scip ag

Transcription

scip ag

scip ag
meisten der Neulinge, die sich jedoch dann doch
ein bisschen intensiver mit der Materie beschäftigen, werden merken, dass Computersicherheit
nichts mit grandiosen 3D-Darstellungen von virtuellen Dateisystemen zu tun hat (siehe „Hackers“ oder „Jurassic Park“). Wenigstens ein
kleiner Fortschritt...
Contents
1.
Editorial
2.
Neuerungen der scip AG
3.
Neue Sicherheitslücken
4.
Erfahrungsaustausch
5.
Linktipps
6.
Software-Tipps
7.
Buchtipps
8.
Fragen und Antworten
9.
Kreuzworträtsel
10.
Literaturverzeichnis
11.
Impressum
1.
Editorial
Ein Grossteil der Kids im jugendlichen Alter zwischen 14 und 18 Jahren sind auf der Suche nach
Tools, die Angriffe automatisieren. Mit diesen
Skripten, die sie nicht verstehen, wollen sie die
Welt erobern – daher der Name Skript-Kiddies.
Dass sie damit ein Ärgernis für Privatpersonen,
Unternehmen und ganze Wirtschaftszweige sind,
das gefällt ihnen gar. Sie fühlen sich als Rebellen
– wer ihr Gegner ist und warum er dazu wurde,
das ist ihnen eher egal.
„Hallo, mein Name ist Neo“, stellt sich mir mein
Gegenüber in seinem Email vor. „Nicht schon
wieder“, schiesst es mir durch den Kopf. Schon
wieder ein Jugendlicher, der sich den Film „The
Matrix“ (1999) oder das Sequel „Matrix Reloaded“
(2003) angeguckt hat und sich nun berufen fühlt,
mit einer Sonnenbrille bewaffnet das Internet
unsicher zu machen...
Es wird immer auffälliger, dass auch der Security-Bereich seinen Modeerscheinungen unterworfen ist. Kommt ein cooler Hacker-Film in die Kinos (oder auf DVD), kann man sich sicher sein,
dass innerhalb der kommenden Wochen die
Anzahl der Neos und Zerocools (Held aus dem
Film Hackers, 1995) um ein Vielfaches steigen
wird. Die Chaträume und Foren werden regelrecht überschwemmt.
Doch damit nicht genug, denn das Thema des
Films ist ja „Hacking“ und alle wollen nun auch in
Systeme einbrechen oder Computer zum Absturz
bringen. Manche wollen gar Sprinkler-Anlagen
auslösen oder Satelliten übernehmen. Fragen à
la „Wie werde ich Hacker?“ legen die Nerven
alteingesessener Security-Hasen blank. Die
scip monthly Security Summary
Marc Ruef & Simon Zumstein
scip_mss-20030619.doc
Um diesen Missstand zu verhindern, ist es in
Phasen wie dieser besonders wichtig, seine Systeme gegen altbekannte und aktuelle Sicherheitslücken abzusichern. Vor allem Schwachstellen,
zu denen haufenweise Tools und Exploits erhältlich sind – wie vor ein paar Jahren zum Beispiel
die Unicode-Schwachstelle im MS IIS – können
Neulinge zum Ausprobieren und Experimentieren
anregen.
Grosser Schaden geht von den Skript-Kiddies
glücklicherweise eher weniger aus, denn dafür
fehlt der technische Hintergrund. Dieser ist jedoch unabdingbar, um komplexe und konstruktive Attacken umzusetzen, also in Systeme einzubrechen. Das Herumspielen mit SMBnuke oder
SubSeven reicht den Störenfrieden, um sich wie
ein junger Kevin Mitnick zu fühlen. In der Aggressionspsychologie spricht man von „Lernen am
Modell“ [Nolting 1978]: Was gesehen wird, wird
kopiert.
Richtig problematisch und gefährlich kann es
werden, wenn die Skript-Kiddies durch den Ehrgeiz gepackt möglichst grossen Schaden anrichten wollen. Massen-Defacements und Distributed
Denial of Service-Attacken [Ruef et al. 2002] sind
dabei dann nur noch ein Mittel zum Zweck – die
Opfer und der für sie entstehende Schaden ist ja
eh nur virtuell. Wen kümmerts, ob nun irgendein
Administrator das Wochenende durcharbeiten
muss, weil die Firewall zerschossen wurde. Seine
Familie kann er ja ein andermal sehen. Je nach
technischem Verständnis und Ehrgeiz ist die
© scip AG
Druckdatum: 29.04.2014
News, Webseite, Security, Sicherheit
public
Seite 1/22
s c i p
a g
Zeitdauer anders, bis ein Skript-Kiddie solche
breitflächigen und tiefschürfenden Zugriffe umsetzen kann. Es ist jedoch nicht unrealistisch zu
erwarten, dass die „Neos“ von heute in einem
halben Jahr mehr anrichten können, weder den
Administratoren lieb ist.
Es bleibt zu hoffen, dass sich mit wachsendem
Verständnis der Materie auch die Weitsicht für
sie erschliesst. Wer die Schönheit und Vielfalt
des Internets zu schätzen weiss, der wird es erweitern und nicht zerstören wollen.
Marc Ruef <[email protected]>
Security Consultant
Zürich, 19. Juni 2003
2.
Firewall Policy Assessment, diesem Anspruch
gerecht zu werden. Denn IT-Security ist ein fortdauernder Entwicklungsprozess, der weit mehr
als nur die Installation der Firewall beinhaltet.
Firewalls sind in den täglichen Gebrauch einer
Firma eingebunden. Somit muss sie sich rapide
den schnell ändernden Anforderung der angewandten Medien wie z.B. WorldWideWeb, Intranet oder Webapplikationen anpassen. Diese
stetigen Änderungen wandeln die einst konzipierten Regelwerke. Das Firewall Policy Assessment
der scip AG verschafft Ihnen die nötige Transparenz, um einen ganzheitlichen Ansatz der Sicherheitslösung selbst bei der Betrachtung einzelner
Systeme und ein ausbalanciertes Investment
über alle Sicherheitsbereiche hinweg zu ermöglichen.
Neuerungen der scip AG
2.1 )pallas( Flyer online
Die im smSS vom 19. Mai 2003 vorgestellten
Dienstleistungspakete )pallas( treffen den Zahn
der Zeit. Man hat nicht genügend Zeit um professionelle Informationen selbst zu filtrieren. Seit
neuem ist der entsprechende Flyer auf unserer
Webpage aufgeschaltet. Machen Sie sich ein
Bild!
2.2 Firewall Policy Assessment
Die spürbare Zunahme bedrohlicher Exploits und
die augenscheinliche Verfügbarkeit populärer
Hacking-Tools, die es auch immer mehr Laien
und Dilettanten ermöglichen Computersysteme
einfach zu kompromittieren, erfordern von den
IT-Securityverantwortlichen ein geschärftes Bewusstsein und eine umsichtige Sensibilität.
Die scip AG hilft Ihnen mit einem individuellen
Das scip AG Firewall Policy Assessment geht
nach standardisierten Methoden vor und spürt
gezielt Sicherheitslücken in Ihren Systemen von
aussen wie von innen auf. Neben einer Standard
Schwachstellenanalyse definierter Areas, werden
nicht eingespielte Patches, unerlaubte Netzwerkservices, Fehlkonfigurationen, falsche Rechtvergabe etc. erkannt. Eine weiterführende, modulare Analyse beinhaltet unter anderem, die Einbeziehung betriebswirtschaftlicher Aspekte, spezielle Angrifsszenarien, Beurteilung von SecurityKonzepten, Design Reviews etc.. Als Ergebnis
des Firewall Policy Assessment geht erstens ein
Abschlussbericht hervor, der alle Erkenntnisse
der Untersuchung enthält und zweitens ein detaillierter Massnahmenkatalog, der konkrete und
lösungsorientierte Vorschläge zur Behebung
erkannter Mängel aufzeigt.
Der Firewall Policy Assessment Dienstleistungsflyer
ist
über
den
Direktlink
http://www.scip.ch/dienstleistungen/dienstleistung
en/scip_flyer-firewallpolicy_assessment.pdf aufrufbar.
© scip AG
public
Seite 2/22
s c i p
a g
2.3 Nachfragen bei Verletzbarkeiten
Unsere deutschprachige Verletzbarkeitdatenbank
http://www.scip.ch/cgi-bin/smss/showadvf.pl informiert Sie umgehend über die neusten Exploits
und die geeigneten Gegenmassnahmen. Per
sofort können Sie durch das anwählen einer spezifischen Schwachstelle Ihre Frage an uns richten.
te aus dem Security-Bereich. Neu hinzugekommen ist letzten Monat die Liste Full-Disclosure.
Viele Leute beklagen sich über das sinkende
Niveau der Bugtraq-Mailingliste: Uninteressante
und unfundierte Postings scheinen sich zu häufen. Als direkter Mitkonkurrent wird die Mailingliste Full-Disclosure angesehen. Es werden auch
hier neue Schwachstellen publiziert und diskutiert. Viele Emails, die auf Bugtraq geschickt werden, werden zeitgleich auch an Full-Disclosure
geschickt. Abonniert man beide Mailinglisten, ist
man stets auf dem Laufenden, was neue Sicherheitslücken betrifft.
Sie finden die Empfehlungen auf unserer Webseite
unter
http://www.scip.ch/publikationen/empfehlungen/
2.6 Workshophinweise
Juni 2003
2.4 scip_Alert
Der scip_Alert liefert Ihnen die letzte publik gewordene Sicherheitslücke, welche von uns als
"sehr kritisch" (höchste Alarmstufe) klassifiziert
wurde.
21.06.2003
scip Quality Circle [sQC]
25.06.2003
IT-Security Overview
Juli 2003
08.07.2003
Profiling
15.07.2003
Zonenkonzeption
August 2003
05.08. bis
06.08.2003
07.08.2003
Anhand der von uns publizierten Skripte
http://www.scip.ch/publikationen/scip_alert/ können Sie diese in Ihre eigene Website einbinden
und Ihre Besucher auf akute Schwachstellen
hinweisen. Per Ende Juni 2003 ist geplant, Ihnen
den gesamten Datensatz zur Verfügung zu stellen.
2.5 Full-Disclosure Mailinglisten hinzugefügt
Unter den Publikationen findet sich eine Kategorie namens „Empfehlungen“. In dieser weisen wir
unsere Besucher und Kunden auf besonders
nützliche Angebote hin. Wir platzieren dort zusätzlich die uns wichtig erscheinenden Mailinglisscip monthly Security Summary
TCP/IP Sicherheit
Log Management [LMRT]
08.08.2003
Log Management [LMRO]
12.08.2003
Profiling
19.08.2003
Viren
20.08.2003
IDS / Intrusion Prevention
26.08.2003
Vulnerability Assessment
27.08.2003
Log Management [LMST]
Das scip AG Workshopportfolio finden Sie auf
der Firmenwebseite unter Dienstleistungen
http://www.scip.ch/dienstleistungen/workshops/
3.
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener
Schwachstellen sowie weitere Sicherheitslücken
sind unentgeltlich in unserer Datenbank unter
http://www.scip.ch/cgi-bin/smss/showadvf.pl publiziert.
Die Dienstleistungspakete )scip( pallas liefern
Ihnen jene Informationen, die genau für Ihre Systeme relevant sind.
Contents:
© scip AG
public
Seite 3/22
s c i p
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11
3.12
3.13
3.14
3.15
3.16
3.17
3.18
3.19
3.20
3.21
3.22
3.23
3.24
3.25
3.26
3.27
3.28
3.29
a g
Microsoft Netmeeting CALLTO URL
Pufferüberlauf
Microsoft Windows Media Player 7.0 und
7.1 lässt automatisch Dateien
herunterladen
Diverse P2P-Software Supernode
Designfehler
Diverse UNIX-Systeme glibc
Pufferüberlauf
Apache mod_dav Pufferüberlauf
Apache UNIX Authentifizierung Denial of
Service
Microsoft IIS 5.0 SSINC.DLL Server Side
Includes Pufferüberlauf
Microsoft IIS 4.0/5.0 ASP
Response.AddHeader Denial of Service
Microsoft IIS 5.0/5.1 WebDAV XML Denial
of Service
Microsoft IIS 4.0/5.0 nsiislog.dll Denial of
Service
MySQL 4.0.x libmysqlclient
mysql_real_connect() Pufferüberlauf
MySQL 4.0.x libmysqlclient
mysql_real_connect() Pufferüberlauf
Verschiedene Webbrowser fehlerhafte
Scripting-Rechte
Microsoft IIS 4.0 und 5.x Fehlermeldungen
Cross Site Scripting
Clearswift MAILSweeper 4.x for SMTP
RTF-Anhänge Denial of Service
Sun Solaris in.telnetd Denial of Service
Linux Kernel 2.4 Hash-Table-Kollisionen
Denial of Service
Microsoft Internet Explorer object-Tag
Pufferüberlauf
Microsoft Internet Explorer FTP klassische
Ansicht Cross Site Scripting
Sun Solaris 8 x86 syslogd Denial of
Service
Apple MacOS X LDAP Benutzerdaten
Preisgabe
Sun Solaris /usr/lib/utmp_update
Pufferüberlauf
Microsoft Internet Explorer "Verwandte
Links anzeigen" fehlerhafte Deaktivierung
Microsoft Internet Explorer "Verwandte
Links anzeigen" Klartext-Übermittlung
OpenSSH IP-Adressbeschränkungen
umgehen
Apple MacOS X File-Sharing fehlerhafte
Schreibrechte
Microsoft Internet Explorer 5.5 und 6.0
XML Cross Site Scripting
Microsoft Internet Explorer HTTPFehlermeldungen Cross Site Scripting
Microsoft Hotmail Virenschutz mit Cross
Site Scripting umgehen
3.1 Microsoft Netmeeting CALLTO
URL Pufferüberlauf
Einstufung: kritisch
Remote:
Ja
Datum:
20.05.2003
Advisory:
http://www.securityfocus.com/archive/1/32
2065
Patch: http://www.microsoft.com
Microsoft Netmeeting ist eine Messaging-Suite
für die Windows-Betriebssysteme. Aus dem
Microsoft Internet Explorer heraus kann
Netmeeting direkt aufgerufen werden. Dabei
lassen sich Parameter übergeben. Wird
callto:msils/AAA[...]+type=directory
aufgerufen
und ein überlanger Parameter mitgeschickt, wird
in vielen Fällen ein Blue Screen of Death
ausgegeben. Das System kann erst wieder nach
einem Neustart genutzt werden. Im Advisory und
Bugtraq-Posting weist David F. Darauf hin, dass
er den Denial of Service-Zugriff nicht immer und
überall reproduzieren konnte. Es ist damit zu
rechnen, dass Microsoft in absehbarer Zeit einen
Patch für dieses Problem herausbringen wird.
Expertenmeinung:
Dieser Pufferüberlauf ist nur möglich, wenn ein
konfiguriertes Netmeeting vorliegt. Dies wird in
professionellen Umgebungen eher weniger der
Fall sein. Es ist trotzdem nicht auszuschliessen.
Es ist nicht damit zu rechnen, dass diese
Angriffsform grosse Verbreitung erlangen wird.
3.2 Microsoft Windows Media Player
7.0 und 7.1 lässt automatisch
Dateien herunterladen
Einstufung: sehr kritisch
Remote:
Ja
Datum:
21.05.2003
Advisory: http://www.malware.com/
Patch:
http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/M
S00-046.asp
Microsoft Outlook Express ist ein umfassender
Mail-Client für die Windows-Betriebssysteme. Er
ist vor allem bei Privatanwendern aufgrund seiner
Einfachheit und weil er bei den modernen
Windows-Systemen direkt mitgeliefert wird, sehr
beliebt. Zeigt Outlook Express eine speziell
formatierte HTML-Nachricht an, kann ein
Angreifer automatisch Dateien herunterladen,
interpretieren oder ausführen lassen. Sodann
lassen sich weitere Angriffe (z.B. Denial of
Service oder das Installieren einer Hintertür)
umsetzen. Der Aufbau eines möglichen Exploits
© scip AG
public
Seite 4/22
s c i p
a g
und der Link zu einem Beispiel wurden im
Bugtraq-Posting publiziert. Dies Schwachstelle
wurde erstmals am 20. Juli 2000 in einem
Microsoft Security Bulletin (MS00-046, Patch
Available for 'Cache Bypass' Vulnerability) für
Microsoft Outlook Express 4.x und 5.x sowie
Microsoft Outlook 98 und 2000 festgehalten. Der
gleiche Fehler konnte nun auch in Microsoft
Outlook Express 6 nachgewiesen werden. Um zu
verhindern,
dass
zum
Beispiel
Dateien
automatisch mit dem Microsoft Windows
Mediaplayer interpretiert werden, sollte man im
Mediaplayer das Scripting deaktivieren. Im
Bugtraq-Posting wird darauf hingewiesen, dass
man Emails unbekannter Herkunft nicht anzeigen
bzw. öffnen soll. Der Fehler wurde im Microsoft
Windows Media Player 9.0 behoben. Ein
entsprechendes Update wird empfohlen.
Expertenmeinung:
Die Unschönheit dieser Schwachstelle kann nicht
bestritten werden. Aber auch das Advisory ansich
weist eine Unschönheit auf: Microsoft wurde nicht
frühzeitig
über
das
Vorhandensein
der
Schwachstelle in der jüngsten Outlook Express
Version informiert - Stattdessen wurde mit der
Sicherheitslücke direkt an die Öffentlichkeit
gegangen. Das Zeitfenster, bis für diese
Sicherheitslücke ein Patch herauskommt, ist also
unweigerlich länger. Das anonyme Posting hatte,
so scheint es, als einziges Ziel, Microsoft zu
denunzieren. Uns, den Benutzern, ist damit nicht
gedient, denn wir sind nun die kommenden Tage
oder Wochen potentiellen Attacken ausgeliefert.
Man hätte diese Sache sicher professioneller
angehen können.
3.3 Diverse P2P-Software Supernode
Designfehler
Remote:
Ja
Datum:
26.05.2003
Advisory:
http://lists.netsys.com/pipermail/fulldisclosure/2003-May/009863.html
Patch:
http://www.kazaa.com/us/products/downlo
adKMD.htm
Das FastTrack (FT) Network ist eines der
grössten und populärsten P2P-Netzwerke. Viele
File-Sharing Applikationen wie Kazaa,
iMesh oder Grokster machen von FT Gebrauch.
Durch ein deformiertes Paket ist es einem
Angreifer möglich, Supernodes zum Absturz zu
bringen
oder
eigenen
Programmcode
auszuführen. Supernode im FastTrack-Netzwerk
kann
jeder
verbundene
Client
werden.
Voraussetzung hierzu ist allerdings genügend
Rechenpower, eine schnelle Internetverbindung
und eine öffentliche IP-Adresse. Standardmässig
ist zum Beispiel die SuperNode-Funktion bei
Kazaa aktiviert.
Expertenmeinung:
Postings in Full-Disclosure spekulieren bereits
über Szenarien, in denen die RIAA versuchen
könnte, FastTrack-Supernodes zu manipulieren,
um den Tausch von urheberrechtlich geschützten
Musikdateien zu unterbinden. Ganz sicher ist,
dass eine Vielzahl von Benutzern von dieser
Schwachstelle betroffen sind. Können alle
verwundbaren
Systeme
durch
die
Sicherheitslücke übernommen werden, könnten
sie für weitere Angriffe - zum Beispiel Distributed
Denial of Service-Zugriffe - missbraucht werden.
Die Zukunft wird zeigen, welches Ausmass diese
Schwachstelle noch haben wird. In den jeweiligen
Foren wird jedenfalls schon hitzog diskutiert.
3.4 Diverse UNIX-Systeme glibc
Pufferüberlauf
Einstufung: problematisch
Remote:
Ja
Datum:
27.05.2003
Advisory:
http://www.suse.de/de/security/2003_027_
glibc.html
Patch: ftp://ftp.suse.de
Ein Pufferüberlauf wurde in glibc, das bei der
Linnux-Distribution von SuSE mitgeliefert wird,
entdeckt. Durch diesen in der Funktion
xdrmem_getbytes() kann ein Angreifer einen
Denial of Service-Zugriff oder gar beliebigen
Programmcode ausführen. SuSE hat mit einem
Patch reagiert. Dieser steht zum Download zur
Verfügung. Ein Workaround ist lediglich im
Deaktivieren bzw. Deinstallieren sämtlicher RPCbasierten Dienste.
Expertenmeinung:
SuSE ist sehr gut mit dieser Schwachstelle
umgegangen. So haben sie zuerst einen Patch
entwickelt und danach die Anwender über die
bestehende
Sicherheitslücke
informiert.
Bezüglich der Hintergrundinformationen, wie die
Schwachstelle ausgenutzt werden kann, hielt sich
SuSE bedeckt. Von dieser professionellen
Vorgehensweise kann sich noch so manches
Software-Unternehmen ein Stück abschneiden.
Um diese Schwachstelle zu bereinigen, sollte
man umgehend den von SuSE freigegebenen
Patch installieren.
3.5 Apache mod_dav Pufferüberlauf
© scip AG
public
Seite 5/22
s c i p
a g
Remote:
Ja
Datum:
28.05.2003
Advisory:
http://www.apache.org/dist/httpd/Announce
ment2.html
Patch:
http://httpd.apache.org/download.cgi
Apache ist ein populärer, freier open-source
Webserver,
der
für
viele
verschiedene
Plattformen
erhältlich
ist.
Durch
eine
Schwachstelle im Modul mod_dav und eventuell
auch in anderen Modulen, kann ein Angreifer
sehr einfach eine Denial of Service-Attacke
durchführen. Red Hat berichteten in ihrem
Advisory gar davon, dass sich beliebiger
Programmcode
mit
den
Rechten
des
Webservers ausführen lässt. Voraussetzung für
einen Angriff ist, dass threaded MPMs (MultiProcessing Modules) benutzt werden. Als Lösung
wird die Aktualisieren auf 2.0.46 empfohlen.
Expertenmeinung:
Ende Mai wurden gleich zwei kritische
Sicherheitslücken
im
Apache
Webserver
entdeckt. Wie immer bedeutet dies, dass mit
einer Vielzahl neuer Angriffe auf die jungen
Schwachstellen zu rechnen ist. Skript-Kiddies
werden die Gunst der Stunde nutzen wollen, um
ihren Spielereien nachzugehen. Aufgrund der
hohen Verbreitung des Apache sind die
gefundenen Fehler wahrlich ein gefundenes
Fressen. Umso wichtiger ist, es seine Systeme
schnellstmöglich zu schutzen, was in erster Linie
mit dem Einspielen der vorgeschlagenen Patches
bzw. den Update auf die aktualisierte Apache
Version getan werden sollte.
3.6 Apache UNIX Authentifizierung
Denial of Service
Remote:
Ja
Datum:
28.05.2003
Advisory:
http://www.apache.org/dist/httpd/Announce
ment2.html
Patch: http://www.apache.org/dist/httpd/
Apache ist ein populärer, freier open-source
Webserver,
der
für
viele
verschiedene
Plattformen erhältlich ist. Auf UNIX-Plattformen
kann ein Angreifer eine Schwachstelle im
Authentifizierungs-Modul ausnutzen, um diesen
Mechanismus unbrauchbar zu machen, so dass
ein Neustart erforderlich wird. Voraussetzung für
einen Angriff ist, dass threaded MPMs (MultiProcessing Modules) benutzt werden. Als Lösung
wird die Aktualisieren auf 2.0.46 empfohlen.
Expertenmeinung:
Diese zweite kritische Sicherheitslücke im
Apache Webserver bedeutet wie immer, dass mit
einer Vielzahl neuer Angriffe auf die jungen
Schwachstellen zu rechnen ist. Skript-Kiddies
werden die Gunst der Stunde nutzen wollen, um
ihren Spielereien nachzugehen. Aufgrund der
hohen Verbreitung des Apache sind die
gefundenen Fehler wahrlich ein gefundenes
Fressen. Umso wichtiger ist, es seine Systeme
schnellstmöglich zu schutzen, was in erster Linie
mit dem Einspielen der vorgeschlagenen Patches
bzw. den Update auf die aktualisierte Apache
Version getan werden sollte.
3.7 Microsoft IIS 5.0 SSINC.DLL
Server Side Includes Pufferüberlauf
Remote:
Indirekt
Datum:
28.05.2003
Advisory und Patch:
http://www.microsoft.com/technet/security/
bulletin/MS03-018.asp
Microsoft Internet Information Server (MS IIS) ist
eine beliebte Webserver-Implementierung für
Windows-Systeme. Es wurde ein Pufferüberlauf
in der Bearbeitung von Anfragen für Server Side
Includes (z.B. .shtml, .stm und .shtm) entdeckt.
Ein Angreifer sieht sich so in der Lage,
Programmcode
mit
den
Rechten
des
Webservers auszuführen. Hierzu ist es allerdings
notwendig, Seiten auf den Server hochzuladen.
Diese Schwachstelle betrifft im Gegensatz zu den
anderen zeitgleich für den IIS gemeldeten
Sicherheitslücken nur den IIS 5.0. Aber auch hier
wird die Installation der Patches empfohlen.
Expertenmeinung:
Einige Benutzer des MS IIS haben sich schon
gefreut, als wenige Stunden zuvor zwei
Schwachstellen im Apache Webserver, dem
Hauptkonkurrenten, entdeckt wurde. Nahezu als
Hohn könnte man es empfinden, dass beinahe
Zeitgleich
mehrere
ernstzunehmende
Sicherheitslücke
in
der
WebserverImplementierung von Microsoft publik gemacht
wurden. Diese Schwachstelle ist nicht so
problematisch wie die anderen, zur gleichen Zeit
für den MS IIS publik gemacht wordenen. So ist
diese hier nur beim IIS 5.0 anwendbar und setzt
für den Angreifer die Möglichkeit voraus, eigene
Dokumente auf den Webserver hinaufzuladen.
Trotzdem sollte man die Sicherheitslücke nicht
herunterspielen und die durch Microsoft
freigegebenen Patches installieren.
3.8 Microsoft IIS 4.0/5.0 ASP
Response.AddHeader Denial of
© scip AG
public
Seite 6/22
s c i p
a g
Service
Remote:
Indirekt
Datum:
28.05.2003
Advisory und Patch:
Die ASP-Funktion Response.AddHeader wird
beim MS IIS gebraucht, um die Header für
generierte ASP-Seiten zu erstellen. Durch einen
Fehler in dieser Funktion kann ein Angreifer eine
Denial of Service-Attacke auf den Webserver
durchführen. Dies passiert dann, wenn ein
überlanger Header generiert wird. Voraussetzung
für diesen Angriff ist, dass ein Angreifer eigene
ASP-Seiten auf dem angegriffenen Webserver
ausführen lassen kann.
Expertenmeinung:
Diese Schwachstelle ist nicht so problematisch
wie die anderen, zur gleichen Zeit für den MS IIS
publik gemacht wordenen. So setzt diese hier für
den Angreifer die Möglichkeit voraus, eigene
ASP-Dokumente
auf
den
Webserver
hinaufzuladen und ausführen zu lassen.
Trotzdem sollte man die Sicherheitslücke nicht
herunterspielen und die durch Microsoft
freigegebenen Patches installieren.
3.9 Microsoft IIS 5.0/5.1 WebDAV XML
Denial of Service
Remote:
Ja
Datum:
28.05.2003
Advisory und Patch:
Ein Angreifer kann eine Denial of Service-Attacke
auf den Webserver durchführen, indem er
überlange WebDAV-Anfragen mit XML-Befehlen
absetzt. Diese Schwachstelle betrifft nur IIS 5.0
und 5.1. Das Einspielen der durch Microsoft
freigegebenen Patches behebt dieses Problem.
Expertenmeinung:
WebDAV-Schwachstellen waren immer sehr
beliebt
Besonders
bei
Skript-Kiddies.
Glücklicherweise handelt es sich hier "nur" um
eine Denial of Service-Verwundbarkeit, so dass
nicht damit gerechnet werden muss, dass in
naher Zukunft eine Übernahme vieler IISWebserver dank dieser Sicherheitslücke der Fall
sein wird.
3.10 Microsoft IIS 4.0/5.0 nsiislog.dll
Denial of Service
Remote:
Ja
Datum:
30.05.2003
Advisory und Patch:
Es wurde eine Schwachstelle in der ISAPI
Erweiterung nsiislog.dll entdeckt. Diese wertet
eingehende Anforderungen nicht korrekt aus,
was von Angreifern für das Umsetzen einer
Denial of Service-Attacke missbraucht werden
kann. Eine speziell geformte Anfrage an den
Server kann dazu fuehren, dass der IIS nicht
mehr reagiert. Für den erfolgreichen Angriff sind
die Windows Media Services erforderlich. Diese
werden Standardmässig nicht auf Windows 2000
installiert und sind bei Windows NT gar nicht erst
auf der Programm-CD enthalten. Sie müssen
dort zuerst heruntergeladen werden. Versuchen
Sie auf die verwundbaren Windows Media
Services
zu verzichten, sofern Ihnen dies
möglich ist. Andernfalls wird das Einspielen der
Patches enpfohlen, um die Schwachstellen zu
beheben.
Expertenmeinung:
Glücklicherweise ist diese hier nur dann
gegeben, wenn die Windows Media Services, die
es manuell einzuspielen gilt, installier sind.
Überprüfen
Sie
Ihr
System
auf
das
Vorhandensein der verwundbaren Dienste und
spielen Sie die entsprechenden Patches ein.
3.11 Ethereal Protocol-Dissectoren
Pufferüberlauf
Remote:
Ja
Datum:
11.06.2003
Advisory:
http://www.ethereal.com/appnotes/enpasa-00010.html
Patch:
http://www.ethereal.com/download.html
Ethereal ist ein freier Protokoll-Analyzer. Timo
Sirainen fand eine Schwachstelle in den ProtocolDissectoren. Diese kann für das Durchführen
eines Denial of Service-Zugriffs auf den EtherealHost
oder
das
Ausführen
beliebigen
Programmcodes gebraucht werden:
1. Decodierung eines NDR-Strings vom
DCERPC-Dissector kann zu exzessivem
Speicherverbrauch führen.
2. Ein Pufferüberlauf bei der Behandlung
© scip AG
public
Seite 7/22
s c i p
a g
von Paketen mit manipulierten IPv4- oder
IPv6-Prefix-Längen betrifft den OSIDissector.
3. SPNEGO kann bei der Verarbeitung von
ungültigen ASN.1-Werten abstürzen.
4. BGP, WTP, DNS, 802.11, ISAKMP,
WSP, CLNP, ISIS und RMI weisen enen
Fehler in der String-Verarbeitung auf.
5. Es gibt einen Fehler in der Routine
"tvb_get_nstringz0()", wenn Puffer mit 0
Byte verarbeitet werden muss.
Ethereal.com hat dieses Problem mit hohem
Risiko gekennzeichnet. Es wird ein Upgrade auf
Ethereal 0.9.13 empfohlen.
Expertenmeinung:
Probleme in Client- und Sniffer-Anwendungen
(z.B. TCPdump) wurden in den vergangenen
Monaten
immer
häufiger
entdeckt.
Die
Sicherheitsbranche und die Entwickler beginnen
zu begreifen, dass auch derlei Software durch
klassische
Angriffsmethoden
(z.B.
Pufferüberlauf) ausgetrickst werden können.
3.12 MySQL 4.0.x libmysqlclient
mysql_real_connect()
Pufferüberlauf
Remote:
Ja
Datum:
12.06.2003
Patch:
http://www.securityfocus.com/bid/7887/solu
tion/
Es wurde eine Schwachstelle in der Bilbiothek
libmysqlclient von MySQL gefunden. Ein
Angreifer
kann
durch
die
Funktion
mysql_real_connect()
einen Pufferüberlauf
generieren, eine Denial of Service-Attacke
herbeiführen oder gar beliebigen Programmcode
ausführen. Voraussetzung für das erfolgreiche
Ausnutzen dieser Schwachstelle ist die
Möglichkeit von SQL injection oder der Upload
von Dateien durch den Angreifer.
Expertenmeinung:
Ein klassischer Pufferüberlauf. Vorteil für
Administratoren und Anwender ist, dass gewisse
Umstände gegeben sein müssen, damit dieser
Angriff erfolgreich umgesetzt werden kann. So
oder so sollte man darum bemüht sein,
schnellstmöglich die Patches einzuspielen. Man
kann nie wissen, ob und wie das eigene Angebot
gegen SQL injection verwundbar ist.
3.13 Verschiedene Webbrowser
fehlerhafte Scripting-Rechte
Remote:
Ja
Datum:
13.06.2003
Eine schon etwas ältere Sicherheitslücke scheint
in
jüngeren
Browser-Versionen
wieder
aufgetaucht zu sein. In Mozilla, Opera und
Netscape ist es einem Angreifer möglich,
beliebige JavaScripte- und Java-Applets mit den
Rechten anderer Seiten auszuführen. Das
Problem ist so gegeben, dass eine JavaScriptFunktion eingesetzt werden kann, die eine
andere Website öffnet und in deren SicherheitsKontext Code ausführt. meme-boi weist in
seinem Posting auf seine Webseite hin, auf der
ein Beispiel-Skript gefunden werden kann. Es ist
damit zu rechnen, dass die Hersteller die
Schwachstelle in einem kommenden SoftwareRelease oder mittels Patch beheben werden.
Expertenmeinung:
Sonderbar, dass eine ganz offensichtlich
angestaubte Sicherheitslücke in einem späteren
Software-Release und gar noch in verschiedenen
Browsern zeitgleich auftaucht. Dies lässt
Spekulationen über Schlamperei (wahllose
Übernahme alten Codes) und Codeklau zu. Es ist
zu hoffen, dass die betroffenen Hersteller das
Problem erkennen und im Sinne der Anwender
schnellstmöglich aus der Welt schaffen.
3.14 Microsoft IIS 4.0 und 5.x
Fehlermeldungen Cross Site
Scripting
Remote:
Ja
Datum:
28.05.2003
Advisory und Patch:
Microsoft Internet Information Server (MS IIS) ist
eine beliebte Webserver-Implementierung für
Windows-Systeme. Es wurde ein Cross Site
Scripting (XSS) in den Fehlerseiten, die durch
den MS IIS generiert werden, gefunden. Der
Fehler
basiert
auf
der
fehlenden
Eingabeüberprüfung von URLs, die bei den
Webseiten automatisch in das HTML-Dokument
eingebettet werden. Ein Angreifer sieht sich so in
der Lage, Denial of Service-Angriffe gegen
Besucher der Webseite mit den Rechten des
Webservers auszuführen oder Cookies zu
übernehmen. Microsoft hat mit Patches reagiert,
die es einzuspielen gilt.
© scip AG
public
Seite 8/22
s c i p
a g
Expertenmeinung:
Einige Benutzer des MS IIS haben sich schon
gefreut, als wenige Stunden zuvor zwei
Schwachstellen im Apache Webserver, dem
Hauptkonkurrenten, entdeckt wurde. Nahezu als
Hohn könnte man es empfinden, dass beinahe
Zeitgleich
mehrere
ernstzunehmende
Sicherheitslücke
in
der
WebserverImplementierung von Microsoft publik gemacht
wurden. Cross Site Scripting Angriffe wie dieser
werden gerne unterschätzt. Dies ist wohl
hauptsächlich darum gegeben, weil nicht die
Betreiber des Webservers selbst den Gefahren
der Schwachstelle ausgesetzt sind. Viel mehr
stellen XSS-Angriffe ein Problem für die
Besucher dar. Trotzdem ist es sehr unschön,
wenn Besucher indirekt mit einer Denial of
Service-Attacke penetriert oder irgendwelche in
Cookies gespeicherten Informationen (z.B.
Passwörter) gestohlen werden. Im Sinne der
Allgemeinheit
sollten
die
Betreiber
von
Webservern also trotzdem darauf achten, dass
auf ihren Systemen keine XSS-Attacken möglich
sind.
3.15 Clearswift MAILSweeper 4.x for
SMTP RTF-Anhänge Denial of
Service
Remote:
Ja
Datum:
02.06.2003
Advisory:
http://www.clearswift.com/download/bin/Pa
tches/ReadMe_SMTP_4310.htm
Patch:
http://www.clearswift.com/download/SQL/d
ownloadList.asp?productID=313
Clearswift MAILSweeper ist ein Email-Gateway,
das mittels Proxy für SMTP den eingehenden
Mailverkehr nach bösartigem Programmcode und
Angriffsmustern durchsucht. Es wurde eine
Denial of Service-Schwachstelle entdeckt: Emails
mit bestimmten RTF-Anhängen (Rich Text
Format) zwingen den Security Service in eine
Endlosschleife. Diese lastet den Prozessor
komplett aus und legt somit das ganze System
lahm. In der Beschreibung zum Patch druckt der
Hersteller folgendes ab: "Certain email messages
that contained RTF document attachments
caused the Security service to process
indefinitely, using large amounts of system
resource. Such RTF files are now processed
correctly." Entsprechend gilt es den Bugfix
einzuspielen, um das Problem zu beheben.
Expertenmeinung:
Angriffsmöglichkeiten auf Security-Elemente,
seien es auch nur Denial of Service-Attacken,
sind ärgerlich. In diesem Fall hat der Hersteller
zeitgleich mit dem Herausgeben des Patches die
Kunden auf das Problem hingewiesen. Nähere
Informationen zum Durchführen des Angriffs
wurden
nicht
herausgegeben.
Eine
Vorgehensweise, die sowohl für den Hersteller
als auch die Benutzer die eleganteste ist.
3.16 Sun Solaris in.telnetd Denial of
Service
Remote:
Ja
Datum:
02.06.2003
Advisory: http://sunsolve.sun.com/pubcgi/retrieve.pl?doc=fsalert%2F54181&zone
_32=category%3Asecurity
Patch: http://sunsolve.sun.com
Solaris ist ein UNIX-Derivat, das von Sun
Microsystems Inc. betreut und vertrieben wird.
Der mitgelieferte Telnet-Daemon kann durch
einen Angreifer das System zu 100 % Auslastung
treiben, was in einer Denial of Service-Attacke
endet. Um das Risiko eines erfolgreichen Angriffs
zu minimieren, so beschreibt das Advisory von
Sun, sollte der Zugriff auf den Telnet-Dienst
mittels Firewalling eingeschränkt werden. Sun hat
ausserdem Patches herausgegeben, die man
einspielen sollte.
Expertenmeinung:
Obschon Telnet als veraltet und unsicher gilt,
befindet sich dieser Dienst noch vielerorts im
Einsatz. Der Grund ist der, dass praktisch ein
jedes Betriebssystem mit einem entsprechenden
Client ausgeliefert wird, und nicht wie bei SSH
zuerst ein solcher installiert und konfiguriert
werden muss. Die Verbreitung von Sun Solaris
trägt dazu bei, dass dieser Angriff für einige
Leute interessant wird. Glücklicherweise kann er
nicht für konstruktive Zwecke, zum Beispiel das
Ausführen
beliebigen
Programmcodes,
gebraucht werden. So oder so ist jedem
Empfohlen auf Telnet zu verzichten und SSH
einzusetzen.
3.17 Linux Kernel 2.4 Hash-TableKollisionen Denial of Service
Remote:
Ja
Datum:
03.06.2003
Advisory:
http://rhn.redhat.com/errata/RHSA-2003187.html
Patch: http://www.kernel.org
Andrea Arcangeli von Red Hat fand eine
Schwachstelle im Linux Kernel 2.4. Durch das
© scip AG
public
Seite 9/22
s c i p
a g
Herbeiführen einer Hash-Table-Kollision mittels
speziellen IP-Paketen sieht sich ein Angreifer in
der Lage eine Denial of Service umzusetzen.
Diese Schwachstelle ist mit der kürzlich
publizierten CAN-2003-0244 sehr ähnlich. Den
Linux-Administratoren wird empfohlen auf einen
aktuellen Kernel, der dieses Problem nicht mehr
aufweist, upzudaten.
Expertenmeinung:
Al Viro und Andrea Arcangeli von Red Hat fanden
gleich drei Schwachstellen im Linux Kernel 2.4.
Dies zeigt, dass es diesbezüglich noch viel für die
Linux-Community zu tun gibt. Die Benutzer und
Administratoren der jeweiligen Linux-Systeme
können und müssen reagieren, indem sie sich
die jeweils neuesten Patches bzw. KernelVersionen einspielen. Jenachdem kann dies zeitund nervenaufreibend sein. Doch dies sollte man
in Kauf nehmen, sofern einem die Sicherheit des
eigenen Systems am Herzen liegt. Die stetig
wachsende Popularität von Linux trägt dazu bei,
dass das freie Betriebssystem für Angreifer
immer attraktiver wird.
3.18 Microsoft Internet Explorer objectTag Pufferüberlauf
Remote:
Ja
Datum:
04.06.2003
Advisory und Patch:
Der Microsoft Internet Explorer ist mit seiner
Verbreitung von schätzungsweise 95 % der
mitunter populärste Webbrowser der aktuellen
Stunde. Seine hohe Verbreitung ist unter
anderem darauf zurückzuführen, dass er ein
fester
Bestandteil
moderner
WindowsBetriebssysteme ist. Durch eine Sicherheitslücke
im beliebten Webbrowser ist es einem Angreifer
möglich, beliebigen Programmcode mit den
Rechten des Benutzers ausführen zu lassen.
Dazu wird ein Pufferüberlauf
bei der
Interpretierung des object-Tags ausgenutzt, wie
im entsprechenden Bugtraq-Posting aufgezeigt
wird. Dieser Tag wird von Webdesignern
herangezogen, um ActiveX-Komponenten in
HTML-Dokumenten einzufügen. Die Attacke lässt
sich über sämtliche Programme ausführen, die
auf
die
Internet
Explorer-Komponente
zurückgreifen (z.B. Auch Outlook). Microsoft
berichtet, dass ihr Internet Explorer auf dem
Windows 2003 Server standardmässig mit einer
optimierten Sicherheitskonfiguration ausgeliefert
wird. Der Angriff ist sodann nicht möglich, sofern
keine Änderungen an den Einstellungen (z.B.
Interpretierung
von
ActiveX-Elementen)
vorgenommen wurden. Microsoft hat einen
kumulativen Patch veröffentlicht, der die
Sicherheitslücke
beseitigt.
Neben
der
beschriebenen Schwachstelle behebt er eine
weitere, bereits bekannte Verwundbarkeit. Der
Patch kann seit heute morgen (ca. 9:30 Uhr) über
das Windows Update bezogen werden.
Expertenmeinung:
Diese Sicherheitslücke birgt ein hohes Risiko in
sich. So ist ein entfernter Angreifer mit einem
simplen HTML-Code in der Lage, den
Webbrowser
abstürzen
oder
beliebigen
Programmcode ausführen zu lassen. Da ein
Beispiel-Exploit für einen Denial of ServiceAngriff im Bugtraq-Posting enthalten war, ist es
nur eine Frage der Zeit, bis dieser Angriff
erfolgreich im World Wide Web angetroffen
werden kann. Vor allem Skript-Kiddies und
Anbieter von Dialern werden diese Methode für
ihre Zwecke nutzen wollen. Es ist kein
Geheimnis, dass ActiveX nicht unbedingt den
besten Ruf in Bezug auf die Sicherheit geniesst.
So sollte man bei Nichtgebrauch auf die
Interpretation dessen verzichten. Zudem gilt es
den durch Microsoft freigegebenen Patch zu
installieren.
3.19 Microsoft Internet Explorer FTP
klassische Ansicht Cross Site
Scripting
Remote:
Ja
Datum:
04.06.2003
Advisory und Patch:
http://lists.netsys.com/pipermail/fulldisclosure/2003-June/009999.html
Der Microsoft Internet Explorer ist in der Lage,
verschiedene Protokolle - z.B. HTTP und FTP zu interpretieren. Die FTP-Implementierung bietet
zwei mögliche Ansichtstypen: Bei der "Folder
View" werden die Verzeichnisse und Dateien als
Icons dargestellt; bei der "Classic View" werden
die Dokumente als Textlinks gezeigt. Bei der
klassischen Ansicht kann ein Cross Site Scripting
Angriff durchgeführt werden, da der Hostname
des zugegriffenen FTP-Servers als HTML
interpretiert und dargestellt wird. Ein Angreifer
kann
so
Scripte
und
Zugriffe
im
Sicherheitskontext des Servers ausführen lassen.
Laut dem Posting auf der Security-Mailingliste
Full-Disclosure wurde Microsoft im Januar 2003
über das Problem informiert, jedoch hätten sie
selbst vier Monate später in keinster Weise
darauf reagiert. So wird im Posting wenigstens
ein Workaround aufgezeigt: Wie schon bei der
vor rund einem halben Jahr bekannt gewordenen
Gopher-Attacke auf den Internet Explorer wird
© scip AG
public
Seite 10/22
s c i p
a g
das Angeben eines fiktiven und nicht-existenten
Proxies für FTP-Verbindungen empfohlen.
Expertenmeinung:
Cross Site Scripting Angriffe wie dieser werden
gerne unterschätzt. Richtig angewendet können
sie jedoch beachtlichen Schaden für die
Betroffenen darstellen. Dieser spezifische Angriff
hier ist auf einen Fehler in einer Software
zurückzuführen; das ist bei einer Cross Site
Scripting Verwundbarkeit eher selten gesehen.
Zudem ist für die erfolgreiche Umsetzung dieses
Angriffs zwingend die "Classic View" erforderlich.
Trotzdem sollte man sich des Risikos bewusst
sein und falls möglich den im Advisory genannten
Workaround
anwenden.
Obschon
diese
Angriffsform eher weniger populär werden wird.
3.20 Sun Solaris 8 x86 syslogd Denial of
Service
Remote:
Ja
Datum:
05.06.2003
Advisory:
Patch: http://sunsolve.sun.com/pubcgi/findPatch.pl?patchId=110945&rev=08
Der syslog-Daemon (abgekürzt syslogd genannt)
ist eine zentrale Stelle für das Protokollieren von
Systemmeldungen. Syslogd kann auch, sofern er
entsprechend konfiguriert wurde, Meldungen
über das Netzwerk verschicken und empfangen.
Beim syslog-Daemon in Sun Solaris 8 wurde ein
Pufferüberlauf entdeckt. Wird ein Paket länger
als 1024 Bytes empfangen, stürzt die
Komponente ab (siehe auch RFC 3164, Kapitel
6.1). Von dieser Schwachstelle betroffen ist nur
Sun Solaris 8 x86. Sun hat mit einem Patch
reagiert. Alternativ kann der Zugriff auf den UDPPort
von
syslogd
mittels
Firewalling
eingeschränkt werden.
Expertenmeinung:
Syslog ist ein wichtiges Instrument bei der
Administration von Systemen. Fällt dieser Dienst
aus, können wichtige Informationen verloren
gehen. Probleme von Anwendungen oder
Angriffe könnten unentdeckt bleiben oder nicht
nachvollziehbar sein. Umso wichtiger ist es, den
Dienst am Laufen zu halten.
3.21 Apple MacOS X LDAP
Benutzerdaten Preisgabe
Remote:
Ja
Datum:
05.06.2003
Advisory:
http://www.secunia.com/advisories/8945
Patch:
http://docs.info.apple.com/article.html?artn
um=107579
MacOS X ist ein relativ junges, kommerzielles,
von der Firma Apple betreutes UNIX-Derivat. Es
ist für Apple-Hardware verfügbar. Wird Kerberos
zur Authentisierung bei LDAP eingesetzt, werden
bei
einem
Fall-Back
die
sensitiven
Benutzerinformationen
(Benutzername
und
Passwort) im Klartext übertragen. Ein Angreifer
im lokalen Netz kann so die heiklen Daten
mitlesen. Apple hat ein Dokument veröffentlich, in
dem beschrieben wird, wie LDAP mit Kerberos
richtig konfiguriert werden kann, damit dieses
Problem nicht mehr gegeben ist.
Expertenmeinung:
Zur Übermittlung sensitiver Daten sollten stets
kryptographische Hilfsmittel eingesetzt, um die
Vertraulichkeit und Integrität der Informationen zu
gewährleisten. Setzt man wie in diesem Fall eine
solche Methode ein, ist es umso ärgerlicher, dass
bei Problemen auf eine Klartext-Kommunikation
ausgewichen wird. Solcherlei Probleme können
leider nur durch Ausprobieren entdeckt und dank
Erfahrung verhindert werden. Man sollte
entsprechend den Hinweisen in der Publikation
von Apple Folge leisten.
3.22 Sun Solaris /usr/lib/utmp_update
Pufferüberlauf
Remote:
Indirekt
Datum:
05.06.2003
Advisory und Patch:
http://sunsolve.sun.com/pubcgi/retrieve.pl?doc=fsalert%2F55260&zone
_32=category%3Asecurity
Solaris ist ein UNIX-Derivat, das von Sun
Microsystems Inc. betreut und vertrieben wird.
Wie im Advisory von Sun knapp berichtet wird,
kann durch einen Fehler in utmp_update eine
Rechteausweitung umgesetzt werden. Durch
einen Pufferüberlauf ist ein lokaler Benutzer so in
der Lage, beliebigen Programmcode mit den
Rechten von root ausführen zu lassen. Sun hat
zeitglich mit der Publikation des Advisories die
Patches für die verwundbaren Solaris-Versionen
herausgegeben.
Expertenmeinung:
Glücklicherweise handelt es sich hier um einen
Pufferüberlauf, der nur durch einen lokalen
Zugriff ausgenutzt werden kann. Dies soll jedoch
nicht über die Gefahr der Sicherheitslücke
hinwegtäuschen. Gerade wenn man vielen
Benutzern den Zugriff auf ein verwundbares
© scip AG
public
Seite 11/22
s c i p
a g
Solaris-System erlauben sollte, sollte man die
Zeit für das Beheben der Sicherheitslücke
investieren.
3.23 Microsoft Internet Explorer
"Verwandte Links anzeigen"
fehlerhafte Deaktivierung
Remote:
Ja
Datum:
06.06.2003
Advisory: http://www.imilly.com/alexa.htm
Benutzerdaten,
Passwörter,
Session-IDs,
Suchbegriffe und Pfadangaben übermittelt
werden. Aufgrund der fehlenden oder schwachen
Verschlüsselung können die Informationen sehr
leicht mit einem Sniffer mitgelesen, später
ausgewertet
und
missbraucht
werden.
Deaktivieren Sie die "Verwandte Links anzeigen"Funktion und filtern Sie bestmöglich sämtliche
unerwünschten Datenübertragungen zu msn.com
und alexa.com mittels Firewalling am Perimeter.
Microsoft könnte die gesammelten Daten in
Zukunft auch anderen Organisationen zur
Verfügung stellen.
Wird das Feature "Verwandte Links anzeigen"
aktiviert, reicht der Browser Informationen zum
Surfverhalten des Benutzers an msn.com und
alexa.com weiter. Deaktiviert man diese
Funktion, verschickt der Browser die Daten
trotzdem jedesmal, wenn das Webdokument
über die Tastenkombination Ctrl+R neu geladen
wird. Erst ein Neustart des Webbrowsers
deaktiviert auch dieses Verhalten. Filtern Sie
bestmöglich
sämtliche
unerwünschten
Datenübertragungen zu msn.com und alexa.com
mittels Firewalling am Perimeter. Microsoft
könnte die gesammelten Daten in Zukunft auch
anderen Organisationen zur Verfügung stellen.
Expertenmeinung:
Eine wirklich unschöne Schwachstelle, die sehr
ärgerlich ist. Schliesslich ist es schon fast eine
Frechheit, dass Microsoft die sensitiven
Benutzerdaten im Klartext durchs Internet
schickt. Dass diese Ignoranz gar bei SSLKommunikationen
gegeben
ist,
scheint
unglaublich. Hier liegt ein Denkfehler vor, dessen
Auswirkungen nicht heruntergespielt werden
sollten. Wem seine Privatsphäre etwas wert ist,
der sollte auf Features wie "Verwandte Links
anzeigen"
verzichten
und
unerlaubter
Datenaustausch
mit
InformationsSammelorganisationen unterbinden.
Expertenmeinung:
Man könnte hier von einem klassischen
Programmierfehler sprechen, denn die Entwickler
arbeiten mit Variablen, die sie nicht zur richtigen
Zeit aktualisieren. Dies ist in erster Linie ärgerlich
- In diesem Falle kann es jedoch schon fast
heimtückisch sein. Es kann spekuliert werden, ob
dieses Verhalten der Software nicht Absichtlich
durch Microsoft angestrebt wurde. Wem seine
Privatsphäre etwas wert ist, der sollte auf
Features wie "Verwandte Links anzeigen"
verzichten und unerlaubter Datenaustausch mit
Informations-Sammelorganisationen unterbinden.
3.25 OpenSSH IPAdressbeschränkungen umgehen
3.24 Microsoft Internet Explorer
"Verwandte Links anzeigen"
Klartext-Übermittlung
Remote:
Ja
Datum:
06.06.2003
Advisory: http://www.imilly.com/alexa.htm
Wird das Feature "Verwandte Links anzeigen"
aktiviert, reicht der Browser Informationen zum
Surfverhalten des Benutzers an msn.com und
alexa.com weiter. Diese Daten werden im
Klartext verschickt, auch wenn es sich um SSLgeschützte Sitzungen handelt. Unter Umständen
können
so
sensitive
Informationen
wie
Einstufung: problematisch
Remote:
Ja
Datum:
06.06.2003
Advisory:
http://www.kb.cert.org/vuls/id/978316
Patch:
ftp://ftp.porcupine.org/pub/security/tcp_wra
ppers_7.6.tar.gz
OpenSSH stellt eine freie Implementierung des
Secure Shell (SSH) Protokolls zur Verfügung.
Dank
strenger
Authentifikation
und
der
verschlüsselten Kommunikation lassen sich
durch
das
Client/Server-Prinzip
sichere
Verbindungen zwischen Hosts herstellen. Die
Verbindungsmöglichkeit
kann
auf
vertrauenswürdige Hosts reduziert werden. Dies
geschieht wahlweise auf der Basis von IPAdressen oder Hostnamen. OpenSSH ist jedoch
nicht in der Lage zu unterscheiden, ob sich die
Einschränkung ursprünglich auf die IP-Adresse
oder den Hostnamen bezog. Ein Angreifer, der
Einfluss auf den Reverse-DNS ausüben kann,
kann falsche Informationen liefern und sich so
Zugriff verschaffen. Trotz dieser Schwachstelle
benötigt ein Angreifer die Zugangsdaten, um eine
erfolgreiche SSH-Sitzung aufbauen zu können.
Verlassen sich nicht auf die simple IP-
© scip AG
public
Seite 12/22
s c i p
a g
Adresseinschränkung. Stärken Sie diesen
Mechanismus durch ein dediziertes FirewallSystem mit entsprechend strengen Regelsätzen.
SSH
unterstützt
die
Option
"VerifyReverseMapping", mit der sich eine
zusätzliche
Pruefung
der
Hostname/IPZuordnung vornehmen lässt.
Expertenmeinung:
Schlussendlich handelt es sich hier um einen
Designfehler, der nicht wirklich tragisch
ausgefallen ist. Das Einschränken von SSHVerbindungen
mit
der
jeweiligen
SSHImplementierung ist zwar nett, aber nichgt der
Hauptkern der Lösung. Entsprechend ist es zu
verzeihen, dass ein Feature nicht so ausgereift
ist, wie es hätte sein können. Schlimmer wäre es
gewesen, wenn Hauptteile der Software direkt
von einem Problem betroffen gewesen wären
(z.B. Pufferüberlauf bei der Übergabe von
Benutzernamen). Trotzdem ist es ärgerlich zu
sehen, dass sich dieser kleine Fehler
einschleichen konnte. Solange man sich jedoch
dessen bewusst ist und nach Alternativen sucht
(Firewalling mit dedizierten Lösungen), ist man
auf der richtigen Seite.
3.26 Apple MacOS X File-Sharing
fehlerhafte Schreibrechte
Remote:
Ja
Datum:
10.06.2003
Advisory:
http://www.secunia.com/advisories/8978
Patch:
http://www.info.apple.com/kbnum/n120223
Durch eine Schwachstelle beim UFS- und ReSharing von NFS-Volumes kann ein Angreifer
unerlaubte Schreibrechte einholen. Apple hat den
Fehler gefunden und dazu keine genaueren
Einzelheiten bekannt gegeben. Zeitgleich wurde
vom Hersteller ein Patch herausgegeben, der
über "Software Update" beziehen werden kann.
Expertenmeinung:
Apple ist einmal mehr sehr gut mit dieser
Schwachstelle umgegangen. So haben sie zuerst
einen Patch entwickelt und danach die Anwender
über die bestehende Sicherheitslücke informiert.
Bezüglich der Hintergrundinformationen, wie die
Schwachstelle ausgenutzt werden kann, hielt sich
Apple bedeckt. Von dieser professionellen
Vorgehensweise kann sich noch so manches
Software-Unternehmen ein Stück abschneiden.
3.27 Microsoft Internet Explorer 5.5 und
6.0 XML Cross Site Scripting
Remote:
Ja
Datum:
17.06.2003
Advisory:
http://sec.greymagic.com/adv/gm013-ie/
Der Webbrowser ist in der Lage, XML-Dateien
individuell zu interpretieren. Unter gewissen Umständen ist es einem Angreifer jedoch möglich,
dadurch eine Cross Site Scripting Attacke durchzuführen. Um die Lücke auszunutzen, benötigt
der Angreifer einen Webserver mit einer fehlerhaften XML-Datei. Zusätzlich muss er den Benutzer dazu bringen, auf einen speziell vorbereiteten
Link zu klicken. Durch das Aufrufen der im Advisory angegebenen URL können Sie überprüfen,
ob Ihr Webbrowser verwundbar ist. Wie im Advisory beschrieben ist, wird die Schwachstelle im
MSXML vermutet, und nicht im Webbrowser
selbst. Es ist damit zu rechnen, dass sobald die
Schwachstelle näher untersucht worden ist, mit
einem Patch reagiert werden wird.
Expertenmeinung:
Cross Site Scripting Angriffe erfreuen sich in
letzter Zeit grosser Beliebtheit. Viele tun sie als
kleines Ärgernis ab - Andere schätzen sie als
reelle Bedrogung ein. Gerade bei Angriffen wie
diesem, bei dem eine Vielzahl von Benutzern
gefährdet sind, muss man das Risiko als gegeben akzeptieren. Es scheint, als sei diese
Schwachstelle publiziert worden, bevor der Hersteller informiert wurde. Dies schafft ein Zeitfenster für mögliche Angriffe, denen schlussendlich
die Benutzer ausgesetzt sind. GreyMagic Software hat mit ihrem Advisory inkl. Beispiel-Exploit
also nicht sehr kompetent reagiert - Schade.
3.28 Microsoft Internet Explorer HTTPFehlermeldungen Cross Site
Scripting
Remote:
Ja
Datum:
17.06.2003
Advisory:
http://sec.greymagic.com/adv/gm014-ie/
Der Internet Explorer greift standardmässig auf
lokal abgespeicherte HTML-Dokumente zurück,
um Fehlermeldugnen (z.B. "404 Not Found") zu
ersetzen und sie in einem handlichen Format
darzustellen. Diese Ausgaben werden als
"Friendly HTTP error messages" bezeichnet und
können in den Einstellungen der Software deakti-
© scip AG
public
Seite 13/22
s c i p
a g
viert werden. Wird zum Beispiel die Seite
http://www.scip.ch/nonexistent.html aufgerufen,
zeigt
der
Webbrowser
die
Datei
res://shdoclc.dll/404_HTTP.htm#http://www.scip.
ch/nonexistent.html. Der Teil nach dem #Zeichen (also die fehlerhafte URL) wird extrahiert
und als Teil der Fehlermeldung verwendet. Dieser Umstand ermöglicht das Einschleusen und
Umsetzen von Cross Site Scripting. Microsoft
wurde am 20. Februar 2003 über dieses Problem
informiert. Es wird an einem Patch gearbeitet.
Sehr wahrscheinlich wird das Problem im nächsten Service Pack behoben werden.
Expertenmeinung:
Dieser Monat scheint jener der Cross Site Scripting (XSS) Schwachstellen zu sein. Entsprechend
werden die Diskussionen angeregt, welche Gefahr effektiv von dieser Angriffsform ausgehen
kann.
3.29 Microsoft Hotmail Virenschutz mit
Cross Site Scripting umgehen
Remote:
Ja
Datum:
18.06.2003
Advisory:
http://www.infohacking.com/INFOHACKIN
G_RESEARCH/Our_Advisories/Hotmail/
Patch: http://www.hotmail.com/
nun die Session- und Message-ID aus der aktuellen URL und startet den Download des zweiten
Attachments - Jedoch ohne Kennzeichnung für
den Virenscan. Zwar wird dazu ein Fenster geöffnet, in dem der Benutzer dem Download zustimmen muss, meist wird der Inhalt solch eines
Fensters aber kaum wahrgenommen und einfach
nur weggeklickt. Einen direkten Schutz vor dieser
Schwachstelle gibt es nicht. Man könnte Javascript temporär deaktivieren, bis Microsoft den
Designfehler in ihrem Hotmail-Service behoben
hat. Dem Virenschutz von Hotmail sollte man zur
Zeit nicht 100 %ig vertrauen. Zudem sollte auf
jedem PC ein aktualisierter Virenscanner installiert sein.
Expertenmeinung:
Diese Meldung tauchte im Heise-Forum auf und
entflammte dort einmal mehr eine heisse Diskussion. Die Verteidiger von Microsoft beharren darauf, dass sehr viele Umstände zusammenspielen müssen, damit die Schwachstelle erfolgreich
ausgenutzt werden kann (Javascript aktiviert,
Hotmail.com zählt zu vertrauenswürdigen Seiten). Fakt ist jedoch, dass es sich hier um einen
Designfehler handelt, dessen Ausnutzung nicht
unrealistisch erscheint. Man sollte also die Hinweise in den Advisories beachten und Vorsicht im
Umgang mit Hotmail walten lassen.
Hotmail ist ein freier, von Microsoft betriebener
Freemail-Service, der mit Yahoo Mail und GMX
vergleichbar ist. Die Nachrichten können mittels
Webbrowser auf http://www.hotmail.com verfasst, verschickt und gelesen werden. Zusätzliche Features wie ein Adressbuch, Kalender und
einen Antiviren-Schutz runden das Angebot ab.
Die Sicherheitsexperten Hugo Vázquez Caramés
und Toni Cortés Martínez von Infohacking fanden
heraus, dass mit der Hilfe einer Cross Site Scripting Schwachstelle im Hotmail-Angebot der Antiviren-Dienst umgangen werden kann. Auf dem
Hotmail-Server abgelegte Mails mit Attachments
können jeweils über eine URL direkt angesprochen werden. Bei dieser URL wird ein Parameter
übergeben, der definiert, ob beim Herunterladen
des Anhangs eine Überprüfung auf Viren durchgeführt werden soll. Wird die Zeichenkette
&vscan=scan weggelassen, findet kein Scan
statt. Wie im Advisory beschrieben, verschickt ein
Angreifer eine Email mit zwei Attachements. Der
erste Anhang beinhaltet ein in einem HTMLDokument eingebettetes Skript. Der zweite Anhang ist eine Datei mit einem Virus (z.B. Ein NetBus Server). Öffnet ein Benutzer nun das erste
Attachment, wird das Skript gestartet, sofern
Javaskript aktiviert ist und Hotmail zu den vertrauenswürdigen Sites zählt. Das Skript ermittelt
© scip AG
public
Seite 14/22
s c i p
4.
a g
ersichtlich ist, auf welcher Maschine er sich befindet.
Erfahrungsaustausch
4.1 Komplexität von Firewall-Policies
Dietmar Kruch, Dipl. Informatiker,
Firewall-Verantwortlicher, Bank Vontobel AG
Im Zuge leistungsfähigerer Internet- und
Extranetanschlüsse steigen auch die Anforderungen an die Security-Infrastrukturen. Sei
dies in Belangen der Durchsatzraten, Stabilität oder enthaltenen Funktionen – und alles
immer mit möglichst gleichbleibendem oder
verbessertem Sicherheitslevel. Daraus entstanden ua. mehrstufige Firewall-Konzepte
mit Ausfallüberbrückungsprogrammen, ganze
Firewallfarmen,
integrierte
Überwachungstools uvm. Der Autor ist seit einigen Jahren im Bankenumfeld im Bereich ITSecurity tätig, Dipl.-Informatiker und Firewallverantwortlicher der Bank Vontobel AG. Im
nachfolgenden Bericht fasst er seine Erfahrungen zum Thema zusammen und gibt Tipps
zum Umgang mit komplexen FirewallSystemen.
Prinzipiell müssen beim Anschluss eines Firmennetzes an das Internet oder an ein anderes Netz
drei Dinge geschützt werden: die Daten, die Ressourcen und der gute Ruf. Eine Firewall verbessert die Sicherheit, ist aber kein Allheilmittel. Sicherheit hat ihren Preis und ist selten bequem.
Im Verlaufe dieses Artikels beziehe ich mich auf
die für einen Firewalladministrator relevanten
Probleme. Konkrete Angaben zur installierten
Infrastruktur innerhalb der Bank Vontobel AG
werden nicht gemacht.
Firewall-Policies
Die Firewall-Policy beschreibt die Daten, die
durch die Firewall durchgelassen werden sollen.
Alle anderen werden verworfen. Grundsätzlich
gilt: Alles was nicht explizit erlaubt ist, ist verboten. Es werden nur Verbindungen zugelassen,
die als hinreichend sicher betrachtet und als business relevant eingestuft werden. Dies gilt sowohl für incoming als auch für outgoing Verbindungen.
Die Policy soll übersichtlich und möglichst nach
einer gemeinsamen Grundstruktur geordnet werden, die für alle Firewallsysteme gleich ist. Danach folgen die für jede Firewall spezifischen
Regeln, bei denen ebenfalls grosser Wert auf
Übersichtlichkeit gelegt wird.
Da die Komplexität von Software auch bei Firewalls weiter fortschreitet, ist es wichtig zu überprüfen, ob die vom Hersteller vorgegebenen
Standardeinstellungen der Security Policy im
Hause entsprechen, oder ob man restriktiver
vorgehen möchte. Dies erfolgt oftmals über globale Einstellungen, die dann für alle Firewalls
gelten und sehr restriktiv gehandhabt werden.
Nur die wirklich Notwendigen werden durch Regeln nachgebildet. Somit wird verhindert, dass
„unbewusst“ Sicherheitslöcher aufgetan werden.
Je nach Risikoeinstufung der zu sichernden Verbindung werden ein- oder mehrstufige Firewallsysteme eingesetzt.
Bei weltweit tätigen Unternehmen, lässt es sich
aus unterschiedlichen Gründen oftmals nicht
vermeiden, dass sich Firewallsysteme auch an
weit entfernten Orten befinden. Diesbezüglich
haben wir mit Appliances sehr gute Erfahrungen
gemacht. Besonders in solchen Fällen ist es
wichtig, einen sicheren Terminalserver vor Ort zu
haben. Die Kommunikation mit dem Terminalserver erfolgt verschlüsselt.
Vor der Installation der Firewallsoftware wird das
Betriebssystem gehärtet. Als Alternative können
auch sogenante Firewall Appliances verwendet
werden, bei denen bereits der Hersteller diese
Aufgabe übernommen hat. Auf den Firewalls gibt
es keine User- sondern nur Wartungsaccounts
für Administratoren, deren Aktivitäten durch entsprechende
Loggingmechanismen
jederzeit
nachvollziehbar sind. Es laufen nur die zur Funktionserfüllung notwendigen Dienste und es werden weitgehend aktuelle Betriebssystemversionen mit aktuellen Patches verwendet.
Einfluss der Netzwerk-Topologie
Beim Entwurf der Netzwerkinfrastruktur stellt sich
immer wieder eine Frage: Wenige komplexe
Firewalls oder mehrere einfachere Firewalls.
Beide Strategien haben entsprechende Vor- und
Nachteile. In der Praxis hat sich gezeigt, dass
ein vernünftiger Mittelweg die besten Resultate
liefert. Weniger Geräte führen automatisch zu
weniger Administrationsaufwand auf Betriebssystemebene, ziehen aber deutlich umfangreichere
Security Policies nach sich, die dadurch schnell
unübersichtlich werden.
Eine vernünftige Namenskonvention hilft den
Überblick zu bewahren und Fehler zu vermeiden.
Wenn sich ein Administrator einloggt, ist sein
Profil so angepasst, dass es für ihn jederzeit
Die Organisation der Wartungsarbeiten und das
Change Management erweisen sich als wesentlich einfacher, wenn die Firewalls auch nach Ihrer
Funktionalität für das Business konzipiert wurden.
© scip AG
public
Seite 15/22
s c i p
a g
Manchmal lässt es sich aufgrund der Netztopologie nicht vermeiden, dass die Verbindung über
zwei oder mehrere Firewallsysteme verläuft,
wenn z.B. eine Zweigstelle auf einen Dienst ausserhalb des Unternehmens zugreifen muss, der
nur über den Hauptsitz bzw. eine andere Zweigstelle angeboten wird. Hier stellt sich die Frage,
ob alle Firewall Policies gleich restriktiv angepasst werden müssen. Aus unserer Sicht ist es
sinnvoll, nur die „äussere“ Policy (diejenige auf
der externen Firewall) anzupassen und auf den
dahinterliegenden Firewalls eine kulantere Regel
zuzulassen, die z.B. den Zugriff vom gesamten
zu schützenden Subnetz auf den Dienst erlaubt.
Das „Feinfiltering“ wird erst auf der Grenzfirewall
gemacht. Dies führt dazu, dass weniger Policies
angepasst werden müssen. Wenn diese Firewalls von verschiedenen Administratoren verwaltet werden, ist hierfür ein erhöhter Koordinationsaufwand zu berücksichtigen.
Hier sollte man beachten, dass es sich in diesem
Fall nicht um ein zweistufiges Firewallkonzept
handelt, sondern eigentlich um ein einstufiges
Konzept. Probleme können vermieden werden,
wenn auf diesen Firewalls dieselbe Version der
Firewallsoftware installiert ist. Dies ist in der Praxis nicht immer der Fall.
Spannungsfelder und Administration
Ein Firewalladministrator befindet sich immer im
Spannungsfeld zwischen Sicherheitsanforderungen und den Kundenwünschen. Diese müssen
erfahrungsgemäss nicht immer übereinstimmen.
Ein vernünftiger Kompromiss lässt sich dadurch
erziehlen, dass der Verwaltungsaufwand auf das
Notwendige reduziert wird. Klare Regelungen
sind notwendig.
Das Security-Team hat diesbezüglich einen gewissen Handlungsspielraum. Nicht für jede Änderung ist der gesamte Genehmigungsprozess zu
durchlaufen. Müssen keine zusätzlichen Ports
geöffnet werden, sondern nur User oder eine
Workstation zu einer bereits bestehenden Regel
hinzugefügt werden, so kann dies z.B. für eine
bestimmte Abteilung und einen bestimmten Service von einer vorher festgelegten Person beantragt werden. Gleiches gilt auch für das Löschen,
welches aber erfahrungsgemäss vergessen wird
zu beantragen. Eine regelmässige Überprüfung
der „Karteileichen“ ist eine aufwandsmässig nicht
zu unterschätzende Aufgabe.
Müssen neue Regeln hinzugefügt werden, ist
eine Genehmigung durch den Security Officer
notwendig. Alle Änderungen werden sowohl
elektronisch als auch auf Papier dokumentiert.
Wenn die Firewallsoftware bereits eine solche
Möglichkeit vorsieht, wird jede Änderung einschliesslich des ausführenden Administrators
bereits online kurz und aussagekräftig dokumentiert, unabhängig davon, ob ein automatischer
Logmechanismus vorhanden ist oder nicht. Zusätzlich wird noch eine Offline-Dokumentation
erstellt.
High Availability und andere Features
Für den Geschäftsbetrieb besonders wichtige
Firewallsysteme werden redundant aufgebaut.
Auch im Bereich der Hochverfügbarkeit ist es
sinnvoll, keine unnötigen Komplexitäten einzuführen. Eine High Availability Lösung hat sich in der
Praxis bewährt.
Aus unserer Sicht sollte eine Firewall nur die
Firewallfunktionalität erfüllen. Zusätzliche Sicherheitsüberprüfungen wie z.B. Virenscanning und
Active-Content-Checking werden mit anderen
Produkten und auf dedizierten Maschinen gemacht.
Fazit
Vor dem Einrichten einer Firewall sollte man stets in Anbetracht des Business, der Benutzer,
des Betriebs und der Sicherheit - genau überlegen, welchen Schutz man braucht und wie man
diesen sinnvoll einrichten kann. Diese konzeptionelle Grundlage erlaubt eine effiziente Vorgehensweise bei der Installation und Administration.
Somit sind die Kompetenzen und Vorgehensweisen eindeutig definiert, so dass von vornherein
Missverständnisse vermieden werden können.
Die Betreuung ist ein fortwährender Prozess und
eine Firewall benötigt einen Verantwortlichen –
umso mehr benötigen dies Firewall-Farmen -, der
sich um Wartung und Updates kümmert. Man
darf bei der Einrichtung einer Firewall nicht davon
ausgehen, dass sie für immer einen angemessenen Schutz bietet.
Eine Firewall ist nur ein einzelnes Element, das
sich in ein bestehendes System einfügen muss.
Dabei sind Abstimmungen erforderlich, um nicht
versehentlich Sicherheitslücken zu öffnen oder
die Wirtschaftlichkeit einer Umgebung zu verschlechtern. Gleiches ist auch bei Hochverfügbarkeitslösungen zu beachten. Nicht immer das
neueste Feature mit den besten MarketingTexten ist die beste Lösung – sondern jenes,
welches sich nahtlos in eine bestehende Umgebung integrieren lässt.
Bleibt immer zu beachten, dass viele Katastrophen nicht durch Böswilligkeit hervorgerufen
werden, sondern Folgen von Unfällen oder dummen Fehlern sind.
© scip AG
public
Seite 16/22
s c i p
a g
Über den Autoren
Dietmar Kruch, Dipl. Informatiker, arbeitet bei der
Bank Vontobel AG und ist dort für die FirewallElemente zuständig.
Dietmar Kruch
Bank Vontobel AG
Bahnhofstrasse 3
8022 Zürich
Schweiz
http://www.vontobel.ch
5.
Linktipps
5.1 The PKI Page – Alles rund um PKI
URL:
Thema:
Kategorie:
http://www.pki-page.org
PKI, Verschlüsselung, Authentisierung
Linkseite
Aufmachung
Umfang
Aktualität
Ergonomie
Gesamtbewertung
Gut
Sehr gut
Sehr gut
Genügend
Gut
Vor zwei Jahren war in der Security-Branche PKI
das grosse Schlagwort. Verkäufer versuchten mit
dieser Technologie Kunden für sich zu gewinnen.
Auf den Zug aufgesprungen sind jedoch nur die
wenigsten, denn die drei Buchstaben halten mehr
Komplexität bereit, weder so mancher Administrator einzugehen bereit ist.
„The PKI Page“ stellt eine hervorragende Ausgangslage für die Suche nach Dokumenten und
Software zum Thema PKI bereit. Das regelmässig gepflegte Angebot kommt sehr schlicht daher
und informiert die Besucher über Zertifikate,
PGP, SMIME und SSL.
Wer etwas zum Thema PKI braucht, der ist mit
dieser Webseite sehr gut beraten. Schnell und
ohne Umstände wird man zu den für einem nützlichen Ressourcen geleitet. Dank dieser Stütze ist
der Kampf gegen das Monster PKI nicht mehr so
aussichtslos.
© scip AG
public
Seite 17/22
s c i p
6.
a g
Checks und der Fingerprinting-Datenbank. Diese
Daten werden im Stil von nmap in einer ASCIIDatei gespeichert und können deshalb auch ganz
simpel mit einem Texteditor angepasst werden.
Software-Tipps
6.1 WebServerFP – WebServer Fingerprinting Tool
URL:
Thema:
Kategorie:
Plattform:
http://www.astralclinic.com
Netzwerke, Sicherheit
Scanning, Auswertung
Windows
Funktionalität
Technik
Ergonomie
Gesamtbewertung
Gut
Genügend
Genügend
Gut
Ein Angreifer wird frühstmöglich darum bemüht
sein, die auf seinem Zielsystem eingesetzte
Software zu erkennen. Verschiedene Tools helfen bei der Identifizierung des eingesetzten Betriebssystems (z.B. Queso oder nmap [Ruef et al.
2002]). Einige Tools erlauben die Identifizierung
des unterstützten Anwendungsprotokolls (z.B.
amap; siehe smSS Ausgabe 19. Mai 2003 [scip
2003]) oder spezifischer Daemons (z.B.
SMTPscan für Mail Transfer Agents).
Lange Zeit musste das Identifizieren von Webserver-Implementierungen manuell durchgeführt
werden [McClure et al. 2002, Ruef et al. 2002].
Durch das Abgreifen des Banners und das Auswerten der serverseitigen Fehlermeldungen
konnte man die eingesetzte Webserver-Software
determinieren.
Automatisiertes HTTPD-Fingerprinting
Das Tool WebServerFP soll diese Prozedur automatisieren und verfeinern [Ruef 2003]. Ganz im
Vorbild des aktiven Stack-Fingerprintings von
nmap oder den Auswertungs-Zugriffen von
SMTPscan werden verschiedene Reize an den
Server geschickt und die Reaktion ausgewertet.
Entspricht diese einem bestimmten Muster, lässt
sich die eingesetzte Webserver-Software vermuten. Die Treffsicherheit ist relativ gross, obschon
nur einige wenige Checks (8 HTTP-Anfragen)
durchgeführt werden. Die Anzahl der im Rahmen
eines Tests verschickten und empfangenen TCPPakete beläuft sich auf 37 Stück.
Eingabemaske
Man merkt der Software an, dass sie noch nicht
wirklich über das Beta-Stadium hinaus entwickelt
ist. Die grafische Oberfläche ist nicht besonders
komfortabel und wartet mit praktisch keinen Features auf. Die wichtigsten Textfelder lassen eine
Spezifizierung des Zielhosts (Hostname oder IPAdresse) sowie des Zielports zu.
Zwei weitere Felder erlauben die Anpassung der
Die Ausgabe
Der Hauptteil des Fensters ist für die Darstellung
der Ausgaben vorgesehen. Verzichtet man auf
das Aktivieren der Checkbox „Be verbose“, wird
lediglich der Name der eingesetzten WebserverSoftware (z.B. „Result (4 of 8 tests were positive):
Microsoft IIS/5.0“) ausgegeben. Bei aktivierter
Verbose-Funktion sieht man die einzelnen Zugriffe sowie die entsprechenden Rückgaben. Das
Überprüfen der Resultate wird dadurch möglich
gemacht – Falschmeldungen lassen sich so verhindern.
Nicht für profesionelle Audits geeignet
WebServerFP ist in der vorliegenden Fassung
nicht für grössere Security Audits konzipiert worden. Dies sieht man zum einen daran, dass nur
einzelne Systeme gescannt werden können. Sollen verschiedene Adressbereiche oder mehrere
Systeme einer Überprüfung unterzogen werden,
muss stets die Eingabemaske ausgefüllt und der
Zugriff manuell aktiviert werden.
Zudem ist die Software nicht in der Lage, Reports
zu generieren. Zwar lässt sich die Ausgabe und
das Resultat mittels Copy & Paste in eine Textdatei übertragen – man hätte dies dem Benutzer
aber auch mit einer komfortablen Save-Funktion
mit der Möglichkeit des Speicherns in verschiedenen Formaten (z.B. HTML oder PDF) abnehmen können.
Der Autor hat sich noch nicht dazu geäussert, ob
er in Zukunft eine erweiterte Version seines Auswertungs-Tools herausbringen möchte.
Fazit
Alles in allem ein nützliches Tool, das einem die
lästige Tipp-Arbeit abnehmen kann. Für den professionellen Einsatz muss es jedoch noch ein
© scip AG
public
Seite 18/22
s c i p
a g
bisschen ausgebessert werden. Von Vorteil ist,
dass der Quellcode der Software zum Download
zur Verfügung steht. Entsprechend ist damit zu
rechnen, dass sich diese Software in Zukunft
relativ schnell entwickeln wird.
7.
Buchtipps
Content-Scanner sind in der Lage Kommunikationen auf verschiedenen Ebenen zu filtern. Dazu
gehören aktive Inhalte (z.B. Javascript, Java und
ActiveX), Dateinamen bzw. – erweiterungen und
URLs (HTTP und FTP).
7.1 Computers Ltd: What They
REALLY Can’t Do
Autor:
Verlag:
Datum:
ISBN:
Thema:
Kategorie:
David Harel
Oxford University Press
15. August 2003
0198604424
Computer, Mathematik, Logik
Fachbuch
Auf den ersten Blick erscheinen Probleme oft
sehr simpel und trivial – beschäftigt man sich ein
bisschen intensiver damit bemerkt man schnell,
dass die Zusammenhänge eine schier unüberblickbare Komplexität bereithält. Der Autor beschäftigt sich in diesem Buch genau mit diesem
Thema, mit Problemen, die nicht von Computern
gelöst werden können.
Obwohl es nicht zu erwarten ist, ist das Buch
sehr unterhaltsam. Der Leser lernt Probleme aus
einem anderen Blickwinkel zu betrachten – er
lernt neue Perspektiven und neue Welten kennen. Von Quanten- und Molekularcomputern bis
hin zur Wahrscheinlichkeitsberechnung werden
viele interessante Themen gestreift.
Das Inhaltsverzeichnis, Vorwort und einige Worte
zum Buch finden sich auf der privaten Webseite
von
Prof.
David
Harel
unter
http://www.wisdom.weizmann.ac.il/~dharel/ltd.ht
ml
8.
Fragen und Antworten
8.1 Wie sollte ich meinen ContentScanner konfigurieren? Welche
Dateien sollten erlaubt sein?
Grundsätzlich kann ein Content-Scanner als
Firewall-Element angesehen werden, denn er
erfüllt die beiden Voraussetzungen für ein solches:


Einschränken des Datenverkehrs
Protokollieren der Kommunikationen
So gilt es also auch, den Content-Scanner wie
eine Firewall zu behandeln. Er hat einen Common Point of Trust darzustellen, also als einziges
Gateway zwischen einem sicheren und einem
unsicheren Netzwerk zu fungieren. So wird verhindert, dass durch ein anderes Routing das
Sicherheitselement und die dort umzusetzenden
Restriktionen umgangen werden können.
Das Setzen spezifischer Regeln ist individuell den
Bedürfnissen einer Umgebung anzupassen. Wie
auch beim Firewalling sollte hier gelten, dass
lediglich das erlaubt ist, was nicht verboten ist.
Man sollte also vorzu die Dinge freischalten, die
freigeschaltet werden müssen.
Aktive Inhalte
Viele Finanzinstitute wollen die im World Wide
Web gegebenen News- und Börsenticker nicht
missen. Da diese vorzugsweise mit Java-Applets
realisiert werden, sollte für die spezifischen Angebote Java freigeschaltet werden.
Die Meinungen bezüglich der Sicherheit von Javascript gehen weit auseinander. Die einen behaupten, dass von dieser Skript-Sprache keine
Gefahr ausgeht – andere meinen, dass das Risiko unberechenbar ist. Grundsätzlich kann man
sagen, dass Javascript ansich – bis auf einige
Probleme der Auswertung des Verhaltens eines
Besuchers – keine groben Sicherheitsmängel
aufweist. In der Vergangenheit wurden jedoch
immerwieder Fehler bei der Implementierung von
Javascript bei den Webbrowsern aufgedeckt.
Durch diese Schwachstellen waren Denial of
Service-Attacken, das Auslesen oder gar Schreiben von Daten möglich. Leider kommen viele
Webseiten nicht mehr ohne Javascript aus, so
dass diese Skriptsprache in der Tat eine schwierige Gratwanderung zwischen Sicherheit und
Nutzen ist. Als Administrator sollte man sich in
diesem Belang an die Sicherheitsrichtlinien des
Unternehmens und an die Vorgaben des Security
Officers halten.
ActiveX geniesst keinen sehr guten Ruf, denn bei
dieser Lösung von Microsoft wurden einige
grundsätzliche Sicherheitsfehler im Design vorgenommen. Da immer weniger Webseiten ActiveX voraussetzen – es wird sowieso nur durch
den Internet Explorer unterstützt -, sollte man auf
die Eigenentwicklung durch Microsoft verzichten.
Filtern von Dateinamen
Das Filtern von Dateien und Dateinamen sollte in
© scip AG
public
Seite 19/22
s c i p
a g
der heutigen Zeit auf alle Dateien angewendet
werden, die Viren beinhalten können. Dies sind in
erster Linie ausführbare Dateien mit den Endungen exe, com, bat und pif. Zudem lohnt sich das
Blockieren von Multimedia-Dateien, die im geschäftlichen Umfeld nichts zu suchen haben.
Dazu zählen beispielsweise mp3, wav, avi, mov,
mpg und mpeg. Einige Firmen blockieren zudem
spezifische Dokumenttypen, die in der Vergangenheit immerwieder das Verbreiten von Würmern oder Viren missbraucht wurden. Dies reicht
von doc über xls bis hin zu pdf.
Das grösste Problem bei dieser Herangehensweise besteht darin, dass viele Content-Scanner
nicht in der Lage sind zu überprüfen, ob die Dateiendung wirklich dem Dateiinhalt entspricht.
Sind zum Beispiel ZIP-Dateien verboten, können
Sie vielerorts einfach in test.123 umbenannt und
weiterverschickt werden, ohne beim ContentScanner Alarm zu schlagen. Siehe zum Beispiel
den scip VulDB Eintrag zu Finjan SurfinGate
unter
http://www.scip.ch/cgibin/smss/showadvf.pl?id=32
URLs erlauben und verbieten
Das Zensieren spezifischer URLs ist eine mühsame, langwierige und undankbare Aufgabe. So
ist es fragwürdig, ob man unerlaubte Webseiten
überhaupt mittels einer Blacklist verbieten lassen
will. Falls möglich, sollte man auch hier auf eine
Whitelist setzen und dediziert einzelne URLs, die
wirklich genutzt werden müssen, freigeben.
Fazit
Wie auch beim Firewalling ist ein ContentScanner alleine noch keine Lösung. Ein gut
durchdachtes Konzept, dass auf die eigene Umgebung und die darin gewichtigen Bedürfnisse
angepasst ist, ist unabdingbar. Grundsätzlich
sollte man versuchen alles zu verbieten, bis auf
die Dinge, die wirklich benötigt werden. Desweiteren sind Content Scanner, wie Firewall Elemente,
regelmässig durch die eigene IT-Abteilung als
auch von unabhängigen Firmen und deren Experten auf Fehlkonfigurationen und weitere
Schwachstellen zu auditieren.
© scip AG
public
Seite 20/22
s c i p
9.
a g
Kreuzworträtsel
Die Auflösung dieses Security-Kreuzworträtsels finden Sie in der nächsten smSS Ausgabe.
© scip AG
public
Seite 21/22
s c i p
a g
10. Literaturverzeichnis
11. Impressum
Kurtz, George, McClure, Stuart, Scambray, Joel,
Februar 2002, Das Anti-Hacker-Buch, MITP Verlag, ISBN 3826608453, dritte Auflage, englischer
Originaltitel „Hacking Exposed“
Herausgeber:
scip AG
Technoparkstrasse 1
CH-8005 Zürich
T +41 1 445 1818
mailto:[email protected]
http://www.scip.ch
Nolting, Hans-Peter, 1978, Lernfall Aggression,
Rowolth Taschenbuch Verlag, ISBN 3499602431
Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, November 2002, Hacking Intern Angriffe, Strategien, Abwehr, Data Becker, Düsseldorf, ISBN 381582284X
Ruef, Marc, Mai 2003, WebServerFP – Eine Analyse,
http://www.computec.ch/software/webserver/web
serverfp/
scip AG, 19. Mai 2003, AMAP – An einem Port
angebotene Dienste erkennen, scip monthly
Security Summary, Ausgabe 19. Mai 2003
http://www.scip.ch
Zuständige Person:
Marc Ruef
Security Consultant
T +41 1 445 1812
mailto:[email protected]
PGP:
http://www.scip.ch/firma/facts/maru_scip_ch.asc
Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch
angeregten Ideenaustausch sind Verbesserung
möglich. Senden Sie Ihr Schreiben an [email protected]. Anfragen bezüglich der Erstellung eines Erfahrungsaustausch Artikels,
senden Sie bitte an die E-Mail [email protected].
Die scip AG – zu 100% unabhängig - unterstützt
Sie in allen Belangen einer ganzheitlichen ITSecurity. Sei es bei der Aufdeckung von neuen
Sicherheitslücken, der Analyse und Examinierung
Ihrer IT-Landschaft, der Ausbildung Ihrer Mitarbeiter, der gezielten Informationsbeschaffung zu
den Sie betreffenden Verletzbarkeiten, der Wirtschaftlichkeitsprüfung Ihrer IT-Umgebung, der
Konzeption Ihrer Security Architektur oder dem
Einsatz von professionellem und pragmatischem
Projektmanagement.
Auf unsere langjährige berufliche Erfahrung in
der IT-Security sind wir sehr stolz. Unsere Mitarbeiter verfügen, in diesem sehr komplexen sowie
breitgefächerten Spezialgebiet, über jahrelang
erarbeitetes und angewandtes Wissen.
Nutzen Sie unsere Dienstleistungen!
Das Errata (Verbesserungen, Berichtigungen,
Änderungen) der scip monthly Security Summary’s
finden
Sie
online
unter
http://www.scip.ch/publikationen/smss/ .
Der Bezug des scip monthly Security Summary
ist kostenlos. Sie können sich mit einer Email an
die Adresse [email protected] eintragen.
Um sich auszutragen, senden Sie Ihr Email an
die Adresse [email protected]
© scip AG
public
Seite 22/22

scip ag

Transcription

Similar documents

Cross Site Scripting

Handbuch zum "Alfi und Betty Vokabeltrainer"

scip ag

Ein Firewallkonzept zum Schutz der DMZ vor

bestens bekannt

aufbau eines dsl routers mit einer firewall unter suse linux 8.0

scip ag

scip ag

scip ag

scip ag

„biologische“ Kriegsführung

T-DSL ADSL FAQ Forum Erfahrungsbericht

NEWS: inexio begrüßt 7.777sten Quix

Artikel - Karate

Sichere Internetanbindung von Schulen

scip ag

„Innovationen im m

das interview - Thomas Sessler Verlag

Firewall My Company - My Castly Kontinuierlicher