«Easter Egg» – das virtuelle Osterei und seine versteckte Hintertür

Bald ist wieder Ostern und die Ostereiersuche startet. Sie macht Spass, ist aufregend und belohnt uns am Ende mit einem Osternest, gefüllt mit Eiern und Süssigkeiten. Die Suche nach Ostereiern, auf Englisch Easter Eggs, ist auch in der virtuellen Welt möglich. Diese von Entwicklern platzierten «Easter Eggs» sind versteckte Überraschungen, welche zum Beispiel in Betriebssystemen, Internetseiten, Applikationen oder Spielen platziert werden. So witzig die Easter Eggs auch sind, so können sie auch eine versteckte Hintertür für Angreifer öffnen.

Das virtuelle Osterei

In der virtuellen Welt sind Easter Eggs versteckte Code, die innerhalb einer Anwendung erscheinen. Oft verstecken Entwickler bzw. Urheber in ihrer Software kleine, witzige Überraschungen, die als Easter Eggs bezeichnet werden, und verewigen sich so in der Applikation. Diese sind oft nicht einmal dem offiziellen Herausgeber der Software bekannt und werden zufällig entdeckt. Um ein Easter Egg in einem Programm anzuzeigen oder auszuführen, sind bestimmte Tastenkombinationen nötig, Menüeinträge aufzurufen oder Texteingaben und andere Aktionen auszuführen. Easter Eggs können zum Beispiel Bilder, Videos, versteckte Texte oder auch Sonderfunktionen, geheime Level oder in einem Programm verborgene Anwendungen sein.

Kein Ei gleicht dem anderen

Wie das so ist mit den Ostereiern – kein Ei gleicht dem anderen – und so ist es auch mit den virtuellen Ostereiern. Es gibt keine einheitliche Definition für Easter Eggs und so tauchen die unterschiedlichsten Varianten auf. Teilweise sind sie (intern) dokumentiert und relativ harmlos aber es gibt auch welche, die nicht dokumentiert sind und unerwünschte Ausprägungen haben. Easter Eggs verstecken sich in den unterschiedlichsten Anwendungen:

• In Videospielen sind Easter Eggs am weitesten verbreitet, da sie dort auch ihren Ursprung haben. Bereits 1979 baute der Entwickler Warren Robinett im Videospiel «Adventure» für die Spielkonsole VCS von Atari einen geheimen Raum ein, welcher einen Schriftzug mit dem Text «Created by Warren Robinett» enthält. Es war das erste Action-Adventure-Spiel und gilt auch als das erste Spiel, welches ein Easter Egg enthielt. Easter Eggs finden sich aber oft auch in Spielfilmen in Form von Anspielungen auf andere Filme.
  
  
• Aber auch Websites können Easter Eggs enthalten. Eines der bekanntesten Easter Eggs von Google ist die Eingabe von «do a barrel roll» in das Suchfenster. Anschliessend führt der Browserbildschirm eine 360-Grad-Drehung durch. Oder die Eingabe von «askew» und die Suchmaschine neigt die Suchergebnisseite von Google, so dass alles schief dargestellt wird.
  
  
• Sogar Microsoft-Entwickler haben in alten Versionen von Microsoft Office Easter Eggs versteckt und so ihren eigenen Sinn für Humor hinzugefügt. Bei Word 97 zum Beispiel konnte durch die Eingabe geheimer Tastenkombinationen Flipper gespielt oder in Excel 97 mit einem Flugsimulator über die in einen virtuellen Felsen gehauenen Namen der Programmentwickler geflogen werden. In Excel 2000 gab es ein Autorennspiel. Inzwischen ist diese Praxis jedoch offiziell von Microsoft im Rahmen der Trusted Computing Initiative wegen der Sicherheitsimplikationen verboten.
  
  
• Ein «Osterei» wurde aber auch im Zusammenhang mit dem Stuxnet-Virus entdeckt. So fand man auf der Siemens PLC Firmware – also jenem System, auf das Stuxnet abzielte – auch Easter Eggs. Diese waren in eine HTLM-Datei eingebettet und stellten tanzende Affen dar. Der Code war nicht dokumentiert und unterlief keinen Tests, worauf das Qualitätsmanagement deutlich hinterfragt wurde.

Die versteckte Hintertür bei den Easter Eggs

Grundsätzlich sind Easter Eggs aber eher harmlos, da sie nicht darauf abzielen, eine schädliche Aktion auszulösen, sondern eine lustige Überraschung aufzudecken. Jedoch stellt jeder nicht dokumentierte Code ein Sicherheitsrisiko dar, da dieser um geheim zu bleiben keine Testroutinen hat und so auch eine mögliche versteckte Hintertür für Angreifer öffnet. Weiter wirkt eine Software mit diesen Eigenschaften nicht sehr vertrauenswürdig. Aus diesem Grund verbieten viele Software-Firmen den Programmierern, Easter Eggs einzufügen oder verlangen, dass diese normale Quellcode-Tests durchlaufen. Das sind dann offiziell eingebaute Spassfunktionen zur Unterhaltung der User und keine heimlich versteckten Botschaften mehr des Programmierers.

Im Zusammenhang mit Easter Eggs taucht oft auch der Begriff «Logic Bomb» auf. Dies ist analog den Easter Eggs ebenfalls ein versteckter Programm-Code, welcher absichtlich in einer Software eingefügt wird. Auch für die Logic Bomb gibt es wiederum keine allgemeingültige Definition.

Im Unterschied zu den Easter Eggs löst die Logic Bomb eine schädliche oder gar kriminelle Aktion aus. Diese so genannten «Logic Bombs» haben die Eigenschaft, dass sie – und hier funktionieren sie gleich wie Easter Eggs – durch die Eingabe spezieller Daten, zu einem spezifischen Zeitpunkt oder durch genau definierte Aktionen ausgelöst werden und dann aber im Gegensatz zu Easter Eggs, Schaden anrichten.

Es gibt auch Fälle, in welchen ehemalige Mitarbeitende Logic Bombs platziert haben. Ein Beispiel dafür ist ein ehemaliger IT-Mitarbeiter der Hypothekarbank Fannie Mae, welcher eine Logic Bomb gelegt hat. Wenn sie ausgelöst worden wäre, hätte sie die Hypothekendaten von unzähligen Kunden gelöscht und einen Schaden in Millionenhöhe angerichtet.

Was können Sie tun?

Obwohl die meisten Easter Eggs harmlos sind, bergen sie als nicht dokumentierter Code, ein Sicherheitsrisiko. Die Logic Bomb zielt sogar darauf ab, einen Schaden anzurichten. Folgende Punkte können Sie in diesem Zusammenhang berücksichtigen:

• Beim Kauf einer neuen Software empfiehlt es sich auch einen Blick in den Softwarevertrag zu werfen. Wie werden nicht dokumentierte Funktionen bzw. Easter Eggs behandelt resp. geregelt, und wie wird damit umgegangen. Sofern kein Passus im Vertrag enthalten ist, ist es ratsam diese beim Hersteller einzufordern.
  
  
• Ergreifen Sie zudem Massnahmen gegenüber unerwünschten Applikation (Possible Unwanted Applications, kurz PUA), welche beispielsweise direkt von den Mitarbeitenden installiert werden. Verhindern Sie dies, indem Sie die Rechte dazu erst gar nicht vergeben. Minimieren Sie zudem auch die lokalen Adminrechte auf den Endgeräten. Auch ein Application Whitelisting kann Sie dabei unterstützen, beispielsweise mit AppLocker.
  
  
• Bei unbekannten Programmen empfiehlt sich zuerst die Anwendung in einer Sandbox zu installieren und zu testen, bevor diese in der produktiven Umgebung zum Einsatz kommt. Dies können Sie zudem mit einem Reverse Engineering verbinden, um festzustellen ob die Software auch das macht, wofür sie vorgesehen ist.
  
  
• Wenn Sie zudem selber Business-Anwendungen entwickeln (lassen), sorgen Sie dafür, dass Sicherheitsaspekte von Anbeginn in die Entwicklung einfliessen. Definieren Sie dazu über den gesamten Entwicklungsprozess hinweg sicherheitsrelevante Aktivitäten und kontrollieren Sie auch deren Einhaltung, beispielsweise in Form von Sicherheitsarchitektur-Reviews und Security Code Reviews. Vergessen Sie dabei die Dokumentation sämtlicher Funktionen nicht.

Wie sieht es bei Ihnen aus? Kennen Sie Ihre Sicherheitslücken? Unsere Cyber Security-Experten helfen Ihnen gerne weiter. Kontaktieren Sie uns!

Die Suche nach «Ostereiern» macht Spass

Bestimmt werden auch in diesem Jahr wieder zahlreiche Kinder (aber durchaus auch die Erwachsenen) nach Ostereiern suchen. In diesem Jahr wohl eher in den eigenen vier Wänden. Dies empfiehlt das BAG und wir schliessen uns da natürlich an. Aber auch die Hacker Community sucht seit einigen Jahren während Ostern nach versteckten Hinweisen in Form eines CTFs (Capture The Flag), genannt Hacky Easter. Dabei werden aber nicht eigentlich Easter Eggs gesucht, sondern nach ganz bewusst versteckten Flags (Lösungsworte). Diese sind beispielsweise in Bildern, Programmen, Netzwerk-Traffic etc. versteckt. Die Teilnehmer des CTF wissen also, wonach sie suchen müssen.

Egal, wie Sie die Osterfeiertage verbringen – bei der Suche nach Schokoladen-Osterhasen und Ostereiern oder auf der Suche nach virtuellen Easter Eggs – geniessen Sie die Tage. Bleiben Sie daheim und BLEIBEN SIE GESUND!!