Der Vogel-Strauss-Effekt Marc Ruef | 01.10.2007 Ich selbst postuliere seit jeher eine Whitebox-Herangehensweise bei Sicherheitsüberprüfungen. Indem dem Tiger-Team nach Möglichkeiten alle Informationen zu den Zielobjekten bereitgestellt werden, soll ein Maximum an wirtschaftlicher und wissenschaftlicher Performance gewährleistet werden können. Die Experten sind dadurch in der Lage, sofort ihr Fachwissen auszuspielen, ohne sich mit der langwierigen und stumpfsinnigen Sammlung von allgemeinen Daten herummühen zu müssen. Netzwerküberprüfungen werden vorzugsweise in dieser Art von uns durchgeführt. Der Kunde liefert die IP-Adressen der Zielsysteme oder wenigstens die ihm zugeteilten Adressbereiche. Durch ein umfassendes Mapping werden während der ersten Phase die existenten und erreichbaren Zielsysteme ausgemacht. In einer übersichtlichen Liste werden diese dokumentiert, mit einigen Bemerkungen versehen (potentieller Webserver, wurde mit Reverse-Lookup und TCP-Mapping gefunden, etc.) und dem Kunden zur Absegnung zugeschickt. Er hat sich sodann darum zu bemühen herauszufinden, ob dies alle die von ihm für das Testing vorgesehenen Systeme sind. Falls nicht, wird der Mapping-Prozess erweitert. Nicht selten ist es so, dass die IT-Leiter oder Sicherheitsverantwortlichen von Unternehmungen nichts oder nur wenig über ihre Systeme wissen. Mir sind teilweise grössere Betriebe bekannt, auch im Finanzbereich, die noch nicht einmal ein aktuelles Netzwerkschema mitbringen können. Als externer Berater, der auf solche Grunddaten früher oder später angewiesen ist, wird dies sodann schnell zur unangenehmen Situation. Bei einer wenige Monate zurückliegenden Arbeit ging es darum, drei Finazinstitute zeitgleich zu prüfen. Der Auftrag wurde von der Informatik-Abteilung, welche alle drei Firmen betreut, vergeben. Voraussetzung für das Reporting war, dass die Resultate in dedizierten Berichten vorgelegt werden sollten. Die einzelnen Zielobjekte und Schwachstellen mussten also den jeweiligen Organisationen zugewiesen werden. Dies ist nicht weiter ein Problem. Bei Vulnerability Assessments arbeiten wir mit einem eigens angefertigten datenbankgestützten System. Dies erlaubt eine Normalisierung und Zuweisung der Daten. Dadurch werden ebenfalls komplexe Planspiele möglich. So können wir beispielsweise exakt ausweisen, wieviele Fehler zum Beispiel auf den Webserver-Systemen der letzten 10 Sicherheitsüberprüfungen bei Privatbanken einer Grösse bis 200 Mitarbeiter auf eine fehlerhafte Konfiguration zurückzuführen ist. Ich steh auf sowas. Unsere Kunden auch. Beim Information Gathering konnte ich schon einige Systeme den jeweiligen Firmen zuordnen. Dies geschah in erster Linie anhand der Host- bzw. Domainnamen. Da sich diese jedoch in ein und dem selben IP-Adressbereich befinden, konnte ich Hosts ohne Namensauflösung nicht selbstständig zuweisen. Ich schickte also vor dem Export des Reports aus der Datenbank dem Kunden eine Liste, in der er die jeweiligen Zuweisungen selbst vornehmen sollte. Dies sollte und eine reibungslose und akkurate Generierung der Resultate erlauben. Die Zeit tat Not, weshalb ich den IT-Leiter nach dem Abschicken meines Emails sofort anrief. Ich erklärte ihm den Sachverhalt und legte ihm nahe, die Liste schnellstmöglich auszufüllen. Schliesslich wäre die Abgabe des Reports nur noch von ihm abhängig. Sofort begann er sich damit zu brüsten, dass ich als vermeintlich guter Angreifer ja nicht mal in der Lage gewesen sei, in ihrer angeblich hochsicheren Umgebung die Hosts zuzuweisen. Damit sei ja schon fast die Schlacht gewonnen. Ich musste ab dieser Antwort schmunzeln und erwiderte, dass ich diese Eigenschaft nicht als "Security-Killer" betrachte. Einem Angreifer ist es unter Umständen egal, ob er nun Bank X oder Bank Y angreift. Hauptsache er kann sich in der von ihm angestrebten Weise bereichern. Ich merkte, dass der Kunde meine Antwort nicht mochte, denn irgendwie habe ich ihm damit seine Freude auf den guten Report versaut. Ich wollte zudem nicht anmerken, dass ich 30 Minuten vorher root auf dem Datenbankserver wurde, weil in einem vergessenen Backup die Zugangsdaten im Klartext abgelegt wurden. Von einer hohen Sicherheit konnte man also punktuell sowieso nicht sprechen... Im Sicherheitsbereich sind die Menschen wie anderswo auch: Sie bleiben Menschen. Begleitet von Ängsten und Wünschen reagieren sie. Jenachdem welche philosophische Schule man vertritt, tun sie dies gar ohne eigenen Willen. Dann kann man genau solche Sachen wie den Vogel-Strauss-Effekt beobachten: Seh ich das Problem nicht, werden es auch die anderen nicht sehen. Leider ist angewandte Informationssicherheit nicht so einfach. Es gibt nämlich immer irgendjemanden, der etwas mehr sieht, als man selbst.