Ist Undankbarkeit Lohn der Dummen? Marc Ruef | 15.08.2005 Ja, ich bin der Meinung, dass ich den schönsten aller modernen Berufe habe. Als Sicherheitsberater im IT-Umfeld sehe ich eine Vielzahl an Unternehmen, komme mit haufenweise interessanten Leuten in Kontakt und darf mich aufregenden Herausforderungen stellen. Ich meine, wer darf schon von sich aus behaupten, dass es seine Aufgabe ist in Bankensysteme einzudringen, ohne mit juristischen Repressalien rechnen zu müssen? Ich kriege gar noch Geld dafür! Wie jede Medaille hat auch diese zwei Seiten. Computersicherheit ist ein komplexes Thema, das aus vielen verschiedenen Blickwinkeln betrachtet und betrieben werden kann. Die gegebenen Probleme schlagen sich auf psychologischer, soziologischer, kultureller, konzeptioneller, organisatorischer und technischer Ebene nieder. All diese Bereiche mit einem soliden Verständnis auch nur annähernd abdecken zu können, stellt eine Lebensaufgabe dar, die man nicht mal eben mit einem kleinen "Hacker-Kurs" (http://www.computec.ch/forum_viewtopic.php?14.1964) von 2 Tagen einverleiben kann. Weitreichendes Interesse und anhaltende Erfahrung sind in dieser Hinsicht unabdingbar. Vor rund 2 Monaten rief uns ein namhaftes schweizer Finanzinstitut an, das ihre Perimeter-Sicherheit überprüft haben wollte. In einem kleinen Security Audit haben wir die Sicherheit der Umgebung des Neukunden bestimmen sollen. Der Auftrag war wirklich klein, denn der offizielle IP-Bereich umfasste lediglich 16 Adressen, von denen lediglich drei genutzt und direkt vom Internet aus erreichbar waren. Ich habe schon lange nicht mehr einen solch kleinen Security Audit durchgeführt und so freute ich mich schon fast ein bisschen darauf, die Arbeit effizient, in kurzer Zeit und nahezu perfekt über die Bühne bringen zu können. Die technische Umsetzung dessen war in der Tat eine simple Aufgabe. Die drei durch mich über das Internet erreichbaren Systeme waren die externe IP-Adresse der Cisco PIX Firewall (http://www.computec.ch/download.php?view.222), ein Microsoft-Mailserver (SMTP) (http://www.computec.ch/download.php?list.27) und der offizielle Webserver (Apache, HTTP und OpenSSL) (http://www.computec.ch/download.php?list.26) des Unternehmens. Die Firewall schien einwandfrei konfiguriert: Das Regelwerk war solide aufgebaut und keine anderen Schwächen im Produkt innert der vorgegebenen Zeitspanne auffindbar. Der Mailserver wies hingegen einige kleinere Konfigurationsfehler auf, wodurch der Host zum Beispiel als SMTP-Relay (http://www.computec.ch/download.php?list.27) für bestimmte - nicht alle - Zieladressen missbraucht werden konnte. Dieser Umstand begünstigt in erster Linie technisch unterstützte Social Engineering-Attacken (z.B. Phishing) (http://www.computec.ch/download.php?list.35). Trotzdem eine kleine Sache, die später mit einigen wenigen Einstellungsänderungen aus der Welt geschafft werden kann. Als wirklich problematisch gestaltete sich hingegen die Installation des Webservers: Auf diesem kamen eine uralte Versionen von Apache und OpenSSL zum Einsatz. Für diese waren mindestens ein halbes Duzent Schwachstellen und Exploits zur automatisierten Ausnutzung dieser bekannt. Alleine diese Gegebenheit führte dazu, dass im Management Summary meines Berichts die externe Sicht des Unternehmens als "teilweise mangelhaft" eingestuft werden musste. Eine verhältnismässig schlechte Wertung, die ich seit Jahren nicht mehr vergeben habe - Das letzte mal vor 4 Jahren, als ich einen Online-Broker überprüfte. Wie immer stellten wir dem Kunden unsere Resultate in einer kurzen Abschlusssitzung vor. Normalerweise diskutieren wir in der vorgetragenen Präsentation die gefundenen Probleme, Abhängigkeiten und anzustrebenden Massnahmen. An dieser Besprechung anwesend war ebenfalls der für die Umgebung zuständige Techniker, dem die zusammengefassten Daten des Abschlussberichts natürlich gar nicht entsprachen: Er fühlte sich übergangen, gedemütigt und falsch verstanden. Er gestand zwar ein, dass der Webserver mit veralteten Software-Komponenten bestückt war. Zeitgleich relativierte er das Problem, indem er behauptete, dass sich auf diesem Host keine sensitiven Daten finden würden. Dies mag stimmen, doch betrachtet man die gegenwärtige Netzwerktopologie des Unternehmens, kann ein solch kompromittiertes System einfach für Angriffe auf andere Rechner der DMZ und des internen Netzwerks gebraucht werden. Ich postulierte, dass ich innert 120 Sekunden nach Übernahme des Webservers die ersten verheehrenden Attacken gegen die anderen Systemen fahren könnte. Innerhalb von fünf Minuten müsste ich einen nächsten Host unter Kontrolle haben. Die neu anvisierten Rechner seien gegen solche direkten Angriffe einfach nicht gewappnet, da man von einem ausreichenden Schutz durch die Perimeter-Firewall ausging - Patching, Hardening und Personal Firewalling schien sodann in einer Kosten/Nutzen-Hinsicht unwirtschaftlich. Das wären sie auch gewesen, wären da diese dummen Fehler auf dem Webserver nicht vorhanden... Meine fundierte Argumentation liess für mich und meine Kollegen keine Zweifel, geschweigedenn eine Diskussion, zu. Mein Gesprächspartner, der Techniker des überprüften Unternehmens, ignorierte diese jedoch gänzlich und wies nocheinmal darauf hin, dass sich "dort" keine sensitiven Kundendaten finden lassen. Ich versuchte - ich muss eingestehen: mit schwindender Geduld - meinem Gegenüber die Sachlage zu erklären. Die Probleme von Hopping-Angriffen, Routing-Attacken und Sniffing-Zugriffen schienen ihn kalt zu lassen; wahrscheinlich, weil das Verständnis für diese Dinge gänzlich fehlte. Entsprechend verliessen wir alle die Sitzung mit einem unangenehmen Gefühl der Ohnmacht. Obschon wir gute und solide Arbeit geleistet hatten, wurde diese nicht anerkannt. Stattdessen wurde sie unwissenschaftlich in Frage gestellt und somit der eigentliche Erfolg des Audits - das Bestimmen und Erhöhen der Sicherheit der getesteten Umgebung - gefährdet. Ob und inwiefern der Kunde die durch uns empfohlenen Massnahmen umsetzen werden will, wissen wir noch nicht. Die Chancen sind jedoch sehr gering, so dass sich voraussichtlich in einem halben Jahr noch immer die gleichen Bugs auf dem Apache-System finden werden. Wie ich in einer meiner letzten forensischen Analysen eines Computereinbruchs (http://www.computec.ch/comment.php?comment.news.31) einmal mehr gesehen habe, wird sich diese Ignoranz längerfristig zwangsweise rächen. Und zwar spätestens dann, wenn statt eines "guten Auditors" ein "böser Angreifer" die Lücken für sich entdeckt. Wer in der Lage ist Fehler einzugestehen und an diesen zu arbeiten, der minimiert das Zeitfenster zur Ausnutzung dieser. Wie der deutsche Philosoph Friedrich W. Nietzsche so schön sagte: Der Mensch muss lernen, das Menschliche - in diesem Falle die Engstirnigkeit - zu überwinden.