scip ag
Transcription
scip ag
scip ag meisten der Neulinge, die sich jedoch dann doch ein bisschen intensiver mit der Materie beschäftigen, werden merken, dass Computersicherheit nichts mit grandiosen 3D-Darstellungen von virtuellen Dateisystemen zu tun hat (siehe „Hackers“ oder „Jurassic Park“). Wenigstens ein kleiner Fortschritt... Contents 1. Editorial 2. Neuerungen der scip AG 3. Neue Sicherheitslücken 4. Erfahrungsaustausch 5. Linktipps 6. Software-Tipps 7. Buchtipps 8. Fragen und Antworten 9. Kreuzworträtsel 10. Literaturverzeichnis 11. Impressum 1. Editorial Ein Grossteil der Kids im jugendlichen Alter zwischen 14 und 18 Jahren sind auf der Suche nach Tools, die Angriffe automatisieren. Mit diesen Skripten, die sie nicht verstehen, wollen sie die Welt erobern – daher der Name Skript-Kiddies. Dass sie damit ein Ärgernis für Privatpersonen, Unternehmen und ganze Wirtschaftszweige sind, das gefällt ihnen gar. Sie fühlen sich als Rebellen – wer ihr Gegner ist und warum er dazu wurde, das ist ihnen eher egal. „Hallo, mein Name ist Neo“, stellt sich mir mein Gegenüber in seinem Email vor. „Nicht schon wieder“, schiesst es mir durch den Kopf. Schon wieder ein Jugendlicher, der sich den Film „The Matrix“ (1999) oder das Sequel „Matrix Reloaded“ (2003) angeguckt hat und sich nun berufen fühlt, mit einer Sonnenbrille bewaffnet das Internet unsicher zu machen... Es wird immer auffälliger, dass auch der Security-Bereich seinen Modeerscheinungen unterworfen ist. Kommt ein cooler Hacker-Film in die Kinos (oder auf DVD), kann man sich sicher sein, dass innerhalb der kommenden Wochen die Anzahl der Neos und Zerocools (Held aus dem Film Hackers, 1995) um ein Vielfaches steigen wird. Die Chaträume und Foren werden regelrecht überschwemmt. Doch damit nicht genug, denn das Thema des Films ist ja „Hacking“ und alle wollen nun auch in Systeme einbrechen oder Computer zum Absturz bringen. Manche wollen gar Sprinkler-Anlagen auslösen oder Satelliten übernehmen. Fragen à la „Wie werde ich Hacker?“ legen die Nerven alteingesessener Security-Hasen blank. Die scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Um diesen Missstand zu verhindern, ist es in Phasen wie dieser besonders wichtig, seine Systeme gegen altbekannte und aktuelle Sicherheitslücken abzusichern. Vor allem Schwachstellen, zu denen haufenweise Tools und Exploits erhältlich sind – wie vor ein paar Jahren zum Beispiel die Unicode-Schwachstelle im MS IIS – können Neulinge zum Ausprobieren und Experimentieren anregen. Grosser Schaden geht von den Skript-Kiddies glücklicherweise eher weniger aus, denn dafür fehlt der technische Hintergrund. Dieser ist jedoch unabdingbar, um komplexe und konstruktive Attacken umzusetzen, also in Systeme einzubrechen. Das Herumspielen mit SMBnuke oder SubSeven reicht den Störenfrieden, um sich wie ein junger Kevin Mitnick zu fühlen. In der Aggressionspsychologie spricht man von „Lernen am Modell“ [Nolting 1978]: Was gesehen wird, wird kopiert. Richtig problematisch und gefährlich kann es werden, wenn die Skript-Kiddies durch den Ehrgeiz gepackt möglichst grossen Schaden anrichten wollen. Massen-Defacements und Distributed Denial of Service-Attacken [Ruef et al. 2002] sind dabei dann nur noch ein Mittel zum Zweck – die Opfer und der für sie entstehende Schaden ist ja eh nur virtuell. Wen kümmerts, ob nun irgendein Administrator das Wochenende durcharbeiten muss, weil die Firewall zerschossen wurde. Seine Familie kann er ja ein andermal sehen. Je nach technischem Verständnis und Ehrgeiz ist die © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 1/22 s c i p a g Zeitdauer anders, bis ein Skript-Kiddie solche breitflächigen und tiefschürfenden Zugriffe umsetzen kann. Es ist jedoch nicht unrealistisch zu erwarten, dass die „Neos“ von heute in einem halben Jahr mehr anrichten können, weder den Administratoren lieb ist. Es bleibt zu hoffen, dass sich mit wachsendem Verständnis der Materie auch die Weitsicht für sie erschliesst. Wer die Schönheit und Vielfalt des Internets zu schätzen weiss, der wird es erweitern und nicht zerstören wollen. Marc Ruef <maru@scip.ch> Security Consultant Zürich, 19. Juni 2003 2. Firewall Policy Assessment, diesem Anspruch gerecht zu werden. Denn IT-Security ist ein fortdauernder Entwicklungsprozess, der weit mehr als nur die Installation der Firewall beinhaltet. Firewalls sind in den täglichen Gebrauch einer Firma eingebunden. Somit muss sie sich rapide den schnell ändernden Anforderung der angewandten Medien wie z.B. WorldWideWeb, Intranet oder Webapplikationen anpassen. Diese stetigen Änderungen wandeln die einst konzipierten Regelwerke. Das Firewall Policy Assessment der scip AG verschafft Ihnen die nötige Transparenz, um einen ganzheitlichen Ansatz der Sicherheitslösung selbst bei der Betrachtung einzelner Systeme und ein ausbalanciertes Investment über alle Sicherheitsbereiche hinweg zu ermöglichen. Neuerungen der scip AG 2.1 )pallas( Flyer online Die im smSS vom 19. Mai 2003 vorgestellten Dienstleistungspakete )pallas( treffen den Zahn der Zeit. Man hat nicht genügend Zeit um professionelle Informationen selbst zu filtrieren. Seit neuem ist der entsprechende Flyer auf unserer Webpage aufgeschaltet. Machen Sie sich ein Bild! 2.2 Firewall Policy Assessment Die spürbare Zunahme bedrohlicher Exploits und die augenscheinliche Verfügbarkeit populärer Hacking-Tools, die es auch immer mehr Laien und Dilettanten ermöglichen Computersysteme einfach zu kompromittieren, erfordern von den IT-Securityverantwortlichen ein geschärftes Bewusstsein und eine umsichtige Sensibilität. Die scip AG hilft Ihnen mit einem individuellen scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Das scip AG Firewall Policy Assessment geht nach standardisierten Methoden vor und spürt gezielt Sicherheitslücken in Ihren Systemen von aussen wie von innen auf. Neben einer Standard Schwachstellenanalyse definierter Areas, werden nicht eingespielte Patches, unerlaubte Netzwerkservices, Fehlkonfigurationen, falsche Rechtvergabe etc. erkannt. Eine weiterführende, modulare Analyse beinhaltet unter anderem, die Einbeziehung betriebswirtschaftlicher Aspekte, spezielle Angrifsszenarien, Beurteilung von SecurityKonzepten, Design Reviews etc.. Als Ergebnis des Firewall Policy Assessment geht erstens ein Abschlussbericht hervor, der alle Erkenntnisse der Untersuchung enthält und zweitens ein detaillierter Massnahmenkatalog, der konkrete und lösungsorientierte Vorschläge zur Behebung erkannter Mängel aufzeigt. Der Firewall Policy Assessment Dienstleistungsflyer ist über den Direktlink http://www.scip.ch/dienstleistungen/dienstleistung en/scip_flyer-firewallpolicy_assessment.pdf aufrufbar. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 2/22 s c i p a g 2.3 Nachfragen bei Verletzbarkeiten Unsere deutschprachige Verletzbarkeitdatenbank http://www.scip.ch/cgi-bin/smss/showadvf.pl informiert Sie umgehend über die neusten Exploits und die geeigneten Gegenmassnahmen. Per sofort können Sie durch das anwählen einer spezifischen Schwachstelle Ihre Frage an uns richten. te aus dem Security-Bereich. Neu hinzugekommen ist letzten Monat die Liste Full-Disclosure. Viele Leute beklagen sich über das sinkende Niveau der Bugtraq-Mailingliste: Uninteressante und unfundierte Postings scheinen sich zu häufen. Als direkter Mitkonkurrent wird die Mailingliste Full-Disclosure angesehen. Es werden auch hier neue Schwachstellen publiziert und diskutiert. Viele Emails, die auf Bugtraq geschickt werden, werden zeitgleich auch an Full-Disclosure geschickt. Abonniert man beide Mailinglisten, ist man stets auf dem Laufenden, was neue Sicherheitslücken betrifft. Sie finden die Empfehlungen auf unserer Webseite unter http://www.scip.ch/publikationen/empfehlungen/ 2.6 Workshophinweise Juni 2003 2.4 scip_Alert Der scip_Alert liefert Ihnen die letzte publik gewordene Sicherheitslücke, welche von uns als "sehr kritisch" (höchste Alarmstufe) klassifiziert wurde. 21.06.2003 scip Quality Circle [sQC] 25.06.2003 IT-Security Overview Juli 2003 08.07.2003 Profiling 15.07.2003 Zonenkonzeption August 2003 05.08. bis 06.08.2003 07.08.2003 Anhand der von uns publizierten Skripte http://www.scip.ch/publikationen/scip_alert/ können Sie diese in Ihre eigene Website einbinden und Ihre Besucher auf akute Schwachstellen hinweisen. Per Ende Juni 2003 ist geplant, Ihnen den gesamten Datensatz zur Verfügung zu stellen. 2.5 Full-Disclosure Mailinglisten hinzugefügt Unter den Publikationen findet sich eine Kategorie namens „Empfehlungen“. In dieser weisen wir unsere Besucher und Kunden auf besonders nützliche Angebote hin. Wir platzieren dort zusätzlich die uns wichtig erscheinenden Mailinglisscip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc TCP/IP Sicherheit Log Management [LMRT] 08.08.2003 Log Management [LMRO] 12.08.2003 Profiling 19.08.2003 Viren 20.08.2003 IDS / Intrusion Prevention 26.08.2003 Vulnerability Assessment 27.08.2003 Log Management [LMST] Das scip AG Workshopportfolio finden Sie auf der Firmenwebseite unter Dienstleistungen http://www.scip.ch/dienstleistungen/workshops/ 3. Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter http://www.scip.ch/cgi-bin/smss/showadvf.pl publiziert. Die Dienstleistungspakete )scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind. Contents: © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 3/22 s c i p 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14 3.15 3.16 3.17 3.18 3.19 3.20 3.21 3.22 3.23 3.24 3.25 3.26 3.27 3.28 3.29 a g Microsoft Netmeeting CALLTO URL Pufferüberlauf Microsoft Windows Media Player 7.0 und 7.1 lässt automatisch Dateien herunterladen Diverse P2P-Software Supernode Designfehler Diverse UNIX-Systeme glibc Pufferüberlauf Apache mod_dav Pufferüberlauf Apache UNIX Authentifizierung Denial of Service Microsoft IIS 5.0 SSINC.DLL Server Side Includes Pufferüberlauf Microsoft IIS 4.0/5.0 ASP Response.AddHeader Denial of Service Microsoft IIS 5.0/5.1 WebDAV XML Denial of Service Microsoft IIS 4.0/5.0 nsiislog.dll Denial of Service MySQL 4.0.x libmysqlclient mysql_real_connect() Pufferüberlauf MySQL 4.0.x libmysqlclient mysql_real_connect() Pufferüberlauf Verschiedene Webbrowser fehlerhafte Scripting-Rechte Microsoft IIS 4.0 und 5.x Fehlermeldungen Cross Site Scripting Clearswift MAILSweeper 4.x for SMTP RTF-Anhänge Denial of Service Sun Solaris in.telnetd Denial of Service Linux Kernel 2.4 Hash-Table-Kollisionen Denial of Service Microsoft Internet Explorer object-Tag Pufferüberlauf Microsoft Internet Explorer FTP klassische Ansicht Cross Site Scripting Sun Solaris 8 x86 syslogd Denial of Service Apple MacOS X LDAP Benutzerdaten Preisgabe Sun Solaris /usr/lib/utmp_update Pufferüberlauf Microsoft Internet Explorer "Verwandte Links anzeigen" fehlerhafte Deaktivierung Microsoft Internet Explorer "Verwandte Links anzeigen" Klartext-Übermittlung OpenSSH IP-Adressbeschränkungen umgehen Apple MacOS X File-Sharing fehlerhafte Schreibrechte Microsoft Internet Explorer 5.5 und 6.0 XML Cross Site Scripting Microsoft Internet Explorer HTTPFehlermeldungen Cross Site Scripting Microsoft Hotmail Virenschutz mit Cross Site Scripting umgehen scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc 3.1 Microsoft Netmeeting CALLTO URL Pufferüberlauf Einstufung: kritisch Remote: Ja Datum: 20.05.2003 Advisory: http://www.securityfocus.com/archive/1/32 2065 Patch: http://www.microsoft.com Microsoft Netmeeting ist eine Messaging-Suite für die Windows-Betriebssysteme. Aus dem Microsoft Internet Explorer heraus kann Netmeeting direkt aufgerufen werden. Dabei lassen sich Parameter übergeben. Wird callto:msils/AAA[...]+type=directory aufgerufen und ein überlanger Parameter mitgeschickt, wird in vielen Fällen ein Blue Screen of Death ausgegeben. Das System kann erst wieder nach einem Neustart genutzt werden. Im Advisory und Bugtraq-Posting weist David F. Darauf hin, dass er den Denial of Service-Zugriff nicht immer und überall reproduzieren konnte. Es ist damit zu rechnen, dass Microsoft in absehbarer Zeit einen Patch für dieses Problem herausbringen wird. Expertenmeinung: Dieser Pufferüberlauf ist nur möglich, wenn ein konfiguriertes Netmeeting vorliegt. Dies wird in professionellen Umgebungen eher weniger der Fall sein. Es ist trotzdem nicht auszuschliessen. Es ist nicht damit zu rechnen, dass diese Angriffsform grosse Verbreitung erlangen wird. 3.2 Microsoft Windows Media Player 7.0 und 7.1 lässt automatisch Dateien herunterladen Einstufung: sehr kritisch Remote: Ja Datum: 21.05.2003 Advisory: http://www.malware.com/ Patch: http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/M S00-046.asp Microsoft Outlook Express ist ein umfassender Mail-Client für die Windows-Betriebssysteme. Er ist vor allem bei Privatanwendern aufgrund seiner Einfachheit und weil er bei den modernen Windows-Systemen direkt mitgeliefert wird, sehr beliebt. Zeigt Outlook Express eine speziell formatierte HTML-Nachricht an, kann ein Angreifer automatisch Dateien herunterladen, interpretieren oder ausführen lassen. Sodann lassen sich weitere Angriffe (z.B. Denial of Service oder das Installieren einer Hintertür) umsetzen. Der Aufbau eines möglichen Exploits © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 4/22 s c i p a g und der Link zu einem Beispiel wurden im Bugtraq-Posting publiziert. Dies Schwachstelle wurde erstmals am 20. Juli 2000 in einem Microsoft Security Bulletin (MS00-046, Patch Available for 'Cache Bypass' Vulnerability) für Microsoft Outlook Express 4.x und 5.x sowie Microsoft Outlook 98 und 2000 festgehalten. Der gleiche Fehler konnte nun auch in Microsoft Outlook Express 6 nachgewiesen werden. Um zu verhindern, dass zum Beispiel Dateien automatisch mit dem Microsoft Windows Mediaplayer interpretiert werden, sollte man im Mediaplayer das Scripting deaktivieren. Im Bugtraq-Posting wird darauf hingewiesen, dass man Emails unbekannter Herkunft nicht anzeigen bzw. öffnen soll. Der Fehler wurde im Microsoft Windows Media Player 9.0 behoben. Ein entsprechendes Update wird empfohlen. Expertenmeinung: Die Unschönheit dieser Schwachstelle kann nicht bestritten werden. Aber auch das Advisory ansich weist eine Unschönheit auf: Microsoft wurde nicht frühzeitig über das Vorhandensein der Schwachstelle in der jüngsten Outlook Express Version informiert - Stattdessen wurde mit der Sicherheitslücke direkt an die Öffentlichkeit gegangen. Das Zeitfenster, bis für diese Sicherheitslücke ein Patch herauskommt, ist also unweigerlich länger. Das anonyme Posting hatte, so scheint es, als einziges Ziel, Microsoft zu denunzieren. Uns, den Benutzern, ist damit nicht gedient, denn wir sind nun die kommenden Tage oder Wochen potentiellen Attacken ausgeliefert. Man hätte diese Sache sicher professioneller angehen können. 3.3 Diverse P2P-Software Supernode Designfehler Einstufung: sehr kritisch Remote: Ja Datum: 26.05.2003 Advisory: http://lists.netsys.com/pipermail/fulldisclosure/2003-May/009863.html Patch: http://www.kazaa.com/us/products/downlo adKMD.htm Das FastTrack (FT) Network ist eines der grössten und populärsten P2P-Netzwerke. Viele File-Sharing Applikationen wie Kazaa, iMesh oder Grokster machen von FT Gebrauch. Durch ein deformiertes Paket ist es einem Angreifer möglich, Supernodes zum Absturz zu bringen oder eigenen Programmcode auszuführen. Supernode im FastTrack-Netzwerk kann jeder verbundene Client werden. Voraussetzung hierzu ist allerdings genügend scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Rechenpower, eine schnelle Internetverbindung und eine öffentliche IP-Adresse. Standardmässig ist zum Beispiel die SuperNode-Funktion bei Kazaa aktiviert. Expertenmeinung: Postings in Full-Disclosure spekulieren bereits über Szenarien, in denen die RIAA versuchen könnte, FastTrack-Supernodes zu manipulieren, um den Tausch von urheberrechtlich geschützten Musikdateien zu unterbinden. Ganz sicher ist, dass eine Vielzahl von Benutzern von dieser Schwachstelle betroffen sind. Können alle verwundbaren Systeme durch die Sicherheitslücke übernommen werden, könnten sie für weitere Angriffe - zum Beispiel Distributed Denial of Service-Zugriffe - missbraucht werden. Die Zukunft wird zeigen, welches Ausmass diese Schwachstelle noch haben wird. In den jeweiligen Foren wird jedenfalls schon hitzog diskutiert. 3.4 Diverse UNIX-Systeme glibc Pufferüberlauf Einstufung: problematisch Remote: Ja Datum: 27.05.2003 Advisory: http://www.suse.de/de/security/2003_027_ glibc.html Patch: ftp://ftp.suse.de Ein Pufferüberlauf wurde in glibc, das bei der Linnux-Distribution von SuSE mitgeliefert wird, entdeckt. Durch diesen in der Funktion xdrmem_getbytes() kann ein Angreifer einen Denial of Service-Zugriff oder gar beliebigen Programmcode ausführen. SuSE hat mit einem Patch reagiert. Dieser steht zum Download zur Verfügung. Ein Workaround ist lediglich im Deaktivieren bzw. Deinstallieren sämtlicher RPCbasierten Dienste. Expertenmeinung: SuSE ist sehr gut mit dieser Schwachstelle umgegangen. So haben sie zuerst einen Patch entwickelt und danach die Anwender über die bestehende Sicherheitslücke informiert. Bezüglich der Hintergrundinformationen, wie die Schwachstelle ausgenutzt werden kann, hielt sich SuSE bedeckt. Von dieser professionellen Vorgehensweise kann sich noch so manches Software-Unternehmen ein Stück abschneiden. Um diese Schwachstelle zu bereinigen, sollte man umgehend den von SuSE freigegebenen Patch installieren. 3.5 Apache mod_dav Pufferüberlauf Einstufung: sehr kritisch © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 5/22 s c i p a g Remote: Ja Datum: 28.05.2003 Advisory: http://www.apache.org/dist/httpd/Announce ment2.html Patch: http://httpd.apache.org/download.cgi Apache ist ein populärer, freier open-source Webserver, der für viele verschiedene Plattformen erhältlich ist. Durch eine Schwachstelle im Modul mod_dav und eventuell auch in anderen Modulen, kann ein Angreifer sehr einfach eine Denial of Service-Attacke durchführen. Red Hat berichteten in ihrem Advisory gar davon, dass sich beliebiger Programmcode mit den Rechten des Webservers ausführen lässt. Voraussetzung für einen Angriff ist, dass threaded MPMs (MultiProcessing Modules) benutzt werden. Als Lösung wird die Aktualisieren auf 2.0.46 empfohlen. Expertenmeinung: Ende Mai wurden gleich zwei kritische Sicherheitslücken im Apache Webserver entdeckt. Wie immer bedeutet dies, dass mit einer Vielzahl neuer Angriffe auf die jungen Schwachstellen zu rechnen ist. Skript-Kiddies werden die Gunst der Stunde nutzen wollen, um ihren Spielereien nachzugehen. Aufgrund der hohen Verbreitung des Apache sind die gefundenen Fehler wahrlich ein gefundenes Fressen. Umso wichtiger ist, es seine Systeme schnellstmöglich zu schutzen, was in erster Linie mit dem Einspielen der vorgeschlagenen Patches bzw. den Update auf die aktualisierte Apache Version getan werden sollte. 3.6 Apache UNIX Authentifizierung Denial of Service Einstufung: kritisch Remote: Ja Datum: 28.05.2003 Advisory: http://www.apache.org/dist/httpd/Announce ment2.html Patch: http://www.apache.org/dist/httpd/ Apache ist ein populärer, freier open-source Webserver, der für viele verschiedene Plattformen erhältlich ist. Auf UNIX-Plattformen kann ein Angreifer eine Schwachstelle im Authentifizierungs-Modul ausnutzen, um diesen Mechanismus unbrauchbar zu machen, so dass ein Neustart erforderlich wird. Voraussetzung für einen Angriff ist, dass threaded MPMs (MultiProcessing Modules) benutzt werden. Als Lösung wird die Aktualisieren auf 2.0.46 empfohlen. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Expertenmeinung: Diese zweite kritische Sicherheitslücke im Apache Webserver bedeutet wie immer, dass mit einer Vielzahl neuer Angriffe auf die jungen Schwachstellen zu rechnen ist. Skript-Kiddies werden die Gunst der Stunde nutzen wollen, um ihren Spielereien nachzugehen. Aufgrund der hohen Verbreitung des Apache sind die gefundenen Fehler wahrlich ein gefundenes Fressen. Umso wichtiger ist, es seine Systeme schnellstmöglich zu schutzen, was in erster Linie mit dem Einspielen der vorgeschlagenen Patches bzw. den Update auf die aktualisierte Apache Version getan werden sollte. 3.7 Microsoft IIS 5.0 SSINC.DLL Server Side Includes Pufferüberlauf Einstufung: kritisch Remote: Indirekt Datum: 28.05.2003 Advisory und Patch: http://www.microsoft.com/technet/security/ bulletin/MS03-018.asp Microsoft Internet Information Server (MS IIS) ist eine beliebte Webserver-Implementierung für Windows-Systeme. Es wurde ein Pufferüberlauf in der Bearbeitung von Anfragen für Server Side Includes (z.B. .shtml, .stm und .shtm) entdeckt. Ein Angreifer sieht sich so in der Lage, Programmcode mit den Rechten des Webservers auszuführen. Hierzu ist es allerdings notwendig, Seiten auf den Server hochzuladen. Diese Schwachstelle betrifft im Gegensatz zu den anderen zeitgleich für den IIS gemeldeten Sicherheitslücken nur den IIS 5.0. Aber auch hier wird die Installation der Patches empfohlen. Expertenmeinung: Einige Benutzer des MS IIS haben sich schon gefreut, als wenige Stunden zuvor zwei Schwachstellen im Apache Webserver, dem Hauptkonkurrenten, entdeckt wurde. Nahezu als Hohn könnte man es empfinden, dass beinahe Zeitgleich mehrere ernstzunehmende Sicherheitslücke in der WebserverImplementierung von Microsoft publik gemacht wurden. Diese Schwachstelle ist nicht so problematisch wie die anderen, zur gleichen Zeit für den MS IIS publik gemacht wordenen. So ist diese hier nur beim IIS 5.0 anwendbar und setzt für den Angreifer die Möglichkeit voraus, eigene Dokumente auf den Webserver hinaufzuladen. Trotzdem sollte man die Sicherheitslücke nicht herunterspielen und die durch Microsoft freigegebenen Patches installieren. 3.8 Microsoft IIS 4.0/5.0 ASP Response.AddHeader Denial of © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 6/22 s c i p a g Service Einstufung: kritisch Remote: Indirekt Datum: 28.05.2003 Advisory und Patch: http://www.microsoft.com/technet/security/ bulletin/MS03-018.asp Die ASP-Funktion Response.AddHeader wird beim MS IIS gebraucht, um die Header für generierte ASP-Seiten zu erstellen. Durch einen Fehler in dieser Funktion kann ein Angreifer eine Denial of Service-Attacke auf den Webserver durchführen. Dies passiert dann, wenn ein überlanger Header generiert wird. Voraussetzung für diesen Angriff ist, dass ein Angreifer eigene ASP-Seiten auf dem angegriffenen Webserver ausführen lassen kann. Expertenmeinung: Diese Schwachstelle ist nicht so problematisch wie die anderen, zur gleichen Zeit für den MS IIS publik gemacht wordenen. So setzt diese hier für den Angreifer die Möglichkeit voraus, eigene ASP-Dokumente auf den Webserver hinaufzuladen und ausführen zu lassen. Trotzdem sollte man die Sicherheitslücke nicht herunterspielen und die durch Microsoft freigegebenen Patches installieren. 3.9 Microsoft IIS 5.0/5.1 WebDAV XML Denial of Service Einstufung: kritisch Remote: Ja Datum: 28.05.2003 Advisory und Patch: http://www.microsoft.com/technet/security/ bulletin/MS03-018.asp Ein Angreifer kann eine Denial of Service-Attacke auf den Webserver durchführen, indem er überlange WebDAV-Anfragen mit XML-Befehlen absetzt. Diese Schwachstelle betrifft nur IIS 5.0 und 5.1. Das Einspielen der durch Microsoft freigegebenen Patches behebt dieses Problem. Expertenmeinung: WebDAV-Schwachstellen waren immer sehr beliebt Besonders bei Skript-Kiddies. Glücklicherweise handelt es sich hier "nur" um eine Denial of Service-Verwundbarkeit, so dass nicht damit gerechnet werden muss, dass in naher Zukunft eine Übernahme vieler IISWebserver dank dieser Sicherheitslücke der Fall sein wird. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc 3.10 Microsoft IIS 4.0/5.0 nsiislog.dll Denial of Service Einstufung: kritisch Remote: Ja Datum: 30.05.2003 Advisory und Patch: http://www.microsoft.com/technet/security/ bulletin/MS03-019.asp Es wurde eine Schwachstelle in der ISAPI Erweiterung nsiislog.dll entdeckt. Diese wertet eingehende Anforderungen nicht korrekt aus, was von Angreifern für das Umsetzen einer Denial of Service-Attacke missbraucht werden kann. Eine speziell geformte Anfrage an den Server kann dazu fuehren, dass der IIS nicht mehr reagiert. Für den erfolgreichen Angriff sind die Windows Media Services erforderlich. Diese werden Standardmässig nicht auf Windows 2000 installiert und sind bei Windows NT gar nicht erst auf der Programm-CD enthalten. Sie müssen dort zuerst heruntergeladen werden. Versuchen Sie auf die verwundbaren Windows Media Services zu verzichten, sofern Ihnen dies möglich ist. Andernfalls wird das Einspielen der Patches enpfohlen, um die Schwachstellen zu beheben. Expertenmeinung: Glücklicherweise ist diese hier nur dann gegeben, wenn die Windows Media Services, die es manuell einzuspielen gilt, installier sind. Überprüfen Sie Ihr System auf das Vorhandensein der verwundbaren Dienste und spielen Sie die entsprechenden Patches ein. 3.11 Ethereal Protocol-Dissectoren Pufferüberlauf Einstufung: kritisch Remote: Ja Datum: 11.06.2003 Advisory: http://www.ethereal.com/appnotes/enpasa-00010.html Patch: http://www.ethereal.com/download.html Ethereal ist ein freier Protokoll-Analyzer. Timo Sirainen fand eine Schwachstelle in den ProtocolDissectoren. Diese kann für das Durchführen eines Denial of Service-Zugriffs auf den EtherealHost oder das Ausführen beliebigen Programmcodes gebraucht werden: 1. Decodierung eines NDR-Strings vom DCERPC-Dissector kann zu exzessivem Speicherverbrauch führen. 2. Ein Pufferüberlauf bei der Behandlung © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 7/22 s c i p a g von Paketen mit manipulierten IPv4- oder IPv6-Prefix-Längen betrifft den OSIDissector. 3. SPNEGO kann bei der Verarbeitung von ungültigen ASN.1-Werten abstürzen. 4. BGP, WTP, DNS, 802.11, ISAKMP, WSP, CLNP, ISIS und RMI weisen enen Fehler in der String-Verarbeitung auf. 5. Es gibt einen Fehler in der Routine "tvb_get_nstringz0()", wenn Puffer mit 0 Byte verarbeitet werden muss. Ethereal.com hat dieses Problem mit hohem Risiko gekennzeichnet. Es wird ein Upgrade auf Ethereal 0.9.13 empfohlen. Expertenmeinung: Probleme in Client- und Sniffer-Anwendungen (z.B. TCPdump) wurden in den vergangenen Monaten immer häufiger entdeckt. Die Sicherheitsbranche und die Entwickler beginnen zu begreifen, dass auch derlei Software durch klassische Angriffsmethoden (z.B. Pufferüberlauf) ausgetrickst werden können. 3.12 MySQL 4.0.x libmysqlclient mysql_real_connect() Pufferüberlauf Einstufung: kritisch Remote: Ja Datum: 12.06.2003 Patch: http://www.securityfocus.com/bid/7887/solu tion/ Es wurde eine Schwachstelle in der Bilbiothek libmysqlclient von MySQL gefunden. Ein Angreifer kann durch die Funktion mysql_real_connect() einen Pufferüberlauf generieren, eine Denial of Service-Attacke herbeiführen oder gar beliebigen Programmcode ausführen. Voraussetzung für das erfolgreiche Ausnutzen dieser Schwachstelle ist die Möglichkeit von SQL injection oder der Upload von Dateien durch den Angreifer. Expertenmeinung: Ein klassischer Pufferüberlauf. Vorteil für Administratoren und Anwender ist, dass gewisse Umstände gegeben sein müssen, damit dieser Angriff erfolgreich umgesetzt werden kann. So oder so sollte man darum bemüht sein, schnellstmöglich die Patches einzuspielen. Man kann nie wissen, ob und wie das eigene Angebot gegen SQL injection verwundbar ist. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc 3.13 Verschiedene Webbrowser fehlerhafte Scripting-Rechte Einstufung: kritisch Remote: Ja Datum: 13.06.2003 Eine schon etwas ältere Sicherheitslücke scheint in jüngeren Browser-Versionen wieder aufgetaucht zu sein. In Mozilla, Opera und Netscape ist es einem Angreifer möglich, beliebige JavaScripte- und Java-Applets mit den Rechten anderer Seiten auszuführen. Das Problem ist so gegeben, dass eine JavaScriptFunktion eingesetzt werden kann, die eine andere Website öffnet und in deren SicherheitsKontext Code ausführt. meme-boi weist in seinem Posting auf seine Webseite hin, auf der ein Beispiel-Skript gefunden werden kann. Es ist damit zu rechnen, dass die Hersteller die Schwachstelle in einem kommenden SoftwareRelease oder mittels Patch beheben werden. Expertenmeinung: Sonderbar, dass eine ganz offensichtlich angestaubte Sicherheitslücke in einem späteren Software-Release und gar noch in verschiedenen Browsern zeitgleich auftaucht. Dies lässt Spekulationen über Schlamperei (wahllose Übernahme alten Codes) und Codeklau zu. Es ist zu hoffen, dass die betroffenen Hersteller das Problem erkennen und im Sinne der Anwender schnellstmöglich aus der Welt schaffen. 3.14 Microsoft IIS 4.0 und 5.x Fehlermeldungen Cross Site Scripting Einstufung: sehr kritisch Remote: Ja Datum: 28.05.2003 Advisory und Patch: http://www.microsoft.com/technet/security/ bulletin/MS03-018.asp Microsoft Internet Information Server (MS IIS) ist eine beliebte Webserver-Implementierung für Windows-Systeme. Es wurde ein Cross Site Scripting (XSS) in den Fehlerseiten, die durch den MS IIS generiert werden, gefunden. Der Fehler basiert auf der fehlenden Eingabeüberprüfung von URLs, die bei den Webseiten automatisch in das HTML-Dokument eingebettet werden. Ein Angreifer sieht sich so in der Lage, Denial of Service-Angriffe gegen Besucher der Webseite mit den Rechten des Webservers auszuführen oder Cookies zu übernehmen. Microsoft hat mit Patches reagiert, die es einzuspielen gilt. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 8/22 s c i p a g Expertenmeinung: Einige Benutzer des MS IIS haben sich schon gefreut, als wenige Stunden zuvor zwei Schwachstellen im Apache Webserver, dem Hauptkonkurrenten, entdeckt wurde. Nahezu als Hohn könnte man es empfinden, dass beinahe Zeitgleich mehrere ernstzunehmende Sicherheitslücke in der WebserverImplementierung von Microsoft publik gemacht wurden. Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Dies ist wohl hauptsächlich darum gegeben, weil nicht die Betreiber des Webservers selbst den Gefahren der Schwachstelle ausgesetzt sind. Viel mehr stellen XSS-Angriffe ein Problem für die Besucher dar. Trotzdem ist es sehr unschön, wenn Besucher indirekt mit einer Denial of Service-Attacke penetriert oder irgendwelche in Cookies gespeicherten Informationen (z.B. Passwörter) gestohlen werden. Im Sinne der Allgemeinheit sollten die Betreiber von Webservern also trotzdem darauf achten, dass auf ihren Systemen keine XSS-Attacken möglich sind. 3.15 Clearswift MAILSweeper 4.x for SMTP RTF-Anhänge Denial of Service Einstufung: kritisch Remote: Ja Datum: 02.06.2003 Advisory: http://www.clearswift.com/download/bin/Pa tches/ReadMe_SMTP_4310.htm Patch: http://www.clearswift.com/download/SQL/d ownloadList.asp?productID=313 Clearswift MAILSweeper ist ein Email-Gateway, das mittels Proxy für SMTP den eingehenden Mailverkehr nach bösartigem Programmcode und Angriffsmustern durchsucht. Es wurde eine Denial of Service-Schwachstelle entdeckt: Emails mit bestimmten RTF-Anhängen (Rich Text Format) zwingen den Security Service in eine Endlosschleife. Diese lastet den Prozessor komplett aus und legt somit das ganze System lahm. In der Beschreibung zum Patch druckt der Hersteller folgendes ab: "Certain email messages that contained RTF document attachments caused the Security service to process indefinitely, using large amounts of system resource. Such RTF files are now processed correctly." Entsprechend gilt es den Bugfix einzuspielen, um das Problem zu beheben. Expertenmeinung: Angriffsmöglichkeiten auf Security-Elemente, seien es auch nur Denial of Service-Attacken, scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc sind ärgerlich. In diesem Fall hat der Hersteller zeitgleich mit dem Herausgeben des Patches die Kunden auf das Problem hingewiesen. Nähere Informationen zum Durchführen des Angriffs wurden nicht herausgegeben. Eine Vorgehensweise, die sowohl für den Hersteller als auch die Benutzer die eleganteste ist. 3.16 Sun Solaris in.telnetd Denial of Service Einstufung: kritisch Remote: Ja Datum: 02.06.2003 Advisory: http://sunsolve.sun.com/pubcgi/retrieve.pl?doc=fsalert%2F54181&zone _32=category%3Asecurity Patch: http://sunsolve.sun.com Solaris ist ein UNIX-Derivat, das von Sun Microsystems Inc. betreut und vertrieben wird. Der mitgelieferte Telnet-Daemon kann durch einen Angreifer das System zu 100 % Auslastung treiben, was in einer Denial of Service-Attacke endet. Um das Risiko eines erfolgreichen Angriffs zu minimieren, so beschreibt das Advisory von Sun, sollte der Zugriff auf den Telnet-Dienst mittels Firewalling eingeschränkt werden. Sun hat ausserdem Patches herausgegeben, die man einspielen sollte. Expertenmeinung: Obschon Telnet als veraltet und unsicher gilt, befindet sich dieser Dienst noch vielerorts im Einsatz. Der Grund ist der, dass praktisch ein jedes Betriebssystem mit einem entsprechenden Client ausgeliefert wird, und nicht wie bei SSH zuerst ein solcher installiert und konfiguriert werden muss. Die Verbreitung von Sun Solaris trägt dazu bei, dass dieser Angriff für einige Leute interessant wird. Glücklicherweise kann er nicht für konstruktive Zwecke, zum Beispiel das Ausführen beliebigen Programmcodes, gebraucht werden. So oder so ist jedem Empfohlen auf Telnet zu verzichten und SSH einzusetzen. 3.17 Linux Kernel 2.4 Hash-TableKollisionen Denial of Service Einstufung: kritisch Remote: Ja Datum: 03.06.2003 Advisory: http://rhn.redhat.com/errata/RHSA-2003187.html Patch: http://www.kernel.org Andrea Arcangeli von Red Hat fand eine Schwachstelle im Linux Kernel 2.4. Durch das © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 9/22 s c i p a g Herbeiführen einer Hash-Table-Kollision mittels speziellen IP-Paketen sieht sich ein Angreifer in der Lage eine Denial of Service umzusetzen. Diese Schwachstelle ist mit der kürzlich publizierten CAN-2003-0244 sehr ähnlich. Den Linux-Administratoren wird empfohlen auf einen aktuellen Kernel, der dieses Problem nicht mehr aufweist, upzudaten. Expertenmeinung: Al Viro und Andrea Arcangeli von Red Hat fanden gleich drei Schwachstellen im Linux Kernel 2.4. Dies zeigt, dass es diesbezüglich noch viel für die Linux-Community zu tun gibt. Die Benutzer und Administratoren der jeweiligen Linux-Systeme können und müssen reagieren, indem sie sich die jeweils neuesten Patches bzw. KernelVersionen einspielen. Jenachdem kann dies zeitund nervenaufreibend sein. Doch dies sollte man in Kauf nehmen, sofern einem die Sicherheit des eigenen Systems am Herzen liegt. Die stetig wachsende Popularität von Linux trägt dazu bei, dass das freie Betriebssystem für Angreifer immer attraktiver wird. 3.18 Microsoft Internet Explorer objectTag Pufferüberlauf Einstufung: sehr kritisch Remote: Ja Datum: 04.06.2003 Advisory und Patch: http://www.microsoft.com/technet/security/ bulletin/MS03-020.asp Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner WindowsBetriebssysteme ist. Durch eine Sicherheitslücke im beliebten Webbrowser ist es einem Angreifer möglich, beliebigen Programmcode mit den Rechten des Benutzers ausführen zu lassen. Dazu wird ein Pufferüberlauf bei der Interpretierung des object-Tags ausgenutzt, wie im entsprechenden Bugtraq-Posting aufgezeigt wird. Dieser Tag wird von Webdesignern herangezogen, um ActiveX-Komponenten in HTML-Dokumenten einzufügen. Die Attacke lässt sich über sämtliche Programme ausführen, die auf die Internet Explorer-Komponente zurückgreifen (z.B. Auch Outlook). Microsoft berichtet, dass ihr Internet Explorer auf dem Windows 2003 Server standardmässig mit einer optimierten Sicherheitskonfiguration ausgeliefert wird. Der Angriff ist sodann nicht möglich, sofern keine Änderungen an den Einstellungen (z.B. Interpretierung von ActiveX-Elementen) scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc vorgenommen wurden. Microsoft hat einen kumulativen Patch veröffentlicht, der die Sicherheitslücke beseitigt. Neben der beschriebenen Schwachstelle behebt er eine weitere, bereits bekannte Verwundbarkeit. Der Patch kann seit heute morgen (ca. 9:30 Uhr) über das Windows Update bezogen werden. Expertenmeinung: Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen. Da ein Beispiel-Exploit für einen Denial of ServiceAngriff im Bugtraq-Posting enthalten war, ist es nur eine Frage der Zeit, bis dieser Angriff erfolgreich im World Wide Web angetroffen werden kann. Vor allem Skript-Kiddies und Anbieter von Dialern werden diese Methode für ihre Zwecke nutzen wollen. Es ist kein Geheimnis, dass ActiveX nicht unbedingt den besten Ruf in Bezug auf die Sicherheit geniesst. So sollte man bei Nichtgebrauch auf die Interpretation dessen verzichten. Zudem gilt es den durch Microsoft freigegebenen Patch zu installieren. 3.19 Microsoft Internet Explorer FTP klassische Ansicht Cross Site Scripting Einstufung: kritisch Remote: Ja Datum: 04.06.2003 Advisory und Patch: http://lists.netsys.com/pipermail/fulldisclosure/2003-June/009999.html Der Microsoft Internet Explorer ist in der Lage, verschiedene Protokolle - z.B. HTTP und FTP zu interpretieren. Die FTP-Implementierung bietet zwei mögliche Ansichtstypen: Bei der "Folder View" werden die Verzeichnisse und Dateien als Icons dargestellt; bei der "Classic View" werden die Dokumente als Textlinks gezeigt. Bei der klassischen Ansicht kann ein Cross Site Scripting Angriff durchgeführt werden, da der Hostname des zugegriffenen FTP-Servers als HTML interpretiert und dargestellt wird. Ein Angreifer kann so Scripte und Zugriffe im Sicherheitskontext des Servers ausführen lassen. Laut dem Posting auf der Security-Mailingliste Full-Disclosure wurde Microsoft im Januar 2003 über das Problem informiert, jedoch hätten sie selbst vier Monate später in keinster Weise darauf reagiert. So wird im Posting wenigstens ein Workaround aufgezeigt: Wie schon bei der vor rund einem halben Jahr bekannt gewordenen Gopher-Attacke auf den Internet Explorer wird © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 10/22 s c i p a g das Angeben eines fiktiven und nicht-existenten Proxies für FTP-Verbindungen empfohlen. Expertenmeinung: Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Dieser spezifische Angriff hier ist auf einen Fehler in einer Software zurückzuführen; das ist bei einer Cross Site Scripting Verwundbarkeit eher selten gesehen. Zudem ist für die erfolgreiche Umsetzung dieses Angriffs zwingend die "Classic View" erforderlich. Trotzdem sollte man sich des Risikos bewusst sein und falls möglich den im Advisory genannten Workaround anwenden. Obschon diese Angriffsform eher weniger populär werden wird. 3.20 Sun Solaris 8 x86 syslogd Denial of Service Einstufung: kritisch Remote: Ja Datum: 05.06.2003 Advisory: Patch: http://sunsolve.sun.com/pubcgi/findPatch.pl?patchId=110945&rev=08 Der syslog-Daemon (abgekürzt syslogd genannt) ist eine zentrale Stelle für das Protokollieren von Systemmeldungen. Syslogd kann auch, sofern er entsprechend konfiguriert wurde, Meldungen über das Netzwerk verschicken und empfangen. Beim syslog-Daemon in Sun Solaris 8 wurde ein Pufferüberlauf entdeckt. Wird ein Paket länger als 1024 Bytes empfangen, stürzt die Komponente ab (siehe auch RFC 3164, Kapitel 6.1). Von dieser Schwachstelle betroffen ist nur Sun Solaris 8 x86. Sun hat mit einem Patch reagiert. Alternativ kann der Zugriff auf den UDPPort von syslogd mittels Firewalling eingeschränkt werden. Expertenmeinung: Syslog ist ein wichtiges Instrument bei der Administration von Systemen. Fällt dieser Dienst aus, können wichtige Informationen verloren gehen. Probleme von Anwendungen oder Angriffe könnten unentdeckt bleiben oder nicht nachvollziehbar sein. Umso wichtiger ist es, den Dienst am Laufen zu halten. 3.21 Apple MacOS X LDAP Benutzerdaten Preisgabe Einstufung: kritisch Remote: Ja Datum: 05.06.2003 Advisory: http://www.secunia.com/advisories/8945 scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Patch: http://docs.info.apple.com/article.html?artn um=107579 MacOS X ist ein relativ junges, kommerzielles, von der Firma Apple betreutes UNIX-Derivat. Es ist für Apple-Hardware verfügbar. Wird Kerberos zur Authentisierung bei LDAP eingesetzt, werden bei einem Fall-Back die sensitiven Benutzerinformationen (Benutzername und Passwort) im Klartext übertragen. Ein Angreifer im lokalen Netz kann so die heiklen Daten mitlesen. Apple hat ein Dokument veröffentlich, in dem beschrieben wird, wie LDAP mit Kerberos richtig konfiguriert werden kann, damit dieses Problem nicht mehr gegeben ist. Expertenmeinung: Zur Übermittlung sensitiver Daten sollten stets kryptographische Hilfsmittel eingesetzt, um die Vertraulichkeit und Integrität der Informationen zu gewährleisten. Setzt man wie in diesem Fall eine solche Methode ein, ist es umso ärgerlicher, dass bei Problemen auf eine Klartext-Kommunikation ausgewichen wird. Solcherlei Probleme können leider nur durch Ausprobieren entdeckt und dank Erfahrung verhindert werden. Man sollte entsprechend den Hinweisen in der Publikation von Apple Folge leisten. 3.22 Sun Solaris /usr/lib/utmp_update Pufferüberlauf Einstufung: kritisch Remote: Indirekt Datum: 05.06.2003 Advisory und Patch: http://sunsolve.sun.com/pubcgi/retrieve.pl?doc=fsalert%2F55260&zone _32=category%3Asecurity Solaris ist ein UNIX-Derivat, das von Sun Microsystems Inc. betreut und vertrieben wird. Wie im Advisory von Sun knapp berichtet wird, kann durch einen Fehler in utmp_update eine Rechteausweitung umgesetzt werden. Durch einen Pufferüberlauf ist ein lokaler Benutzer so in der Lage, beliebigen Programmcode mit den Rechten von root ausführen zu lassen. Sun hat zeitglich mit der Publikation des Advisories die Patches für die verwundbaren Solaris-Versionen herausgegeben. Expertenmeinung: Glücklicherweise handelt es sich hier um einen Pufferüberlauf, der nur durch einen lokalen Zugriff ausgenutzt werden kann. Dies soll jedoch nicht über die Gefahr der Sicherheitslücke hinwegtäuschen. Gerade wenn man vielen Benutzern den Zugriff auf ein verwundbares © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 11/22 s c i p a g Solaris-System erlauben sollte, sollte man die Zeit für das Beheben der Sicherheitslücke investieren. 3.23 Microsoft Internet Explorer "Verwandte Links anzeigen" fehlerhafte Deaktivierung Einstufung: kritisch Remote: Ja Datum: 06.06.2003 Advisory: http://www.imilly.com/alexa.htm Patch: http://www.microsoft.com Benutzerdaten, Passwörter, Session-IDs, Suchbegriffe und Pfadangaben übermittelt werden. Aufgrund der fehlenden oder schwachen Verschlüsselung können die Informationen sehr leicht mit einem Sniffer mitgelesen, später ausgewertet und missbraucht werden. Deaktivieren Sie die "Verwandte Links anzeigen"Funktion und filtern Sie bestmöglich sämtliche unerwünschten Datenübertragungen zu msn.com und alexa.com mittels Firewalling am Perimeter. Microsoft könnte die gesammelten Daten in Zukunft auch anderen Organisationen zur Verfügung stellen. Wird das Feature "Verwandte Links anzeigen" aktiviert, reicht der Browser Informationen zum Surfverhalten des Benutzers an msn.com und alexa.com weiter. Deaktiviert man diese Funktion, verschickt der Browser die Daten trotzdem jedesmal, wenn das Webdokument über die Tastenkombination Ctrl+R neu geladen wird. Erst ein Neustart des Webbrowsers deaktiviert auch dieses Verhalten. Filtern Sie bestmöglich sämtliche unerwünschten Datenübertragungen zu msn.com und alexa.com mittels Firewalling am Perimeter. Microsoft könnte die gesammelten Daten in Zukunft auch anderen Organisationen zur Verfügung stellen. Expertenmeinung: Eine wirklich unschöne Schwachstelle, die sehr ärgerlich ist. Schliesslich ist es schon fast eine Frechheit, dass Microsoft die sensitiven Benutzerdaten im Klartext durchs Internet schickt. Dass diese Ignoranz gar bei SSLKommunikationen gegeben ist, scheint unglaublich. Hier liegt ein Denkfehler vor, dessen Auswirkungen nicht heruntergespielt werden sollten. Wem seine Privatsphäre etwas wert ist, der sollte auf Features wie "Verwandte Links anzeigen" verzichten und unerlaubter Datenaustausch mit InformationsSammelorganisationen unterbinden. Expertenmeinung: Man könnte hier von einem klassischen Programmierfehler sprechen, denn die Entwickler arbeiten mit Variablen, die sie nicht zur richtigen Zeit aktualisieren. Dies ist in erster Linie ärgerlich - In diesem Falle kann es jedoch schon fast heimtückisch sein. Es kann spekuliert werden, ob dieses Verhalten der Software nicht Absichtlich durch Microsoft angestrebt wurde. Wem seine Privatsphäre etwas wert ist, der sollte auf Features wie "Verwandte Links anzeigen" verzichten und unerlaubter Datenaustausch mit Informations-Sammelorganisationen unterbinden. 3.25 OpenSSH IPAdressbeschränkungen umgehen 3.24 Microsoft Internet Explorer "Verwandte Links anzeigen" Klartext-Übermittlung Einstufung: sehr kritisch Remote: Ja Datum: 06.06.2003 Advisory: http://www.imilly.com/alexa.htm Patch: http://www.microsoft.com Wird das Feature "Verwandte Links anzeigen" aktiviert, reicht der Browser Informationen zum Surfverhalten des Benutzers an msn.com und alexa.com weiter. Diese Daten werden im Klartext verschickt, auch wenn es sich um SSLgeschützte Sitzungen handelt. Unter Umständen können so sensitive Informationen wie scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Einstufung: problematisch Remote: Ja Datum: 06.06.2003 Advisory: http://www.kb.cert.org/vuls/id/978316 Patch: ftp://ftp.porcupine.org/pub/security/tcp_wra ppers_7.6.tar.gz OpenSSH stellt eine freie Implementierung des Secure Shell (SSH) Protokolls zur Verfügung. Dank strenger Authentifikation und der verschlüsselten Kommunikation lassen sich durch das Client/Server-Prinzip sichere Verbindungen zwischen Hosts herstellen. Die Verbindungsmöglichkeit kann auf vertrauenswürdige Hosts reduziert werden. Dies geschieht wahlweise auf der Basis von IPAdressen oder Hostnamen. OpenSSH ist jedoch nicht in der Lage zu unterscheiden, ob sich die Einschränkung ursprünglich auf die IP-Adresse oder den Hostnamen bezog. Ein Angreifer, der Einfluss auf den Reverse-DNS ausüben kann, kann falsche Informationen liefern und sich so Zugriff verschaffen. Trotz dieser Schwachstelle benötigt ein Angreifer die Zugangsdaten, um eine erfolgreiche SSH-Sitzung aufbauen zu können. Verlassen sich nicht auf die simple IP- © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 12/22 s c i p a g Adresseinschränkung. Stärken Sie diesen Mechanismus durch ein dediziertes FirewallSystem mit entsprechend strengen Regelsätzen. SSH unterstützt die Option "VerifyReverseMapping", mit der sich eine zusätzliche Pruefung der Hostname/IPZuordnung vornehmen lässt. Expertenmeinung: Schlussendlich handelt es sich hier um einen Designfehler, der nicht wirklich tragisch ausgefallen ist. Das Einschränken von SSHVerbindungen mit der jeweiligen SSHImplementierung ist zwar nett, aber nichgt der Hauptkern der Lösung. Entsprechend ist es zu verzeihen, dass ein Feature nicht so ausgereift ist, wie es hätte sein können. Schlimmer wäre es gewesen, wenn Hauptteile der Software direkt von einem Problem betroffen gewesen wären (z.B. Pufferüberlauf bei der Übergabe von Benutzernamen). Trotzdem ist es ärgerlich zu sehen, dass sich dieser kleine Fehler einschleichen konnte. Solange man sich jedoch dessen bewusst ist und nach Alternativen sucht (Firewalling mit dedizierten Lösungen), ist man auf der richtigen Seite. 3.26 Apple MacOS X File-Sharing fehlerhafte Schreibrechte Einstufung: kritisch Remote: Ja Datum: 10.06.2003 Advisory: http://www.secunia.com/advisories/8978 Patch: http://www.info.apple.com/kbnum/n120223 Durch eine Schwachstelle beim UFS- und ReSharing von NFS-Volumes kann ein Angreifer unerlaubte Schreibrechte einholen. Apple hat den Fehler gefunden und dazu keine genaueren Einzelheiten bekannt gegeben. Zeitgleich wurde vom Hersteller ein Patch herausgegeben, der über "Software Update" beziehen werden kann. Expertenmeinung: Apple ist einmal mehr sehr gut mit dieser Schwachstelle umgegangen. So haben sie zuerst einen Patch entwickelt und danach die Anwender über die bestehende Sicherheitslücke informiert. Bezüglich der Hintergrundinformationen, wie die Schwachstelle ausgenutzt werden kann, hielt sich Apple bedeckt. Von dieser professionellen Vorgehensweise kann sich noch so manches Software-Unternehmen ein Stück abschneiden. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc 3.27 Microsoft Internet Explorer 5.5 und 6.0 XML Cross Site Scripting Einstufung: kritisch Remote: Ja Datum: 17.06.2003 Advisory: http://sec.greymagic.com/adv/gm013-ie/ Patch: http://www.microsoft.com Der Webbrowser ist in der Lage, XML-Dateien individuell zu interpretieren. Unter gewissen Umständen ist es einem Angreifer jedoch möglich, dadurch eine Cross Site Scripting Attacke durchzuführen. Um die Lücke auszunutzen, benötigt der Angreifer einen Webserver mit einer fehlerhaften XML-Datei. Zusätzlich muss er den Benutzer dazu bringen, auf einen speziell vorbereiteten Link zu klicken. Durch das Aufrufen der im Advisory angegebenen URL können Sie überprüfen, ob Ihr Webbrowser verwundbar ist. Wie im Advisory beschrieben ist, wird die Schwachstelle im MSXML vermutet, und nicht im Webbrowser selbst. Es ist damit zu rechnen, dass sobald die Schwachstelle näher untersucht worden ist, mit einem Patch reagiert werden wird. Expertenmeinung: Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren. Es scheint, als sei diese Schwachstelle publiziert worden, bevor der Hersteller informiert wurde. Dies schafft ein Zeitfenster für mögliche Angriffe, denen schlussendlich die Benutzer ausgesetzt sind. GreyMagic Software hat mit ihrem Advisory inkl. Beispiel-Exploit also nicht sehr kompetent reagiert - Schade. 3.28 Microsoft Internet Explorer HTTPFehlermeldungen Cross Site Scripting Einstufung: kritisch Remote: Ja Datum: 17.06.2003 Advisory: http://sec.greymagic.com/adv/gm014-ie/ Patch: http://www.microsoft.com Der Internet Explorer greift standardmässig auf lokal abgespeicherte HTML-Dokumente zurück, um Fehlermeldugnen (z.B. "404 Not Found") zu ersetzen und sie in einem handlichen Format darzustellen. Diese Ausgaben werden als "Friendly HTTP error messages" bezeichnet und können in den Einstellungen der Software deakti- © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 13/22 s c i p a g viert werden. Wird zum Beispiel die Seite http://www.scip.ch/nonexistent.html aufgerufen, zeigt der Webbrowser die Datei res://shdoclc.dll/404_HTTP.htm#http://www.scip. ch/nonexistent.html. Der Teil nach dem #Zeichen (also die fehlerhafte URL) wird extrahiert und als Teil der Fehlermeldung verwendet. Dieser Umstand ermöglicht das Einschleusen und Umsetzen von Cross Site Scripting. Microsoft wurde am 20. Februar 2003 über dieses Problem informiert. Es wird an einem Patch gearbeitet. Sehr wahrscheinlich wird das Problem im nächsten Service Pack behoben werden. Expertenmeinung: Dieser Monat scheint jener der Cross Site Scripting (XSS) Schwachstellen zu sein. Entsprechend werden die Diskussionen angeregt, welche Gefahr effektiv von dieser Angriffsform ausgehen kann. 3.29 Microsoft Hotmail Virenschutz mit Cross Site Scripting umgehen Einstufung: kritisch Remote: Ja Datum: 18.06.2003 Advisory: http://www.infohacking.com/INFOHACKIN G_RESEARCH/Our_Advisories/Hotmail/ Patch: http://www.hotmail.com/ nun die Session- und Message-ID aus der aktuellen URL und startet den Download des zweiten Attachments - Jedoch ohne Kennzeichnung für den Virenscan. Zwar wird dazu ein Fenster geöffnet, in dem der Benutzer dem Download zustimmen muss, meist wird der Inhalt solch eines Fensters aber kaum wahrgenommen und einfach nur weggeklickt. Einen direkten Schutz vor dieser Schwachstelle gibt es nicht. Man könnte Javascript temporär deaktivieren, bis Microsoft den Designfehler in ihrem Hotmail-Service behoben hat. Dem Virenschutz von Hotmail sollte man zur Zeit nicht 100 %ig vertrauen. Zudem sollte auf jedem PC ein aktualisierter Virenscanner installiert sein. Expertenmeinung: Diese Meldung tauchte im Heise-Forum auf und entflammte dort einmal mehr eine heisse Diskussion. Die Verteidiger von Microsoft beharren darauf, dass sehr viele Umstände zusammenspielen müssen, damit die Schwachstelle erfolgreich ausgenutzt werden kann (Javascript aktiviert, Hotmail.com zählt zu vertrauenswürdigen Seiten). Fakt ist jedoch, dass es sich hier um einen Designfehler handelt, dessen Ausnutzung nicht unrealistisch erscheint. Man sollte also die Hinweise in den Advisories beachten und Vorsicht im Umgang mit Hotmail walten lassen. Hotmail ist ein freier, von Microsoft betriebener Freemail-Service, der mit Yahoo Mail und GMX vergleichbar ist. Die Nachrichten können mittels Webbrowser auf http://www.hotmail.com verfasst, verschickt und gelesen werden. Zusätzliche Features wie ein Adressbuch, Kalender und einen Antiviren-Schutz runden das Angebot ab. Die Sicherheitsexperten Hugo Vázquez Caramés und Toni Cortés Martínez von Infohacking fanden heraus, dass mit der Hilfe einer Cross Site Scripting Schwachstelle im Hotmail-Angebot der Antiviren-Dienst umgangen werden kann. Auf dem Hotmail-Server abgelegte Mails mit Attachments können jeweils über eine URL direkt angesprochen werden. Bei dieser URL wird ein Parameter übergeben, der definiert, ob beim Herunterladen des Anhangs eine Überprüfung auf Viren durchgeführt werden soll. Wird die Zeichenkette &vscan=scan weggelassen, findet kein Scan statt. Wie im Advisory beschrieben, verschickt ein Angreifer eine Email mit zwei Attachements. Der erste Anhang beinhaltet ein in einem HTMLDokument eingebettetes Skript. Der zweite Anhang ist eine Datei mit einem Virus (z.B. Ein NetBus Server). Öffnet ein Benutzer nun das erste Attachment, wird das Skript gestartet, sofern Javaskript aktiviert ist und Hotmail zu den vertrauenswürdigen Sites zählt. Das Skript ermittelt scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 14/22 s c i p 4. a g ersichtlich ist, auf welcher Maschine er sich befindet. Erfahrungsaustausch 4.1 Komplexität von Firewall-Policies Dietmar Kruch, Dipl. Informatiker, Firewall-Verantwortlicher, Bank Vontobel AG Im Zuge leistungsfähigerer Internet- und Extranetanschlüsse steigen auch die Anforderungen an die Security-Infrastrukturen. Sei dies in Belangen der Durchsatzraten, Stabilität oder enthaltenen Funktionen – und alles immer mit möglichst gleichbleibendem oder verbessertem Sicherheitslevel. Daraus entstanden ua. mehrstufige Firewall-Konzepte mit Ausfallüberbrückungsprogrammen, ganze Firewallfarmen, integrierte Überwachungstools uvm. Der Autor ist seit einigen Jahren im Bankenumfeld im Bereich ITSecurity tätig, Dipl.-Informatiker und Firewallverantwortlicher der Bank Vontobel AG. Im nachfolgenden Bericht fasst er seine Erfahrungen zum Thema zusammen und gibt Tipps zum Umgang mit komplexen FirewallSystemen. Prinzipiell müssen beim Anschluss eines Firmennetzes an das Internet oder an ein anderes Netz drei Dinge geschützt werden: die Daten, die Ressourcen und der gute Ruf. Eine Firewall verbessert die Sicherheit, ist aber kein Allheilmittel. Sicherheit hat ihren Preis und ist selten bequem. Im Verlaufe dieses Artikels beziehe ich mich auf die für einen Firewalladministrator relevanten Probleme. Konkrete Angaben zur installierten Infrastruktur innerhalb der Bank Vontobel AG werden nicht gemacht. Firewall-Policies Die Firewall-Policy beschreibt die Daten, die durch die Firewall durchgelassen werden sollen. Alle anderen werden verworfen. Grundsätzlich gilt: Alles was nicht explizit erlaubt ist, ist verboten. Es werden nur Verbindungen zugelassen, die als hinreichend sicher betrachtet und als business relevant eingestuft werden. Dies gilt sowohl für incoming als auch für outgoing Verbindungen. Die Policy soll übersichtlich und möglichst nach einer gemeinsamen Grundstruktur geordnet werden, die für alle Firewallsysteme gleich ist. Danach folgen die für jede Firewall spezifischen Regeln, bei denen ebenfalls grosser Wert auf Übersichtlichkeit gelegt wird. Da die Komplexität von Software auch bei Firewalls weiter fortschreitet, ist es wichtig zu überprüfen, ob die vom Hersteller vorgegebenen Standardeinstellungen der Security Policy im Hause entsprechen, oder ob man restriktiver vorgehen möchte. Dies erfolgt oftmals über globale Einstellungen, die dann für alle Firewalls gelten und sehr restriktiv gehandhabt werden. Nur die wirklich Notwendigen werden durch Regeln nachgebildet. Somit wird verhindert, dass „unbewusst“ Sicherheitslöcher aufgetan werden. Je nach Risikoeinstufung der zu sichernden Verbindung werden ein- oder mehrstufige Firewallsysteme eingesetzt. Bei weltweit tätigen Unternehmen, lässt es sich aus unterschiedlichen Gründen oftmals nicht vermeiden, dass sich Firewallsysteme auch an weit entfernten Orten befinden. Diesbezüglich haben wir mit Appliances sehr gute Erfahrungen gemacht. Besonders in solchen Fällen ist es wichtig, einen sicheren Terminalserver vor Ort zu haben. Die Kommunikation mit dem Terminalserver erfolgt verschlüsselt. Vor der Installation der Firewallsoftware wird das Betriebssystem gehärtet. Als Alternative können auch sogenante Firewall Appliances verwendet werden, bei denen bereits der Hersteller diese Aufgabe übernommen hat. Auf den Firewalls gibt es keine User- sondern nur Wartungsaccounts für Administratoren, deren Aktivitäten durch entsprechende Loggingmechanismen jederzeit nachvollziehbar sind. Es laufen nur die zur Funktionserfüllung notwendigen Dienste und es werden weitgehend aktuelle Betriebssystemversionen mit aktuellen Patches verwendet. Einfluss der Netzwerk-Topologie Beim Entwurf der Netzwerkinfrastruktur stellt sich immer wieder eine Frage: Wenige komplexe Firewalls oder mehrere einfachere Firewalls. Beide Strategien haben entsprechende Vor- und Nachteile. In der Praxis hat sich gezeigt, dass ein vernünftiger Mittelweg die besten Resultate liefert. Weniger Geräte führen automatisch zu weniger Administrationsaufwand auf Betriebssystemebene, ziehen aber deutlich umfangreichere Security Policies nach sich, die dadurch schnell unübersichtlich werden. Eine vernünftige Namenskonvention hilft den Überblick zu bewahren und Fehler zu vermeiden. Wenn sich ein Administrator einloggt, ist sein Profil so angepasst, dass es für ihn jederzeit Die Organisation der Wartungsarbeiten und das Change Management erweisen sich als wesentlich einfacher, wenn die Firewalls auch nach Ihrer Funktionalität für das Business konzipiert wurden. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 15/22 s c i p a g Manchmal lässt es sich aufgrund der Netztopologie nicht vermeiden, dass die Verbindung über zwei oder mehrere Firewallsysteme verläuft, wenn z.B. eine Zweigstelle auf einen Dienst ausserhalb des Unternehmens zugreifen muss, der nur über den Hauptsitz bzw. eine andere Zweigstelle angeboten wird. Hier stellt sich die Frage, ob alle Firewall Policies gleich restriktiv angepasst werden müssen. Aus unserer Sicht ist es sinnvoll, nur die „äussere“ Policy (diejenige auf der externen Firewall) anzupassen und auf den dahinterliegenden Firewalls eine kulantere Regel zuzulassen, die z.B. den Zugriff vom gesamten zu schützenden Subnetz auf den Dienst erlaubt. Das „Feinfiltering“ wird erst auf der Grenzfirewall gemacht. Dies führt dazu, dass weniger Policies angepasst werden müssen. Wenn diese Firewalls von verschiedenen Administratoren verwaltet werden, ist hierfür ein erhöhter Koordinationsaufwand zu berücksichtigen. Hier sollte man beachten, dass es sich in diesem Fall nicht um ein zweistufiges Firewallkonzept handelt, sondern eigentlich um ein einstufiges Konzept. Probleme können vermieden werden, wenn auf diesen Firewalls dieselbe Version der Firewallsoftware installiert ist. Dies ist in der Praxis nicht immer der Fall. Spannungsfelder und Administration Ein Firewalladministrator befindet sich immer im Spannungsfeld zwischen Sicherheitsanforderungen und den Kundenwünschen. Diese müssen erfahrungsgemäss nicht immer übereinstimmen. Ein vernünftiger Kompromiss lässt sich dadurch erziehlen, dass der Verwaltungsaufwand auf das Notwendige reduziert wird. Klare Regelungen sind notwendig. Das Security-Team hat diesbezüglich einen gewissen Handlungsspielraum. Nicht für jede Änderung ist der gesamte Genehmigungsprozess zu durchlaufen. Müssen keine zusätzlichen Ports geöffnet werden, sondern nur User oder eine Workstation zu einer bereits bestehenden Regel hinzugefügt werden, so kann dies z.B. für eine bestimmte Abteilung und einen bestimmten Service von einer vorher festgelegten Person beantragt werden. Gleiches gilt auch für das Löschen, welches aber erfahrungsgemäss vergessen wird zu beantragen. Eine regelmässige Überprüfung der „Karteileichen“ ist eine aufwandsmässig nicht zu unterschätzende Aufgabe. Müssen neue Regeln hinzugefügt werden, ist eine Genehmigung durch den Security Officer notwendig. Alle Änderungen werden sowohl elektronisch als auch auf Papier dokumentiert. Wenn die Firewallsoftware bereits eine solche scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Möglichkeit vorsieht, wird jede Änderung einschliesslich des ausführenden Administrators bereits online kurz und aussagekräftig dokumentiert, unabhängig davon, ob ein automatischer Logmechanismus vorhanden ist oder nicht. Zusätzlich wird noch eine Offline-Dokumentation erstellt. High Availability und andere Features Für den Geschäftsbetrieb besonders wichtige Firewallsysteme werden redundant aufgebaut. Auch im Bereich der Hochverfügbarkeit ist es sinnvoll, keine unnötigen Komplexitäten einzuführen. Eine High Availability Lösung hat sich in der Praxis bewährt. Aus unserer Sicht sollte eine Firewall nur die Firewallfunktionalität erfüllen. Zusätzliche Sicherheitsüberprüfungen wie z.B. Virenscanning und Active-Content-Checking werden mit anderen Produkten und auf dedizierten Maschinen gemacht. Fazit Vor dem Einrichten einer Firewall sollte man stets in Anbetracht des Business, der Benutzer, des Betriebs und der Sicherheit - genau überlegen, welchen Schutz man braucht und wie man diesen sinnvoll einrichten kann. Diese konzeptionelle Grundlage erlaubt eine effiziente Vorgehensweise bei der Installation und Administration. Somit sind die Kompetenzen und Vorgehensweisen eindeutig definiert, so dass von vornherein Missverständnisse vermieden werden können. Die Betreuung ist ein fortwährender Prozess und eine Firewall benötigt einen Verantwortlichen – umso mehr benötigen dies Firewall-Farmen -, der sich um Wartung und Updates kümmert. Man darf bei der Einrichtung einer Firewall nicht davon ausgehen, dass sie für immer einen angemessenen Schutz bietet. Eine Firewall ist nur ein einzelnes Element, das sich in ein bestehendes System einfügen muss. Dabei sind Abstimmungen erforderlich, um nicht versehentlich Sicherheitslücken zu öffnen oder die Wirtschaftlichkeit einer Umgebung zu verschlechtern. Gleiches ist auch bei Hochverfügbarkeitslösungen zu beachten. Nicht immer das neueste Feature mit den besten MarketingTexten ist die beste Lösung – sondern jenes, welches sich nahtlos in eine bestehende Umgebung integrieren lässt. Bleibt immer zu beachten, dass viele Katastrophen nicht durch Böswilligkeit hervorgerufen werden, sondern Folgen von Unfällen oder dummen Fehlern sind. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 16/22 s c i p a g Über den Autoren Dietmar Kruch, Dipl. Informatiker, arbeitet bei der Bank Vontobel AG und ist dort für die FirewallElemente zuständig. Dietmar Kruch Bank Vontobel AG Bahnhofstrasse 3 8022 Zürich Schweiz http://www.vontobel.ch 5. Linktipps 5.1 The PKI Page – Alles rund um PKI URL: Thema: Kategorie: http://www.pki-page.org PKI, Verschlüsselung, Authentisierung Linkseite Aufmachung Umfang Aktualität Ergonomie Gesamtbewertung Gut Sehr gut Sehr gut Genügend Gut Vor zwei Jahren war in der Security-Branche PKI das grosse Schlagwort. Verkäufer versuchten mit dieser Technologie Kunden für sich zu gewinnen. Auf den Zug aufgesprungen sind jedoch nur die wenigsten, denn die drei Buchstaben halten mehr Komplexität bereit, weder so mancher Administrator einzugehen bereit ist. „The PKI Page“ stellt eine hervorragende Ausgangslage für die Suche nach Dokumenten und Software zum Thema PKI bereit. Das regelmässig gepflegte Angebot kommt sehr schlicht daher und informiert die Besucher über Zertifikate, PGP, SMIME und SSL. Wer etwas zum Thema PKI braucht, der ist mit dieser Webseite sehr gut beraten. Schnell und ohne Umstände wird man zu den für einem nützlichen Ressourcen geleitet. Dank dieser Stütze ist der Kampf gegen das Monster PKI nicht mehr so aussichtslos. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 17/22 s c i p 6. a g Checks und der Fingerprinting-Datenbank. Diese Daten werden im Stil von nmap in einer ASCIIDatei gespeichert und können deshalb auch ganz simpel mit einem Texteditor angepasst werden. Software-Tipps 6.1 WebServerFP – WebServer Fingerprinting Tool URL: Thema: Kategorie: Plattform: http://www.astralclinic.com Netzwerke, Sicherheit Scanning, Auswertung Windows Funktionalität Technik Ergonomie Gesamtbewertung Gut Genügend Genügend Gut Ein Angreifer wird frühstmöglich darum bemüht sein, die auf seinem Zielsystem eingesetzte Software zu erkennen. Verschiedene Tools helfen bei der Identifizierung des eingesetzten Betriebssystems (z.B. Queso oder nmap [Ruef et al. 2002]). Einige Tools erlauben die Identifizierung des unterstützten Anwendungsprotokolls (z.B. amap; siehe smSS Ausgabe 19. Mai 2003 [scip 2003]) oder spezifischer Daemons (z.B. SMTPscan für Mail Transfer Agents). Lange Zeit musste das Identifizieren von Webserver-Implementierungen manuell durchgeführt werden [McClure et al. 2002, Ruef et al. 2002]. Durch das Abgreifen des Banners und das Auswerten der serverseitigen Fehlermeldungen konnte man die eingesetzte Webserver-Software determinieren. Automatisiertes HTTPD-Fingerprinting Das Tool WebServerFP soll diese Prozedur automatisieren und verfeinern [Ruef 2003]. Ganz im Vorbild des aktiven Stack-Fingerprintings von nmap oder den Auswertungs-Zugriffen von SMTPscan werden verschiedene Reize an den Server geschickt und die Reaktion ausgewertet. Entspricht diese einem bestimmten Muster, lässt sich die eingesetzte Webserver-Software vermuten. Die Treffsicherheit ist relativ gross, obschon nur einige wenige Checks (8 HTTP-Anfragen) durchgeführt werden. Die Anzahl der im Rahmen eines Tests verschickten und empfangenen TCPPakete beläuft sich auf 37 Stück. Eingabemaske Man merkt der Software an, dass sie noch nicht wirklich über das Beta-Stadium hinaus entwickelt ist. Die grafische Oberfläche ist nicht besonders komfortabel und wartet mit praktisch keinen Features auf. Die wichtigsten Textfelder lassen eine Spezifizierung des Zielhosts (Hostname oder IPAdresse) sowie des Zielports zu. Zwei weitere Felder erlauben die Anpassung der scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc Die Ausgabe Der Hauptteil des Fensters ist für die Darstellung der Ausgaben vorgesehen. Verzichtet man auf das Aktivieren der Checkbox „Be verbose“, wird lediglich der Name der eingesetzten WebserverSoftware (z.B. „Result (4 of 8 tests were positive): Microsoft IIS/5.0“) ausgegeben. Bei aktivierter Verbose-Funktion sieht man die einzelnen Zugriffe sowie die entsprechenden Rückgaben. Das Überprüfen der Resultate wird dadurch möglich gemacht – Falschmeldungen lassen sich so verhindern. Nicht für profesionelle Audits geeignet WebServerFP ist in der vorliegenden Fassung nicht für grössere Security Audits konzipiert worden. Dies sieht man zum einen daran, dass nur einzelne Systeme gescannt werden können. Sollen verschiedene Adressbereiche oder mehrere Systeme einer Überprüfung unterzogen werden, muss stets die Eingabemaske ausgefüllt und der Zugriff manuell aktiviert werden. Zudem ist die Software nicht in der Lage, Reports zu generieren. Zwar lässt sich die Ausgabe und das Resultat mittels Copy & Paste in eine Textdatei übertragen – man hätte dies dem Benutzer aber auch mit einer komfortablen Save-Funktion mit der Möglichkeit des Speicherns in verschiedenen Formaten (z.B. HTML oder PDF) abnehmen können. Der Autor hat sich noch nicht dazu geäussert, ob er in Zukunft eine erweiterte Version seines Auswertungs-Tools herausbringen möchte. Fazit Alles in allem ein nützliches Tool, das einem die lästige Tipp-Arbeit abnehmen kann. Für den professionellen Einsatz muss es jedoch noch ein © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 18/22 s c i p a g bisschen ausgebessert werden. Von Vorteil ist, dass der Quellcode der Software zum Download zur Verfügung steht. Entsprechend ist damit zu rechnen, dass sich diese Software in Zukunft relativ schnell entwickeln wird. 7. Buchtipps Content-Scanner sind in der Lage Kommunikationen auf verschiedenen Ebenen zu filtern. Dazu gehören aktive Inhalte (z.B. Javascript, Java und ActiveX), Dateinamen bzw. – erweiterungen und URLs (HTTP und FTP). 7.1 Computers Ltd: What They REALLY Can’t Do Autor: Verlag: Datum: ISBN: Thema: Kategorie: David Harel Oxford University Press 15. August 2003 0198604424 Computer, Mathematik, Logik Fachbuch Auf den ersten Blick erscheinen Probleme oft sehr simpel und trivial – beschäftigt man sich ein bisschen intensiver damit bemerkt man schnell, dass die Zusammenhänge eine schier unüberblickbare Komplexität bereithält. Der Autor beschäftigt sich in diesem Buch genau mit diesem Thema, mit Problemen, die nicht von Computern gelöst werden können. Obwohl es nicht zu erwarten ist, ist das Buch sehr unterhaltsam. Der Leser lernt Probleme aus einem anderen Blickwinkel zu betrachten – er lernt neue Perspektiven und neue Welten kennen. Von Quanten- und Molekularcomputern bis hin zur Wahrscheinlichkeitsberechnung werden viele interessante Themen gestreift. Das Inhaltsverzeichnis, Vorwort und einige Worte zum Buch finden sich auf der privaten Webseite von Prof. David Harel unter http://www.wisdom.weizmann.ac.il/~dharel/ltd.ht ml 8. Fragen und Antworten 8.1 Wie sollte ich meinen ContentScanner konfigurieren? Welche Dateien sollten erlaubt sein? Grundsätzlich kann ein Content-Scanner als Firewall-Element angesehen werden, denn er erfüllt die beiden Voraussetzungen für ein solches: Einschränken des Datenverkehrs Protokollieren der Kommunikationen So gilt es also auch, den Content-Scanner wie scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc eine Firewall zu behandeln. Er hat einen Common Point of Trust darzustellen, also als einziges Gateway zwischen einem sicheren und einem unsicheren Netzwerk zu fungieren. So wird verhindert, dass durch ein anderes Routing das Sicherheitselement und die dort umzusetzenden Restriktionen umgangen werden können. Das Setzen spezifischer Regeln ist individuell den Bedürfnissen einer Umgebung anzupassen. Wie auch beim Firewalling sollte hier gelten, dass lediglich das erlaubt ist, was nicht verboten ist. Man sollte also vorzu die Dinge freischalten, die freigeschaltet werden müssen. Aktive Inhalte Viele Finanzinstitute wollen die im World Wide Web gegebenen News- und Börsenticker nicht missen. Da diese vorzugsweise mit Java-Applets realisiert werden, sollte für die spezifischen Angebote Java freigeschaltet werden. Die Meinungen bezüglich der Sicherheit von Javascript gehen weit auseinander. Die einen behaupten, dass von dieser Skript-Sprache keine Gefahr ausgeht – andere meinen, dass das Risiko unberechenbar ist. Grundsätzlich kann man sagen, dass Javascript ansich – bis auf einige Probleme der Auswertung des Verhaltens eines Besuchers – keine groben Sicherheitsmängel aufweist. In der Vergangenheit wurden jedoch immerwieder Fehler bei der Implementierung von Javascript bei den Webbrowsern aufgedeckt. Durch diese Schwachstellen waren Denial of Service-Attacken, das Auslesen oder gar Schreiben von Daten möglich. Leider kommen viele Webseiten nicht mehr ohne Javascript aus, so dass diese Skriptsprache in der Tat eine schwierige Gratwanderung zwischen Sicherheit und Nutzen ist. Als Administrator sollte man sich in diesem Belang an die Sicherheitsrichtlinien des Unternehmens und an die Vorgaben des Security Officers halten. ActiveX geniesst keinen sehr guten Ruf, denn bei dieser Lösung von Microsoft wurden einige grundsätzliche Sicherheitsfehler im Design vorgenommen. Da immer weniger Webseiten ActiveX voraussetzen – es wird sowieso nur durch den Internet Explorer unterstützt -, sollte man auf die Eigenentwicklung durch Microsoft verzichten. Filtern von Dateinamen Das Filtern von Dateien und Dateinamen sollte in © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 19/22 s c i p a g der heutigen Zeit auf alle Dateien angewendet werden, die Viren beinhalten können. Dies sind in erster Linie ausführbare Dateien mit den Endungen exe, com, bat und pif. Zudem lohnt sich das Blockieren von Multimedia-Dateien, die im geschäftlichen Umfeld nichts zu suchen haben. Dazu zählen beispielsweise mp3, wav, avi, mov, mpg und mpeg. Einige Firmen blockieren zudem spezifische Dokumenttypen, die in der Vergangenheit immerwieder das Verbreiten von Würmern oder Viren missbraucht wurden. Dies reicht von doc über xls bis hin zu pdf. Das grösste Problem bei dieser Herangehensweise besteht darin, dass viele Content-Scanner nicht in der Lage sind zu überprüfen, ob die Dateiendung wirklich dem Dateiinhalt entspricht. Sind zum Beispiel ZIP-Dateien verboten, können Sie vielerorts einfach in test.123 umbenannt und weiterverschickt werden, ohne beim ContentScanner Alarm zu schlagen. Siehe zum Beispiel den scip VulDB Eintrag zu Finjan SurfinGate unter http://www.scip.ch/cgibin/smss/showadvf.pl?id=32 URLs erlauben und verbieten Das Zensieren spezifischer URLs ist eine mühsame, langwierige und undankbare Aufgabe. So ist es fragwürdig, ob man unerlaubte Webseiten überhaupt mittels einer Blacklist verbieten lassen will. Falls möglich, sollte man auch hier auf eine Whitelist setzen und dediziert einzelne URLs, die wirklich genutzt werden müssen, freigeben. Fazit Wie auch beim Firewalling ist ein ContentScanner alleine noch keine Lösung. Ein gut durchdachtes Konzept, dass auf die eigene Umgebung und die darin gewichtigen Bedürfnisse angepasst ist, ist unabdingbar. Grundsätzlich sollte man versuchen alles zu verbieten, bis auf die Dinge, die wirklich benötigt werden. Desweiteren sind Content Scanner, wie Firewall Elemente, regelmässig durch die eigene IT-Abteilung als auch von unabhängigen Firmen und deren Experten auf Fehlkonfigurationen und weitere Schwachstellen zu auditieren. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 20/22 s c i p 9. a g Kreuzworträtsel Die Auflösung dieses Security-Kreuzworträtsels finden Sie in der nächsten smSS Ausgabe. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 21/22 s c i p a g 10. Literaturverzeichnis 11. Impressum Kurtz, George, McClure, Stuart, Scambray, Joel, Februar 2002, Das Anti-Hacker-Buch, MITP Verlag, ISBN 3826608453, dritte Auflage, englischer Originaltitel „Hacking Exposed“ Herausgeber: scip AG Technoparkstrasse 1 CH-8005 Zürich T +41 1 445 1818 mailto:info@scip.ch http://www.scip.ch Nolting, Hans-Peter, 1978, Lernfall Aggression, Rowolth Taschenbuch Verlag, ISBN 3499602431 Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, November 2002, Hacking Intern Angriffe, Strategien, Abwehr, Data Becker, Düsseldorf, ISBN 381582284X Ruef, Marc, Mai 2003, WebServerFP – Eine Analyse, http://www.computec.ch/software/webserver/web serverfp/ scip AG, 19. Mai 2003, AMAP – An einem Port angebotene Dienste erkennen, scip monthly Security Summary, Ausgabe 19. Mai 2003 http://www.scip.ch Zuständige Person: Marc Ruef Security Consultant T +41 1 445 1812 mailto:maru@scip.ch PGP: http://www.scip.ch/firma/facts/maru_scip_ch.asc Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserung möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Anfragen bezüglich der Erstellung eines Erfahrungsaustausch Artikels, senden Sie bitte an die E-Mail sizu@scip.ch. Die scip AG – zu 100% unabhängig - unterstützt Sie in allen Belangen einer ganzheitlichen ITSecurity. Sei es bei der Aufdeckung von neuen Sicherheitslücken, der Analyse und Examinierung Ihrer IT-Landschaft, der Ausbildung Ihrer Mitarbeiter, der gezielten Informationsbeschaffung zu den Sie betreffenden Verletzbarkeiten, der Wirtschaftlichkeitsprüfung Ihrer IT-Umgebung, der Konzeption Ihrer Security Architektur oder dem Einsatz von professionellem und pragmatischem Projektmanagement. Auf unsere langjährige berufliche Erfahrung in der IT-Security sind wir sehr stolz. Unsere Mitarbeiter verfügen, in diesem sehr komplexen sowie breitgefächerten Spezialgebiet, über jahrelang erarbeitetes und angewandtes Wissen. Nutzen Sie unsere Dienstleistungen! Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summary’s finden Sie online unter http://www.scip.ch/publikationen/smss/ . Der Bezug des scip monthly Security Summary ist kostenlos. Sie können sich mit einer Email an die Adresse smss-subscribe@scip.ch eintragen. Um sich auszutragen, senden Sie Ihr Email an die Adresse smss-unsubscribe@scip.ch scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030619.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 22/22