Sicherheitslücken im Überblick

brosa, 123RF

Einbruch

Wer sein System schützen will, muss lernen zu denken wie ein Einbrecher. Dieser Artikel gibt einen Einblick in dessen Hirnwindungen.
Immer größere Datenmassen sicher zu speichern ist eine Herausforderung für jede IT-Infrastruktur. Schon mit Gigabit-Ethernet lassen sich aber ... (mehr)

Im Juni 2009 wurden in einem Virtualisierungsprodukt für Webserver einige Sicherheitslücken gefunden. Heraus kamen mehr als 100 000 gehackte und gelöschte Server bei einer ganzen Reihe von Internetprovidern. Im selben Monat wurde die Security-Site Astalavista gehackt und dabei eine Vielzahl von Dateien und Datenbanken gelöscht, ebenso einige Backups auf anderen Rechnern. Das waren nur die Hacks, die es in die Schlagzeilen schafften, die tatsächliche Zahl von Einbrüchen in diesem Zeitraum ist natürlich viel größer.

Die Techniken der Einbrecher werden immer ausgefeilter. Dieser Artikel stellt die neuesten Strategien und Tools beispielhaft vor. Beachten Sie bitte, dass sie in große Schwierigkeiten kommen können, wenn Sie die hier erwähnten Techniken auf andere als Ihre eigenen Netzwerke anwenden. Selbst wenn Sie dies tun, müssen Sie sichergehen, dass Sie dazu befugt sind. Alles andere verstößt unter Umständen gegen den so genannten Hackerparagrafen 202c StGB.

Es geht darum, dass Sie verstehen, wie Einbrecher arbeiten, damit Sie das eigene System besser absichern können. Am besten installieren Sie dazu auf einem Rechner mit genügend Hauptspeicher eine virtuelle Umgebung wie Virtualbox oder VMware, um damit virtuelle Rechner und Netzwerke für Einbruchstests aufzusetzen.

Früher war alles besser

Damals war das Admin-Leben leicht. Man hatte einen Server mit ein paar Diensten wie Mail und DNS. Wenn User eine Anwendung wollten, installierte man sie einfach auf ihren Rechnern. Wenn sie eine Website ändern mussten, bekamen sie einen FTP-Zugang zum Server, um HTML-Seiten hochzuladen. E-Mail war nur einfacher Text, PDFs kannten kein Javascript, und Bilder waren einfach nur Bilder – und nicht etwa ausführbarer Content. Um so eine Umgebung abzusichern, genügte es, alles aktuell zu halten, eine Firewall aufzustellen und so viele Dienste wie möglich ohne Root-Rechte laufen zu lassen.

Heute ist mit verteilten Firmennetzen, dynamischen Websites und Inhalten, Contentmanagement-Systemen, HTML-Mails und so weiter die IT-Welt um einiges komplexer. Entsprechend viele Angriffspunkte bieten moderne IT-Landschaften. Einige Einbruchs-Tools machen es sich relativ einfach und lassen blindlings eine Menge bekannter Angriffe auf jeden Server los, den sie finden können. Das funktioniert oft genug, denn die schiere Anzahl an schlecht abgesicherten Servern und Anwendungen ist groß, genauso wie die der Programme mit bekannten Lücken, die ewig nicht geschlossen werden. Ein gutes Beispiel ist der Adobe Reader, der ein paar Wochen lang eine bekannte Lücke aufwies, bis die Firma sich dazu bequemte, sie zu schließen.

Ein ähnlicher Fall sind Leichen im Web: Die Blog Search Engine Technorati schätzt die Zahl verwaister Weblogs auf 95 Prozent [1]. Und wenn niemand mehr darauf bloggt, ist die Wahrscheinlichkeit auch recht groß, dass niemand mehr Sicherheits-Updates einspielt.

Schritt 1: Aufklärung

Genau genommen ist der Aufklärungsschritt nicht nötig, aber etwas über die Organisation, die Personal- und Netzwerkstruktur einer Firma zu wissen, das kann bei Einbrüchen durchaus helfen. Wer den Domainnamen kennt, kann über eine Whois-Abfrage eine ganze Menge über die Organisation oder Firma erfahren. Üblicherweise schauen sich Einbrecher an, wo die DNS-Server liegen oder ob die Administratoren ihre Arbeit richtig machen – wenn eine Firma ihr DNS nicht vernünftig aufsetzt, liegt es nahe, dass sie es auch mit der Sicherheit nicht so genau nimmt.

Ein gutes Beispiel dafür ist meine eigene Site Seifried.org, die als virtueller Host bei einem Provider läuft. Dummerweise ist die dortige Administrationsoberfläche so schlecht, dass sie es nicht erlaubt, für den DNS-Server den Zone-Transfer abzuschalten. Man kann also leicht über »dig -t axfr« die ganze DNS-Zone laden und auf diese Weise in wenigen Sekunden alle Hosts in der Domain herausbekommen (Abbildung 1).

Abbildung 1: Ausgabe von dig -t axfr für Seifried.org.

Wenn Zone-Transfers nicht erlaubt sind, hilft eventuell das Such-Keywort »site:« bei einer Google-Suche weiter, wenn man noch zusätzlich den WWW-Host »www.Domain.com« herausfiltert. Die Suche lässt sich natürlich noch mit weiteren Schlüsselwörtern wie »user name:« , »login:« , »password:« , »reset password:« und so weiter kombinieren, um zum Beispiel Login-Seiten von Webanwendungen zu finden. Google und andere Suchmaschinen liefern auch Informationen über verwendete Telefonnummern, die Unternehmensstruktur und Listen von Mitarbeitern (Abbildung 2).

Abbildung 2: Social Engineering mit Google.
comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite