verhindern könnte Microsoft die Suchreihenfolge für seine Dateien ändern. Allerdings finde ich, dass die Hersteller lieber darauf achten sollten welche Dateien von ihren Programmen geladen werden. Das würde das Problem viel effizienter lösen als Microsoft die Schuld in die Schuhe zu schieben.

Hier ist noch ein Beispiel das zeigt wie Binary Planting funktioniert.
Bookmark and Share

0 Kommentare:

Kommentar veröffentlichen