Von: Dr. Gerhard Eschelbeck
Man muss kein "Hackergenie" mehr sein, um weltweit immense Schäden anrichten zu können. Das Internet bietet Eindringlingen eine weltweite Angriffsfläche. Einbruchsversuche werden dadurch begünstigt, dass die Netzwerkgrenzen aufgrund zahlreicher neuer Zugangspunkte wie Funknetze und Virtual Private Networks immer durchlässiger werden. Außerdem entstehen durch die komplexerenNetzwerke und Anwendungen Tausende neuer Schwachstellen. Und die Angriffe sind raffinierter: Neue, automatisierte Angriffswerkzeuge lassen sich leicht anwenden und überfluten das Internet im Handumdrehen mit zerstörerischen Bedrohungen, bevor die Sicherheitsadministratoren reagieren können.
Zusätzlich begünstigt werden neue Einbrüche durch das Zusammenwirken weiterer technischer und betrieblicher Faktoren. Viele populäre, auf Standards basierende Netzwerkdienste wie telnet, ftp und SNMP sind von Natur aus unsicher. Die Voreinstellungen von Systemen sind wohlbekannt und werden nach der Installation oft nicht verändert: Hierzu gehören auch Login-Namen und Passwörter. Weil die verwendeten Techniken so komplex sind, kommt es oft zu Designfehlern, etwa, was den Setup und die Zugangskontrolle anbelangt. Tagtäglich werden Fehler bei der Software-Implementierung entdeckt und bekannt gemacht, beispielsweise mangelnde Eingabevalidierung oder Pufferüberläufe. Und schließlich lösen die Nutzer oft selbst unwissentlich Einbrüche aus durch scheinbar harmlose E-Mails oder einfach dadurch, dass sie im Internet surfen.
Die Bedrohungen, die die erwähnten Sicherheitsprobleme ausnutzen, treten nunmehr in die dritte Generation ein. Die erste Generation war durch Virenattacken gekennzeichnet, die durch Anwenderaktionen wie E-Mail und gemeinsame Dateinutzung begünstigt wurden. In der nächsten Generation herrschten die aktiven Würmer vor, die bekannte Schwachstellen nutzten und sich automatisch ohne Anwendereinwirkung verbreiteten.
Die Bedrohungen der dritten Generation unterscheiden sich von den früheren sowohl durch die Fortpflanzungsgeschwindigkeit als auch durch die Strategien, mit denen sie ihre Opfer auswählen. Das Ziel besteht darin, in der ersten Stunde in so viele Systeme wie nur möglich einzubrechen, weil dadurch ein Gegenschlag praktisch ausgeschlossen wird. Die Bedrohungen dieser Generation werden neue anfällige Ziele systematisch im Voraus identifizieren, um die Schäden zu maximieren. Teilweise werden sie unbekannte Sicherheitslücken ausnutzen und mehrere Angriffsvektoren führen, was die Abwehr erschwert. Es ist unbedingt erforderlich, regelmäßige Sicherheits-Audits durchzuführen, damit Schwachstellen gefunden und behoben werden können, bevor Bedrohungen der dritten Generation gestartet werden.
Jüngste Sicherheitsattacken weisen erste Merkmale von Malware der dritten Generation auf und demonstrieren eindringlich, welch verheerende Auswirkungen künftige Angriffe haben können. So befiel beispielsweise der "SQL-Slammer"-Wurm am 25. Januar 2003 innerhalb kürzester Zeit mehr als 120 000 Microsoft SQL Server. Er legte dadurch den Internetverkehr in Südkorea lahm, setzte die Kassenautomaten einer US-Großbank außer Gefecht, unterbrach den Betrieb von 911 Callcentern in Seattle und verursachte weltweit weitere schwere Störungen. SQL Slammer war der schnellste Wurm, den es je gab. Mehr als 90 Prozent der betroffenen Hosts wurden innerhalb von zehn Minuten infiziert. In der ersten Minute verdoppelte sich die Größe der infizierten Population alle 8,5 Sekunden; nach nur drei Minuten war eine Gesamt-Scanning-Rate von mehr als 55 Millionen Scans pro Sekunde erreicht.
SQL Slammer zeigt bereits jene ultraschnelle Fortpflanzung, die für Angriffe der dritten Generation charakteristisch ist, gilt aber immer noch als Bedrohung der zweiten Generation. Der "Exploit" nutzte eine wohlbekannte, dokumentierte Sicherheitslücke aus und beschränkte sich auf einen Angriffsvektor. Sämtliche Host-Einbrüche hätten sich durch Anwendung eines Patches verhindern lassen, den Microsoft sechs Monate vor dem Angriff bekannt gegeben hatte.
Eigenschaften der Bedrohungen
Schnellere Fortpflanzung ist aus Hackersicht wünschenswert. Sie verhindert ein rechtzeitiges Eingreifen der Sicherheitsadministratoren und richtet deshalb größere Schäden an. Die Autoren von SQL Slammer setzten eine Strategie ein, bei der zufällige Adressen gescannt wurden, um neue Ziele aufzuspüren, und erreichten damit exponentielles Wachstum. Diese Strategie erbrachte schnell gute Resultate, weil UDP (Universal Data Protocol) als verbindungsloses Übertragungsprotokoll verwendet wurde. Andererseits jedoch überlastete SQL Slammer rasch die von SQL-Server-Hosts verwendeten Netzwerke und behinderte sich damit selbst. Angriffe der dritten Generation werden noch bessere Durchdringung erzielen, indem ihre Autoren Systeme mit anvisierten Schwachstellen vorkompilieren und erst dann losschlagen. Mittels Vorkompilation können Angreifer das Internet scannen, die Erfolgschancen für einen Angriff einschätzen und viel versprechende Ziele katalogisieren. Es ist eine besonders effiziente Strategie: Der Angreifer verwendet sozusagen eine Landkarte, um geplante Ziele schnell zu erreichen, anstatt wahllos alle auf dem Weg liegenden Straßen abzufahren. Außerdem lassen sich blitzartige, immer schneller werdende Angriffe durchführen.
Auch künftige Angreifer werden gern bekannte Sicherheitslücken ausnützen. Sie werden aber auch Schwachstellen heranziehen, die noch nicht bekannt sind und vor denen die Sicherheitsadministratoren nicht gewarnt wurden. Durch vorkompilierte Angriffe wird die Zahl angreifbarer Ziele wachsen. Selbst ungebräuchliche Anwendungen und Geräte sind gefährdet: Automatisierte, vorkompilierte Angriffe können auch deren spezielle Schwachstellen aufspüren und ausnutzen. Das Risiko von Angriffen auf unbekannte Schwachstellen steigt, je mehr es in diversen internationalen Auseinandersetzungen technisch gewiefte und mit umfangreichen Ressourcen ausgestattete Parteien gibt, die es darauf anlegen, bei ihren jeweiligen Feinden digitale Verwüstungen anzurichten.
Sicherheitsbedrohungen der dritten Generation werden mehrere Angriffsvektoren führen. Besonders anfällig sind viele neue Technologien, weil sie nicht mit weit reichenden Funktionen zur Erkennung von Bedrohungen und zum Schutz vor ihnen ausgestattet sind. Zu diesen Techniken gehören Instant Messaging (IM), Funknetzinfrastruktur sowie Voice-over-IP-basierte Systeme.
Server, die als Knotenpunkte für Instant Messaging fungieren, könnten zu beliebten Angriffszielen werden. IM-Kommunikation ist für gewöhnlich unverschlüsselt und verfügt nur über begrenzte Techniken zum Gateway-Schutz. Außerdem beschränkt sich die Erkennung von Bedrohungen weitgehend auf die Desktop-Anwendungen. Die umfangreichen File-Sharing-Möglichkeiten könnten zum großen Problem werden, denn die Anwendungen lassen sich etwa zum Transport von Daten und Dateien missbrauchen, die Angriffscode enthalten. Außerdem werden die Bedrohungen der dritten Generation polymorphe Verschleierungs- und Verschlüsselungstechniken einsetzen, um während eines Angriffs nicht entdeckt zu werden.
Angesichts der Folgen, die die schnelle Ausbreitung haben wird, müssen die Sicherheitsadministratoren auf neue Weise mit den Gefahren umgehen, die ihre Netzwerke bedrohen. In der Vergangenheit betrug die Lebenszykluskurve von der Entdeckung einer Schwachstelle bis zu ihrer großflächigen Ausnutzung ein oder zwei Jahre. Doch jetzt werden Gegenmaßnahmen immer dringlicher, weil sich die Kurve zwischen Entdeckung und Angriff zunehmend verengt. SQL Slammer schlug sechs Monate nach der Entdeckung der Schwachstelle zu, "Nimda" vier Monate und "Slapper" nur sechs Wochen, nachdem die entsprechende Sicherheitslücke entdeckt worden war. Die Bedrohungen der Zukunft machen es erforderlich, mit gleichen Mitteln zurückzuschlagen, denn die Angreifer nützen alle Vorteile automatisierter Tools. Die Angriffe bekämpft man am effektivsten dadurch, dass man die Abwehrmaßnahmen automatisiert. Einige Abwehrstrategien sind folgende:
- Regelmäßige Sicherheitsaudits, bei denen Schwachstellen in Systemen und Anwendungen analysiert werden, sind ein wichtiges Mittel. Die Methoden reichen von herkömmlichen Durchdringungstests bis hin zu neuen, automatisierten Diensten, die über das Web durchgeführt werden. Häufige Audits stellen sicher, dass die Administratoren schnell und effektiv auf neu entstandene Angriffspunkte reagieren können. Die Schlüsselelemente eines gründlichen Audits sind die Identifizierung der Netztopologie und sämtlicher Zugangspunkte von außerhalb und innerhalb der Unternehmens-Firewall, Identifizierung aller Dienste, Betriebssysteme und Anwendungen auf allen ans Netzwerk angebundenen IPs, um festzustellen, welche Sicherheitslücken eventuell bestehen könnten, Identifizierung und Priorisierung kritischer Sicherheitslücken und die Auswahl geeigneter Abhilfemaßnahmen für die gefundenen Sicherheitslücken, zum Beispiel Patches und neue Konfigurationseinstellungen.
- Der Einsatz von Antivirensoftware ist unerlässlich, um bekannte Bedrohungen zu blockieren, besonders, wenn diese nach einer ersten Angriffswelle periodisch wiederkehren. Herkömmliche Antiviren-Software vergleicht die Anwendungsdateien mit einer Datei mit Viren-Signaturen. Zu einer effektiven Abwehr gehört unbedingt, dass die Nutzer jeweils die neueste Version der vom Hersteller gelieferten Signaturdatei installieren.
- Anbieter von Anwendungsprogrammen geben häufig Patches heraus, die die bestehende Anwendung modifizieren, um Sicherheitslücken zu schließen, ohne den gesamten Code zu ersetzen. Rechtzeitiger Einsatz von Patches ist eine der effektivsten Abwehrmaßnahmen überhaupt. Durch rechtzeitigen Einsatz von Security-Patches kann ein Unternehmen die meisten Angriffe verhindern.
- Unternehmen sollten ihre internen Sicherheitsrichtlinien und die Maßnahmen zu deren Durchsetzung regelmäßig überprüfen. Hierzu können sie die Trendanalysen nützen, die im Rahmen von regelmäßigen Sicherheitsaudits generiert werden. (sf)
Zur Person
Dr. Gerhard Eschelbeck
ist Chief Technology Officer und Vice President of Engineering bei Qualys.