scip ag

Transcription

scip ag

scip ag
grosse Datenmengen einfach und umgehend auf
ein Mobiles Device zu transferieren. Kein Vergleich mit der alten Diskette und deren Fassungsvermögen. Willkommen zurück in der Zeit,
als die Disketten uns das Fürchten lehrten.
Contents
1.
Editorial
2.
Neuerungen der scip AG
3.
Neue Sicherheitslücken
4.
Erfahrungsaustausch
5.
Linktipps
6.
Software-Tipps
7.
Buchtipps
8.
Fragen und Antworten
9.
Kreuzworträtsel
10.
Literaturverzeichnis
11.
Impressum
1.
Editorial
USB-ANSCHLÜSSE: SICHERHEITSRISIKO?
Mit Genugtuung erinnern wir uns an die Zeit, in
welcher die Diskettenlaufwerke und deren Zugriff
die Sicherheitsabteilungen beschäftigten. Viele
von uns lösten das Problem durch rigorosen Einsatz von mechanischen Laufwerksblockierern.
Damit konnte man in einem vernünftigen Zeitrahmen die gesteckten Ziele erreichen, ohne
endlose Diskussionen über Zuständigkeiten und
private Gärtchen führen zu müssen. Zudem waren die angewandten Server- und Betriebssystemsoftwaren, in Sachen Benutzer- und Richtlinienverwaltung, nicht annäherd so ausgereift wie
die heutigen Systeme.
In der letzten Zeit werde ich immer wieder in Diskussionen verwickelt, bei welchen die Absicherung der USB-Anschlüsse thematisiert wird.
Durch das Migrieren von immer mehr Grossfirmen und Finanzinstituten auf die leistungsfähigen, bunten und multimedialen Desktopbetriebssysteme ist es ein einfaches Peripheriegeräte mit
Speicherkartenslot (SD, CF usw.) an die USB
Ports anzuschliessen. Unter Ausnutzung des
schnellen Datendurchsatzes ist es somit möglich
scip monthly Security Summary
Marc Ruef & Simon Zumstein
scip_mss-20030719.doc
Doch welche Massnahmen sind heute zu treffen?
Gibt es wieder einen schnellen Workaround, wie
damals, in Form von physikalischer Sperrung?
Leider nein. Muss man das Thema ernst nehmen? Ja, nuanciert und nicht überbewertet. An
USB-Ports können und werden nicht nur Datenspeichersysteme (erlaubt und unerlaubt) angeschlossen. Vielerorts benutzt man diese Anschlüsse mannigfach: als Mausport, um das Mobile aufzuladen, um die Serverraum-Fotos von
der Digitalkamera zu laden, die BluetoothFunktionalität zu gewährleisten oder ganz einfach
um den, notabene, von der Firma gestellten
Handheld zu synchronisieren. Genau hier liegt
der Hund begraben. Die angewandten Mechansimen sind nicht eindeutig zuzuweisen (Datenspeicherung, Synchronisation usw.) werden von
den „erlaubten“ wie auch von den „unerlaubten“
Devices gleichermassen genutzt. Die mögliche
Erweiterung der Handhelds mit z.B. WLANKarten ist nicht durch eine Regelung betreffend
des USB-Ports einzudämmen. Zudem kann jede
Person, welcher ein Palmgerät zur Verfügung
gestellt wird, Daten ohne Wissen der Firma abziehen. Doch ist es etwas Neues? Nein. Auch
hier gilt: Ganzheitliche Sicherheit beginnt im Kopf
eines jeden Individuums, wird durch organisatorische Massnahmen flankiert und schlussendlich
mittels technischer Systeme geführt, protokolliert
und von den zuständigen Personen überwacht
und die geeigneten Gegenmassnahmen eingeleitet, geplant und durchgeführt.
Bei einer pragmatischen und konzeptionellen
Angehensweise ist auch diese Herausforderung
zu meistern. In vielen Fällen kann auf bestehendes aufgebaut und somit die, möglicherweise
anfallenden Kosten niedrig gehalten werden.
Wichtig ist, dass Sie produktunabhängige Firmen
bei der Konzeption, Evaluation und Durchführung
lösungsorientiert unterstützen. Denn wer weiss
was in drei Jahren kommt. Denken Sie nur an die
neuste Mobilegeneration, oder an die UMTSTechnologie. Ein lösungsorientiertes Konzept hilft
mehr als tausend Tools. Aufzupassen gilt es
vorallem bei Firmen welche Ihnen zum Schutz
Ihrer Daten neue Software oder Systeme verkau-
© scip AG
Druckdatum: 29.04.2014
News, Webseite, Security, Sicherheit
public
Seite 1/23
s c i p
a g
fen wollen. Denn jedes Produkt, egal wovon uns
das Marketing überzeugen will, muss konfiguriert
und den wechselnden Umständen angepasst
werden. Ganzheitliche und produktunabhängige
Blickwinkel garantieren Ihnen den kleinsten Total
Cost of Ownership.
Simon Zumstein <sizu@scip.ch>
Geschäftsführer
Zürich, 15. Juli 2003
2.
Neuerungen der scip AG
2.1 scip SMS-Dienst
Minimieren Sie das Zeitfenster für erfolgreiche
Angriffe! Die scip AG bietet als erste schweizer
Firma einen deutschsprachigen IT-Sicherheits
SMS Dienst an. Wählen Sie aus drei
)Emergency-SMS( Varianten: ROT, ORANGE
und GELB (http://www.scip.ch). Sie werden jeweils per SMS auf Ihr Mobile über akute
Schwachstellen informiert. In diesem finden Sie
die Schwere der Verletzbarkeit, einen Kurzbeschrieb, einen Lösungsvorschlag und die scip ID
der Verwundbarkeit, als Referenz zur ausführlich
Beschreibung in unserer Datenbank. Die Kosten
pro SMS belaufen sich auf 50 Rp.
2.2 Vulnerability Assessment
Die spürbare Zunahme bedrohlicher Exploits und
die augenscheinliche Verfügbarkeit populärer
Hacking-Tools, die es auch immer mehr Laien
und Dilettanten ermöglichen Computersysteme
einfach zu kompromittieren, erfordern von den
IT-Sicherheitsverantwortlichen ein geschärftes
Bewusstsein und eine umsichtige Sensibilität.
Die scip AG hilft Ihnen mit einem individuellen
Vulnerability Assesment, diesem Anspruch gerecht zu werden. Denn IT-Security ist ein fortdauernder Entwicklungsprozess, der weit mehr als
nur die Installation einer Firewall beinhaltet. Investitionen an nur einigen, ausgewählten Punkten, rufen ein vermeintliches und daher gefährliches Gefühl von Sicherheit hervor, das sich umso einfacher ausnutzen lässt.
Das Vulnerability Assessment der scip AG verschafft Ihnen die nötige Transparenz, um einen
ganzheitlichen Ansatz der Sicherheitslösung und
ein ausbalanciertes Investment über alle Sicherheitsbereiche hinweg zu ermöglichen.
Das scip AG Vulnerability Assessments geht
nach standardisierten Methoden vor und spürt
gezielt Sicherheitslücken in Ihrem Unternehmensnetz von aussen und von innen auf. Neben
einer Standard Schwachstellenanalyse von definierten Areas, werden veraltete Software Versionen, Fehlkonfigurationen, unerlaubte Netzwerkservices, falsche Rechtvergabe, nicht eingespielte Patches etc. erkannt (unter Einbeziehung der
scip AG exklusiven deutschsprachigen Verletzbarkeitsdatenbank). Eine weiterführende, modulare Analyse beinhaltet unter anderem spezielle
Angrifsszenarien, Beurteilung von SecurityKonzepten, Prüfung technischer Betriebsumgebungen, Profiling, Design Reviews etc.
Als Ergebniss des Vulnerability Assessments
geht erstens ein Abschlussbericht hervor , der
alle Erkenntnisse der Untersuchung enthält und
zweitens ein detaillierter Massnahmenkatalog,
der konkrete Vorschläge zur Behebung erkannter
Mängel aufzeigt. Der Vulnerability Assessment
Flyer
ist
über
den
Direktlink
http://www.scip.ch/dienstleistungen/dienstleistung
en/scip_flyer-vulnerability_assessment.pdf
aufrufbar. Weitere Angebote finden Sie unter dem
Menupunkt Dienstleistungen auf unserer Website.
2.3 Suchfunktion und grafische Statistiken in scip Vulnerability Datenbank
Die viel beachtete und gelobte scip Verletzbarkeitsdatenbank wurde um einige Features erweitert. Als erstes ist die Suchfunktion zu erwähnen.
Mithilfe dieser können Sie nun gezielt Schwachstellen ausfindig machen.
© scip AG
public
Seite 2/23
s c i p
a g
Durch den Erwerb des scip AG Infodienst )achilleus( erhalten Sie die aktuellsten und in deutsch
verfassten Verletzbarkeitsdaten umgehend per
erwünschtem Infofeed im benötigten Format und
können somit die Datensätze weiterverwenden
z.B. Intranet.
2.5 Workshophinweise
August 2003
05.08. bis
06.08.2003
07.08.2003
Im weiteren sind grafisch aufbereitete Statistiken
der Verletzbarkeitsdatenbank online gestellt.
http://www.scip.ch/cgi-bin/smss/showadvf.pl
TCP/IP Sicherheit
Log Management [LMRT]
08.08.2003
Log Management [LMRO]
12.08.2003
Profiling
19.08.2003
Viren
20.08.2003
IDS / Intrusion Prevention
26.08.2003
Vulnerability Assessment
27.08.2003
Log Management [LMST]
Das scip AG Workshopportfolio finden Sie auf
der Firmenwebseite unter Dienstleistungen
http://www.scip.ch/dienstleistungen/workshops/
2.4 scip_Alert
Wie angekündigt (smSS 19.06.2003) stellen wir
nun die letzten 40 Verweise unserer deutschsprachigen Verletzbarkeitsdatenbank per XML
zur Verfügung. Dieses kann mühelos in Ihre
Website eingebunden werden. Nähere Informationen
finden
Sie auf
unsere Website
http://www.scip.ch unter Publikationen.
Ein kleiner Auszug von Websites welche unseren
Datenfeed bereits eingebunden haben:
http://www.netzwoche.ch,
http://www.kryptocrew.de,
http://www.it-secure-x.de,
http://www.firewallinfo.de,
http://www.securedome.de,
http://antioffline.de/elnino/ ,
http://www.gulli.com,
http://www.ec-security.com/,
http://www.computer-security.ch,
http://www.computec.ch .
© scip AG
public
Seite 3/23
s c i p
3.
a g
3.25 Cisco IOS IPv4-Paketsequenz Denial of
Service
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener
Schwachstellen sowie weitere Sicherheitslücken
sind unentgeltlich in unserer Datenbank unter
http://www.scip.ch/cgi-bin/smss/showadvf.pl publiziert.
Die Dienstleistungspakete )scip( pallas liefern
Ihnen jene Informationen, die genau für Ihre Systeme relevant sind.
Contents:
3.1 Adobe Acrobat Reader 5.0.x
WWWLaunchNetscape Pufferüberlauf
3.2 Microsoft NetMeeting erweiterte
Leserechte
3.3 Microsoft Windows 2000 Active Directory
Pufferüberlauf
3.4 Microsoft Windows 2000 ShellExecute()
API Pufferüberlauf
3.5 Microsoft Windows Internet Explorer c:\aux
Denial of Service
3.6 Microsoft Windows 2000 IMAADPCM
cbDestLength Pufferüberlauf
3.7 Microsoft Windows 2000 Port Name API
Pufferüberlauf
3.8 Microsoft Windows 2000 ModifyDN
Anfrage Denial of Service
3.9 Microsoft Windows 2000 Terminal Service
Named Pipe System Account Zugriff
3.10 Microsoft Windows 2000 RPC unerlaubte
Verbindungen
3.11 Microsoft Outlook Web Access HTML
Attachment Skript ausführen
3.12 Apache 2.0.x SSLCipherSuite schwache
Verschlüsselung
3.13 Apache 2.0.x FTP-Proxy IPv6 Denial of
Service
3.14 Microsoft Windows HTML Converter
Pufferüberlauf
3.15 Microsoft Windows SMB Parameter
Pufferüberlauf
3.16 Cisco Catalyst CatOS TCP-Flaggen Denial
of Service
3.17 FreeRADIUS 0.x CHAP-Code
Pufferüberlauf
3.18 NetScreen ScreenOS 4.x Firewall-Filter
umgehen
3.19 Linux nfs-utils 1.0.x xlog() remote
Pufferüberlauf
3.20 Microsoft JET Database Engine 4.0
Pufferüberlauf
3.21 Microsoft Windows und Exchange 2000
SMTP Zeitstempel Denial of Service
3.22 Microsoft ISA Server Fehlerseiten Cross
Site Scripting
3.23 Microsoft Windows RPC DCOM
Pufferüberlauf
3.24 Microsoft Windows XP desktop.ini
Pufferüberlauf
3.1 Adobe Acrobat Reader 5.0.x
WWWLaunchNetscape
Pufferüberlauf
Einstufung: kritisch
Remote:
Indirekt
Datum:
07.01.2003
Advisory:
http://lists.netsys.com/pipermail/fulldisclosure/2003-July/010837.html
Patch:
http://www.adobe.com/support/downloads/
Der Acrobat Reader der Firma Adobe ist eine
Software für das Interpretieren, Darstellen und
Drucken von PDF-Dokumenten. Besonders in
der Geschäftswelt ist dieses Dateiformat sehr
gern aufgrund seiner hohen Verbreitung,
Kompatibelität
und
der
dargelegten
Komprimierung gern genutzt. Mcbethh des seclabs teams fand einen Pufferüberlauf in der
Funktion WWWLaunchNetscape. Das Resultat
dieses Angriffs kann das Ausführen beliebigen
Programmcode mit den Rechten des Benutzers
sein. Erforderlich dazu ist jedoch, dass der
Anwender auf einen Weblink im manipulierten
PDF-Dokument klickt. Ein proof-of-concept
Exploit wurde dem Posting, das sowohl auf die
Sicherheits-Mailingliste Full-Disclosure als auch
den Klassiker Bugtraq ging, beigelegt. Aus der
Nachricht geht jedoch nicht hervor, ob der
Hersteller Adobe über das Problem informiert
wurde. Es ist damit zu rechnen, dass in einer
zukünftigen Version des Acrobat Reader dieser
Fehler nicht mehr enthalten sein wird.
Expertenmeinung:
Einmal mehr ein Beweis dafür, dass viele
Sicherheitslücken sehr unprofessionell behandelt
werden: Das Posting zur Schwachstelle ist vom
technischen Standpunkt zwar sehr gut gelungen Jedoch erfährt der Leser in keinster Weise, was
der Hersteller zum Bug meint und wie es diesen
zu beheben gilt. Es bleibt zu hoffen, dass Adobe
sich der Sicherheitslücke bewusst ist und
schnellstmöglich mit einer Aktualisierung der
Software reagieren wird. Gerade weil das PDFFormat mittlerweile so verbreitet ist, muss mit
möglichen Angriffen - wenn auch eher im
kleineren Mass - gerechnet werden.
3.2 Microsoft NetMeeting erweiterte
Leserechte
Remote:
Ja
Datum:
07.02.2003
© scip AG
public
Seite 4/23
s c i p
a g
Advisory:
http://www.coresecurity.com/common/sho
wdoc.php?idx=352&idxseccion=10
Patch:
http://www.microsoft.com/WindowsXP/pro/
downloads/servicepacks/sp1/
Microsoft Netmeeting ist eine Messaging-Suite
für die Windows-Betriebssysteme. Wie im auf
Bugtraq geposteten Advisory von Core Security
Technologies zu lesen ist, kann eine Directory
Traversal Schwachstelle dazu benutzt werden,
während eines Dateitransfers unerlaubt Dateien
auf dem System des Gegenübers auszulesen.
Eine relativ detaillierte Schritt für Schritt Anleitung
ist dem Advisory enthalten. Microsoft wurde rund
einen Monat vor dem Publizieren der
Schwachstelle informiert und reagierte mit einem
Patch, der dem jüngsten Service Pack enthalten
ist. Dieser ist für Windows 2000 das Service
Pack 4 und bei Windows XP Professional und
Home Edition das Service Pack 1. Windows
Server 2003 ist von dieser Schwachstelle nicht
betroffen.
Expertenmeinung:
Obschon oder gerade weil diese Schwachstelle
relativ kritisch ist, hat Microsoft ausgezeichnet
reagiert. Innerhalb weniger Stunden haben sie
die gemeldete Schwachstelle bestätigt und einen
Patch in die Service Packs integriert. Eine solche
Vorgehensweise ist natürlich für sämtliche
Sicherheitslücken, egal um welchen Hersteller es
sich handelt, wünschenswert.
3.3 Microsoft Windows 2000 Active
Directory Pufferüberlauf
Einstufung: sehr kritisch
Remote:
Ja
Datum:
07.02.2003
Advisory:
http://www.coresecurity.com/common/sho
wdoc.php?idx=351&idxseccion=10
Patch:
http://www.microsoft.com/Windows2000/d
ownloads/servicepacks/sp4/
Microsoft Windows 2000 - kurz auch W2k
genannt - ist eine Weiterentwicklung des
professionellen Microsoft Windows NT Systems.
Es existieren Versionen für den Einsatz als
Server und solche für den Workstation-Betrieb.
Ein Active Directory (Abk. AD) erlaubt die
zentrale
Verwaltung
von
Informationen,
Netzwerk-Ressourcen und Benutzern. Diese
Daten werden im Active Directory mit der Hilfe
des Lightweight Directory Access Protocol
(LDAP) gespeichert und übertragen. Ein
Pufferüberlauf kann durch einen Angreifer
erzwungen werden, wenn bei LDAP Version 3
eine Suchabfrage mit mehr als 1'000 ANDStatements abgesetzt wird. Das System stürzt
sodann ab oder bootet neu. Dem Advisory wurde
ein proof-of-concept Exploit beigelegt. Zudem
wird darauf hingewiesen das eventuell gar das
Ausführen beliebigen Programmcodes möglich
ist. Microsoft wurde rund einen Monat vor dem
Publizieren der Schwachstelle informiert und
reagierte mit einem Patch, der dem jüngsten
Service Pack enthalten ist.
Expertenmeinung:
Obschon oder gerade weil diese Schwachstelle
relativ kritisch ist, hat Microsoft ausgezeichnet
reagiert. Innerhalb weniger Stunden haben sie
die gemeldete Schwachstelle bestätigt und einen
Patch in die Service Packs integriert. Eine solche
Vorgehensweise ist natürlich für sämtliche
Sicherheitslücken, egal um welchen Hersteller es
sich handelt, wünschenswert.
3.4 Microsoft Windows 2000
ShellExecute() API Pufferüberlauf
Remote:
Indirekt
Datum:
07.03.2003
Advisory:
http://www.lac.co.jp/security/intelligence/S
NSAdvisory/65.html
Patch:
http://www.microsoft.com/windows2000/do
wnloads/servicepacks/sp4/default.asp
Die Windows API Funktion ShellExecute() wird
von Applikationen genutzt, um Dateien, die einer
bestimmten
Dateierweiterung
zugewiesen
bekommen haben, mit der richtigen Software zu
starten (z.B. HTML mit dem Webbrowser oder
DOC mit Microsoft Word). Wird als drittes
Argument
eine
überlange
Zeichenkette
übergeben, kann ein Pufferüberlauf erzwungen
werden. Wie im Advisory nachzulesen ist,
konnten die Tests erfolgreich auf verschiedene
Webbrowser und Texteditoren umgesetzt
werden. Microsoft wurde frührzeitig über das
Problem informiert und hat durch das Service
Pack 4 (SP4) einen entsprechenden Patch
bereitgestellt.
Expertenmeinung:
Wahrhaftig wird durch das Service Pack 4 für
Windows 2000 eine Vielzahl bisher unbekannter
Schwachstellen behoben. Die Administratoren
sind nun einmal mehr vor die Qual der Wahl
gestellt, ob sie schnellstmöglich die Fehler
beheben wollen oder doch lieber abwarten, wie
sich das jüngste Service Pack verhält. Da diese
Schwachstelle in erster Linie nur lokal ausgenutzt
© scip AG
public
Seite 5/23
s c i p
a g
werden kann und das Zutun eines Benutzers
erfordert, ist sie nicht als sehr kritisch
einzustufen.
3.5 Microsoft Windows Internet
Explorer c:\aux Denial of Service
Remote:
Indirekt
Datum:
07.04.2003
Advisory:
http://www.computec.ch/forum/viewthread.
php?tid=175
Patch: http://www.microsoft.com
Der Microsoft Internet Explorer ist mit seiner
Verbreitung von schätzungsweise 95 % der
mitunter populärste Webbrowser der aktuellen
Stunde. Seine hohe Verbreitung ist unter
anderem darauf zurückzuführen, dass er ein
fester
Bestandteil
moderner
WindowsBetriebssysteme ist. Im Forum der Webseite von
computec.ch wurde eine mögliche Denial of
Service-Möglichkeit bei Microsoft Windows XP
mittels dem Microsoft Internet Explorer diskutiert.
Die Schwachstelle ähnelt sehr stark derjenigen
von http://www.securityfocus.com/bid/1043/info/ .
Microsoft wurde über das Problem informiert, will
jedoch das Vorhandensein der Schwachstelle im
Gegensatz zu den jeweiligen Postings im Forum
nicht bestätigen. Auf der Security-Mailingliste wird
heiss darüber diskutiert, inwiefern diese
Schwachstelle wirklich vorhanden ist. Auf einigen
Systemen kann der Denial of Service-Angriff
repliziert werden, auf anderen nicht. Es ist bisher
noch kein Workaround bekannt oder Patch
angekündigt.
Expertenmeinung:
Dies scheint das gleiche Problem zu sein, das
unter http://www.securityfocus.com/bid/1043/info/
dokumentiert wurde. Dabei waren Microsoft 9x,
ME und 2000 gegen diese Schwachstelle (und
auch mit anderen Devices) anfällig. Windows XP
müsste eigentlich dagegen gefeit sein. Dies ist
auch der Fall, bis auf dieses aux. Es bleibt
abzuwarten, wie Microsoft reagieren wird.
Expertenmeinung:
Cross Site Scripting Angriffe erfreuen sich in
letzter Zeit grosser Beliebtheit. Viele tun sie als
kleines Ärgernis ab - Andere schätzen sie als
reelle Bedrogung ein. Gerade bei Angriffen wie
diesem, bei dem eine Vielzahl von Benutzern
gefährdet sind, muss man das Risiko als
gegeben akzeptieren.
3.6 Microsoft Windows 2000
IMAADPCM cbDestLength
Pufferüberlauf
Remote:
Ja
Datum:
07.04.2003
Advisory:
Patch:
IMAADPCM
ist ein Treiber für die
Komprimierung und Dekomprimierung von
Audio-Dateien.
Durch
einen
bestehenden
Pufferüberlauf kann ein Angreifer beliebigen
Programmcode auf dem System ausführen. Es
wurde berichtet, dass sich diese Schwachstelle
auch remote ausnutzen lässt. Ein Exploit zur
Sicherheitslücke wurde hingegen nicht publiziert.
Das Problem wurde im neuesten Service Pack 4
behoben. Entsprechend wird eine Installation
dessen empfohlen.
Expertenmeinung:
Eine der ernstzunehmenden Sicherheitslücken,
die durch das jüngst erschienene Service Pack 4
(SP4) für Microsoft Windows 2000 behoben
werden kann. Zum Glück sind keine Details
bekannt, wie diese Schwachstelle ausgenutzt
werden kann, denn sonst würde dieser Angriff für
eine Vielzahl der Angreifer sehr interessant
werden. Umso dringender ist es, das neue
Service Pack zu installieren.
3.7 Microsoft Windows 2000 Port
Name API Pufferüberlauf
Remote:
Ja
Datum:
07.04.2003
Advisory:
Patch:
© scip AG
public
Seite 6/23
s c i p
a g
Mit dem Publizieren des Service Pack 4 wurde
eine Schwachstelle in der API Port Name
bekannt. Durch einen hard codierten Puffer kann
ein Pufferüberlauf herbeigeführt werden. Dadurch
kann ein Angreifer beliebigen Programmcode auf
dem System ausführen. Es wurde berichtet, dass
sich diese Schwachstelle auch remote ausnutzen
lässt. Ein Exploit zur Sicherheitslücke wurde
hingegen nicht publiziert. Das Problem wurde im
neuesten Service Pack 4 behoben. Entsprechend
wird eine Installation dessen empfohlen.
Expertenmeinung:
3.8 Microsoft Windows 2000 ModifyDN
Anfrage Denial of Service
Remote:
Ja
Datum:
07.04.2003
Advisory:
Patch:
Es wurde eine Denial of Service-Attacke auf das
Active Directory bekannt. Durch das Tool LDP
kann eine unendliche Schleife beim Anfragen
nach GUID erstellt werden. Sodann ist der Dienst
nicht mehr nutzbar oder das gesamte System
stürzt ab. Zusätzliche Details zur Schwachstelle
oder ein Exploit wurden nicht publiziert. Das
Problem wurde im neuesten Service Pack 4
behoben. Entsprechend wird eine Installation
dessen empfohlen.
Expertenmeinung:
3.9 Microsoft Windows 2000 Terminal
Service Named Pipe System
Account Zugriff
Remote:
Unbekannt
Datum:
07.04.2003
Advisory:
Patch:
Es wurde berichtet, dass die Terminal Services
nicht korrekt mit Named Pipes umgehen können.
Resultat eines Angriffs kann die Übernahme des
Accounts SYSTEM sein. Zusätzliche Details zur
Schwachstelle oder ein Exploit wurden nicht
publiziert. Das Problem wurde im neuesten
Service Pack 4 behoben. Entsprechend wird eine
Installation dessen empfohlen.
Expertenmeinung:
3.10 Microsoft Windows 2000 RPC
unerlaubte Verbindungen
Remote:
Ja
Datum:
07.04.2003
Advisory:
Patch:
© scip AG
public
Seite 7/23
s c i p
a g
Durch eine RPC-Schwachstelle ist es einem
Angreifer möglich, ein entferntes System zu
übernehmen.
Zusätzliche
Details
zur
Schwachstelle oder ein Exploit wurden nicht
publiziert. Das Problem wurde im neuesten
Service Pack 4 behoben. Entsprechend wird eine
Installation dessen empfohlen.
Expertenmeinung:
3.11 Microsoft Outlook Web Access
HTML Attachment Skript ausführen
Remote:
Ja
Datum:
07.07.2003
Advisory:
http://www.securityfocus.com/archive/1/32
8105
Patch: http://www.microsoft.com
Mit dem Microsoft Exchange Zusatz Outlook
Web Access ist ein HTML-Frontend gegeben,
über das die Benutzer ihre Exchange-Mails
verwalten können. Aus Sicherheitsgründen
werden Skripte gefiltert, um zum Beispiel Cross
Site Scripting Angriffe abzuwehren. Das
Infohacking Team meldete auf Bugtraq jedoch
eine Möglichkeit, wie dieser Schutz umgangen
werden kann. Zeitgleich wurde ein proof-ofconcept
Exploit
angekündigt,
der
die
Möglichkeiten dieser Schwachstelle beweisen
können soll. Es macht dabei keinen Unterschied,
ob der Zugriff über HTTPS/SSL erfolgt. Microsoft
- die zuvor schon über das Bestehen der
Schwachstelle informiert wurden - wird zu diesem
Problem sehr wahrscheinlich mit einem Patch
reagieren.
Expertenmeinung:
Eine weitere Cross Site Scripting Schwachstelle,
die es diesen Monat zu vermerken gilt.
Bemerkenswert ist jedoch, dass diese Angriffe
von Outlook Web Access hätten verhindert
werden sollen. Durch einen kleinen Trick, der
demjenigen des Umgehens des Hotmail
Virensfilters
ähnelt,
kann
dieser
Schutzmechanismus
jedoch
ausgehebelt
werden. Die meisten Skript-Kiddies werden nicht
in der Lage sein ihren eigenen Exploit hierzu zu
schreiben - Bleibt also zu hoffen, dass bis zum
Erscheinen des proof-of-concept Exploits durch
ein Microsoft ein Patch freigegeben sein wird.
3.12 Apache 2.0.x SSLCipherSuite
schwache Verschlüsselung
Remote:
Ja
Datum:
07.09.2003
Advisory:
http://www.apache.org/dist/httpd/CHANGE
S_2.0
Patch:
http://httpd.apache.org/download.cgi
Apache ist ein populärer, freier open-source
Webserver,
der
für
viele
verschiedene
Plattformen erhältlich ist. Wie gemeldet wurde
kommt unter gewissen Umständen eine
schwache SSL-Verschlüsselung zum Zug,
obwohl eine starke eingesetzt werden könnte.
Zusätzliche Details zur Schwachstelle oder ein
Exploit sind nicht bekannt. Laut Apache.org ist
die Sicherheitslücke in der aktuellen Version
2.0.47 beseitigt worden. Entsprechend wird ein
Update auf die neueste Version empfohlen.
Expertenmeinung:
Verschlüsselungen sind stets heiss diskutiert,
wenn es um deren Stärke geht. In Fällen wie
diesem, bei dem versehentlich eine schwächere
Variante eingesetzt wird, werden die Stimmen
laut, dass Dinge oft doch nicht so sicher sind, wie
sie
scheinen.
Da
schwache
SSLVerschlüsselungen mit relativ geringem Aufwand
geknackt werden können, sollte unbedingt über
ein Update der entsprechenden Apache-Version
nachgedacht werden.
3.13 Apache 2.0.x FTP-Proxy IPv6
Denial of Service
Remote:
Ja
Datum:
07.09.2003
Advisory:
http://www.apache.org/dist/httpd/CHANGE
S_2.0
Patch:
http://httpd.apache.org/download.cgi
Apache ist ein populärer, freier open-source
Webserver,
der
für
viele
verschiedene
Plattformen erhältlich ist. In der jüngsten
CHANGELOG-Datei
zur
Software
wird
festgehalten, dass eine Denial of ServiceSchwachstelle vorhanden gewesen ist. Diese
kann dadurch ausgenutzt werden, indem ein
FTP-Proxyserver eine Verbindung mit einem
Zielhost, der mit IPv6 betrieben wird, hergestellt
© scip AG
public
Seite 8/23
s c i p
a g
wird, und der Proxy keinen IPv6-Socket erstellen
kann. Zusätzliche Details zur Schwachstelle oder
ein Exploit sind nicht bekannt. Laut Apache.org
ist die Sicherheitslücke in der aktuellen Version
2.0.47 beseitigt worden. Entsprechend wird ein
Update auf die neueste Version empfohlen.
Expertenmeinung:
Diese Schwachstelle klingt so, als wäre sie
schwierig und mühsam auszunutzen. Dabei
erfordert sie lediglich einen Host mit IPv6 und
einen FTP-Proxy ohne diese Funktionalität. So
mancher Angreifer wird keinen Aufwand
scheuen, diese Schwachstelle für seine Zwecke
zu nutzen, weshalb dringendst auf die neueste
Apache-Version aktualisiert werden sollte.
3.14 Microsoft Windows HTML
Converter Pufferüberlauf
Remote:
Ja
Datum:
07.09.2003
Advisory:
http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/M
S03-023.asp
Patch:
http://support.microsoft.com/default.aspx?s
cid=kb;en-us;Q823559
Microsoft Windows ist eine sehr beliebte
Betriebssystemreihe der redmonder Firma
Microsoft. Das grafische Betriebssystem stellt
eine Weiterentwicklung des zeilenbasierten MS
DOS dar. Alle Windows-Systeme unterstützen
die Funktion der Dateikonvertierung. Mit dieser ist
es einem Benutzer möglich, Dateien von einem in
ein anderes Format umzuwandeln. Unter
anderem wird dabei auch das HTML-Format
(Hypertext Markup Language) unterstützt. Durch
einen Pufferüberlauf mit der Cut and Paste
während einer solchen Konvertierung kann ein
Angreifer beliebigen Programmcode auf dem
System ausführen. Schickt der Angreifer ein
speziell formatiertes Mail oder eine speziell
präparierte Webseite an sein Opfer, ist dieser
Angriff gar remote durchführbar. Weitere
Informationen zur Schwachstelle sind nicht
bekannt und ein Exploit wurde bis anhin auch
noch nicht herausgegeben. Standardmässig
öffnen Microsoft Outlook Express 6.0 und
Outlook 2002 HTML-Mails in der restricted Zone.
Outlook 98 und 2000 tun dies, sofern der
entsprechende Security Patch für Mail installiert
wurde. In diesem Fall kann der Angriff nicht ohne
Zutun des Opfers (z.B. Ein Klick auf einen Link)
über Outlook umgesetzt werden. Microsoft hat
einen
generischen
Patch
für
diese
Schwachstelle, jeweils für jedes Windows
einzeln, herausgegeben. Dieser wurde noch im
Verlaufe des Tages, an dem das Advisory durch
Microsoft publiziert wurde, über das Autoupdate
bereitgestellt.
Expertenmeinung:
Man kann schon beinahe von Glück sprechen,
dass zu dieser sehr kritischen Sicherheitslücke
(sie betrifft alle Windows-Systeme und ist auch
remote ausnutzbar) kein Exploit existiert. Ein
solcher Angriff würde sich schnellstens grösster
Beliebtheit erfreuen und sich gar als
Verbreitungsroutine für Computerwürmer und viren eignen. Umso wichtiger ist es, dass man
schnellstmöglich einen Patch installiert, damit
das Zeitfenster eines erfolgreichen Angriffs
(vielleicht sind im Untergrund doch schon
Exploits bekannt) möglichst gering gehalten
werden kann.
3.15 Microsoft Windows SMB Parameter
Pufferüberlauf
Remote:
Ja
Datum:
07.09.2003
Advisory:
http://www.microsoft.com/technet/security/
bulletin/MS03-024.asp
Patch:
cid=kb;en-us;Q817606
Microsoft Windows ist eine sehr beliebte
Betriebssystemreihe der redmonder Firma
Microsoft. Das grafische Betriebssystem stellt
eine Weiterentwicklung des zeilenbasierten MS
DOS dar. Server Message Block (SMB) ist ein
Client/Server-basierendes Protokoll, das für das
Freigeben von Ressourcen (Dateien, Drucker,
serielle Schnittstellen) sowie das Kommunizieren
über Named Pipes genutzt werden kann.
Sämtliche
Windows-Betriebssysteme
unterstützen diese Funktion und deaktivieren sie
standardmässig.
Auf
den
professionellen
Windows-Systemen wurde ein Pufferüberlauf bei
der Validierung von SMB-Parametern festgestellt.
Ein Angreifer kann so remote einen Denial of
Service-Angriff durchführen oder gar das
Ausführen von beliebigem Programmcode
erzwingen. Um diese Attacke erfolgreich
umzusetzen, muss sich der Angreifer auf dem
Zielsystem zuerst erfolgreich mit einem
Benutzernamen
authentisieren.
Weitere
Informationen zur Schwachstelle sind nicht
bekannt und ein Exploit wurde bis anhin auch
noch nicht herausgegeben. Microsoft hat einen
generischen Patch für diese Schwachstelle,
jeweils
für
jedes
Windows
einzeln,
herausgegeben. Dieser wurde noch im Verlaufe
© scip AG
public
Seite 9/23
s c i p
a g
des Tages, an dem das Advisory durch Microsoft
publiziert
wurde,
über
das
Autoupdate
bereitgestellt.
Expertenmeinung:
Man kann schon beinahe von Glück sprechen,
dass zu dieser kritischen Sicherheitslücke (sie
betrifft die professionellen Windows-Systeme und
ist auch remote ausnutzbar, erfordert jedoch
einen gültigen Benutzeraccount) kein Exploit
existiert. Ein solcher Angriff würde sich
schnellstens grösster Beliebtheit erfreuen und
sich
gar
als
Verbreitungsroutine
für
Computerwürmer und -viren eignen. Angriffe auf
SMB/NetBIOS waren im Windows-Umfeld schon
immer sehr beliebt, da dieser Dienst
standardmässig angeboten wird. Umso wichtiger
ist es, dass man schnellstmöglich einen Patch
installiert,
damit
das
Zeitfenster
eines
erfolgreichen Angriffs (vielleicht sind im
Untergrund doch schon Exploits bekannt)
möglichst gering gehalten werden kann.
3.16 Cisco Catalyst CatOS TCPFlaggen Denial of Service
Remote:
Ja
Datum:
07.09.2003
Advisory:
http://www.cisco.com/warp/public/707/cisc
o-sa-20030709-swtcp.shtml
Patch: http://www.cisco.com/public/swcenter/sw-usingswc.shtml
Die Firma Cisco hat sich einen Namen mit ihren
Netzwerkelementen - Switches und Router gemacht. Eines dieser Switch-Produkte trägt den
Namen Catalyst und ist mit dem hauseigenen
Catalyst OS ausgestattet. Wie im Advisory von
Cisco, das zeitgleich an verschiedene SecurityInformationsseiten geschickt wurde, nachzulesen
ist, kann ein TCP-Dienst mit einem TCPSegment, das eine unerwartete Kombination von
TCP-Flaggen enthält, zum Absturz gebracht
werden. Dabei muss der angegriffene TCPDienst jeweils acht dieser manipulierten Anfragen
erhalten. Durch diesen Denial of Service-Angriff
kann ein Angreifer das Nutzen bestimmter
Dienste verhindern. Um den abgeschossenen
TCP-Dienst wieder nutzen zu können, ist ein
Neustart
des
Switches
erforderlich.
Standardmässig betroffene Dienste sind HTTP,
TELNET und SSH. UDP-Dienste wie Simple
Network Management Protocol (SNMP) sind von
dieser Schwachstelle in keinster Weise betroffen.
Cisco hat mit dem Erscheinen des Advisories zur
Schwachstelle auch entsprechende Patches
herausgebracht. Diese sind in ihrer Publikation
und auf der Webseite vermerkt. Ein Workaround
zur Schwachstelle existiert soweit nicht.
Expertenmeinung:
Falls Ihre Systeme bereits mit dedizierten ACLs
konfiguriert sind, ist die Schwachstelle als
problematisch einzustufen. Angriffe auf CiscoElemente sind aufgrund ihrer Verbreitung sehr
beliebt. Mit Netzwerk-Utilities wie hping2 lassen
sich die entsprechenden TCP-Segmente sehr
einfach generieren. Es gilt unbedingt und
unverzüglich entsprechende Gegenmassnahmen
einzuleiten, die Geräte mittels Firewalling
zusätzlich schützen und den Patch zu installieren.
3.17 FreeRADIUS 0.x CHAP-Code
Pufferüberlauf
Remote:
Ja
Datum:
07.08.2003
Advisory:
http://www.freeradius.org/radiusd/doc/Cha
ngeLog
Patch:
ftp://ftp.freeradius.org/pub/radius/freeradiu
s.tar.gz
FreeRADIUS
ist
eine
freie
RADIUSImplementierung. Durch einen Pufferüberlauf im
CHAP-Code
(Challenge
Handshake
Authentication
Protocol)
ist es einem Angreifer möglich,
beliebigen
Programmcode
auf
einem
verwundbaren RADIUS-Server auszuführen. Es
sind keine weiteren Details zur Schwachstelle
bekannt oder ein Exploit publiziert worden. Das
Problem wurde in der FreeRADIUS Version 0.9
behoben.
Expertenmeinung:
Da nahezu keine Details zur Schwachstelle
bekannt sind, ist die Einschätzung sehr schwierig
und zum jetzigen Zeitpunkt nicht möglich. Sollten
Ihre Systeme verwundbar sein, sollen Sie
schnellstmöglich auf eine aktuelle SoftwareVersion updaten.
3.18 NetScreen ScreenOS 4.x FirewallFilter umgehen
Remote:
Ja
Datum:
14.07.2003
Advisory:
http://www.secunia.com/advisories/9248
Patch: http://www.netscreen.com
Die NetScreen Firewalls werden mit dem
hauseigenen ScreenOS ausgestattet. Wird eine
NetScreen Firewall in den Bridged Mode
© scip AG
public
Seite 10/23
s c i p
a g
geschaltet, ist sie nur noch in der Lage, ARP- und
IP-Kommunikationen einzuschränken. Andere
Protokolle, wie zum Beispiel IPX, können auch
weiterhin ohne Limitierungen genutzt werden.
Dabei macht es keinen Unterschied, ob die
Funktion "bypass non-IP traffic" aktiviert wurde
oder nicht. Die Sicherheitslücke betrifft die
Modelle 20x und 50x unter der aktuellsten
ScreenOS-Version. Andere Versionen koennten
jedoch ebenfalls betroffen sein. Als Workaround
wird empfohlen, auf den Einsatz von NetScreen
Firewalls
in
Umgebungen
mit
anderen
Protokollen weder TCP/IP zu verzichten.
Expertenmeinung:
Es ist schon tragisch, was für einen Designfehler
mit dieser Sicherheitslücke gegeben ist. Dabei
wäre es ohne grössere Probleme möglich
gewesen, auch anderweitigen Datenverkehr zu
blockieren, was aus Sicherheitssicht die beste
Entscheidung gewesen wäre. Man kann nur
vermuten, dass die Gegebenheiten daher
kommen, dass entweder a) die Fertigstellung des
Produkts gedrängt hat oder b) aus PerformanceGründen anderweitiger Datenverkehr gar nicht
erst angetastet wird.
3.19 Linux nfs-utils 1.0.x xlog() remote
Pufferüberlauf
Remote:
Ja
Datum:
14.07.2003
Advisory: http://isec.pl/vulnerabilities/isec0010-linux-nfs-utils.txt
Patch: http://sourceforge.net/projects/nfs/
Linux
ist
ein
freies,
UNIX-ähnliches
Betriebssystem, das der General Public License
(GPL) unterliegt. Es wurde 1991 vom Finnen
Linus Torvalds ins Leben gerufen. Heute gilt es
als grösster Konkurrent zum kommerziellen
Windows-Betriebssystem aus dem Hause
Microsoft. Das Network File System (NFS)
ermöglicht das Freigeben von Verzeichnissen,
wie dies in der Windows-Welt über NetBIOSRessourcen
gängig
ist.
Durch
einen
Pufferüberlauf in der Funktion xlog() kann ein
Angreifer das System zum Absturz bringen oder
gar beliebigen Programmcode mit den Rechten
der angegriffenen Software ausführen. Dafür ist
lediglich eine entsprechende RCP-Anfrage an
mountd nötig. Die grösse des Puffers beträgt
1023 Bytes, wie im Advisory nachzulesen ist. Ein
Exploit zur Schwachstelle ist noch nicht bekannt,
dürfte aber aufgrund der Beliebigheit von NFS
und den Möglichkeiten eines erfolgreichen
Angrifs in Bälde folgen. Der Hersteller wurde am
10. Juni 2003 über das Problem informiert.
Dieses wurde sodann in der Version 1.0.4
behoben.
Expertenmeinung:
NFS und Angriffe darauf sind relativ beliebt. So
ist es nur eine Frage der Zeit, bis entsprechende
Exploits verfügbar sein werden, um diese
Schwachstelle
ohne
grössere
Probleme
auszunutzen. Umso wichtiger ist es, dass
schnellstmöglich auf die Version 1.0.4 aktualisiert
wird, um die Möglichkeit eines erfolgreichen
Einbruchs so gering wie möglich zu halten.
3.20 Microsoft JET Database Engine 4.0
Pufferüberlauf
Remote:
Ja
Datum:
15.07.2003
Advisory:
http://lists.netsys.com/pipermail/fulldisclosure/2003-July/011193.html
Patch:
cid=kb;en-us;282010
Die Microsoft JET Database Engine ist ein Data
Management System, das Daten aus Benutzerund Systemdatenbanken herauslesen und in
diese hineinspeichern kann. Die Microsoft Jet
Database Engine zieht Visual Basic for
Applications (VBA) heran. Wird ein SQLKommando mit einem langen Parameter
ausgeführt, kann ein Stack Overflow erzwungen
werden. Im Advisory sind Beispiele aufgelistet,
wie dadurch ein Denial of Service-Zugriff erfolgen
kann.
Um
die
Schwachstelle
remote
auszunutzen, muss man in der Lage sein, die
SELECT-Abfrage angeben zu können. Es ist
jedoch auch möglich beliebigen Programmcode
auszuführen. Zur lokalen Kompromittierung
genügt ein VB-Skript. Ein Exploit ist zwar noch
nicht verfügbar, wird aber mit grösster
Wahrscheinlichkeit
in
absehbarer
Zeit
erscheinen. Bei SQL Servern kann als
Workaround die Microsoft Jet OLE DB
Unterstützung deaktiviert werden. Dies geschieht
auf Windows durch das Setzen des Werts 1 in
der
Registry
beim
Key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsof
t\Microsoft SQL
Server\InstanceNameHere\Providers\Microsoft.J
et.OLEDB.4.0. Microsoft wurde frühzeitig über die
Existenz der Schwachstelle informiert und
reagierte mit dem Microsoft Jet 4.0 Service Pack
7 (SP7), das von den jeweiligen Quellen bezogen
werden kann.
Expertenmeinung:
Da die Schwachstelle auch remote ausgenutzt
werden kann, ist sie für eine Vielzahl von
© scip AG
public
Seite 11/23
s c i p
a g
Angreifern interessant. Gerade deshalb ist damit
zu
rechnen,
dass
sehr
schnell
ein
funktionierender Exploit erscheinen wird. Um das
Risiko eines erfolgreichen Angriffs zu minimieren,
sollte frühzeitig der freigegebene Patch installiert
oder der Workaround angewendet werden.
3.21 Microsoft Windows und Exchange
2000 SMTP Zeitstempel Denial of
Service
Remote:
Ja
Datum:
16.07.2003
Advisory:
http://support.microsoft.com/default.aspx?k
bid=330716
Patch:
Der SMTP-Dienst, er zeichnet sich für das
Annehmen und Weiterleiten von Emails
verantwortlich, kann optional auf Windows 2000
aktiviert werden. Dieser und derjenige bei
Microsoft Exchange 2000 kann durch ein Email
mit einem fehlerhaften FILETIME-Attribut zum
Absturz gebracht werden. Microsoft wurde
frühzeitig über das Problem informiert und behebt
dies mit dem Service Pack 4 für Windows 2000.
Expertenmeinung:
Microsoft Exchange ist in Unternehmen sehr
beliebt, da es auf verschiedenen Ebenen sehr
viel Komfort zu gewährleisten in der Lage ist.
Gerade aufgrund dieser Popularität sind Angriffe
wie dieser von einer Vielzahl von Angreifern - und
zwar nicht nur Skript Kiddies - gern gesehen.
Umso
wichtiger
ist
es,
dass
diese
Sicherheitslücke schnellstmöglich durch das
Einspielen der entsprechenden Patches aus der
Welt geschaffen wird.
3.22 Microsoft ISA Server Fehlerseiten
Cross Site Scripting
Remote:
Ja
Datum:
16.07.2003
Advisory:
http://www.securityfocus.com/archive/1/32
9287
Patch: http
://www.microsoft.com/technet/security/bull
etin/MS03-028.asp
Der Microsoft Internet Security and Acceleration
Server (MS ISA) ist ein Application Gateway für
Windows, das verschiedene Proxies zur
Verfügung stellt. Dieser generiert dynamische
Fehlerseiten, um den Anwender auf Probleme
(z.B. Verbot des Betrachtens bestimmter
Webseiten) hinzuweisen. Durch das Aufrufen
bestimmter URLs ist in diesen Fehlerseiten ein
Cross Site Scripting möglich. In den jeweiligen
Advisories wurden verschiedene Beispiele
gegeben, wie diese Schwachstelle konstruktiv
ausgenutzt werden kann. Microsoft wurde
frühzeitig über das Bestehen der Sicherheitslücke
informiert und reagierte mit einem Patch.
Expertenmeinung:
Für viele Leute ist der Name Microsoft und
Sicherheit nicht vereinbar. Entsprechend kritisch
wird das Security-Produkt Microsoft ISA Server
beäugt. Diese Schwachstelle zeigt natürlich sehr
schön, dass die Proxy-Lösung noch immer mit
Kinderkrankheiten zu kämpfen hat. Gerade da es
sich um eine Sicherheitslösung handelt, ist diese
Schwachstelle besonders ärgerlich. Um die
Sicherheit in der eigenen Netzwerkumgebung
gewährleisten zu können, sollte der freigegebene
Patch installiert werden.
3.23 Microsoft Windows RPC DCOM
Pufferüberlauf
Remote:
Ja
Datum:
16.07.2003
Advisory:
http://www.microsoft.com/security/security_
bulletins/ms03-026.asp
Patch:
http://www.microsoft.com/security/security_
bulletins/ms03-026.asp
Die The Last Stage of Delirium Research Group
fand eine schwerwiegende Schwachstelle in den
Windows-Betriebssystemen. Das über RPC
(Remote Procedure Call) realisierte DCOMIinterface weist einen Pufferüberlauf auf.
Distributed
COM
(DCOM)
dient
zur
Kommunikation von Software-Komponenten über
das
Netzwerk,
ähnlich
wie
COM
die
Zusammenarbeit von Komponenten auf einem
Rechner ermöglicht. Ein speziell formatiertes
Paket an den TCP-Port 135 kann beliebigen
Programmcode auf dem Zielsystem ausführen
lassen. Bisher sind keine weiteren Details zur
Schwachstelle bekannt oder ein Exploit
herausgegeben
worden.
Microsoft
wurde
frühzeitig über das Problem informiert und
reagierte mit einem Patch.
© scip AG
public
Seite 12/23
s c i p
a g
Expertenmeinung:
Besonders kritisch ist die Schwachstelle, weil
Port 135 standardmässig auf allen WindowsSystemen immer offen ist und sich schwer mit
den Boardmitteln schliessen lässt. Diesen Port
mittels Firewalling abzuschotten wird seit vielen
Jahren aus Sicherheitsgründen angeraten. Es ist
nun nur noch eine Frage der Zeit, bis
entsprechende Exploits herumgereicht werden,
die
das
Ausnutzen
der
Schwachstelle
ermöglichen. Es ist damit zu rechnen, dass diese
Sicherheitslücke mindesten eine Popularität von
smbdie (eine Denial of Service-Schwachstelle)
erreichen wird. Umso dringender ist anzuraten,
den von Microsoft zeitgleich mit dem Advisory
herausgegebenen Patch zu installieren.
3.24 Microsoft Windows XP desktop.ini
Pufferüberlauf
Remote:
Ja
Datum:
16.07.2003
Advisory:
S03-027.asp
Patch:
S03-027.asp
Microssoft
Windows
XP
stellt
eine
Weiterentwicklung des professionellen Windows
2000 dar. Beim Zugriff auf einen Ordner wird
standardmässig die Datei desktop.ini gesucht. In
dieser werden Attribute zur Darstellungsweise
von Ordnern und Dateien gespeichert. Durch
eine Manipulation dieser INI-Datei kann ein
lokaler Pufferüberlauf erzwungen werden. Diese
Schwachstelle funktioniert sowohl auf lokalen
Datenträgern
als
wie
auch
auf
Netzwerklaufwerken. Bisher sind keine weiteren
Details zur Schwachstelle bekannt oder ein
Exploit herausgegeben worden. Microsoft wurde
frühzeitig über das Problem informiert und
reagierte mit einem Patch.
Risiko so gering wie möglich zu halten.
3.25 Cisco IOS IPv4-Paketsequenz
Denial of Service
Remote:
Ja
Datum:
17.07.2003
Advisory:
http://www.cisco.com/warp/public/707/cisc
o-sa-20030717-blocked.shtml
Patch: http://www.cisco.com/tacpage/swcenter/sw-ios.html
Die Firma Cisco hat sich einen Namen mit ihren
Netzwerkelementen - Switches und Router gemacht. Internet Operating System (IOS) wird
die Firmware von Cisco-Routern genannt. Wie
Cisco in ihrem Advisory berichtet, können ihre
Netzwerkelemente durch eine spezielle IPv4Paketsequenz zum erliegen gebracht werden.
Das Cisco IOS gibt die Queue der betroffenen
Schnittstelle als voll aus und verarbeitet keine
Anfragen mehr. In Ethernet-Umgebungen
erzeugt ARP ein Timeout und es sind nun gar
keine Kommunikationen mehr möglich. Details
zur Schwachstelle sind noch nocht bekannt. Ein
Tag nach Veröffentlichung der Schwachstelle
meldeten verschiedene Stellen, dass sich schon
ein funktionierender Exploit im Umlauf befindet.
Cisco reagierte mit einem Patch für die
verwundbaren IOS-Versionen. Alternativ kann als
Workaround ein bestimmter ACL-Filter, der im
Cisco Advisory beschrieben wird, eingesetzt
werden.
Expertenmeinung:
Cisco-Router sind sehr beliebt, weshalb diese
Angriffsmöglichkeit
mit
offenen
Armen
empfangen wurde. Besonders Skript-Kiddies
werden nach Erscheinen eines Exploits wahre
Freude daran haben, Teile des Internets
abzuschiessen.
Es
gilt
unbedingt
und
unverzüglich entsprechende Gegenmassnahmen
einzuleiten und die herausgegebenen IOSUpdates einzuspielen.
Expertenmeinung:
Eine weitere Schwachstelle in dieser Woche, die
eine Gefahr für Windows-Benutzer darstellt. Da
das Hantieren mit den besagten INI-Dateien
keine Schwierigkeit darstellt, wird diese
Schwachstelle, wenn denn mal mehr Details zu
ihr bekannt werden, ziemlich populär werden. Vor
allem
in
Firmen,
in
denen
mit
Netzwerklaufwerken gearbeitet wird, ist ein
erfolgreiches Angriffsszenario durchaus denkbar.
Umso wichtiger ist es, schnellstmöglich die
entsprechenden Patches zu installieren, um das
© scip AG
public
Seite 13/23
s c i p
4.
a g
Erfahrungsaustausch
4.1 Orange Book (B1) versus System
Call Interception - Intrusion Prevention in der Praxis
Mario Robic, Credit Suisse Group
Trotz ständiger Weiterentwicklung heutiger
Technologien im Securitybereich bleibt die
nüchterne Erkenntnis, dass der effektive Return trotz ausgefeilten Implementationen von
Perimetern (Router, Firewalls, etc.), Viruswalls, Contentfilter und reaktiven Monitoringtools (Intrusion Detection-Systeme) sachlich
betrachtet als „verbesserungswürdig“ ausfällt. Patternbasierte Erkennungsmethoden
hinken regelmässig den gewünschten Anforderungen nach und offenbaren bei genauerer
Betrachtung zahlreiche Schwächen, da sie
nicht verhaltensbasiert arbeiten können. Exploits funktionieren jedoch im Prinzip immer
mit den selben Methoden, nämlich dem Ausnützen unerwünschter Möglichkeiten der dargebotenen Services und Ressourcen. Ausserdem
erschweren
die
Komponenten
Mensch (Sorgfalt, Kompetenz, Verfügbarkeit),
Maschine (Zuverlässigkeit) und Immobilie
(Zutrittssicherheit, Naturkatastrophen, Terroranschläge) die Umsetzung der Ziele, da
diese zwingend und kompromisslos in den
Gesamtprozess eingebunden werden müssen.
Heutige Technologien schützen zwar „relativ“
effizient vor bekannten Angriffsmustern, aus applikatorischer Sicht können diese alteingesessenen Technologien jedoch oft keinen nennenswerten Schutz bieMensch
ten,
da
sie „Layer 8“
grundsätzlich
Application
den gegebenen
Presentation
konzeptionellen
Ansätzen
perSession
manent hinterher
Transport
hinken. „Relativ OSI Modell
effizient„ ist in
Network
HochsicherheitsData Link
Umgebungen
leider nicht gut
Physical
genug.
Der
Gebäudezutritt
„Layer 0“
Schaden eines
Ereignisses ist - wie wir alle bestens wissen sehr schwer bezifferbar, da Image- und Datenverlust je nach Schwere des Vorfalls unter Umständen ein Unternehmen bzw. deren Glaubwürdigkeit existentiell gefährden können. Da Perimeter die benötigten Services bereitstellen müssen
und netzwerkbasierte ID-Systeme im verschlüsselten Datenfluss ineffekiv werden, müssen verlässliche sicherheitsrelevante Vorkehrungen proaktiv getroffen werden.
Konzepte und deren permanente Neubeurteilung
Heutige Konzepte arbeiten häufig mit nicht in der
Praxis realistisch umsetzbaren Methoden oder
erfordern einen enormen finanziellen bzw personellen Aufwand in ihrer technischen und betrieblicher Umsetzung. Die beinahe unüberschaubare
technologische Vielfalt und deren ständig wachsende plattformübergreifende Komplexität erschweren den sicheren und hochverfügbaren
Betrieb mit jeder neuen Anforderung.
Der schmale Grat
Die Aufgabe des Security Verantwortlichen ist
daher einerseits eine sichere und laufend verfügbare Infrastruktur und anderseits eine gesamtheitliche und kosteneffiziente Umsetzung dieser
zu planen und zu konzipieren. Die immer wieder
neu zu beurteilende Anforderungen stellen heute
eine verantwortungsvolle Herausforderung dar,
da man sich aus Business- und Betriebssicht auf
einer heiklen Gratwanderung bewegt und häufig
unerwünschte Kompromisse eingehen muss.
System Call Interception als Intrusion Prevention Ansatz
Mittels Systemcall Interception (Abfangen unerwünschter Systemaufrufe eines Prozesses) können einzelne Applikationen, Devices oder ganze
Betriebssysteme regelbasiert und sehr effizient
gehärtet werden. Diese Technologie überwacht
das gewünschte Verhalten der zu schützenden
Anwendung und verhindert unerwünschte Aktionen. Diese Methode steckt quasi noch in den
Kinderschuhen (allgemein fehlendes und fundiertes Know How, Benutzerunfreundlichkeit, noch
nicht auf dem Massenmarkt etabliert), bietet jedoch zahlreiche Möglichkeiten ein Optimum an
Applikationssicherheit zu erreichen, da deren
unternehmensweite Policies nur erwünschte bzw.
benötigte Aktionen eines Prozesses zulassen.
Dies geschieht jedoch nur aus Sicht Prozess und
nicht Benutzer, welcher nach wie vor rollenbasiert
behandelt werden muss.
Eine bekannte Lösung für TrustedBSD, IRIX und
Linuxsysteme
stellt
das
quellcodeoffene
Userspace Utility SysTrace dar, welches auch oft
bei Honeypots zum tragen kommt. Unter den
kommerziellen Produkten sticht besonders Okena StormWatch (seit kurzem in den Cisco Konzern einverleibt) als kompletteste Lösung für
Win32 und Sun Solaris Systeme heraus, da das
Produkt mit zahlreichen intelligenten vordefinierten Rulesets von oft verwundbaren Applikationen
© scip AG
public
Seite 14/23
s c i p
a g
wie z.B. Sendmail, BIND, diverse Webserver,
Datenbankserver und ganzen Betriebssystemen
(SunOS 5.8, Windows NT, 2000 und XP) ausgeliefert wird. Vulnerability Assessments an einem
ungehärteten und mit gefährlichen Defaulteinstellungen aufgesetzten (Out of the Box) IIS 5.0 belegten, dass nach erfolgreicher (Konzeption, Integration, Anpassungen) IPS Installation alle der
circa 14'000 (!) bekannten Schwachstellen abgefangen werden können. Nebst Okena (durch
Cisco), wurde auch ein weiterer IPS-Anbieter,
Namens Entercept durch einen grossen Security
Lösungsanbieter (Network Associates) übernommen. Intrusion Prevention weckt also mehr
als nur grosses Interesse bei Keyplayern auf dem
Markt.
rungen
im
Zusammenhang
mit
JavaApplikationen, grossflächig verteilten Enterpriseanwendungen und Virtualmachines (z.B. Vmwares) klar die technischen Grenzen des messbaren Prozessverhalten auf. Zudem werden nicht
alle Systemcalls behandelt, sondern nur diejenigen, welche der Hersteller als riskant einstuft
(z.B. Leseaufrufe von einem Diskettenlaufwerk
werden als gefährlich eingestufft und können
behandelt werden, die Schreiboperationen werden jedoch ignoriert). Diese Eingrenzung der
Möglichkeiten, erschwert oft das Anwenden einer
unternehmensweiten Securitypolicy.
Erste Erfolge durch Intrusion Prevention wurden
bei Grossbanken mit dem clientseitigen Verhindern der Instantmessenger (AOL, Yahoo, MSN
etc.) Anwendungen erzielt, welche verschlüsselt
via Proxies ganze Intranets scheunentorweit öffneten und unerwünschte, vertrauliche Daten- und
Informationsströme für Insider ermöglichten.
Mittels global geltenden Policies kann sichergestellt werden, welche Applikation welche Aktion
aufgrund klar definierten „White-Lists“ durchführen darf. Der bessere Ansatz - also die hostbasierte Regel - definiert schlicht gesagt nicht, „wer
Die Anwendung dieser Technologie setzt gewisses applikatorisches Know-How voraus, ist jedoch aus technischer Sicht relativ schnell umsetzbar und klar verständlich, da diverse Analysistools das erforderliche Prozessverhalten mit
erstaunlich präziser Granularität ermitteln und
unerwünschte Systemcalls – auch wenn diese
durch die Applikation als Feature bereitgestellt
werden – abblocken sprich intercepten (falls das
Clientrequest
Application
Application
PID
Monitoring for
Policy creation
Childs
PID
Auditing
Service
Agent
Logging
Policy Store
Interceptor
Operating System
Network
File System
API
Kernel
Runtime
Devices
COM
Store
Configuration
Memory
Registy File
Stack
Reporting
Escalation
Ressources
Incident Response
Programm einen Aufruf als unerlaubt beurteilen
kann). Durch die Analysefunktionalitäten werden
alle Systemaufrufe protokolliert und anschliessend als Vorschlag in ein Regelwerk abgelegt.
Dieses ermöglicht zum einen die transparente
Dokumentation aller benötigten Ressourcen und
anderseits zeigt es detailliert die unerwünschten
Möglichkeiten auf. Das Verfahren ist für fast alle
Arten von Prozessen als quasi Applikations
Wrapper anwendbar.
was nicht darf“, sondern die Policy ermöglicht das
„wer (Prozess) darf was (Aktion) mit wem (parent
Prozess) und/oder wohin (Destination)“.
Obwohl sich diese Methode wie die Endlösung
der Applikationssicherheit anhört, zeigen Erfah-
Durch korrelierende Logging und Eskalationsmethoden erhält man ein zentral gesteuertes, host-
Des weiteren können hiermit bei Audits zahlreiche, noch weitgehend unbekannte, applikatorische Verwundbarkeiten aufgedeckt werden,
wenn das messbare Verhalten gewisser Prozesse suspekt erscheint, da es keinem erwartenden
Betriebsverhalten zuzuordnen ist.
© scip AG
public
Seite 15/23
s c i p
a g
basiertes Intrusion Detection-System ohne vernebelnde „False Positive“-Meldungen, da die
protokollierten Incidents effektiv ausgeführt wurden und bei forensischen Untersuchungen qualitativ hochwertige Unterstützung bieten.
Neue Verwundbarkeiten und Exploits können in
kurzer Zeit mit der bestehenden Policy verglichen
werden. Ein Vulnerability Manager kann somit
schnell entscheiden, ob das Einspielen von
Securitypatches und die unerwünschte Downtime
sofort erforderlich sind (Decisionsupport). Erfahrungsgemäss können so viele sicherheitsrelevanten Patches auf geplante Zyklen aufgeschoben
werden, da der Exploit auf der geschützten Applikation nicht erfolgreich anwendbar ist, obwohl
man „per Definition“ verwundbar wäre. Der finanzielle Return ist somit schnell messbar. Der Aufwand für securityrelevante Maintenance sinkt
erfreulicherweise, da der Service laufend aufrecht erhalten werden kann. Das benötigte KnowHow und die Bereitstellung angemessener und
umgehend einsetzbarer Mission Critical Ressourcen bleibt jedoch vorhanden. Bevorzugte
Anwendungsbereiche wie z.B. hochverfügbar
ausgelegte Internetservices, MIS und ERP Systeme, Terminalserver usw. werden häufig so
gesichert (ein externer Reaktionsvertrag ist nicht
umsetzbar!). Der Einsatz auf Desktops und Mobiles ist ebenfalls effektiv anwendbar.
Systemcall Interception erlaubt somit die Kontrolle folgender Ressourcen:
 Dateisystem (unabhängig des eingesetzten Filesystems)
 Network
 COM Objekte (Win32)
 Registry und Configparameter Access
 Devices (UNIX, BSD)
 Memory
 Execution Space
Die heuer praktizierte Härtung - in der Regel die
meistverbreitete Methode, wie das Entfernen von
nicht benötigten Komponenten, Einschränkung
der Funktionsvielfalt und Patching - bieten nur
einen durchschnittlichen Schutz vor Angriffen,
weil applikations- bzw. systemübergreifende Exploits z.B. Bufferoverflows, Shellaccess oder
global mögliche Aktionen (lesen von Systemkonfigurationen) weiterhin möglich sind. Fast nichts
hindert eine verwundbare Applikation daran, mit
einer anderen Anwendung oder einem Dienst zu
kommunizieren und diesen für unerwünschte
Aktionen zu missbrauchen.
B1 Mandatory Access Control (MAC)
Diese kernelbasierte Anwendung des informationsflussorientierten Zugriffsschutzes setzt zum
Teil voraus, dass Applikationen für diese Technoscip monthly Security Summary
logie entwickelt oder angepasst werden. Der
Standard wurde bereits Ende der 80er Jahre
innerhalb der Rainbow Buchreihe durch das DoD
veröffentlicht [DoD 2000] und ist in quasi identischer Form in heutigen IT-Security Standards
verankert. Die Anwendung von Mandatory Access Control (MAC) kommt ausschliesslich bei
UNIX-Systemen zum Einsatz, da die nötigen
Anforderungen andere „Betriebssysteme“ bei
weitem überfordern. Bekannte Umsetzungen
bieten die Firmen Sun Microsystems mit Trusted
Solaris und Argus Systems mit Pitbull. Beide
Produkte verfolgen den selben Ansatz, wobei
Sun sogar mit geläufigen Trusted-X Applikationen die Anwendungsbereiche auf dem Desktop
erweitert.
Vertraulichkeit
Sensitivity
Verantwortungsbereiche
Compartments
Other
Staff
Top Secret
MGMT
HR
SySop
X
X
X
Secret
Confidential
X
Public
Implement Low
X
Daten unterschiedlicher Herkunft, egal ob sie von
einer Applikation, Device, dem Netzwerk oder
einer Fileressource stammen, werden mit zusätzlichen Security Labels des Absenders ausgestattet. Sobald eine andere Ressource diese Daten
behandeln möchte (lesen, schreiben, ausführen),
muss sie sowohl die erforderliche Klassifizierung
(Vertraulichkeitsstufe) als auch das dazugehörige
Compartment (Verantwortungsbereich) der ursprünglichen Informationen erfüllen und in gewissen Fällen, wie z.B. beim Lesezugriff, übertreffen.
Mandatory Access Control basiert also im Gegensatz zu Systemcall Interception zusätzlich auf
Basis User, Rollen und Datenklassifizierung.
Die Verwendung einer klassenbasierten Zugriffskontrolle kann Mehr-Ebenen-Relationen bewirken
mit der Konsequenz, dass Benutzer mit unterschiedlichen Berechtigungen unterschiedliche
Ansichten zur Relation sehen (Polyinstantiierung). Dies ermöglicht wiederum selektives, effizientes Downstripping der Rechte von administrativem Personal, indem kritische Systemoperationen (z.B. modifizieren von Benutzerrechten)
durch einen Security Officer explizit vorgängig
autorisiert werden müssen.
Fazit
Je nach Grösse und Komplexität der zu schützenden Organisation empfehlen sich unterschiedliche Massnahmen. Die vor allem in der
Finanzbranche und militärischen Institutionen
© scip AG
public
Seite 16/23
s c i p
a g
angewandten Trusted B1 Systeme werden primär
im Entrybereich (z.B. Zugriff aus nicht vertrauenswürdigen Netzwerken) eingesetzt. Gewisse
nachrichtendienstlich tätige US Behörden gehen
sogar so weit, dass das ganze Desktop Environment mit Mandatory Access Control (Trusted X)
umgesetzt wird, um den Missbrauch vertraulicher
Daten zu verhindern und zu protokollieren.
luationskriterien dienen.
Aus betrieblicher Sicht ist die Anwendung beider
Tochnologien ein nicht zu unterschätzender Effort. Die Komplexität der Methoden erfordert ein
hohes plattformübergreifendes und applikationsrelevantes Fachwissen, welches bei Betriebsstörungen jederzeit und überall verfügbar sein muss,
da die geschützten Services hohe Verfügarkeiten
gewährleisten müssen.
Eine lobenswerte Tatsache ist, dass beide Technologien aus Systemsicht sehr tief ansetzen,
nämlich auf Kernelebene bzw. auf deren APIs.
Argus Pitbull erweitert den gesamten Solaris
Kernel um die benötigten MAC Funktionalitäten.
Gesamtheitlich betrachtet bietet die heutige Systemcall Interception die effizientere Methode, da
diese kompromisslos den Regelsätzen folgt und
durch nichts und niemanden ausschaltbar ist,
was bei B1 Systemen aufgrund der Komponente
Mensch nur bedingt zutrifft. Zudem erhält der
Anwender ein bestechendes hostbasierendes
Intrusion Detection-System inklusive zentral
überwachter Auditingmöglichkeit. Performanceeinbussen sind bei beiden Methoden im heutigen
Einsatzbereich nicht nennenswert, sollten bei
zeitkritischen Anwendungen trotzdem vorzeitig
ermittelt werden. Die Tatsache, dass immer häufiger auftretende Bufferoverflows durch Systemcall überwachte Prozesse fast ausnahmslos
keine Auswirkungen auf benachbarte Ressourcen haben, ergänzt die Evaluationskriterien.
Die daraus gewonnene Erkenntnis lautet, dass
effiziente Schutzmechanismen in jedem Fall auf
Hostebene greifen müssen, will man einen langfristigen und umfassenden Sicherheitsgrad sicherstellen.
Über den Autoren
Mario Robic arbeitet bei der Credit Suisse im
Bereich Security Engineering.
Mario Robic
Credit Suisse Financial Services
CH - 8070 Zürich
http://www.credit-suisse.com
Dieser Artikel stellt die persönliche Meinung und
Erfahrung des Autors dar und soll nicht für offizielle Vergleichstests und Produkteabhängige Evascip monthly Security Summary
© scip AG
public
Seite 17/23
s c i p
5.
a g
Linktipps
Thema:
Kategorie:
Plattform:
5.1 ISECOM – Institute for Security
and Open Methodologies
URL:
Thema:
Kategorie:
Funktionalität
Technik
Ergonomie
Gesamtbewertung
http://www.isecom.org/
non-profit Organisation,
Security, Community
Aufmachung
Umfang
Aktualität
Ergonomie
Gesamtbewertung
ml
Netzwerke, Auswertung
Scanning, Auswertung
Windows
Gut
Gut
Genügend
Genügend
Die für den nicht-kommerziellen Gebrauch frei
verfügbare Software RpcScan von Urity erschien
im Januar 2003. Mit ihr können über RPC auf
Port 135 verschiedene Informationen zu den
Windows-Systemen ausgelesen werden.
Gut
Sehr gut
Sehr gut
Genügend
Gut
Das Institute for Security and Open Methodologies (ISECOM) ist eine non-profit Organisation,
welche Informationen und Tools, die der opensource Lizenz unterliegen, frei zur Verfügung
stellt. Neben der durch die Webseite realisierte
Community werden auch Events zum Thema
Computersicherheit organisiert.
Das Ziel der Vereinigung ist die Weitergabe des
Wissens von Vorgehens zum Thema IT-Security.
Unterstützt werden dabei sämtliche internationalen Standards, die vor keinem kommerziellen
Hintergrund entstanden sind.
Grafische Oberfläche
Eine grafische Oberfläche ist Teil von RpcScan.
Diese ist sehr simpel gehalten, denn so kann der
Benutzer in der oberen Hälfte des Fensters lediglich die IP-Adresse des zu scannenden Systems
eintragen. Wurde dies getätigt, kann durch einen
Klick auf den Scan-Knopf die Auswertung beginnen.
Die Resultate werden im unteren Teil des Fensters dargestellt. Durch die Matrize werden die
verschiedenen Punkte dargestellt. Dabei wird der
Interface-Identifier, das Binding, und die ObjectUUID festgehalten. Nicht minder wichtige Punkte,
vor allem für Leute, die sich nicht intensiver mit
Windows und RPC auseinandergesetzt haben,
sind die Spalten mit den Remarks (dt. Bemerkungen). Der Entwickler Urity beschriebt hier kurz
und knapp die Information ansich. Anhand dieser
Informationen lässt sich erkennen, welche Software auf dem Zielsystem installiert ist und gerade
ausgeführt wird. Selbstverständlich lässt sich
auch die jeweilige Windows-Version samt installiertem Service Pack ermitteln.
Die Themen reichen dabei von Security Testing
über Security Tools bis hin zu Incident Handling.
Die Webseite bietet dafür eine ausgezeichnete
Ausgangslage, um gute Dokumente und Tools
für die jeweiligen Situationen zu finden.
6.
Software-Tipps
6.1 RpcScan 1.0 – RPC-Fingerprinting
von Windows-Systemen
URL:
http://www.securityfriday.com/
ToolDownload/RpcScan/rpcscan_doc.ht
Als kleines Feature steht es dem Anwender frei,
mit welcher Schriftart und Schriftbild die Resultate angezeigt werden sollen. Durch View/Font
können die entsprechenden Einstellungen vorgenommen werden, um die Darstellung seinen eigenen Wünschen anzupassen.
© scip AG
public
Seite 18/23
s c i p
a g
Reporting
Die Reporting-Funktion von RpcScan ist sehr
mager. So sieht man sich lediglich in der Lage,
eine CVS-Datei der angesammelten Daten zu
erstellen. In dieser werden die jeweiligen Spalten
durch Kommas getrennt. Dies ermöglicht zwar
eine Weiterverarbeitung – zum Beispiel mittels
Skripten oder Datenbanken -, jedoch wären zusätzliche Formate (z.B. HTML, XML oder PDF)
oder Einstellungen (z.B. nur gewisse Spalten
bzw. Daten) durchaus wünschenswert gewesen.
Effizienz
Auf den ersten Blick arbeitet die Software ziemlich effizient. Sie stellt eine Verbindung zum entsprechenden Zielport her und extrahiert die Daten. Da die Datenmenge dabei relativ gering ist,
da es sich um ASCII-Text handelt, erfolgt dieser
Zugriff sehr schnell.
Beobachtet man den Transfer mit einem Protokoll-Analyzer, erschrickt man an der Vielzahl der
übermittelten Pakete. Es ist nichts ungewöhnliches, dass bei einem RpcScan-Zugriff bis zu
2'000 Pakete übertragen werden. Der Grund für
diese beachtliche Menge ist, dass für jeden Datensatz eine neue TCP-Verbindung aufgebaut
werden muss. Bedenkt man dabei, dass für den
Aus- und Abbau einer TCP-Verbindung im
Schnitt sechs Pakete übertragen werden, ist ein
Grossteil der übertragenen Pakete TCPOverhead.
Ist der Zielport geschlossen, erscheint es auf den
ersten Blick so, als sei die Software eingefroren.
Es ist sodann kein Eingriff mehr möglich. Auch
das normale Beenden bleibt einem verwehrt. Der
normale Zustand kehrt erst wieder ein, wenn das
Timeout des Verbindungsaufbaus erreicht wurde.
Fazit
Als ich zu Beginn Dokumente über RpcScan
gelesen habe, war ich ziemlich neugierig, was mir
die Software bieten könnte. Umso mehr war ich
dann enttäuscht, als ich feststellen musste, dass
viele Dinge nur sehr mangelhaft umgesetzt wurden. Dies beginnt bei der kargen Oberfläche, die
vielleicht einigen gefallen wird. Sehr unprofessionell ist jedoch die Reporting- bzw. SpeicherFunktion und die fehlende Möglichkeit, ganze
Adressbereiche zu scannen. Da man Produkte
mit grafischer Oberfläche nur schwerlichst in
Skripte einbinden oder anderweitig automatisieren kann, ist RpcScan 1.0 für den professionellen
bereicht gänzlich ungeeignet. Da sollte man lieber auf Alternativen wie diejenigen von Microsoft
(http://www.microsoft.com/windows2000/techinfo/
reskit/tools/existing/rpcdump-o.asp) oder Todd
Sabin
(http://razor.bindview.com/tools/desc/rpctools1.0readme.html) zurückgreifen, auch wenn diese
nicht mit einer hübschen grafischen Oberfläche
daherkommen. Da der Quelltext der Software
nicht freigegeben wurde, bleibt darauf zu hoffen,
dass Urity in einer kommenden Version die Mankos behebt.
7.
Buchtipps
7.1 TCP/IP Illustrated, Volume 1: The
Protocols – Die Internet-Bibel
Autor:
Verlag:
Datum:
ISBN:
Thema:
Kategorie:
Sprache:
W. Richard Stevens
Addison-Wesley
1. Januar 1994
0201633469
Computer, Netzwerke, Protokolle, TCP/IP
Fachbuch, Lehrbuch
Englisch; deutsche Übersetzung geplant
Webseite:
http://www.kohala.com/start/tc
pipiv1.html
Umfang
Detailtiefe
Aktualität
Gesamtbewertung
Sehr gut
Sehr gut
Gut
Sehr gut
Der erste Band von Stevens' Trilogie zum Thema
TCP/IP ist ein wahrer Schatz. Einmal mehr versteht es der Autor eine hochkomplexe Materie
dem Leser leicht verständlich und mit interessanten Hintergrundinformationen gespickt näherzubringen. Auch wer TCP/IP nur vom Hörensagen
kennt, wird sich in diesem Buch schnell zurechtfinden. Langweilig wird es einem selten, denn
man erhält viele Informationen und spannende
Details, die der Autor durch jahrelanges Arbeiten
mit der Materie erworben hat.
Grundlagen, SLIP und PPP
Im Buch werden die wichtigsten Protokolle der
TCP/IP-Familie behandelt. Als erstes findet eine
kurze Einführung in die Thematik statt. Hierbei
werden einige grundlegende Informationen zum
Buch und die Grundlagen der Materie (z.B. Layering und die Standardisierung durch die RFCs)
vorgetragen. Danach stellt Stevens die Protokolle
der Netzwerk-Schicht, hauptsächlich SLIP und
PPP, vor. Wer sich für Hardware-nahe Protokolle
interessiert, der findet hier viele gute Informationen
IP, ARP und RARP - Die Internet-Schicht
Weiter geht es darum die Internet-Schicht kennenzulernen. IP, ARP und RARP sind die in je-
© scip AG
public
Seite 19/23
s c i p
a g
weils separaten Kapiteln zusammengefassten
Protokolle. Um die Funktionsweise auf dieser
Ebene ein bisschen besser verstehen zu können,
werden in zwei separaten Kapiteln die beiden
Netzwerkdiagnose-Utilities Ping und Traceroute
behandelt. So mancher Administrator eines
TCP/IP-Netzwerks wird auf diesen Seiten viele
hilfreiche Vorgehensweisen zur Fehlersuche in
seinem Netzwerk finden. Danach IP-Routing und
dynamische Routing-Protokolle (RIP, OSPF,
BGP und CIDR) werden kurz erklärt. Da eine
genaue Untersuchung dieser Techniken den
Rahmen des Buches gesprengt hätte, werden
Firewall- und Router-Administratoren hier lediglich die Grundlagen zum Thema finden.
UDP und TCP – Die Transportschicht
UDP ist das erste Protokoll der TransportSchicht, das behandelt wird. Dieses eine Kapitel
ist eines der umfangreichsten zu UDP, das es in
der TCP/IP-Literatur je gegeben hat. Sämtliche
Teile und Methoden dieses nicht zu unterschätzenden Protokolls wurden zu Papier gebracht.
Broadcasting und Multicasting wird in den darauf
folgenden Kapiteln besprochen. Natürlich darf in
diesem Zusammenhang IGMP nicht fehlen, das
in einem kurzen Kapitel vorgestellt wird. Auch
DNS, das in keinem Buch über TCP/IP fehlen
darf, wurde ein Kapitel gewidmet. Auch hier deckt
Stevens einmal mehr die wichtigsten und interessantesten Punkte dieses elementaren Systems
ab. Das Kapitel über TFTP dürfte in der heutigen
Zeit nicht mehr so gefragt sein. In erster Linie
wird dieses Protokoll nur noch von hartgesottenen Administratoren oder Freaks verwendet.
Trotzdem ist dieses Kapitel sehr interessant.
Besonders, weil hier explizit auf die fehlende
Sicherheit dieses auf UDP-basierenden NVT
ASCII Protokolls der Anwendungsschicht eingegangen wird. Nach einem kurzen Abstecher in
BOOTP (DHCP wird leider nicht behandelt) fogen
einige umfassende Kapitel über TCP. In diesen
wird nahezu jede Facette dieses komplexen Protokolls der Transport-Schicht betrachtet. Kein
anderes Buch (höchstens die RFCs selbst) warten mit so vielen detaillierten Informationen zu
TCP auf.
Beispiele aus der Anwendungsschicht
Abgerundet wird das Werk durch einige exemplarische Protokolle der Anwendungsschicht. Sehr
praxis-orientiert geht Stevens mit einem TelnetClient auf die Suche der Geheimnisse von Telnet, FTP, SMTP und vielen anderen Protokollen.
Obschon dieser letzte Teil verhältnismässig kurz
ausgefallen ist (z.B. fehlen grundlegende Protokolle wie POP3), finden sich auch hier erstaunlich
viele verwertbare Informationen zu den jeweiligen
Applikationen. Besonders Leser, die ein bisschen
mehr über die tagtäglich genutzten Netzwerkanscip monthly Security Summary
wendungen wissen möchten, werden ihre helle
Freude an diesen Kapiteln haben.
Fazit
W. Richard Stevens, der Autor vieler hervorragender Bücher, ist traurigerweise am 1. September 1999 verstorben. Bedauerlicherweise wird es
somit keine überarbeite Version dieses hervorragenden Werkes geben. Leider sind einige darin
enthaltenen Informationen veraltet und könnten
Leser ohne entsprechendes Vorwissen verwirren
(z.B. die durch RFC 2317 abgeschafften alten
Netzwerk-Klassen). Trotzdem ist und bleibt dieses Buch ein Bestseller des Genres. Jeder, der
sich für aktuelle Netzwerk-Technologien, die
TCP/IP-Protokollfamilie und moderne Netzwerkprogrammierung interessiert, der wird früher oder
später dieses Meisterwerk in den Händen halten.
Ich habe den ersten Band der "TCP/IP Illustrated"-Reihe immer griffbereit, falls ich einmal
etwas kurz nachschauen muss. Und dies kann
ich jedem empfehlen, der sich bei TCP/IP zu
Hause fühlt.
Weiterführende Informationen zu Stevens und
seinen Arbeiten finden sich auf seiner Webseite
unter http://www.kohala.com/start/
8.
Fragen und Antworten
8.1 Kann ich Datendiebstahl von Mitarbeitern über USB-Datenspeicher
mittels Intrusion Prevention unterbinden?
Seit mehreren Jahren ist in der Security-Branche
ein Trend namens „Intrusion Prevention“ zu verzeichnen. Solcherlei Lösungen sind jedoch sehr
aufwendig zu installieren, konfigurieren und warten. Viele von ihnen unterstützen gar den dedizierten Zugriff auf mobile Speichermedien nicht
oder nur mangelhaft. Das Produkt Okena
StormWatch (wurde von Cisco aufgekauft) sieht
zum Beispiel Schreibzugriffe auf Disketten gar
nicht erst als potentielle Gefahr an. Entsprechend
findet keine Untersuchung oder Blockieren statt
[Ruef 2002a]. Zudem arbeiten Intrusion Prevention Lösungen Prozess- und nicht Benutzerorientiert. Es ist somit nicht möglich dediziert gewissen
Benutzern einen Zugriff zu erlauben und anderen
diesen zu verbieten.
Muss der Zugriff auf Diskettenlaufwerke oder
USB-Steckplätze unterbunden werden, ist es
vielerorts effizienter, die entsprechenden Komponenten im BIOS zu deaktivieren und das BIOS
mit einem Passwort zu schützen.
Multiuser-Betriebssysteme ansich unterstützen in
© scip AG
public
Seite 20/23
s c i p
a g
den meistenm Fällen ebenso eine Einschränkung
des Zugriffs auf mobile Datenträger.
© scip AG
public
Seite 21/23
9.
Kreuzworträtsel
Wettbewerbsankündigung
Nach der Optimierung unseres Kreuzworträtsels (einige Fragen sind nicht lesbar) wird jeweils ein Wettbewerb stattfinden, indem Kunden unsere Dienstleistungen gewinnen können.
Die Auflösung der Security-Kreuzworträtsel finden Sie jeweils online auf http://www.scip.ch unter Publikationen > scip monthly Security Summary und dann bei Errata.
© scip AG
public
Seite 22/23
s c i p
a g
10. Literaturverzeichnis
11. Impressum
DoD, 28. Juni 2000, Rainbow Series Library,
http://www.radium.ncsc.mil/tpep/library/rainbow/
Herausgeber:
scip AG
Technoparkstrasse 1
CH-8005 Zürich
T +41 1 445 1818
mailto:info@scip.ch
http://www.scip.ch
Ruef, Marc, 05. April 2002, Angriffsmöglichkeiten
auf Okenas StormWatch,
http://www.computec.ch/dokumente/intrusion_pre
vention/angriffsmoeglichkeiten_auf_okenas_stormwat
ch/angriffsmoeglichkeiten_auf_okenas_stormwat
ch.doc
Ruef, Marc, 10. September 2002, Mit Okena
StormWatch zum sicheren System,
vention/mit_okena_stormwatch_zum_sicheren_syste
m/mit_okena_stormwatch_zum_sicheren_system
.doc
Ruef, Marc, 10. Oktober 2002, Intrusion Prevention – Neue Ansätze der Computersicherheit,
Professional Computing, Ausgabe 4/2002, Seiten
10 bis 14,
vention/intrusion_prevention/intrusion_prevention.pdf
Zuständige Person:
Marc Ruef
Security Consultant
T +41 1 445 1812
mailto:maru@scip.ch
PGP:
http://www.scip.ch/firma/facts/maru_scip_ch.asc
Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch
angeregten Ideenaustausch sind Verbesserung
möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Anfragen bezüglich der Erstellung eines Erfahrungsaustausch Artikels,
senden Sie bitte an die E-Mail sizu@scip.ch.
Die scip AG – zu 100% unabhängig - unterstützt
Sie in allen Belangen einer ganzheitlichen ITSecurity. Sei es bei der Aufdeckung von neuen
Sicherheitslücken, der Analyse und Examinierung
Ihrer IT-Landschaft, der Ausbildung Ihrer Mitarbeiter, der gezielten Informationsbeschaffung zu
den Sie betreffenden Verletzbarkeiten, der Wirtschaftlichkeitsprüfung Ihrer IT-Umgebung, der
Konzeption Ihrer Security Architektur oder dem
Einsatz von professionellem und pragmatischem
Projektmanagement.
Auf unsere langjährige berufliche Erfahrung in
der IT-Security sind wir sehr stolz. Unsere Mitarbeiter verfügen, in diesem sehr komplexen sowie
breitgefächerten Spezialgebiet, über jahrelang
erarbeitetes und angewandtes Wissen.
Nutzen Sie unsere Dienstleistungen!
Das Errata (Verbesserungen, Berichtigungen,
Änderungen) der scip monthly Security Summary’s
finden
Sie
online
unter
http://www.scip.ch/publikationen/smss/ .
Der Bezug des scip monthly Security Summary
ist kostenlos. Sie können sich mit einer Email an
die Adresse smss-subscribe@scip.ch eintragen.
Um sich auszutragen, senden Sie Ihr Email an
die Adresse smss-unsubscribe@scip.ch
© scip AG
public
Seite 23/23

scip ag

Transcription

Similar documents

scip ag

scip ag

W-LAN Hacking

ARCH+ ZEITUNG Zentrum Berlin

News# 1/2009

MS-DOS Back to the Disk

bestens bekannt

100 Years of Vitamins

4 Die Bedienkonzepte von Windows 8

Ausgabe Februar

Gerätehandbuch RFID Auswerteeinheit DTE100 DE