Wenn versteckte Informationen öffentlich werden

Passend zum Top-Thema schauen wir uns jetzt eine ungewollte Veröffentlichung an, die passenderweise über die legendäre Full-Disclosure-Mailingliste bekannt gemacht wurde.

Ausgangspunkt war ein Forumsbeitrag, in dem mutmaßlich ein Microsoft-Mitarbeitender über einen Absturz berichtete und einen Crashdump anhängte. Crashdumps sind sehr hilfreich, um Abstürze zu rekonstruieren. Da man im Fehlerfall nicht weiß, was der Auslöser war, werden in den Crashdumps in der Regel recht großzügig Ausschnitte aus dem Hauptspeicher und andere Zustandsinformationen abgespeichert. Mit dieser Menge an Informationen kann ein Entwickelnder nicht nur den Zustand des Programms selbst, sondern auch mögliche Wechselwirkungen einsehen.

In diesem Fall wurde der Crashdump auf einem Entwickler-PC erstellt, auf dem auch mit Microsofts DRM-Lösung PlayReady gearbeitet wurde. Die notwendigen Konfigurationen und Quelldateien waren also vorhanden und – da kürzlich damit gearbeitet wurde – auch so geladen, dass sie im Crashdump mitgeliefert wurden. Der Crashdump enthielt damit alles Nötige, um den Kopierschutz selbst zu übersetzen. Da solche DRM-Lösungen das Brechen des Kopierschutzes primär durch Verschleierungen verzögern, war das ein schwerer Verlust.

Dass diese Daten sich so leicht rekonstruieren ließen, war dem Fragenden vermutlich nicht bewusst, obwohl die Forumsregeln explizit auf das Risiko hinweisen. Doch man braucht nicht erst auf solch technische Datenformate wie Crashdumps schauen – Ähnliches passiert auch regelmäßig mit Änderungsinformationen in Word-Dokumenten oder, wie letztes Jahr publik wurde, bei unvollständig abgeschnittenen Bildern.

https://seclists.org/fulldisclosure/2024/Jun/7

Autor