Viren, Würmer, Trojaner und Phishing stellen Anwender und Administratoren vor ständig neue Herausforderungen. Das Umgehen von Virenscannern durch Schädlinge in verschlüsselten Zip-Archiven ist ein aktuelles Problem, das längst noch nicht von allen Antiviren-Tools gelöst ist.
Der Schaden, der durch einen Computervirus verursacht wird, reicht je nach Art des Schädlings vom Systemabsturz und damit verbundenen Produktivitätseinbußen bis hin zum völligen Verlust oder im Gegensatz dazu der allgemeinen Verbreitung geschäftskritischer Daten. Das unkontrollierte Versenden verseuchter Daten führt nicht zuletzt auch zu einem Image- und Vertrauensverlust bei Geschäftsspartnern und Kunden.
Linux-Nutzer ließen Schadensmeldungen und Virenwarnungen bislang eher unbeeindruckt, wurde das Betriebssystem auf Grund seiner Kernarchitektur und seinem Design doch als standardmäßig sicherer als Windows eingestuft. Mittlerweile wächst aber die Erkenntnis, dass auch Open Source nicht vor Angriffen gefeit ist. Ferner zielen Viren gleichermaßen auf Unternehmen und Endanwender.
Zwar existieren für Linux derzeit noch verhältnismäßig wenige Viren, deren Wirksamkeit und Schadenspotenzial steht "herkömmlichen" Computerviren jedoch in nichts nach. Denn mit der wachsenden Verbreitung im kommerziellen Umfeld und im öffentlichen Sektor steigt auch der Anreiz für Hacker, mit einem spektakulären Angriff von sich reden zu machen.
Diesen Artikel und eine ganze Reihe weiterer Security-Themen finden Sie auch in unserem tecCHANNEL-Compact "Sicherheit für Netzwerk & Server". Diese Ausgabe können Sie für 9,90 Euro in unserm Online-Shop versandkostenfrei bestellen. Ausführliche Infos zum Inhalt des tecCHANNEL-Compact "Sicherheit für Netzwerk & Server" finden Sie hier.
Spezielle Angriffspunkte unter Linux
Stammte Malware vor einiger Zeit noch von den Usern selbst, die über Disketten Viren in das System einschleusten, werden heute etwa 90 Prozent aller Computerschädlinge über E-Mail verbreitet. Auch unter Linux ist einer der besonders kritischen Dienste der Mail-Dienst. Obwohl ständig aktualisierte Versionen des Daemons sendmail verfügbar sind, treten immer wieder Sicherheitsprobleme auf. So bietet sendmail nicht nur Viren, sondern auch Hackern eine Angriffsfläche.
Doch nicht immer ist die Interaktion des Benutzers - wie beispielsweise das Öffnen eines Attachments - erforderlich, um einen der mittlerweile etwa 100 Linux-Viren zu aktivieren. Eine der in den letzten Jahren am häufigsten genutzten Systemschwachstellen ist die Ausnutzung von Buffer-Overflow-Fehlern in Programmen mit erweiterten Privilegien. Vor Würmern, Makroviren und Trojanischen Pferden sind Linux-Systeme ebenfalls nicht gefeit.
Eine Möglichkeit zum Schutz vor diesen Gefahren stellt der Einsatz eines gehärteten Linux-Systems dar. Es ermöglicht dem Administrator eine feinere Konfiguration und bietet damit meist auch einen höheren Sicherheitsstandard. Die höhere Sicherheit wird allerdings mit einem größeren Administrationsaufwand erkauft. Denn Installation, Konfiguration und Wartung eines gehärteten Systems beanspruchen mehr Zeit. Da viele Unternehmen aber aus Kostengründen Administratoren einsetzen, die nur wenig Erfahrung besitzen und keine speziellen Linux-Kenntnisse mitbringen, kommt diese Möglichkeit nur selten in Frage.
Sicherheit unter Linux
Die enge Verzahnung der Open-Source-Gemeinde galt bisher als einer der Garanten für die Sicherheit des Systems. Die öffentliche Diskussion möglicher Schwachstellen, das gemeinsame Erarbeiten von Gegenmitteln für Bedrohungen und das umgehende Bereitstellen von Patches für die Allgemeinheit sollen bestehende Gefahren schnell und unkompliziert ausschalten.
Doch genau das stellte unlängst eine Studie von Forrester Research in Frage. Sie vergleicht kritische Schwachstellen bei Windows und Linux auf der Grundlage von Meldungen in Security-Listen - mit dem Ergebnis, Linux sei stärker gefährdet als Windows. In einer gemeinsamen Erklärung wiesen die führenden Linux-Distributoren den Vorwurf zurück, bei der Entwicklung und Weitergabe von Patches langsamer zu reagieren als Microsoft. Darüber hinaus kritisierten sie die Methodik der Studie, die zu "fehlerhaften Schlussfolgerungen" führe.
Als weiterer Garant für die Sicherheit des Systems gelten die Zugangsbeschränkungen unter Linux. Gegen die Gefahren der unberechtigten Dateneinsicht, des Datenmissbrauchs, der Datenmanipulation und Sabotage sind eine stringente Vergabe von Zugriffsrechten sowie die Protokollierung von Zugriffen und Zugriffsversuchen probate Mittel.
Der einfache Nutzer, der sich über sein Benutzerkonto am System anmeldet, besitzt gewöhnlich nur beschränkte Rechte zum Lesen, Schreiben und Löschen von Dateien. So kann ein vom Anwender absichtlich oder versehentlich verbreiteter Virus auch nur innerhalb seines eigenen Benutzerkontos Schaden anrichten.
Authentifikation
Linux-Systeme nutzen im Allgemeinen das traditionelle Passwortsystem zur Authentifizierung. Doch der Umgang mit Passwörtern und Zugangscodes ist oft mehr als bedenklich. An frei zugänglichen Orten, zum Beispiel unter dem Mousepad notiert, gelangen sie leicht in falsche Hände. Aber auch sozialkompetente Hacker haben es in der Regel nicht schwer, selbst gewählte Passwörter wie etwa Geburtstage zu knacken.
Im Klartext übertragene Passwörter können mittels eines Sniffers abgefangen, Keycards gestohlen werden. Eine Kombination unterschiedlicher Ansätze verringert allerdings die Wahrscheinlichkeit, dass ein Angreifer in den Besitz der Zugangsdaten gelangt.
Sensible Daten sollten nicht zuletzt aus Datenschutzgründen im externen wie im internen Datenverkehr nur verschlüsselt übertragen werden. Zur Verschlüsselung stehen beispielsweise GNU Privacy Guard (GnuPG) und Pretty Good Privacy (PGP) als freie Software-Programme zur Verfügung. Die verschlüsselte Speicherung wertvoller Informationen verhindert darüber hinaus größere Folgeschäden im Falle des Diebstahls von Speichermedien.
Sicherheitsprobleme ergeben sich auch beim Einsatz plattformübergreifender Technologien wie NFS-Shares und Samba. Hier muss genau definiert werden, welche Ressourcen zur Verfügung stehen sollen und über welche Protokolle zugegriffen wird. Eine sorgfältige Rechtevergabe gewährleistet darüber hinaus, dass unbefugte Nutzer nicht Zugang zu systemweiten Konfigurationsdaten, privilegierten Diensten und Entwicklungswerkzeugen bekommen.
Systemsicherheit mit LIDS und Snort
In der Regel verfügt nur der Administrator über umfassende Root-Rechte. Um zu verhindern, dass sich ein Angreifer Root-Rechte verschafft, bietet sich das Linux Intrusion Detection System (LIDS) an. Über dieses frei zugängliche System können sensitive Dateien und Verzeichnisse geschützt werden. Ferner ist es möglich, Root-Rechte und damit den zentralen Zugriff zu System- und Konfigurationsdateien genauer zu definieren. Das hält den Schaden möglichst gering, falls es zu einem erfolgreichen Einbruch in das System kommt. Bei einem unberechtigten Zugriff schließt das Linux Intrusion Detection System die Shell, von der aus der Zugriffsversuch erfolgte, und informiert den Administrator.
Als Sensor und Alarmsystem für Systemeinbruchversuche auf Netzwerkebene lässt sich das frei zugängliche Network Intrusion Detection System (NIDS) Snort einsetzen. Dabei entscheiden die individuellen Filterregeln darüber, welche Bandbreite an Angriffen erkannt wird. Grundsätzlich umfasst dies CGI-Angriffe, Buffer-Overflow-Attacken und versteckte Scans. Daneben können aber auch Denial-of-Service-Angriffe, Floodings und IP Stack Fingerprints erkannt werden. Einem Test der NSS Group zufolge, bei dem von IDS-Lösungen unter anderem 82 verschiedene Netzattacken zu erkennen waren, konnte Snort ohne spezielle Anpassungen 63 Angriffe, also 77 Prozent der Angriffe, erkennen. Doch letztendlich gilt auch hier der Grundsatz, dass es absolute Sicherheit nicht gibt.
Konfigurationsfehler, mangelhaftes Patch-Management
Die Sicherheit eines Systems muss als dynamischer Prozess verstanden werden, der kontinuierliche Überwachungsmaßnahmen, regelmäßige Sicherheits-Updates und sicherheitsrelevante Systemkonfigurationen verlangt. Das "sichere System" per se gibt es nicht. Unabhängig von der eingesetzten Software und dem zu Grunde liegenden Betriebssystem verlangt ein sicheres System einen kontinuierlichen, angemessenen Administrationsaufwand.
Durch das zeitnahe Aufspielen von Updates und Patches muss sichergestellt werden, dass das Netzwerk und jedes einzelne Subsystem permanent auf dem neuesten Stand sind. Wichtig ist dabei auch, dass die Sicherheits-Updates nur aus vertrauenswürdigen Quellen bezogen und vor der Installation ebenfalls einer Sicherheitsüberprüfung unterzogen werden. Der RedHat Package Manager RPM und das Advanced Packaging Tool APT von Debian verfügen bereits über eine integrierte Überprüfungsfunktion.
In heterogenen Umgebungen steigt der Administrationsaufwand und das Gefahrenpotenzial mit der Anzahl der eingesetzten Systeme. Zu jedem System müssen sicherheitsrelevante Meldungen beachtet und entsprechende Bugfixes eingespielt werden. Dabei gilt es für den Administrator, den Überblick zu behalten, auf welchen Systemen welche Funktionen aktiv sind, die von Würmern oder Viren ausgenutzt werden könnten. Die enge Verknüpfung mit Systemen von Auftraggebern, Partnerunternehmen und Kunden stellt eine weitere Gefahrenquelle dar, auf die der Administrator selbst nur begrenzt Einfluss ausüben kann.
AV-Lösungen unter Linux
Das unter GPL veröffentlichte AntiVirus Toolkit ClamAV verfügt über einen On-Access-Wächter, der permanent Dateizugriffe überwacht. Das Scannen der Mails erfolgt über einen flexiblen, skalierbaren Daemon. Er lädt die Scan Engine und die Signaturen und hält sie dauerhaft im Speicher parat. ClamAV enthält auch einen einfachen Befehlszeilenscanner.
Für die Integration des Wächters verwendet ClamAV das Kernel-Modul Dazuko, das die Dateizugriffsfunktionen auf eigene Routinen umlenkt. Dazuko lässt sich mit jedem Kernel kompilieren. Die Unabhängigkeit von einer bestimmten Kernel-Version wird also mit der Arbeit des Kompilierens durch den Anwender erkauft. Für die Mail-Integration greift ClamAV auf Milter für die Anbindung an sendmail zurück.
ClamAV erkennt eigenen Angaben zufolge über 20.000 Viren, Würmer und Trojaner. Es spürt auch Schädlinge auf, die in den Packformaten RAR (2.0), ZIP, gzip und bzip2 verpackt sind. Für infizierte Dateien werden die Optionen Desinfizieren, Löschen, Umbenennen und Verschieben von ClamAV selbst allerdings nicht angeboten. Der Administrator kann hier ein Script schreiben, das die gewünschten Maßnahmen vornimmt. Die Virendatenbank von ClamAntiVirus bleibt durch die Auslegung als Open-Source-Software und die damit verbundene öffentliche Beteiligung aktuell. Das automatische Update erfolgt über das Internet.
BitDefender, McAfee
Auch im kommerziellen Umfeld gibt es mittlerweile zahlreiche ausgereifte und erprobte Ansätze zur Virenbekämpfung unter Linux. Einige kommerzielle Anbieter offerieren ihre Programme zur kostenlosen privaten Nutzung.
Auch die Antivirenlösung BitDefender von Softwin GmbH ist als Free Edition zur unbeschränkten Nutzung erhältlich. Bitdefender ist ein reiner On-Demand-Virenscanner, der eigenen Angaben zufolge mehr als 76.000 der bekannten Viren, Würmer und Trojaner sowie andere digitale Schädlinge erkennt. Verdächtige Dateien werden in einem gesicherten Bereich unter Quarantäne gestellt, infizierte Dateien soweit möglich entfernt.
Wie bei allen On-Demand-Scannern muss auch hier der Systemverwalter den Virenscanner explizit aufrufen, damit dieser nach Schädlingen sucht. Einen residenten Hintergrundwächter gibt es in der Free Edition nicht. Das vollautomatische Update erfolgt ohne Registrierungszwang über das interne Netzwerk, via Internet oder über einen Proxy-Server. Ist der Ernstfall eingetreten, lassen sich auch Removal-Tools kostenfrei herunterladen.
McAfee Virus Scan ist als Befehlszeilenscanner für Windows/Unix erhältlich. Die zu Grunde liegende McAfee Scan Engine stellt umfangreiche Suchfunktionen für über 85.000 Bedrohungen zur Verfügung und erkennt Malware auch in Archiven, komprimierten Dateien und Packformaten.
Mittels heuristischer Analyse werden in der Datei typische Eigenschaften für Malware gesucht. Um die Anzahl an Fehlalarmen in Grenzen zu halten, werden gleichzeitig auch Eigenschaften ermittelt, die untypisch für Malware sind. Wurde eine infizierte Datei erkannt, wird versucht, diese zu desinfizieren. Wenn der Versuch fehlschlägt, muss der Administrator wie gewohnt die infizierte Datei ersetzen. VirusScan und das McAfee Security Center bieten regelmäßige Online-Update-Möglichkeiten an.
Kaspersky, F-Secure
Kaspersky Anti-Virus für Linux-Workstations des russischen Herstellers Kaspersky Labs ermöglicht eine äußerst effektive und komfortable Suche nach Malware. Neben der automatischen Prüfung aller Dateien kann der Anwender Prüfungen und Einstellungen für den Scanner und den Wächter auch manuell vornehmen. Der On-Access-Wächter wird mittels eines eigenen Kernel-Moduls im System verankert.
Die Integration in Webmin ermöglicht darüber hinaus die Fernadministration des Programms und der Konfiguration. Infizierte Dateien können gelöscht oder umbenannt werden, das Desinfizieren der Daten wird nicht angeboten. Über eine integrierte Funktion werden Aktualisierungen automatisch über das Internet heruntergeladen.
F-Secure AntiVirus für Linux des finnischen Herstellers F-Secure Corporation bietet dank zweier eigenentwickelter Scan-Engines und einer Scan-Engine von Kaspersky Labs eine exzellente Virensuchleistung. Die Scanmodule können als Daemon permanent im Speicher geladen sein. Der Befehlszeilenscanner kann entweder vom Benutzer auf Befehl aufgerufen werden oder als Plattform für automatisierten Virenschutz genutzt werden.
F-Secure AntiVirus für Linux stellt dem Anwender automatisierte und sichere, HTTP-basierte Aktualisierungen zur Verfügung. Geplant für den Spätsommer ist auch die Einführung einer zentral verwaltbaren Virenschutzlösung für Workstations und Server unter Linux. Die neue Software ermöglicht auch das zentrale Management von Firewall-Regeln auf Linux-Systemen. Dies kommt vor allem Administratoren zugute, die heterogene Umgebungen auf dem aktuellen Stand halten müssen.
Juristische Anforderungen
Neben den praktischen Anforderungen muss ein Unternehmen heute auch aus rechtlicher Sicht zunehmend für eine sichere IT sorgen. So gilt es, die Richtlinien des Bundesdatenschutzgesetzes (BDSG) umzusetzen. Durch Verschlüsselung kann darüber hinaus die Unversehrtheit von Daten sichergestellt werden. Zusammen mit einem unbestreitbaren Ursprungsnachweis für E-Mails lässt sich so ein hohes Maß an Prozesssicherheit und Rechtsverbindlichkeit gewährleisten. In Vorgaben wie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und Basel II wird dem Management ferner die Einführung effizienter Risikomechanismen auferlegt. Auch in Sicherheitsrichtlinien wie dem IT-Grundschutzhandbuch werden haftungsrelevante Fragestellungen und Rahmenbedingungen an Unternehmen herangetragen.
Doch letztlich obliegt es jedem Unternehmen und jedem Administrator selbst, sich um die eigene Sicherheit zu kümmern. So muss sich der Administrator eigen-ständig über neue Sicherheitslücken und aktuelle Patches auf dem Laufenden halten. Dafür stehen unterschiedliche Informationsquellen zur Verfügung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das CERT/CC (Computer Emergency Response Team der Carnegie Mellon Universität), das System-Administration-, Networking- und Security-Institute (SANS), Secunia und tecCHANNEL bieten regelmäßig aktuelle Informationen. Hersteller- und systemspezifische oder sicherheitsspezifische Newsgroups und Mailing-Listen wie SecurityFocus und FullDisclosure verschaffen zusätzlichen Überblick.
Diesen Artikel und eine ganze Reihe weiterer Security-Themen finden Sie auch in unserem tecCHANNEL-Compact "Sicherheit für Netzwerk & Server". Diese Ausgabe können Sie für 9,90 Euro in unserm Online-Shop versandkostenfrei bestellen. Ausführliche Infos zum Inhalt des tecCHANNEL-Compact "Sicherheit für Netzwerk & Server" finden Sie hier. (jlu)