InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Bald ist wieder Ostern und die Ostereiersuche startet. Sie macht Spass, ist aufregend und belohnt uns am Ende mit einem Osternest, gefüllt mit Eiern und Süssigkeiten. Die Suche nach Ostereiern, auf Englisch Easter Eggs, ist auch in der virtuellen Welt möglich. Diese von Entwicklern platzierten «Easter Eggs» sind versteckte Überraschungen, welche zum Beispiel in Betriebssystemen, Internetseiten, Applikationen oder Spielen platziert werden. So witzig die Easter Eggs auch sind, so können sie auch eine versteckte Hintertür für Angreifer öffnen.
In der virtuellen Welt sind Easter Eggs versteckte Code, die innerhalb einer Anwendung erscheinen. Oft verstecken Entwickler bzw. Urheber in ihrer Software kleine, witzige Überraschungen, die als Easter Eggs bezeichnet werden, und verewigen sich so in der Applikation. Diese sind oft nicht einmal dem offiziellen Herausgeber der Software bekannt und werden zufällig entdeckt. Um ein Easter Egg in einem Programm anzuzeigen oder auszuführen, sind bestimmte Tastenkombinationen nötig, Menüeinträge aufzurufen oder Texteingaben und andere Aktionen auszuführen. Easter Eggs können zum Beispiel Bilder, Videos, versteckte Texte oder auch Sonderfunktionen, geheime Level oder in einem Programm verborgene Anwendungen sein.
Wie das so ist mit den Ostereiern – kein Ei gleicht dem anderen – und so ist es auch mit den virtuellen Ostereiern. Es gibt keine einheitliche Definition für Easter Eggs und so tauchen die unterschiedlichsten Varianten auf. Teilweise sind sie (intern) dokumentiert und relativ harmlos aber es gibt auch welche, die nicht dokumentiert sind und unerwünschte Ausprägungen haben. Easter Eggs verstecken sich in den unterschiedlichsten Anwendungen:
Grundsätzlich sind Easter Eggs aber eher harmlos, da sie nicht darauf abzielen, eine schädliche Aktion auszulösen, sondern eine lustige Überraschung aufzudecken. Jedoch stellt jeder nicht dokumentierte Code ein Sicherheitsrisiko dar, da dieser um geheim zu bleiben keine Testroutinen hat und so auch eine mögliche versteckte Hintertür für Angreifer öffnet. Weiter wirkt eine Software mit diesen Eigenschaften nicht sehr vertrauenswürdig. Aus diesem Grund verbieten viele Software-Firmen den Programmierern, Easter Eggs einzufügen oder verlangen, dass diese normale Quellcode-Tests durchlaufen. Das sind dann offiziell eingebaute Spassfunktionen zur Unterhaltung der User und keine heimlich versteckten Botschaften mehr des Programmierers.
Im Zusammenhang mit Easter Eggs taucht oft auch der Begriff «Logic Bomb» auf. Dies ist analog den Easter Eggs ebenfalls ein versteckter Programm-Code, welcher absichtlich in einer Software eingefügt wird. Auch für die Logic Bomb gibt es wiederum keine allgemeingültige Definition.
Im Unterschied zu den Easter Eggs löst die Logic Bomb eine schädliche oder gar kriminelle Aktion aus. Diese so genannten «Logic Bombs» haben die Eigenschaft, dass sie – und hier funktionieren sie gleich wie Easter Eggs – durch die Eingabe spezieller Daten, zu einem spezifischen Zeitpunkt oder durch genau definierte Aktionen ausgelöst werden und dann aber im Gegensatz zu Easter Eggs, Schaden anrichten.
Es gibt auch Fälle, in welchen ehemalige Mitarbeitende Logic Bombs platziert haben. Ein Beispiel dafür ist ein ehemaliger IT-Mitarbeiter der Hypothekarbank Fannie Mae, welcher eine Logic Bomb gelegt hat. Wenn sie ausgelöst worden wäre, hätte sie die Hypothekendaten von unzähligen Kunden gelöscht und einen Schaden in Millionenhöhe angerichtet.
Obwohl die meisten Easter Eggs harmlos sind, bergen sie als nicht dokumentierter Code, ein Sicherheitsrisiko. Die Logic Bomb zielt sogar darauf ab, einen Schaden anzurichten. Folgende Punkte können Sie in diesem Zusammenhang berücksichtigen:
Wie sieht es bei Ihnen aus? Kennen Sie Ihre Sicherheitslücken? Unsere Cyber Security-Experten helfen Ihnen gerne weiter. Kontaktieren Sie uns!
Bestimmt werden auch in diesem Jahr wieder zahlreiche Kinder (aber durchaus auch die Erwachsenen) nach Ostereiern suchen. In diesem Jahr wohl eher in den eigenen vier Wänden. Dies empfiehlt das BAG und wir schliessen uns da natürlich an. Aber auch die Hacker Community sucht seit einigen Jahren während Ostern nach versteckten Hinweisen in Form eines CTFs (Capture The Flag), genannt Hacky Easter. Dabei werden aber nicht eigentlich Easter Eggs gesucht, sondern nach ganz bewusst versteckten Flags (Lösungsworte). Diese sind beispielsweise in Bildern, Programmen, Netzwerk-Traffic etc. versteckt. Die Teilnehmer des CTF wissen also, wonach sie suchen müssen.
Egal, wie Sie die Osterfeiertage verbringen – bei der Suche nach Schokoladen-Osterhasen und Ostereiern oder auf der Suche nach virtuellen Easter Eggs – geniessen Sie die Tage. Bleiben Sie daheim und BLEIBEN SIE GESUND!!