|
|
AngriffsstufenJetzt wollen wir uns die unterschiedlichen Ebenen eines Angriffs ansehen. Ein Angriff ist jede unbefugte Aktion, die mit dem Ziel ausgeführt wird, Ihren Server zu behindern, zu schädigen, außer Gefecht zu setzen oder seine Sicherheit zu durchbrechen. Ein solcher Angriff kann von einem Versagen des Dienstes bis hin zur vollständigen Offenlegung und Zerstörung Ihres Servers führen. Welche Ebene eine erfolgreich gegen Ihr Netzwerk ausgeführte Attacke erreicht, hängt von den Sicherheitsvorkehrungen ab, die Sie getroffen haben.
Wann kommt es zu Angriffen?Ein Angriff kann jederzeit ausgeübt werden, solange Ihr Netzwerk mit dem Internet verbunden ist. Da die meisten Netzwerke 24 Stunden am Tag angebunden sind, bedeutet das, dass es jederzeit zu einem Angriff kommen kann. Es gibt jedoch einige Gepflogenheiten, nach denen sich die meisten Angreifer erwartungsgemäß verhalten. Die Mehrzahl der Angriffe erfolgt (oder beginnt zumindest) spät nachts - bezogen auf die Zeitzone des Servers. D.h., wenn Sie in Los Angeles sind und Ihr Angreifer sich in London befindet, wird die Attacke vermutlich während der späten Nacht bis in die frühen Morgenstunden der Pazifik-Normalzeit erfolgen. Sie würden vielleicht vermuten, dass Cracker bevorzugt am Tag arbeiten, weil dann so viel Traffic herrscht, dass ihre Aktivitäten eher in der Menge untergehen. Es gibt jedoch einige Gründe, warum Cracker diese Zeiten meiden:
Die beliebtesten Ziele von Crackern sind daher Systeme, in denen sich niemand befindet. Ich verwendete eine Zeitlang eine Workstation in Japan, um meine Angriffe von dort aus zu starten, da nie jemand eingeloggt zu sein schien. Von diesem Rechner aus startete ich Telnet und verband mich zurück in die Vereinigten Staaten. Eine ähnliche Situation hatte ich einmal mit einem neuen ISP in Rom. (Mehr kann ich nicht erzählen, da sie sich ganz bestimmt an mich erinnern werden und mein Inkognito dann gelüftet wäre. Sie meinten tatsächlich, dass ich unbedingt bei ihnen vorbeischauen sollte, wenn ich mal wieder in Italien hacken würde!) Über solche Rechner können Sie vorübergehend die Kontrolle übernehmen und sich alles nach Ihrem Geschmack einrichten. Außerdem haben Sie reichlich Zeit, die Log-Dateien zu ändern. Seien Sie also gewarnt: Die meisten dieser Aktivitäten erfolgen in der Nacht - bezogen auf Ihre geographische Lage. Tipp:
Welche OS verwenden Cracker?Die von Crackern verwendeten Betriebssysteme variieren. Am wenigsten wahrscheinlich ist wohl die Macintosh-Plattform. Es gibt einfach nicht genügend Tools für MacOS, und die benötigten Tools zu portieren stellt einen zu großen Aufwand dar. Unix ist wahrscheinlich die am häufigsten verwendete Plattform, und davon wahrscheinlich FreeBSD und Linux. Der offensichtlichste Grund dafür sind die Kosten. Für den Preis dieses Buchs bekommen Sie eine Linux- Distribution mit allen Tools, die Sie jemals benötigen: C, C++, Smalltalk, Perl, TCP/IP und vieles mehr. Außerdem erhalten Sie den vollständigen Quellcode des Betriebssystems. Diese Frage der Kosten ist gar nicht so trivial. Sogar ältere Workstations können teuer sein. Sie erhalten mehr Rechen-Power, wenn Sie einen IBM-kompatiblen Rechner nehmen. Sie können heute für wenig Geld an einen 100-MHz-PC mit 8 Mbyte RAM kommen. Dann spielen Sie noch FreeBSD oder Linux auf den Rechner, und schon haben Sie eine leistungsfähige Workstation. Für ungefähr dasselbe Geld bekommen Sie dagegen nur eine 25-MHz- SPARCstation 1 mit Festplatte, Monitor und Tastatur. Oder eine ELC mit einer externen Platte und 16 Mbyte RAM. Die Kosten für die Software verschlimmern das Ganze noch. Wenn Sie eine alte Sun kaufen, erhalten Sie damit vielleicht auch SunOS 4.1.x. Dann ist ein C-Compiler (cc) dabei. Wenn Sie jedoch einen RS/6000 mit AIX 4.1.x kaufen, kommen Sie vielleicht billiger an die Maschine, aber einen C-Compiler haben Sie damit noch nicht. Das läuft wahrscheinlich darauf hinaus, daß Sie sich GCC aus dem Internet besorgen werden. Wie Sie sich denken können, ist ein C-Compiler ein absolutes Muß. Ohne ihn können Sie die Mehrheit der erhältlichen Tools nicht verwenden, da Sie diese zuerst kompilieren müssen. Das ist eine wichtige Überlegung und mit ein Grund dafür, warum Linux immer beliebter wird. Tipp:
SunMan sieht ziemlich häufig Cracker, die entweder SolarisX86 oder SCO als Plattform verwenden. Der Grund dafür ist, dass man an diese Produkte, obwohl es Lizenzprodukte sind, ziemlich leicht herankommen kann. Meistens sind Cracker, die diese Plattform verwenden, Studenten, oder sie kennen Studenten. Deshalb können sie sich die sehr viel billigeren Schulversionen besorgen. Außerdem sind diese Betriebssysteme auch deshalb eine preiswerte Alternative, weil sie auf PC-Architekturen laufen. (SolarisX86 2.4 wurde sehr populär, nachdem Unterstützung für normale IDE-Laufwerke und CD-ROM-Laufwerke integriert wurde. Vorher waren nur die teureren SCSI-Laufwerke unterstützt worden.) Seit kurzem verteilt Sun Microsystems gegen einen kleinen Unkostenbeitrag (Porto- und Mediumkosten) das Betriebssystem Solaris an Privatanwender mit kostenloser Lizenz, solange das System nicht kommerziell benutzt wird.
Andere Unix-PlattformenUnix-Plattformen sind deshalb populär, weil sie normalerweise geringe Hardware-Anforderungen stellen. Ein Rechner mit Windows 95 und allem Zubehör benötigt eine Menge RAM. Linux oder FreeBSD können Sie dagegen auf einem armseligen 386er laufen lassen und eine gute Leistung erhalten (natürlich vorausgesetzt, dass Sie auf X verzichten). Das ist auch kein Problem, weil sogar Tools, die für die X-Umgebung geschrieben worden sind, normalerweise ebenfalls über eine Befehlszeilen-Schnittstelle verfügen (z.B. können Sie SATAN von der Kommandozeile ausführen).
MicrosoftDie Microsoft-Plattform unterstützt viele legitime Sicherheitstools, die für Angriffe auf entfernte Hosts verwendet werden. Immer mehr Cracker verwenden Windows NT, da es eine sehr viel bessere Leistung bietet als Windows 95 und außerdem über fortschrittliche Netzwerk-Tools verfügt. Darüber hinaus ist Windows NT unter dem Aspekt der Sicherheit eine etwas ernster zu nehmende Plattform. Es verfügt auch über eine Zugriffskontrolle, so daß Cracker ihren Spezis bestimmte Dienste sicher anbieten können. Wenn sich diese »Freunde« einloggen und versuchen, das System zu zerstören, werden sie mit denselben Kontrollen konfrontiert wie bei einem Rechner, der Crackern nicht so freundlich gesinnt ist. Außerdem wird Windows NT immer beliebter, weil Cracker wissen, dass sie lernen müssen, mit dieser Plattform umzugehen. Da Windows NT als Plattform für Internet-Server immer populärer wird (und das wird es, spätestens seit DEC mit Microsoft kooperiert, auf jeden Fall), müssen Cracker wissen, wie man dieses System knacken kann. Weiterhin werden Sicherheitsprofis auch Tools entwickeln, mit denen man die interne Sicherheit von Windows- NT- Systemen testen kann. Ein starker Anstieg der Verwendung von Windows NT als Cracker-Plattform ist also absehbar. Tipp:
Ausgangspunkte von AngriffenVor Jahren gingen viele Angriffe von Universitäten aus, da dort ein Internet-Zugang vorhanden war. Die meisten Cracker waren Jugendliche, die keine andere Möglichkeit hatten, ins Internet zu kommen. Das wirkte sich natürlich nicht nur auf den Ausgangspunkt der Attacke aus, sondern auch auf den Zeitpunkt des Angriffs. Außerdem war damals echtes TCP/IP von zu Hause aus noch nicht als Option verfügbar. Heute ist die Situation ganz anders. Cracker können Ihr Netzwerk von zu Hause aus, ihrem Büro oder ihrem Wagen aus knacken. Es gibt jedoch auch einige konstante Größen. Zum Beispiel benutzen ernsthafte Cracker im allgemeinen keine Online-Dienste wie AOL oder CompuServe. (Offensichtliche Ausnahmen sind Cracker, die gestohlene Kreditkartennummern verwenden. In solchen Fällen sind Online-Dienste eine ausgezeichnete Wahl.) Ein Grund dafür ist, dass diese Online-Dienste einen Hacker oder Cracker schon beim geringsten Anlass anzeigen. Der Verdächtige hat vielleicht noch nicht einmal etwas Schlimmes getan (kleinere ISPs lassen sie vielleicht einfach gehen). Die Ironie dabei ist, dass große Online- Dienste es den Versendern von Massenmailings durchaus erlauben, das Internet mit größtenteils unerwünschten Werbemails zu bombardieren. Können Sie sich denken, warum? Neugierde wird missbilligt, aber purer Kommerz ist in Ordnung. Ein weiterer Grund ist, dass diese Dienste keine Unix- Shell zusätzlich zum normalen PPP anbieten. Ein Shell- Account kann viele Aktionen erleichtern, die sonst schwierig durchzuführen sind. Verfügbare System-Tools bieten eine erweiterte Funktionalität, darunter verschiedene Shells, Perl, Awk, Sed, C, C++ und eine Handvoll Systembefehle (z.B. showmount und rusers). Langsam vervollständigt sich unser Bild eines typischen Crackers: Es ist eine Person, die spät in der Nacht arbeitet, mit einem Unix- oder Windows- NT- Rechner und fortschrittlichen Tools ausgestattet ist und aller Wahrscheinlichkeit nach über einen lokalen Provider ins Internet gelangt.
Gibt es typische Cracker?Der typische Cracker lässt sich wahrscheinlich durch die folgenden Eigenschaften beschreiben:
Das typische Ziel?Das typische Ziel ist schon schwerer zu definieren, da Cracker verschiedene Netzwerktypen aus unterschiedlichen Gründen angreifen. Ein beliebtes Ziel ist jedoch das kleine, private Netzwerk. Cracker sind sich Unternehmensgebaren und finanziellen Situationen durchaus bewusst. Da Firewalls in der Anschaffung und Wartung teuer sind, haben kleinere Netzwerke meistens keine oder verwenden minderwertige Produkte. Außerdem sind in kleinen Unternehmen selten Personen zu finden, die speziell damit betraut sind, sich mit der Abwehr von Crackern zu beschäftigen (denken Sie nur an den Bericht aus Schweden, den ich in Kapitel 6, »Wer ist überhaupt anfällig für Attacken durch Cracker?«, erwähnt habe). Außerdem sind kleinere Netzwerke leichter offen zulegen, weil sie folgendes Profil haben:
Tipp:
Dieses Profil ist jedoch nicht auf alle Zeiten festgelegt. Viele Cracker bevorzugen ein Kopf- an- Kopf- Rennen, bei dem sie versuchen, ein neu entdecktes Sicherheitsloch auszunutzen, bevor der Systemadministrator es gestopft hat. In diesem Fall sucht ein Cracker meistens nur die sportliche Herausforderung. Ein weiterer Punkt ist die Vertrautheit. Die meisten Cracker kennen zwei oder mehrere Betriebssysteme aus Anwendersicht sehr genau, aber meistens nur eins aus Cracker-Sicht. D.h. die meisten Cracker spezialisieren sich auf ein Betriebssystem. Es gibt nur wenige Cracker, die sich mit dem Knacken mehrerer Plattformen auskennen. Wenn jemand z.B. mit VAX/VMS sehr vertraut ist, aber wenig über SunOS weiß, wird er bevorzugt VAX-Stationen angreifen und schließlich durch seine so gewonnenen Erfahrungen vielleicht auch DEC Alphas. Universitäten sind teilweise Hauptangriffsziele, weil sie über extreme Rechenleistungen verfügen. Eine Universität wäre z.B. ein ausgezeichneter Ausgangspunkt für eine ausgiebige Sitzung mit dem Ziel des Knackens von Passwörtern. Die Arbeit kann auf mehrere Workstations verteilt werden und dadurch viel schneller durchgeführt werden, als es lokal machbar wäre. Ein weiterer Grund dafür, dass Universitäten Hauptangriffsziele sind, ist die Vielzahl an Benutzern. Selbst in relativ kleinen Netzwerk-Segmenten sind dies oft mehrere hundert. Die Administration derart großer Netzwerke ist eine sehr schwierige Aufgabe. Die Chancen stehen sehr gut, dass ein geknackter Account in der Menge übersehen wird. Weitere populäre Ziele sind die Netzwerke von Regierungsstellen. Hier tritt die anarchistische Veranlagung eines Crackers zum Vorschein: Er hat den Wunsch, Regierungsstellen zu blamieren. Eine solche Attacke kann, wenn sie erfolgreich durchgeführt wurde, dem Cracker innerhalb seiner Subkultur großes Ansehen verschaffen. Dabei spielt es keine Rolle, ob der Cracker erwischt worden ist; wichtig ist nur, dass er es geschafft hat, eine als sicher angesehene Site zu knacken. Die Kunstfertigkeit dieses Crackers wird sich unter den Crackern im Internet schnell herumsprechen.
Warum greifen Cracker Systeme an?Es gibt eine Menge Gründe, warum Cracker daran interessiert sein könnten, Ihr System anzugreifen:
Das sind alles schlechte Gründe. Wenn Sie das Gesetz übertreten, sind Sie auf jeden Fall zu weit gegangen. Bei Gesetzesübertretungen spielt oft ein Gefühl eine Rolle, das die ganze Sache sehr aufregend und spannend werden lässt und Ihre Urteilsfähigkeit negativ beeinflussen könnte.
Verschiedene AngriffeAb welchem Ausmaß kann man von einem Angriff auf sein Netzwerk sprechen? Einige meinen, dies sei schon der Fall, sobald ein Cracker entweder in ihr Netzwerk eingedrungen ist oder einen Teil davon zeitweilig lahm gelegt hat. Aus juristischer Sicht könnten dies sicherlich auch gültige Anhaltspunkte sein, mit deren Hilfe man einen Angriff definieren kann (obwohl in einigen Gesetzgebungen auch die Absicht und nicht nur die erfolgreiche Durchführung einer Tat schon ausreicht). Die juristische Definition eines Angriffs geht davon aus, dass dieser nur dann stattgefunden hat, wenn der Cracker in das Netzwerk gelangt ist. Meiner Meinung nach ist jedoch schon die Ausübung von Handlungen, die letztendlich zu einem Eindringen in ein Netzwerk führen werden, als Angriff zu bezeichnen. Ich denke, dass Sie schon angegriffen werden, sobald ein Cracker mit der Arbeit an dem Zielrechner beginnt. Das Problem bei dieser Definition ist, dass ein Cracker manchmal, sei es aufgrund einer noch unausgereiften Vorbereitung oder einfach mangelnder Gelegenheit, einige Zeit benötigt, um einen Angriff schließlich auszuführen. Er könnte z.B. wochenlang weitere Informationen über Ihr System sammeln, und diese Sitzungen könnte man kaum als Angriffe bezeichnen, da sie damit nicht viel zu tun haben. Wenn ein Cracker weiß, dass Sie Log-Dateien zur Protokollierung der Vorgänge auf Ihrem Rechner einsetzen, wählt er vielleicht diese langsame Vorgehensweise. Der Grad der Paranoia von Systemadministratoren ist unterschiedlich, und diesen kann ein Cracker nur herausfinden, indem er irgend etwas unternimmt (z.B. könnte er einen Scheinangriff von einer temporären Adresse aus starten und auf die Antwort, ein Echo oder irgendwelche Aktivitäten des Systemadministrators warten). Die meisten Administratoren gehen allerdings nicht aufgrund einer einzigen Anweisung aus dem Nichts in die Luft, es sei denn, diese ist eine offensichtliche Attacke. Ein Beispiel für eine offensichtliche Attacke ist, wenn die Log-Datei den Versuch eines alten sendmail-Exploits preisgibt. Dabei führt der Cracker zwei oder drei Befehlszeilen an Port 25 aus. Diese Befehle dienen stets dazu, den Server dazu zu bringen, eine Kopie der Datei /etc/ passwd an den Cracker zurückzusenden. Wenn ein Systemadministrator das sieht, ist er höchstwahrscheinlich beunruhigt. Anders ist das z.B. bei showmount. Ein Systemadministrator weiß wahrscheinlich, dass die Ausführung der showmount- Anweisung ein verdächtiges Zeichen ist, aber er wird dies nie als ein versuchtes Eindringen werten. Daraus kann man höchstens ableiten, dass jemand ein Eindringen in Erwägung zieht, wenn überhaupt. Diese Techniken der allmählichen Sammlung von Informationen haben ihre Vor- und Nachteile. Zum Beispiel kann ein Cracker zu unterschiedlichen Zeiten von unterschiedlichen Adressen aus unauffällig an den Türen eines Netzwerks klopfen (und die Fenster überprüfen). Spärliche Protokolle dieser Vorfälle, von unterschiedlichen Adressen aus, lassen den normalen Systemadministrator wahrscheinlich noch nicht hellhörig werden. Eine rabiatere Vorgehensweise (z.B. ein schwerer Scan) wird den Systemadministrator dagegen sofort auf das Problem aufmerksam machen. Wenn ein Cracker nicht ausreichend sicher ist, dass eine bekannte Sicherheitslücke auf einem Rechner existiert, wird er kaum eine kompromisslose Scan- Attacke durchführen (jedenfalls nicht, wenn er clever ist). Wenn Sie sich noch nicht lange mit der Sicherheit beschäftigen, ist es wichtig, dass Sie sich mit dem Verhalten von Crackern vertraut machen. Sicherheitstechniker spielen die Bedeutung dieses Punkts oft herunter, weil sie Cracker nur Geringschätzung entgegenbringen. Trotzdem gelingt es Crackern immer wieder, die Sicherheit von vorgeblich sicheren, mit den neuesten und besten Sicherheitstechnologien ausgestatteten Servern zu durchbrechen. Die meisten Cracker sind keine Genies. Sie verwenden oft erprobte und zuverlässige Techniken, die in der Szene weit verbreitet sind. Wenn ein Cracker sich seine Tools nicht selbst schreibt, muss er auf die vorhandenen zurückgreifen. Jedes Tool hat Einschränkungen, die auf seiner speziellen Konzeption beruhen. Deshalb sehen für die Opfer alle Angriffe, bei denen die gleichen Tools verwendet werden, im Grunde gleich aus. Angriffe von Crackern, die strobe verwenden, sehen wahrscheinlich immer identisch aus, solange das Zielsystem z.B. immer eine SPARC mit SunOS 4.1.3 ist. Diese Signaturen erkennen zu können, ist eine wichtige Fertigkeit, die Sie sich aneignen sollten. Das Studium von Verhaltensmustern geht jedoch noch ein bisschen weiter. Die meisten Cracker lernen ihre Techniken (zumindest die Grundlagen) von ihren Vorgängern. Obwohl es auch Pioniere unter den Crackern gibt, treten die meisten Cracker einfach in die Fußstapfen derer, die vor ihnen da waren. Diese Techniken sind in von Crackern verfassten Online-Dokumenten ausführlich beschrieben, und solche Dokumente findet man zu Hunderten im Internet. Dort wird an äußerst detaillierten Beispielen erläutert, wie man einen bestimmten Angriff durchführt. Der Cracker-Neuling befolgt diese Anweisungen meistens sehr genau. Allerdings ist dies oft ungünstig, da einige Angriffsmethoden inzwischen mehr als veraltet sind (und Abwehrlösungen entwickelt worden sind, so dass der Cracker nur seine Zeit vergeudet). Wenn Sie einen solchen Angriff in Ihren Log-Dateien finden, sieht er wahrscheinlich fast genauso aus wie in den Logs, die Sicherheitsprofis in verschiedenen technischen Publikationen veröffentlicht haben, um Beispiele für Einbruchversuche zu illustrieren. Tipp:
Auf jeden Fall ist es sehr lehrreich, das Verhalten von Crackern in echten Cracking- Situationen zu studieren. Es gibt Dokumente dieses Inhalts im Internet, von denen Sie sich mindestens zwei oder drei besorgen sollten. Eines der außergewöhnlichsten wurde von Bill Cheswick, damals AT&T Laboratories, geschrieben. Cheswick beginnt diesen Klassiker wie folgt:
Cheswick leitete die
Tipp:
Tipp:
Tipp:
Es gibt noch weitere Berichte dieser Art. Ein besonders vernichtender stammt von Tsutomu Shimomura, der einen Cracker beobachtete, der dem oben erwähnten sehr ähnlich war. Die Person gab vor, der Mitnik Liberation Front anzugehören (der Name sagt wohl schon alles). Auf jeden Fall legte dieser Cracker ein Ködersystem bloß, das dem von Bellovin präparierten ähnelte. Shimomuras Kommentare wechseln sich ab mit Beschreibungen erfolgloser Versuche des Crackers, mehr zu erreichen. Auch Protokolle dieser Sitzungen sind in dem Dokument enthalten. Es ist eine interessante Studie. Tipp:
Eine weitere fesselnde Beschreibung stammt von Leendert van Dorn von der Universität Vrije in den Niederlanden. Sie trägt den Titel »Computer Break-ins: A Case Study« (21. Januar 1993). Dieses Dokument beschäftigt sich mit unterschiedlichen Arten von Angriffen. Die Techniken wurden aus tatsächlich gegen die Universität Vrije ausgeführten Angriffen zusammengestellt. Einige der Angriffe waren ziemlich ausgeklügelt. Tipp:
Ein bekannteres Dokument ist vielleicht »Security Breaches: Five Recent Incidents at Columbia University«. Da ich dieses Dokument an anderer Stelle in diesem Buch analysiere, werde ich hier davon absehen. Es ist jedenfalls eine ausgezeichnete Studie, die viel Licht ins Dunkel des Verhaltens von Crackern bei der Umsetzung von Angriffen bringt. Tipp:
Gordon R. Meyer hat eine sehr interessante Magisterarbeit an der Northern Illinois University verfasst, mit dem Titel »The Social Organization of the Computer Underground«. Darin analysierte Meyer die Computer-Untergrundszene aus soziologischer Sicht und sammelte einige sehr aufschlussreiche Informationen. Die Arbeit ist zwar schon recht alt, enthält aber heute noch interessante Auszüge von Radio- und Fernsehinterviews, Zeitschriften und anderen Publikationen. Obwohl Meyers Arbeit nicht wie die oben erwähnten Dokumente spezielle Vorgehensweisen im Detail enthüllt, beschreibt sie doch sehr klar und deutlich die sozialen Aspekte des Knackens von Computersystemen. Tipp:
Die Einbruchs/ Crack-EbenenAbb. 1.1 zeigt sechs Ebenen Ihres Netzwerks. Ich werde diese Ebenen als Ebenen der Sensibilität bezeichnen. In den Kästchen sind die mit den jeweiligen Cracking- Techniken verbundenen Risiken beschrieben.
Abbildung 1.1: Der Sensibilitätsindex der Crack-Ebenen Ebenen der SensibilitätDie Ebenen der Sensibilität sind in allen Netzwerken ziemlich ähnlich (abgesehen von denen mit sicheren Netzwerkbetriebssystemen). Die üblichen Risiken lassen sich in einer Liste zusammenfassen, die sich seit 10 Jahren nicht grundlegend verändert hat. Änderungen kommen selten vor, außer bei der Einführung von neuen Technologien wie ActiveX, die die Ausführung beliebiger Binares über das Internet ermöglichen. Die Mehrheit der Cracker nutzt die Sicherheitslücken aus, von denen wir täglich in Sicherheits- Newsgruppen hören. Wenn Sie diese Gruppen häufiger aufsuchen (oder eine Mailingliste), haben Sie die folgenden Worte wahrscheinlich schon tausendmal gelesen:
Ebene einsIn Ebene eins angesiedelte Attacken sind im Grunde unwichtig. Diese Attacken beinhalten DoS- Attacken und Mailbomben. Es erfordert bestenfalls 30 Minuten Zeit, diese Dinge zu korrigieren. Die einzige Absicht solcher Angriffe ist es, Ihnen auf die Nerven zu gehen. In den meisten Fällen können Sie diese Probleme stoppen, indem Sie ein Ausschlussverfahren anwenden, wie in dem von der Universität Pittsburgh herausgegebenen Sicherheits- Advisory 95-13 (SATAN Update) beschrieben:
Tipp:
Es gibt einige Fälle, in denen eine Denial- of- Service- Attacke ernstere Auswirkungen haben kann. Bestimmte obskure Konfigurationen Ihres Netzwerks könnten bedrohlichere Zustände begünstigen. Christopher Klaus von Internet Security Systems hat in einem Beitrag zu DoS- Attacken einige derartige Konfigurationen definiert. Klaus schrieb:
Klaus spricht noch weitere DoS-Attacken an. Ich würde Ihnen empfehlen, sich den Beitrag einmal anzusehen. Er enthält Informationen zu Schwachstellen von Windows NT, Novell, Linux und Unix im allgemeinen. Tipp:
Wenn es sich bei einem Angriff um eine syn_flood- Attacke handelt, gibt es einige Möglichkeiten, den Cracker zu identifizieren. Augenblicklich sind im Internet vier maßgebliche syn_flooding- Utilities im Umlauf. Mindestens zwei davon enthalten einen grundlegenden Fehler, der die Identität des Angreifers offen legt, wenn auch indirekt. Diese Tools haben in ihrem Code Vorkehrungen für eine Reihe von PING- Anweisungen. Diese PING- Anweisungen führen die IP- Adresse des Rechners mit, von dem sie ausgegeben worden sind. Wenn der Cracker also eines dieser Utilities benutzt, teilt er Ihnen bei jedem PING- Befehl seine IP- Adresse mit. Obwohl Sie dadurch nicht an die E-Mail-Adresse gelangen, können Sie mit Hilfe der früher in diesem Buch beschriebenen Methoden den Cracker zu seiner Quelle zurückverfolgen. (Wie bereits erwähnt, wird traceroute das Netzwerk preisgeben, von dem der Cracker kommt. Das ist im allgemeinen der vorletzte Eintrag der umgekehrten traceroute -Suche.) Das Problem dabei ist jedoch, dass Sie gründliches Logging einsetzen müssen, um allen Traffic zwischen Ihnen und dem Cracker abzufangen. Um diese IP- Adresse zu finden, müssen Sie schon ganz schön tief graben. Auf jeden Fall haben Sie aber eine 50%ige Chance, wenn der Cracker solch ein fehlerhaftes Utility verwendet. Tipp:
Die meisten Denial- of- Service- Attacken stellen ein relativ geringes Risiko dar. Sogar Attacken, die einen Reboot erzwingen können, sind nur vorübergehende Probleme. Diese Art von Angriffen unterscheidet sich stark von solchen, bei denen sich jemand die Kontrolle über Ihr Netzwerk verschafft. Das einzig wirklich Irritierende bei DoS- Attacken ist, dass sie zwar ein geringes Risiko darstellen, aber dafür die Wahrscheinlichkeit eines solchen Angriffs sehr groß ist. Ein Cracker muß nur über wenig Erfahrung und Können verfügen, um eine DoS- Attacke implementieren zu können. Diese Angriffe sind daher sehr verbreitet, wenn auch nicht ganz so verbreitet wie Mailbombings. Bei Mailbombings sind die Übeltäter meistens leicht aufzuspüren. Außerdem kann man diesen Angriffen durch Bozo-Filter und Ausschlussschemata den Wind aus den Segeln nehmen (sie schaden im Endeffekt dem Angreifer mehr als irgend jemandem sonst). Die einzige wirkliche Ausnahme ist ein Mailbombing, das so konsequent und in einem solchen Ausmaß durchgeführt wird, dass es einen Mail Server lahm legt. Andere Angriffe der Ebene eins sind z.B. Idioten, die Telnet-Sitzungen zu Ihrem Mail- oder News- Server einleiten und versuchen, freigegebene Verzeichnisse oder sonstige Dinge zu ermitteln. Solange Sie Ihr Netzwerk ordentlich gesichert haben, sind solche Aktivitäten keine Gefahr. Wenn Sie die Freigaben nicht richtig konfiguriert haben oder die r-Utilities laufen lassen (oder andere Dinge, die Sie nicht laufen lassen sollten), können einige dieser durchschnittlichen Techniken der Ebene eins sich zu richtigem Ärger auswachsen.
Die Ebenen zwei und dreiDie Ebenen zwei und drei beinhalten Dinge wie lokale Benutzer, die sich Lese- und Schreibberechtigung zu Dateien (oder Verzeichnissen) verschaffen, die ihnen eigentlich verboten sind. Ob das zu einem Problem wird, hängt stark von dem Wesen dieser Datei(en) ab. Sicherlich kann jeder lokale Benutzer, der auf das Verzeichnis /tmp zugreifen kann, zu einer kritischen Gefahr werden. Dies könnte ihm den Weg zu einem Angriff der Ebene drei (der nächsten Stufe) bereiten, bei dem der Benutzer auch Schreibzugriff erhalten (und damit in Ebene vier vordringen) könnte. Von diesem Problem sind hauptsächlich Unix- und Windows- NT- Administratoren betroffen. Lokale Angriffe sind ein bisschen anders. Der Begriff lokaler Benutzer ist relativ. In Netzwerken bezieht sich lokaler Benutzer auf jeden, der momentan an einem Rechner innerhalb des Netzwerks eingeloggt ist. Eine bessere Definition ist vielleicht, dass ein lokaler Benutzer jemand ist, der ein Passwort für einen Rechner innerhalb Ihres Netzwerks hat und deshalb über ein Verzeichnis auf einer Ihrer Festplatten verfügt. Die Bedrohung durch lokale Benutzer steht in direktem Zusammenhang mit der Art des Netzwerks, das Sie unterhalten. Wenn Sie ein ISP sind, haben Sie wahrscheinlich 90 Prozent Ihrer lokalen Benutzer noch nie gesehen oder gesprochen. Solange die Abbuchungen von ihrer Kreditkarte jeden Monat problemlos erfolgen, haben Sie mit diesen Leuten wahrscheinlich noch nicht mal per E-Mail sehr viel Kontakt (die monatliche Abrechnung zählt nicht so recht). Es gibt keinen Grund, warum diese anonymen Personen keine Cracker sein sollten. Jeder außer Ihren engsten Mitarbeitern ist ein potentieller Verdächtiger. Hinweis:
Ein durch einen lokalen Benutzer initiierter Angriff kann jämmerlich schlecht oder extrem ausgereift sein; er wird grundsätzlich über Telnet erfolgen. Ich habe bereits erwähnt, dass es für einen ISP eine ausgezeichnete Idee ist, alle Shell-Accounts auf einem einzigen Rechner zu isolieren. D.h. Logins sollten nur auf dem Rechner (oder Rechnern) akzeptiert werden, die Sie für den Shell-Zugang vorgesehen haben. Das vereinfacht die Verwaltung von Protokollen, Zugriffskontrollen und anderen Sicherheitsaspekten. Tipp:
Diese Rechner sollten ein eigenes Netzwerksegment zugeteilt bekommen. D.h. sie sollten entweder durch Router oder Switches umgeben sein, je nachdem, wie Ihr Netzwerk konfiguriert ist. Die Topologie sollte sicherstellen, dass bizarre Arten des Hardware- Adreß- Spoofings nicht hinter dieses bestimmte Segment durchsickern können. Das beinhaltet einige mit Vertrauen zusammenhängende Dinge, die ich später in diesem Buch noch ansprechen werde. Es gibt nur zwei Arten von Angriffen, denen Sie begegnen werden. Die weniger ernste ist der umherstreifende Benutzer. Das sind Cracker, die sich erst einmal umsehen (solche Leute leiten z.B. die passwd-Datei an STDOUT, um zu sehen, ob sie privilegierte Dateien lesen können). Im Gegensatz dazu könnten Sie allerdings auch auf einen organisierten und gut durchdachten Angriff treffen. In diesem Fall kennt der Angreifer Ihre Systemkonfiguration bereits gut. Vielleicht hat er sie zuvor schon von einem Account eines anderen Providers aus untersucht (wenn Ihr System der Außenwelt Informationen preisgibt, ist dies definitiv eine Möglichkeit). Wenn Sie Umgebungen mit aktivierter Zugriffskontrolle verwenden, gibt es zwei Hauptprobleme in bezug auf Berechtigungen. Beide können beeinflussen, ob ein Problem der Ebene zwei zu einem Problem der Ebene drei, vier oder fünf eskaliert. Diese Probleme sind: Zu der ersten Möglichkeit kann es kommen, wenn Sie das Berechtigungsschema nicht richtig verstanden haben. Das ist kein Verbrechen. Ich habe bemerkt, dass nicht jeder Unix- oder NT-Administrator ein Guru ist (obwohl die wenigsten dies zugeben würden). Es braucht Zeit, sich ein tiefergehendes Wissen des Systems anzueignen. Nur weil Sie ein Informatikstudium oder eine vergleichbare Ausbildung abgeschlossen haben, heißt das noch lange nicht, dass Ihr System sicher sein muss. Es gibt Tools, mit denen man prüfen kann, ob man bei der Konfiguration Fehler gemacht hat, und ich gebe in diesem Buch einige davon an. Wenn Sie auch nur den geringsten Verdacht haben, dass die Berechtigungen falsch gesetzt sein könnten, besorgen Sie sich diese Tools und prüfen Sie es genau nach. Tipp:
Die zweite Möglichkeit kommt häufiger vor, als Sie denken. Solche Fehler tauchen immer wieder auf. So heißt es z.B. im CERT- Advisory »Vulnerability in IRIX csetup« (Januar 1997):
Tipp:
Sie sollten sich dieses Advisory gut ansehen. Beachten Sie das Datum - dies ist nicht irgendein altes Advisory aus den 80er Jahren, sondern von 1997. Diese Arten von Problemen können bei keinem Unternehmen ausgeschlossen werden. Sicherheitslöcher werden routinemäßig in Programmen jeder Art von Betriebssystem gefunden, wie in dem CERT- Advisory »Vulnerability in Solaris admintool« (August 1996) beschrieben ist:
Wegweiser:
Dabei macht es keinen Unterschied, welches System Sie haben. Für fast alle Betriebssysteme werden Bugs gepostet. Die meisten Netzwerksysteme sehen sich jeden Monat mit mindestens einem Advisory dieser Art konfrontiert (mit dieser Art meine ich solche, die zu privilegiertem oder sogar Root- Zugriff führen können). Es gibt keine unmittelbare Lösung für dieses Problem, weil die meisten dieser Sicherheitslöcher nicht bekannt waren, als die Software ausgeliefert wurde. Die einzige Möglichkeit ist, alle Mailing-Listen zu abonnieren, die Bugs, Sicherheitslöcher und Ihr System betreffen. In dieser Hinsicht ist Sicherheit ein immerwährender Lernprozess. Es gibt einige Techniken, die Sie anwenden können, um auf der Höhe der Zeit zu bleiben. Wenn Sie Mailing- Listen abonnieren, werden Sie mit E-Mails zugeschüttet. Einige Listen erzeugen bis zu 50 Nachrichten pro Tag. Auf Unix-Plattformen ist das kein großes Problem, da Sie kontrollieren können, wie diese Nachrichten auf die Platte geschrieben werden, während sie ankommen (durch Abfangen der Adresse und Umleitung der Mail in ein bestimmtes Verzeichnis und so weiter). In einer Microsoft-Windows- Umgebung kann diese Menge an Mails jedoch überwältigend für jemanden sein, der mit anderen Aufgaben beschäftigt ist. Wenn Sie der Systemadministrator eines NT-Netzwerks sind, gibt es verschiedene Möglichkeiten. Eine ist, unterschiedliche Listen an unterschiedliche Accounts zu leiten. Das macht die Handhabung der eingehenden Mail ein bisschen einfacher (es gibt zu diesem Zweck auch Programme). Unabhängig davon, welche Plattform Sie verwenden, sollten Sie Scripts schreiben, um diese Mail zu analysieren, bevor Sie sie lesen. Ich würde Perl installieren (das auch für NT erhältlich ist) und es verwenden, um die Nachrichten nach einer Zeichenfolge zu durchsuchen, die eine Nachricht für Ihre spezielle Konfiguration interessant macht. Mit ein bisschen Aufwand können Sie sogar ein Script schreiben, das diese Treffer nach Priorität auflistet.
Ebene vierProbleme der Ebene vier sind im allgemeinen mit Außenstehenden verbunden, die in der Lage sind, auf interne Dateien zuzugreifen. Dieser Zugriff kann unterschiedlicher Natur sein. Sie könnten eventuell nur in der Lage sein, die Existenz bestimmter Dateien zu überprüfen, aber sie könnten auch in der Lage sein, diese Dateien zu lesen. In Ebene vier angesiedelte Probleme beinhalten auch solche Sicherheitslücken, bei denen entfernte Benutzer - ohne gültigen Account - eine begrenzte Anzahl von Befehlen auf Ihrem Server ausführen können. Der größte Teil dieser Sicherheitslücken entsteht durch eine fehlerhafte Konfiguration Ihres Servers, schlechtes CGI und Überlauf-Probleme.
Die Ebenen fünf und sechsIn den Ebenen fünf und sechs liegen Bedingungen vor, unter denen Dinge möglich sind, die niemals vorkommen dürften. Jedes Sicherheitsloch in Ebene fünf und sechs ist fatal. In dieser Ebene können entfernte Benutzer Dateien lesen, schreiben und ausführen (normalerweise haben sie mehrere Methoden kombiniert, um so weit zu kommen). Zum Glück ist es, wenn Sie schon die Ebenen zwei, drei und vier gesichert haben, fast unmöglich, dass Sie jemals mit einer Krise der Ebenen fünf oder sechs konfrontiert werden. Wenn Sie die kleineren Möglichkeiten des Eindringens vereitelt haben, beruht eine Sicherheitslücke der Ebene sechs höchstwahrscheinlich auf fehlerhafter Software.
ReaktionsebenenWie sollte man reagieren, wenn man entdeckt, dass ein Angriff im Gange ist? Das hängt ganz von der Situation ab. Reaktion auf Angriffe der Ebene einsAngriffe der Ebene eins können so behandelt werden, wie ich es bereits beschrieben habe. Filtern Sie die ankommende Adresse und kontaktieren Sie den Service Provider des Angreifers. Dies sind kleinere Unannehmlichkeiten. Nur wenn die DoS- Attacke in Zusammenhang mit irgendeiner anderen Attacke zu stehen scheint (vielleicht einer höheren Ebene), oder wenn sie einige Zeit andauert (wie im Fall Panix.com), sollten Sie sich die Mühe machen, mehr zu tun, als nur den ankommenden Traffic auszusperren. Wenn Sie jedoch in einer Situation wie bei Panix sind, sollten Sie erwägen, CERT oder andere Behörden zu informieren. Reaktion auf Angriffe der Ebene zweiAngriffe der Ebene zwei können intern behandelt werden. Es gibt keinen Grund, durchsickern zu lassen, dass lokale Benutzer auf Dinge zugreifen können, auf die sie nicht zugreifen sollten. Sperren oder löschen Sie den Account des Benutzers. Wenn es Beschwerden gibt, überlassen Sie die Sache Ihrem Anwalt. Wenn Sie die Person zur Einsicht bewegen wollen, wird dies nicht viel nützen. Innerhalb eines Monats wird alles wieder beim alten sein. Das ist kein Spiel. Niemand garantiert Ihnen, dass dieser interne Benutzer nur ein unschuldiger, neugieriger Mensch ist. Einen Rat habe ich noch für Sie: Sperren Sie den Account auf jeden Fall ohne Vorwarnung. Auf diese Weise können Sie Beweise sicherstellen, die ansonsten gelöscht werden könnten. Tipp:
Reaktion auf Angriffe der Ebenen drei, vier und fünfWenn Sie einem Angriff oberhalb der Ebene zwei ausgesetzt sind, haben Sie ein echtes Problem. Sie müssen dann folgende Dinge tun:
Sie haben es mit einem Kriminellen zu tun. Wenn Sie ihn schnappen, brauchen Sie Beweise. Diese Beweise zu erbringen, wird einige Zeit dauern. Wann ein Eindringen zur kriminellen Tat wird, ist nach der Internet-Rechtsprechung nicht immer eindeutig zu bestimmen. Auf jeden Fall reicht es nicht aus, dass jemand versucht, über sendmail an Ihre Datei /etc/passwd zu gelangen. Auch der Beweis einer Handvoll showmount -Anforderungen wird nicht genügen. Um wirklich etwas gegen den Eindringling in der Hand zu haben, müssen Sie konkrete Beweise dafür haben, dass er sich in Ihrem Netzwerk aufgehalten hat, bzw. daß er derjenige war, der Ihr Netzwerk mit Hilfe einer DoS- Attacke lahmgelegt hat. Um diese Beweise zu erhalten, müssen Sie die volle Wucht des Angriffs ertragen (es sei denn, Sie können einige Schutzmaßnahmen errichten, die sicherstellen, dass Ihr Netzwerk durch den Angriff keinen Schaden nehmen wird). Mein Rat in einer solchen Situation wäre, nicht nur die Polizei einzuschalten, sondern mindestens ein qualifiziertes Sicherheitsunternehmen, das Ihnen helfen kann, den Angreifer zu schnappen. Das wichtigste bei einer solchen Operation sind die Log-Dateien und natürlich die Lokalisierung des Eindringlings. Die Logs können Sie selbst erzeugen. Das Auffinden des Eindringlings gestaltet sich schon etwas schwieriger. Sie könnten mit einem einfachen traceroute beginnen, und vielleicht setzen Sie ein Dutzend unterschiedliche Methoden ein, nur um am Ende feststellen zu müssen, dass das Netzwerk, von dem der Eindringling stammt, selbst ein Opfer ist oder eine bösartige Site. Im schlimmsten Fall ist es ein Netzwerk, das in einem Land liegt, in dem die deutsche Justiz keinen Einfluss mehr nehmen kann. In solchen Fällen können Sie wenig anderes tun, als Ihr Netzwerk abzusichern und wieder zur Tagesordnung überzugehen. Alles andere könnte sehr kostspielig werden und sich am Ende doch als Zeitverschwendung herausstellen.
ZusammenfassungIn diesem Kapitel haben Sie etwas über die unterschiedlichen Ebenen von Angriffen erfahren. Diese Ebenen sind durchnumeriert, wobei Ebene eins die harmloseste und Ebene sechs die schlimmste Art eines Angriffs ist. Sie haben erfahren, wie Sie auf die unterschiedlichen Angriffe reagieren sollten und welche Tools Sie verwenden können, um sie erfolgreich zu bekämpfen.
Erkennen von Eindringlingen (Intrusion Detection)An Introduction to Intrusion Detection. Aurobindo Sundaram. http://www.techmanager.com/nov96/intrus.html Intrusion Detection for Network Infrastructures. S. Cheung, K. N. Levitt und C. Ko. 1995 IEEE Symposium on Security and Privacy, Oakland, CA. Mai 1995. http://seclab.cs.ucdavis.edu/papers/clk95.ps Fraud and Intrusion Detection in Financial Information Systems. S. Stolfo, P. Chan, D. Wei, W. Lee und A. Prodromidis. 4th ACM Computer and Communications Security Conference. 1997. http://www.cs.columbia.edu/~sal/hpapers/acmpaper.ps.gz Detecting Unusual Program Behavior Using the Statistical Component of the Next-Generation Intrusion Detection Expert System (NIDES). Debra Anderson, Teresa F. Lunt, Harold Javitz, Ann Tamaru und Alfonso Valdes. SRI-CSL-95-06. Mai 1995. (Nur in gedruckter Fassung erhältlich.) Zusammenfassung: http://www.csl.sri.com/tr-abstracts.html#csl9506 Intrusion Detection Systems (IDS): A Survey of Existing Systems and a Proposed Distributed IDS Architecture. S. R. Snapp, J. Brentano, G. V. Dias, T. L. Goan, T. Grance, L. T. Heberlein, C. Ho, K. N. Levitt, B. Mukherjee, D. L. Mansur, K. L. Pon und S. E. Smaha. Technical Report CSE-91-7, Division of Computer Science, University of California, Davis. Februar 1991. http://seclab.cs.ucdavis.edu/papers/bd96.ps A Methodology for Testing Intrusion Detection Systems. N. F. Puketza, K. Zhang, M. Chung, B. Mukherjee und R. A. Olsson. IEEE Transactions on Software Engineering, Vol. 22, No. 10. Oktober 1996. http://seclab.cs.ucdavis.edu/papers/tse96.ps GrIDS - A Graph-Based Intrusion Detection System for Large Networks. S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip und D. Zerkle. The 19th National Information Systems Security Conference. http://seclab.cs.ucdavis.edu/papers/nissc96.ps NetKuang - A Multi-Host Configuration Vulnerability Checker. D. Zerkle und K. Levitt. Proceedings of the 6th Usenix Security Symposium. San Jose, CA. 1996. http://seclab.cs.ucdavis.edu/papers/zl96.ps Simulating Concurrent Intrusions for Testing Intrusion Detection Systems: Parallelizing Intrusions. M. Chung, N. Puketza, R. A. Olsson und B. Mukherjee. Proceedings of the 1995 National Information Systems Security Conference. Baltimore, MD. 1995. http://seclab.cs.ucdavis.edu/papers/cpo95.ps Holding Intruders Accountable on the Internet. S. Staniford-Chen und L.T. Heberlein. Proceedings of the 1995 IEEE Symposium on Security and Privacy, Oakland, CA. 8-10, Mai 1995. http://seclab.cs.ucdavis.edu/~stanifor/papers.html Machine Learning and Intrusion Detection: Current and Future Directions. J. Frank. Proceedings of the 17th National Computer Security Conference, Oktober 1994. http://seclab.cs.ucdavis.edu/~frank/mlid.html Another Intrusion Detection Bibliography. http://doe-is.llnl.gov/nitb/refs/bibs/bib1.html Intrusion Detection Bibliography. http://www.cs.purdue.edu/coast/intrusion-detection/ids_bib.html Bibliography on Intrusion Detection. The Collection of Computer Science Bibliographies. http://src.doc.ic.ac.uk/computing/bibliographies/Karlsruhe/Misc/intrusion.detection.html |
Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an:
tos.computer@gmx.de
|