Mit den Passwortrichtlinien bei Routern und Serversystemen steht es häufig nicht zum Besten. "Während viele Administratoren die Anwender in ihren Netzwerken bereits dazu anhalten, sichere Kennwörter zu wählen und diese häufig zu wechseln, sind die Passwörter für die Systemadministration häufig zu einfach gewählt", erklärt Dirk Schadt, Senior Consultant IT Security bei der Aachener Bytesites AG (vgl. VPN-Projekt in Ausgabe 21/2001, S. 58). "Viele Systeme werden bereits mit Accounts ausgeliefert, die nie geändert werden", ergänzt der Sicherheitsspezialist, den die Besucher der NetworkWorld-Security-Tage (vgl. S. 7) als Referenten zu den Themen "Content Security" und "Intrusion Detection" kennen. Angreifern eröffnet die Lücke die Möglichkeit, Informationen über das jeweilige System zu erlangen. Außerdem können sie Schwächen ausnutzen, die eine "Elevation" ermöglichen - die Erweiterung ihrer Benutzerrechte.
Tipp Nr. 1/2002: Kontrollieren Sie die Passwörter für die Systemadminstration in Ihrem Netz und ändern Sie sie gegebenenfalls. Achten Sie zum Beispiel auf folgende Fehlerquellen:
- Cisco Router werden ohne Passwort ausgeliefert. Bintec liefert mit dem User "admin" und dem Passwort "bintec" aus.
- Bei Installationen, die einem Test oder einer Pilotphase eines Projektes dienen, werden häufig Passwörter genutzt, die auch in Schulungen Anwendung finden. Manchmal tragen die Kursleiter oder die Teilnehmer einfach nur den Firmennamen ein. In solchem Zustand werden diese Installationen häufig in den Betrieb übergeben.
- Die Installation der Microsoft SQL Server Desktop Engine (MSDE), zum Beispiel Bestandteil von Visio und Office 2000 Professional, richtet auf Windows 9x/ME den Account des Datenbankadministrators "sa" ohne Passwort ein. Administratoren und Anwendern ist es oft gar nicht bewusst, dass sie damit einen vollwertigen SQL-Server betreiben. Außerdem stellt T-SQL "Stored Procedures" für das Ausführen von Kommandozeilenprogrammen bereit, die von Angreifern bequem genutzt werden können.
Im zuletzt genannten Fall ist es für den User nicht gerade einfach, das Passwort zu ändern, denn das geht nur mit einem Kommandozeilentool und einer recht kryptischen Befehlsfolge:
osql -U sa -Q "sp_password NULL, ´newpassword´" (jo)
www.networkworld.de/secucheck