|
Wir Analysieren Ihr System nach
Sicherheitsheitslücken kostenlos
Braucht man Sicherheit: Real oder
Imaginär?
Hunderttausende sind jeden Tag online, sei es geschäftlich oder
privat. Das wird wird im allgemeinen als Internet-Boom bezeichnet und hat das
Internet drastisch verändert.
Vor einem Jahrzehnt wurden die meisten Server von Menschen
gewartet, die über Basiswissen zum Thema Sicherheit verfügten. Das verhinderte
unerlaubte Zugriffe auch nicht völlig, aber in Proportion zu der Anzahl der
potentiellen Ziele kamen sie nur sehr selten vor.
Heutzutage, nicht zuletzt wegen Microsofts "Point to Klick"
Beschaffenheit von Windows, kann ziemlich jeder ein System dazu bringen "tolle"
Dinge zu tun. Ich finde es großartig, dass Microsoft es geschafft hat, das
>nicht ganz so triviale< ;-) Thema der Vernetzung derart einfach zu gestalten,
dass fast jeder damit umgehen kann. Leider geht das auf Kosten des
Verständnisses für die komplexen Abläufe die eigentlich in einem System
passieren!!!
So werden Web-Server heute meist von Menschen gewartet, die nur
wenig Erfahrung im Sicherheitsbereich haben. Die Zahl der Ziele ist
überwältigend und wächst täglich. Trotz dieser Situation treiben
Geschäftemacher die Menschen weiter voran. Sie behaupten ungeniert, das
Internet sei sicher.
Ist das richtig? Nein!!!
Die Realität ist: Jeden Monat knacken Hacker oder Cracker einen
weiteren Sicherheitsmechanismus, der als Industrie- Standard gilt.
Microsofts PPTP
Ein Paradebeispiel ist Microsofts Implementierung des Point-
to- Point- Tunneling- (Protokoll) (PPTP). PPTP ist ein Protokoll, das
benutzt wird, um Virtual Private Networks (VPNs) über das Internet zu
legen. VPNs ermöglichen sicheren, verschlüsselten Datenverkehr zwischen den
Netzwerk-Knotenpunkten von Unternehmen und machen so Festverbindungen
überflüssig. (Mit VPNs können Unternehmen das Internet quasi als ihre globale
Festverbindung nutzen.)
Microsofts Implementierung von PPTP wird als eine der solidesten
Sicherheitsmaßnahmen auf dem Markt gepriesen.
Microsofts PPTP wurde geknackt. Die Pressemitteilung lautete:
Weiß es Microsoft nicht besser? Man sollte annehmen, sie
wüssten es. Die Fehler von Microsoft sind nicht etwa subtil, sondern Fehler,
die man höchstens von blutigen Anfängern im Verschlüsselungsbusiness erwarten
würde. Die Verschlüsselung wird hier in einer Art und Weise genutzt, die ihre
Wirksamkeit völlig negiert. Die Dokumentation weist 128-Bit-Schlüssel aus,
tatsächlich wird aber nichts genutzt, das auch nur annähernd dieser
Schlüssellänge entspricht. Passwörter werden von derart schlechten Hash-
Funktionen geschützt, dass die meisten auf sehr einfache Art und Weise
geknackt werden können. Und der Kontrollkanal ist so schlampig gestaltet, dass
praktisch jeder einen Microsoft-PPT- Server zum Absturz bringen kann. (Aus:
Frequently Asked Questions - Microsoft PPT Implementation. Counterpane
Technologies. http://www.counterpane.com/pptp-faq.html)
Das hört sich nicht an, als sei Microsofts PPTP sehr sicher,
oder? Experten fanden fünf verschiedene Fehler in der Implementierung, unter
anderem Fehler im Passwort- Hashing, in der Authentifizierung und der
Verschlüsselung.
Sie können darauf wetten, dass es solche Fehler nicht nur
bei Microsoft gibt. Die meisten Verantwortlichen in Unternehmen in
aller Welt glauben, dass die von ihnen eingesetzten Produkte sicher seien.
Schließlich handelt es sich um Produkte großer anerkannter Unternehmen. Ich
zähle inzwischen übrigens auch fast alle kommerziellen Linux
Distributionen wie z.B: RedHat dazu!!!! Wenn ein großes Unternehmen sagt,
ein Produkt ist sicher, dann hält man es für sicher.
Das ist die Einstellung des Managers heutzutage. Und Tausende
von Unternehmen gehen deshalb große Risiken ein.
Fazit: Jeder ist auf sich allein gestellt. Das heißt, es liegt
an Ihnen, geeignete Maßnahmen zu treffen, um Ihre Daten zu schützen. Verlassen
Sie sich niemals auf Softwarehersteller, diese Aufgabe für Sie zu übernehmen.
Die Wurzeln
Fehler der Softwarehersteller sind nur einen Teil des Problems.
Die Wurzeln liegen anderswo. Die drei größten Sicherheitslücken sind:
-
Falsche Konfiguration
-
Systemfehler oder unzulängliche Reaktionen der Softwarehersteller
-
Ungenügende Schulung der Mitarbeiter
Untersuchen wir jeden Faktor und seine Wirkung!
Falsche Konfiguration
Der Hauptgrund für Sicherheitslücken ist falsche Konfiguration.
Dies kann jede Webseite zum Absturz bringen, unabhängig von den getroffenen
Sicherheitsmaßnahmen.
Fehlkonfigurationen können an jedem Punkt des Vertriebswegs von
der Fabrik in Ihr Büro entstehen. So öffnen z.B. manche Utilities(= Software
Anwendungen), wenn sie aktiviert sind, erhebliche Sicherheitslücken. Viele
Softwareprodukte werden mit solchen aktivierten Fehlern ausgeliefert. Die daraus
resultierenden Risiken bleiben erhalten, bis Sie die entsprechenden Utilities
deaktivieren oder richtig konfigurieren.
Ein gutes Beispiel hierfür sind Utilities für den
Netzwerk-Drucker. Diese könnten bei einer Erstinstallation aktiviert sein und
damit das System unsicher machen. Um sie zu deaktivieren, müssen Sie jedoch erst
einmal von ihrer Existenz wissen.
Hinweis:
|
Eine oft zitierte Erkenntnis in Computer-Kreisen lautet:
»80 Prozent der Leute nutzen nur 20 Prozent der Möglichkeiten eines
Programms oder Ihres Systems.« |
Die meisten Anwender wissen nur wenig über das Innenleben ihres
bevorzugten OS (= Operating Systems). Der Aufwand, sich entsprechendes Wissen
anzueignen, würde den Nutzen bei weitem übersteigen.
Ein Beispiel: Utilities sind aktiviert, und diese Tatsache ist
den Anwendern nicht bewusst. In aktiviertem Zustand können diese Utilities
Sicherheitslöcher von unterschiedlichem Ausmaß öffnen. Wenn ein Computer, der in
dieser Weise konfiguriert ist, an das Internet angeschlossen wird, wird er zu
einem einladenden Ziel Kriminelle..
Derartige Probleme sind leicht zu beheben. Die Lösung ist das
Deaktivieren (oder richtige Konfigurieren) der in Frage kommenden Utilities oder
Services. Typische Beispiele für diese Art von Problemen sind:
-
Utilities für den Netzwerk-Drucker
-
File- Sharing- Utilities
-
Default(= Standart )- Passwörter
-
Netzwerk-Beispiel-Programme
Von diesen Beispielen stellen Default-Passwörter das größte
Problem dar. Die meisten Multi-User-Betriebssysteme beinhalten mindestens einen
Default- Passwort- Account (oder einen Account, der überhaupt kein Passwort
verlangt).
Die umgekehrte Situation: Statt aktivierter Utilities, die eine
Gefahr für Ihr OS darstellen, könnte es Ihnen eben so wenig bewusst sein, dass
es nicht aktivierte Utilities gibt, die die Sicherheit Ihres OS verstärken
würden.
Viele OS haben eingebaute Sicherheitsfunktionen. Diese
Funktionen können sehr wirksam sein, wenn sie aktiviert werden, bleiben jedoch
bis zu ihrer Aktivierung völlig wertlos. Sie sehen, es ist wie im wirklichem
Leben, es läuft alles auf Ihren Wissensstand hinaus.
Im wesentlichen sind diese Punkte die Basis jeder
Sicherheitstheorie: Sie müssen das Risiko gegen die praktischen
Sicherheitsmaßnahmen abwägen, je nach Sensitivität Ihrer Netzwerkdaten.
Die meisten Probleme im Bereich IT- Sicherheit entstehen aus
einem Mangel an Verständnis. Aus diesem Grund werde ich in dieser Dokumentation
immer wieder auf das Thema Schulung hinweisen.
Hinweis:
|
Wissen ist Macht!!! Es ist an Ihnen, die
Probleme, die durch mangelndes Wissen hervorgerufen werden, zu beseitigen,
indem Sie sich selbst und/oder Ihre Mitarbeiter mit qualifizierten
Schulungen weiterbilden. |
Systemfehler oder unzulängliche Reaktionen
der Softwarehersteller
Systemfehler liegen leider außerhalb unserer Kontrolle. Das ist
wirklich bedauerlich, denn es ist Tatsache: Fehler seitens der Hersteller ist
die zweithäufigste Ursache für Sicherheitsprobleme. Das kann jeder bestätigen,
der Abonnent einer Bug- Mailing-Liste ist. Jeden Tag werden Fehler oder
Programmierschwächen in Software gefunden. Jeden Tag werden diese in Form von
Hinweisen oder Warnungen ins Internet gesetzt. Unglücklicherweise werden diese
Hinweise und Warnungen zu selten gelesen.
Systemfehler
-
Systemfehler schwächen das Programm so, dass es zu Fehlern im Arbeitsablauf
kommt
-
Systemfehler ermöglichen Kriminellen und Hackern, Schwächen (bzw. fehlerhafte
Arbeitsablauf) auszunutzen, um das System zu beschädigen oder unter Kontrolle
zu bringen.
Es gibt zwei Arten von Systemfehlern. Der erste, der
Primärfehler, ist ein Fehler, der sich innerhalb der Sicherheitsstruktur Ihres
Betriebssystems befindet. Er ist ein Fehler, der in einem sicherheitsrelevanten
Programm steckt. Wenn ein Hacker diesen Fehler ausnutzt, erhält er mit einem
Schritt unautorisierten Zugang zu dem System oder seinen Daten.
Im Gegensatz dazu gibt es Sekundärfehler. Ein Sekundärfehler ist
jeder Fehler, der in einem Programm entsteht, das eigentlich nichts mit
Sicherheit zu tun hat und dennoch eine Sicherheitslücke an einer anderen Stelle
des Systems öffnet. Zur Zeit der Programmierung denkt niemand an
Sicherheitslücken.
Sekundärfehler kommen häufiger vor als Primärfehler,
insbesondere auf Plattformen, die nicht schon von vornherein auf Sicherheit
ausgerichtet sind. Ein Beispiel dafür sind jegliche Fehler in Programmen, die
Zugangsprivilegien erfordern, um Aufgaben zu erledigen ( Programme also, die mit
Root, Administrator- oder Superuser-Privilegien laufen). Werden solche Programme
attackiert, kann der Kriminelle sich durch das Programm hacken, um besonders
privilegierten Zugang zu Dateien zu erhalten.
Ob Primär- oder Sekundärfehler, Systemfehler stellen eine
besondere Bedrohung für die IT- Sicherheit dar, wenn sie in täglich benutzten
Programmen wie FTP oder Telnet auftauchen. Diese sensiblen Applikationen (auf
die man besser gleich verzichten sollte) bilden das Herz des Internet und
könnten selbst dann nicht plötzlich entfernt werden, wenn ein Sicherheitsfehler
in ihnen existiert.
Wann immer also ein Fehler innerhalb Sendmail, FTP, Gopher, HTTP
oder anderen unentbehrlichen Elementen des Internet entdeckt wird, entwickeln
Programmierer Patches (Flicken für den Source- Code oder ganze
Binärdateien), um Probleme zu beheben. Diese Patches werden mit detaillierten
Hinweisen an die ganze Welt verteilt.
Herstellerreaktionen
Softwarehersteller wollen ihre Software verkaufen. Für sie ist
es keine Werbung, wenn jemand Lücken in ihren Systemen entdeckt. Schließlich
bedeutet solche Lücken Einbußen an Gewinn und Prestige. Dementsprechend schnell
reagieren Hersteller mit beruhigenden Aussagen, um die Anwender zu beruhigen.
Die Gründe sind vielfältig, und oft tragen die Hersteller keine
Schuld. Sofortige Fehlerbehebungen ist manchmal nicht möglich, z.B. in folgenden
Fällen:
-
Der Fehler ist Teil des Betriebssystems.
-
Die Applikation ist weit verbreitet oder Standard
-
Wenn die Anwendung Software eines Drittanbieters ist, der schlechten Support
bietet, der Hersteller sich nicht zertifizieren lässt (wie es z.B: W2K
verlangt), oder ganz einfach nicht mehr im Geschäft ist
In diesen Fällen bietet ein Patch (oder eine andere Lösung)
kurzfristige Hilfe. Damit aber das System effektiv arbeiten kann, müssen alle
Anwender wissen, dass dieser Patches zur Verfügung stehen. Man muss sagen, dass
die Hersteller solcher Patches dies an Sicherheitsgruppen und Mailing-Listen
weiterleiten.
Warum ist Wissen im Bereich IT- Sicherheit
wichtig
Die IT-Sicherheitsbranche hat immer versucht, Informationen zum
Thema Sicherheit vom ganz normalen Anwender fernzuhalten. Schließlich sollten
User nicht mehr als ein Basiswissen nötig haben. Nur haben fast alle User
heutzutage dieses Basiswissen erreicht.
Heute brauchen alle etwas Schulung im Bereich Sicherheit.
Deshalb habe ich diese Doku geschrieben.
Ich will das Bewusstsein für das Thema IT-Sicherheit in der
Öffentlichkeit zu erhöhen.
Ob Sie wirklich betroffen sind, hängt von Ihrer Situation ab.
Es gibt offensichtliche Gründe für mehr Sicherheit.
Privatsphäre ist so ein Punkt.
Jeder Anwender sollte sich bewusst sein, dass
nichtverschlüsselte Kommunikation über das Internet unsicher ist. Ebenso sollte
jeder User wissen, dass Behörden - nicht Hacker - eine
große Bedrohung darstellen. Obwohl das Internet eine wundervolle Quelle zum
recherchieren und zur Unterhaltung ist, ist es kein Freund (zumindest nicht,
wenn Sie etwas zu verbergen haben oder auch nur ein wenig Wert auf Ihre
Privatsphäre legen).
Die Wirtschaft
Die durchschnittliche Datenbank für Unternehmen wird mit
proprietärer Software erstellt. Die Lizenzgebühren für große Datenbanken können
sich auf einige zehntausend DM belaufen. Die Festkosten für diese Datenbank
beinhalten Programmierung, Wartung und Upgrade-Gebühren. Die Entwicklung und
ständige Benutzung einer großen Unternehmensdatenbank ist teuer und
arbeitsaufwendig.
Nutzt ein Unternehmen solche Datenbanken nur intern, ist
Sicherheit ein eher peripherer Aspekt. Ein Administrator muss Basiswissen über
Netzwerk-Sicherheit besitzen, um unerlaubte Angriffe von angehenden Hackern oder
Kriminellen zu verhindern. Die Anzahl möglicher Angreifer ist limitiert und der
Zugang ist auf wenige, wohlbekannte Protokolle beschränkt.
Die gleiche Datenbank, in Verbindung mit dem Internet wendet
sich dramatisch!! Die Anzahl potentieller Angreifer ist unbekannt und unendlich
groß. Eine Attacke kann jederzeit von jedem Ort ausgehen. Wahrscheinlich ist der
Zugang nicht nur auf ein oder zwei Protokolle limitiert.
Eine Datenbank mit dem Internet zu verbinden ist einfach, öffnet
aber viele Türen für mögliche Angriffe.
Verwaltungsangestellte sind schnell dabei, wenn es darum geht,
die Finanzierung für Sicherheit in einem Unternehmen abzulehnen (oder
einzuschränken). Sie sehen die Kosten dafür vor allem deshalb als unnötig an,
weil sie das Risiko nicht kennen, und kein Verständnis haben. Ein oder mehrere
begabte kriminelle Hacker können - innerhalb von Minuten oder Stunden - mehrere
Jahre der Datenerfassung vernichten.
Schulungen sind für Unternehmen ein günstiger Weg, um zumindest
ein minimales Sicherheitsniveau zu erreichen. Die Kosten, die einem Unternehmen
jetzt dafür entstehen, machen sich später ganz
sicher bezahlt.
Die Einsamkeit- oder ist das Internet ein
gefährlicher Ort
Das Internet ist ein gefährlicher Ort. Die Hauptverkehrsader ist
nicht so schlimm. T-Online, AOL, MSN - sind saubere Durchgangsstraßen. Sie sind
schön gestaltet, mit farbenfrohen Zeichen und hilfreichen Hinweisen, die einem
stets sagen, wo man hingehen und was man tun kann. Wehe aber man erwischt eine
falsche Ausfahrt..........
Dies ist natürlich eine Übertreibung, die oft ins Internet
gesetzt wird. Meistens stecken Anbieter dahinter, die aus Ihrer Angst und Ihrem
limitierten Wissen über das Internet einen Nutzen ziehen wollen. Diesen
Geschichten folgen meistens Hinweise auf dieses oder jenes Produkt. Schützen Sie
Ihr Unternehmen! Bla Bla Bla
Wenn man dieses Dokumentation aufmerksam liest, hoffe ich, dass
es ein wenig dazu beiträgt, diese Geschäftemacher auszurotten. Es bietet
hoffentlich genug Wissen, um Anwender (oder neue Systemadministratoren) vor den
gefährlichen Ausfahrten im Internet zu schützen.
Das sind die typischen Probleme, denen man begegnet:
-
Anwender, die nichts von IT- Sicherheit verstehen
-
Hacker und Cracker, die täglich Sicherheitssysteme knacken
-
Hersteller, die behaupten, ihr Code ist sicher, auch wenn sie es nicht
wirklich wissen
-
Schlecht integrierte Sicherheitsprogramme
Wichtigste Kundenvorteile
- Vorteil 1 Wir Prüfen Ihr System kostenlos nach Sicherheitslücken.
- Vorteil 2 Wir weisen Sie daraufhin wo Ihre Sicherheitslücken liegen.
| 
![[Under Construction]](../images/undercon.gif){kind=small}