|
|
SicherheitslöcherHier erhalten Sie einen Überblick über Sicherheitslöcher, was sie sind, woher sie kommen und wie Sie etwas über sie erfahren können.
Konzepte von SicherheitslöchernEin Sicherheitsloch ist jeder Fehler in Hardware, Software oder Richtlinien, der es einem Angreifer ermöglicht, unautorisierten Zugang zu Ihrem System zu bekommen. Im Laufe einer jeden Woche werden 15 bis 30 solcher Sicherheitslöcher entdeckt. Diese können eine ganze Reihe von Netzwerk-Tools betreffen:
Teil Ihrer Aufgabe als Netzwerkadministrator ist es zu wissen, wann derartige Sicherheitslöcher aufgedeckt werden und wenn ja, welche Auswirkungen sie auf Ihr System haben können. Darum geht es in diesem Kapitel.
AktualitätDieses Buch beschreibt Hunderte von Sicherheitslöchern, von denen die meisten im letzten Jahr aufgedeckt wurden. Allein schon aus diesem Grund sollten Sie den Hacker's Guide in Ihr Regal stellen. Wenn auf den Hosts in Ihrem Netzwerk ältere Software läuft, kann Ihnen der Hacker's Guide sicher sagen, welche Sicherheitslöcher dort existieren. Aber das ist nicht genug. Um Ihre Internet-Site und Ihr Netzwerk effektiv zu sichern, brauchen Sie aktuellere Informationen. Im Idealfall sollten Sie Ihr Netzwerk bereits Minuten oder Stunden nach ihrer Entdeckung gegen die entsprechenden Sicherheitslöcher absichern. (Sie können sicher sein, dass Cracker diese Sicherheitslöcher in der Hälfte der Zeit für Exploits ausnutzen werden.) Um zu verstehen, warum Aktualität so wichtig ist, berücksichtigen Sie dies: Im Jahr 1995 wurde entdeckt, daß das Login für den Account lp (line printer) in IRIX 6.2 standardmäßig über ein Nullpaßwort erfolgte. Diese Information wurde innerhalb von Stunden an Cracker- Newsgroups verteilt. Bis Mitternacht des gleichen Tages hatten Cracker herausgefunden, dass sie verwundbare Rechner über Suchmaschinen wie WebCrawler und AltaVista finden konnten. Während der folgenden frühen Morgenstunden wurden daraufhin Hunderte von Hosts beeinträchtigt. Ein Netzwerk mit Internet-Anbindung zu verwalten, unterscheidet sich von der Verwaltung eines geschlossenen LANs. In einem geschlossenen Netzwerk können Sie sich Zeit damit lassen, abtrünnige Benutzer aufzuspüren. Die Anzahl der potentiellen Angreifer ist limitiert und diese Leute müssen ihre Aktivitäten meist auf die Geschäftszeiten beschränken. Wenn Sie dagegen ein Netzwerk mit Internet-Anbindung verwalten, können Sie jederzeit von jedermann von jedem beliebigen Ort angegriffen werden. Außerdem sind im Internet Angreifer oft untereinander vernetzt. Daher stehen Sie einer ganzen Armee böswilliger Benutzer gegenüber, die in der Regel über hochaktuelle Berichte und über die modernsten Angriffstechniken verfügen. Um dieser Situation entgegenzutreten, müssen Sie mit der Außenwelt verbunden sein. Sie müssen immer darüber Bescheid wissen, was gerade passiert. Der Rest dieses Kapitels wird Sie darauf vorbereiten.
Wie entstehen Sicherheitslöcher?Ein Sicherheitsloch entsteht nicht plötzlich von alleine, sondern irgend jemand muß es entdecken. Der Entdecker gehört in der Regel einer dieser drei Gruppen an:
Obwohl alle drei Gruppen ganz unterschiedliche Motivationen haben, haben sie doch alle etwas gemeinsam: Sie tun den ganzen Tag nichts anderes, als Sicherheitslöcher zu suchen (nun ja, fast nichts anderes). Diese Leute sind üblicherweise Programmierer oder Systemadministratoren, die die Sicherheit verschiedener Applikationen und Betriebssysteme testen. Wenn sie tatsächlich ein Sicherheitsloch finden, geben sie diese Information je nach ihrer Motivation an verschiedene Leute weiter. Hacker und Sicherheitsteams der Hersteller alarmieren in der Regel die Sicherheitsgemeinde. (Sicherheitsteams der Hersteller lassen sich möglicherweise Zeit, bis eine Abhilfe gefunden ist.) Cracker dagegen werden wahrscheinlich keine offizielle Quelle benachrichtigen, sondern die Information unter ihresgleichen verteilen. Je nachdem wie die Information verteilt wird, wird sie die Öffentlichkeit auf verschiedenen Wegen erreichen. Wenn z.B. Cracker die Information verteilen, wird die erste Warnung für die Öffentlichkeit in Form einiger geknackter Hosts erfolgen. Wenn dagegen Hacker die Information verteilen, wird sie in Form von Hinweisen und Bulletins auftauchen. Das Internet bietet viele Quellen für hochaktuelle Sicherheitsinformationen. Teil Ihrer Aufgabe als Netzwerkadministrator ist es, sich diese Informationen täglich anzusehen. Das Problem ist, dass diese Informationen sehr umfangreich sind und viele davon für Ihre spezielle Netzwerkkonfiguration gar nicht relevant sind. Daher müssen Sie eine Strategie entwickeln, wie Sie die Informationen so sammeln, analysieren und aufbereiten, dass das, mit dem Sie enden, für Sie nützlich ist.
Den Datentransfer in Schach haltenDieses Kapitel bietet eine umfassende Übersicht über Mailing- Listen, Websites und FTP- Archive, die Sicherheitsinformationen bieten. Das ist großartig. Wenn Sie sich jedoch bei einer der Mailing- Listen anmelden, werden Sie sofort entdecken, dass die Mitglieder der Liste nur wenig höflicher sind als Usenet-Benutzer. Diese Leute lieben es zu argumentieren und sie werden es auf Kosten Ihrer Zeit tun. Dieser Aspekt ist ein größeres Problem. Ihre Mailbox wird mit, sagen wir, 100 Nachrichten täglich gefüllt, von denen vielleicht nur 12 wertvolle Informationen enthalten. Der Rest wird aus Argumenten, Erfahrungsberichten und, traurigerweise, Müll bestehen. Dies mag nicht wie ein ernsthaftes Problem aussehen, aber es ist eines. Wenn Sie ein heterogenes Netzwerk betreiben, müssen Sie sich bei mehreren Mailing- Listen anmelden. Da die gewöhnliche Mailing- Liste etwa 30 Nachrichten pro Tag verschickt, werden Sie wahrscheinlich zwischen 150 und 300 Nachrichten täglich erhalten. Hier sind einige Vorschläge, die Ihnen helfen können:
Es könnte die Zeit wert sein, wenigstens eine flüchtige Analyse von Hinweisen und Mailing- Listen zu automatisieren. Wenn Sie beispielsweise ein Netzwerk mit drei oder vier Plattformen verwalten, kann die Menge der Sicherheitsmails, die Sie jeden Tag erhalten, leicht mehr sein, als Sie bewältigen können. Für diese Automatisierung empfehle ich Ihnen Perl. In meiner Firma haben wir eine einfache, aber wirksame Methode entwickelt, um die Datenmenge automatisch abzubauen. So funktioniert es:
Dieser Prozess stellt sicher, dass wir jeden Ersthinweis sehen. Das offensichtliche Problem mit diesem Ansatz ist jedoch, dadd oft bedeutende Diskussionspunkte in nachfolgenden Postings erscheinen.
Wie viel Sicherheit?Brauchen Sie wirklich all diese Informationen aus all diesen Listen? Wahrscheinlich. Die meisten Hersteller warten auf einen strategisch günstigen Moment, bis sie Patches auf harten Medien verteilen. Bis Sie eine CD-ROM mit Patches erhalten, kann Ihr System schon 30 bis 100 Patches hinterherhinken. In der Zwischenzeit ist das System nicht sicher. Außerdem kann die Aktualisierung Ihres Netzwerks zu einer unüberwindbaren Aufgabe werden, wenn Sie sich nicht wenigstens einmal wöchentlich über aktuelle Entwicklungen informieren. Tipp:
Das Fazit ist, dass es in Ihrer Verantwortung liegt, Sicherheitsinformationen zu besorgen. Wenn Ihr Netzwerk geknackt wird, werden Sie (und nicht Ihr Hersteller) dafür geradestehen müssen. Sie müssen über aktuelle Entwicklungen informiert bleiben. Der Rest dieses Kapitels gibt Ihnen wichtige Quellen für aktuelle Sicherheitsinformationen. Ich empfehle Ihnen ausdrücklich, jemanden in Ihrer Organisation damit zu beauftragen, diesen Informationen zu folgen.
Generelle InfoquellenDie folgenden Quellen bieten sowohl aktuelle als auch ältere Informationen. Das Computer Emergency Response Team (CERT)Das Computer Emergency Response Team (CERT) wurde 1988 nach dem Morris-Wurm- Vorfall gegründet. Seitdem hat CERT Hunderte von Sicherheitshinweisen herausgegeben und hat auf mehr als 200.000 Berichte über Internet-Angriffe reagiert. CERT gibt nicht nur Hinweise heraus, wann immer ein neues Sicherheitsloch auftaucht, sondern bietet auch die folgenden Dienstleistungen an:
CERT veröffentlicht jedoch keine Informationen über Sicherheitslöcher, bevor nicht eine Abhilfe entwickelt wurde. Aus diesem Grund ist CERT keine Quelle für allerneueste Nachrichten, sondern eine gute Quelle für komplette Berichterstattung nach dem eigentlichen Vorfall. CERT-Hinweise beinhalten in der Regel URLs für Patches und vom Hersteller herausgegebene Informationen. Von diesen Sites können Sie andere Tools herunterladen, die Ihnen helfen werden, Ihr System gegen diese Sicherheitsschwachstelle zu schützen. CERT ist auch ein guter Ausgangspunkt, um nach älteren Sicherheitsschwachstellen zu suchen. Die Datenbank geht bis ins Jahr 1988 zurück. CERT-Hinweise können Sie auf mehreren Wegen erhalten, darunter:
Die Computer Incident Advisory Capability (CIAC) des US Department of EnergyDie Computer Incident Advisory Capability (CIAC) wurde 1989 gegründet. CIAC verwaltet eine Datenbank mit sicherheitsrelevanten Materialien, die hauptsächlich für das US-Department of Energy gedacht sind. Die meisten Informationen (und Tools) sind jedoch auch für die Öffentlichkeit zugänglich. Die CIAC-Site ist eine hervorragende Informationsquelle. Im folgenden einige der verfügbaren Ressourcen:
Vielleicht wollen Sie Mitglied der CIAC- Mailing-Liste werden. Senden Sie zur Anmeldung eine E-Mail an majordomo@tholia.llnl.gov und schreiben Sie folgenden Befehl in den Textteil: subscribe ciac-bulletin. Innerhalb von 30 Minuten werden Sie eine Antwort mit weiteren Anweisungen erhalten. Wichtige Informationen, die von der CIAC für die Öffentlichkeit zur Verfügung gestellt werden, sind u.a.:
CIAC verteilt auch viele Tools. Die meisten wurden dazu entwickelt, Unix-Netzwerke zu schützen, obwohl es auch einige für den Macintosh und für DOS/Windows gibt. Einige, wie das SPI-Sicherheits-Tool, sind nur für Regierungsvertragsunternehmen verfügbar. Die CIAC-Website finden Sie unter http://ciac.llnl.gov/. Das Computer Security Resource Clearinghouse (CSRC) des The National Institute of Standards and Technology (NIST)Die NIST-CSRC-Website bietet eine beträchtliche Liste von Publikationen, Tools, Verweisen, Organisationen und Support-Dienstleistungen. Besonders die folgenden Quellen sind extrem hilfreich:
Das CSRC stellt außerdem auch Hinweise der Federal Computer Incident Response Capability (FedCIRC) zur Verfügung. Diese sind hochaktuelle Warnungen über verschiedene Schwachstellen. Die CSRC- Website finden Sie unter http://csrc.nist.gov/. Die FedCIRC- Hinweise finden Sie unter http://fedcirc.llnl.gov/advisories/. Das Network Information Center (NIC) des amerikanischen Verteidigungsministeriums (DoD)Das DoD Network Information Center bietet wichtige Informationen in bezug auf Netzwerksicherheit (hauptsächlich für Regierungsbehörden). Die Hauptattraktion dieser Site sind die Defense-Data-Network- Bulletins. DDN-Bulletins (die vom Defense Information Systems Network zirkuliert werden) bieten hochaktuelle Sicherheitshinweise. Sie werden auf der DoDNIC- Site archiviert unter http://nic.ddn.mil/SCC/bulletins.html. Die Site beinhaltet eine Suchmaschine, so dass Sie nach bestimmten Hinweisen suchen können. Die BUGTRAQ-ArchiveDie BUGTRAQ- Archive enthalten alle Nachrichten, die an die BUGTRAQ-Mailing- Liste gesandt werden. Die meisten dieser Nachrichten beschreiben Sicherheitslöcher in Unix. Diese Site ist besonders interessant, weil sie ein Glimpse-Search- Interface beinhaltet, das es Ihnen ermöglicht, das Archiv auf verschiedene Arten zu durchsuchen. Die BUGTRAQ- Archive werden heute von Aleph One betrieben und moderiert. Er sorgt dafür, dass sich keine Streitereien aufbauen und die Atmosphäre auf der Liste stets angenehm bleibt. Die BUGTRAQ- Liste ist eine hervorragende Quelle, weil sie nicht mit irrelevanten Informationen überschwemmt ist. Die meisten Postings sind kurz und informativ. Scott Chasin, der Gründer von BUGTRAQ, beschreibt die Liste folgendermaßen:
BUGTRAQ ist wahrscheinlich die wertvollste Quelle im Internet für Online-Berichte über Unix-basierte Sicherheitsschwachstellen. Besuchen Sie BUGTRAQ unter http:// www.geek-girl.com/bugtraq/search.html. Die beiliegende CD enthält übrigens einen Abzug des Archivs. Das Forum of Incident Response and Security Teams (FIRST)FIRST ist ein Zusammenschluss von vielen Organisationen, sowohl öffentlichen als auch privaten, die zusammenarbeiten, um Internet-Sicherheitsinformationen in Umlauf zu setzen. Zu den Mitgliedern von FIRST zählen:
FIRST hat kein zentralisiertes Kontrollorgan. Alle Mitglieder der Organisation teilen die Informationen, aber niemand kontrolliert die anderen. FIRST verwaltet eine Liste von Links zu allen Mitgliedern, die Web-Server haben. Schauen Sie sich FIRST an unter http:// www.first.org/team-info/. Das Windows 95 Bug ArchiveRich Graves verwaltet das Windows 95 Bug Archive an der Stanford University. Es ist die einzige umfassende Quelle für Sicherheitsinformationen über Windows 95. Dieses Archiv finden Sie unter http://www-leland.stanford.edu/~llurch/win95netbugs/archives/ . Hr. Graves ist Netzwerkberater, Webmaster, AppleTalk- Spezialist und ein Meister-Gopheradministrator. Er hat eine immense Liste von Quellen über Windows-95-Netzwerke gesammelt (er ist Autor des Windows 95 Networking FAQ). Seine Win95NetBugs-Liste hat einen suchbaren Index, den Sie unter http://www-leland.stanford.edu/~llurch/ win95netbugs/search.html finden. Die Site beinhaltet auch ein FTP-Archiv mit Windows-95-Fehlern,
auf die Sie über das WWW unter
Mailing- Listen, Patch- Archive und InfoquellenAbschließend werden in den folgenden Abschnitten Mailing- Listen von Anbietern, Patch- Archive und weitere Quellen sicherheitsrelevanter Informationen aufgeführt. Silicon Graphics Security HeadquartersDas Silicon Graphics Security Headquarter bietet folgende, allgemein zugängliche Informationsquellen an:
Die Homepage von SGIs Security Headquarters finden Sie unter http://www.sgi.com/ Support/security/security.html. Das Sun-Security-Bulletin-ArchivSun Microsystems bietet aktuelle Sicherheitsbulletins über viele seiner Produkte. Diese Bulletins finden Sie auf dem SunSolve- Server unter http://sunsolve.sun.com/pub-cgi/ secbul.pl. Die ISS-NT-Security- Mailing-ListeDie NT-Security-Mailing- Liste wird von Internet Security Systems (ISS) verwaltet. Es ist ein Mailing-Listen- Archiv, in dem Leute Fragen (oder Antworten) über NT-Sicherheit stellen. In dieser Hinsicht sind die Nachrichten Usenet-Artikeln sehr ähnlich. Sie sind in Listenform präsentiert und können sortiert nach Thema, Autor oder Datum angesehen werden. Gehen Sie zu http://www.iss.net/lists/ntsecurity/, um sich die Listeneinträge anzusehen. Von dieser Adresse können Sie sich auch mit anderen Mailing- Listen zum Thema Sicherheit verbinden lassen, darunter nicht nur Windows-NT- relevante Listen sondern auch Mailing- Listen zum Thema integrierte Sicherheit. Außerdem können Sie sich nur die aktuellsten Nachrichten ansehen oder das Archiv durchsuchen. Das National Institute of HealthDie Computer- Security- Information- Seite am National Institute of Health (NIH) ist eine Link-Seite. Sie beinhaltet Verweise auf Online-Magazine, Hinweise, Vereinigungen, Organisationen und andere interessante Websites zum Thema Sicherheit. Sie finden die NIH-Seite unter http://www.alw.nih.gov/Security/security.html. Dies ist eine sehr große Site. Ein besserer Weg ist vielleicht, sich direkt den umfassenden Index anzuschauen, den Sie unter http://www.alw.nih.gov/Security/tcontents.html finden. Der Computer and Network Security Reference IndexDieser Index ist eine weitere gute Informationsquelle. Er bietet Links zu Hinweisen, Newsgroups, Mailing-Listen, Herstellern und Archiven. Sie finden ihn unter http://www.telstra.com.au/info/security.html . Eugene Spaffords Security HotlineEugene Spaffords Site kann in fünf Worten zusammengefasst werden: die ultimative Seite für Sicherheitsinformationen. Von den Hunderten von Seiten zum Thema Sicherheit ist dies die umfassendste Sammlung verfügbarer Links. Im Gegensatz zu vielen Linkseiten, deren Links längst veraltet sind, bleibt diese Seite aktuell. Schauen Sie sie sich an unter http:// http://www.cs.purdue.edu/coast/hotlist/
BemerkungIn diesem Kapitel zeige ich Ihnen, dass Aktualität ein
kritischer Punkt ist. Ich weiß keine bessere Art, diesen Punkt nochmals zu
demonstrieren, als folgendes zu enthüllen: Das bei der Erklärung der folgenden
Punkte fünf Sicherheitslöcher aufgetaucht sind. |
Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an:
tos.computer@gmx.de
|