Swiss Vulnerability Report Pascal Mittner CEO Allon Moritz CTO

Transkript

1 Swiss Vulnerability Report 213 Pascal Mittner CEO Allon Moritz CTO Chur, 14. Oktober 213

2 Gestaltung: Hü7 Design, Titelbild: Gary Fotolia.com

3 Swiss Vulnerability Report 213 Pascal Mittner CEO Allon Moritz CTO Chur, 14. Oktober 213

4 Inhaltsverzeichnis 1. Management Summary 5 2. Vorwort 5 3. Einführung Einleitung Kennzahlen zur Prüfung 6 4. Inventarisierung Betriebssysteme Dienste 1 5. Schwachstellen Branchen Angreifbare Betriebssysteme Dienste mit Schwachstellen Fazit Fazit der Ergebnisse Software Updates Firewall richtig konfigurieren Vulnerability Management Glossary CVE CVSS Betriebssystem Port Schwachstelle Vulnerability Branchen Private Disclaimer 23 4

5 1. Management Summary Die First Security Technology AG (FST) hat erstmals einen Swiss Vulnerability Report verfasst. Für den Report wurde die ganze Schweiz während 6 Tagen einer IT-Sicherheitsprüfung in Form eines passiven Schwachstellentests unterzogen. Bei diesem Test wurden via Internet gewöhnliche Anfragen an die Dienste aller IP-Adressen gestellt. Jeder aktive Dienst, der bei dieser Kommunikation angesprochen wurde, lieferte in der Folge Metadaten, die Informationen unterschiedlichster Art enthalten. Diese Informationen wurden mit der CVE-Datenbank (Common Vulnerabilities and Exposures) der First Security Technology AG, die über 55 Schwachstellen kennt, verglichen. Auf diese Art liessen sich die möglichen Schwachstellen ermitteln, die dazu führen, dass Schadsoftware die Kontrolle über Server und Computer übernehmen, Daten manipulieren, stehlen, zerstören oder verändern und Internetzugänge stören oder verunmöglichen kann. Der liefert einen bisher nicht gekannten umfassenden Einblick in die Sicherheit der öffentlich zugänglichen IT in der Schweiz. Die Resultate des Swiss Vulnerability Reports 213 bestehen unter anderem in Aussagen über: die Zahl der ans Internet angeschlossenen aktiven IP-Adressen; die Top-1-Betriebssysteme, die hierzulande verwendet werden; die Anzahl und die Gefährdungsstufen der Schwachstellen der einzelnen Betriebssysteme; die Häufigkeit von Schwachstellen in unterschiedlichen Versionen der verschiedenen Betriebssysteme; die Häufigkeit der Dienste der einzelnen Ports im Internet; die 1 Applikationen mit den meisten Schwachstellen; die Anzahl der Schwachstellen in verschiedenen Branchen in absoluten Zahlen; die Anzahl der Schwachstellen pro IP-Adresse in verschiedenen Branchen; Schwachstellen, die durch die Anbindung von Smartphones entstehen. Mit dem gewinnt der Leser bemerkenswerte und auch überraschende Erkenntnisse. Die Ergebnisse des Reports können dazu beitragen, Entscheidungsträger aus Wirtschaft und IT dafür zu sensibilisieren, die Sicherheitspolitik in der eigenen IT zu überdenken und -prüfen. Sie liefern zudem erste Anhaltspunkte, wo sich Schwachstellen und Sicherheitslücken besonders wirksam und mit relativ wenig Aufwand schnell schliessen lassen. 2. Vorwort Liebe Leserinnen, liebe Leser Cyber ist in aller Munde. Egal ob damit Cyber-Crime, Cyber-Spionage oder sogar Cyber-War gemeint ist. Die Frage ist aber, warum wird die Cyber-Problematik so oft diskutiert? Liegt es nur an den neuen Technologien, an der immer schnelleren und besseren Vernetzung der Gesellschaft oder liegt es auch am Verhalten jedes Einzelnen? Eine funktionierende IKT ist heute ein Grundbedürfnis. Sehr oft wird die dafür benötigte Infrastruktur aufgebaut, dann jedoch nachlässlich gewartet. Einem Angreifer wird es dadurch sehr einfach gemacht, die Infrastruktur zu manipulieren, denn grundsätzlich spielt es keine Rolle welche Betriebssysteme im Einsatz sind. Alle sind verwundbar und ihre Aufgabe ist es, genau diese Verwundbarkeiten zu kennen und entsprechende Massnahmen einzuleiten. Der vorliegende Swiss Vulnerability Report zeigt deutlich auf, dass alle ihre Eigenverantwortung wahrnehmen müssen. Egal ob Privatperson, KMU, Betreiber von kritischen Infrastrukturen oder der Staat. Sie sind verantwortlich für den sicheren Betrieb ihrer IKT, denn dadurch schützen Sie nicht nur sich, sondern auch ihre Kunden und den Wirtschaftsstandort Schweiz. Pascal Lamia Leiter der Melde- und Analysestelle Informationssicherung MELANI 5

6 3. Einführung 3.1 Einleitung 3.2 Kennzahlen zur Prüfung Die First Security Technology AG (FST) gehört seit Jahren zu den führenden Herstellern von Schwachstellenanalyse-Software im deutschsprachigen Raum. Zu unseren Kunden zählen kleine, mittlere und grosse Unternehmen in der ganzen Schweiz und im grenznahen Ausland. Vor dem Hintergrund dieser Kompetenz entstand die Idee eines ersten Swiss Vulnerability Reports. Dieser sollte die ganze Schweiz einer IT-Sicherheitsprüfung unterziehen. Aus rechtlichen Gründen darf ein aktiver Security Scan, der relativ tief in IT-Systeme vordringt, nicht ohne Einwilligung der Besitzer und Betreiber durchgeführt werden. Eine Inventarisierung mit passivem Schwachstellentest hingegen ist rechtlich unproblematisch. Dabei werden gewöhnliche Anfragen an die Dienste gerichtet. Die Metadaten, die bei einer solchen legitimen Kommunikation mit einem aktiven Dienst von diesem zurückgesendet werden, enthalten Informationen unterschiedlichster Art. Diese Informationen liefert der Dienst standardmässig; sie sind also öffentlich. Die so gewonnenen Informationen verglichen wir mit unserer CVE-Datenbank (Common Vulnerabilities and Exposures), um sie auf mögliche Schwachstellen zu überprüfen. Der Bericht fasst diese Informationen zusammen, angereichert mit interessanten Erkenntnissen, die sich daraus gewinnen liessen. Die hier aufgedeckten Schwachstellen stellen potenzielle Gefahren dar, die ausschliesslich auf Fehlern der Software beruhen. Andere Risiken und Falschkonfigurationen wie zum Beispiel Standardpasswörter werden bei dieser Studie nicht berücksichtigt. Es gibt weltweite Reports oder Auswertungen von anderen Kontinenten. Die reflexartige Reaktion auf Vergleiche mit dem Ausland ist oft, in der Schweiz sei es besser um die IT-Sicherheit bestellt. Bei diesem Bericht aber ging es nicht darum, die Schweiz mit dem Ausland zu vergleichen; einziger Bezugspunkt ist die Schweiz selbst. Ziel des Berichts ist, die aktuelle Situation in der Schweiz zu beschreiben und das Bewusstsein für IT-Schwachstellen hierzulande zu verbessern. Gerne zeigen wir Firmen auch konkret auf, wo sich ihre Schwachstellen befinden. Dazu inventarisieren wir Ihre öffentlichen IT-Systeme. Nehmen Sie Kontakt mit uns auf. Es lohnt sich. Die Inventarisierung Ihrer fixen öffentlichen IP-Adressen führen wir kostenlos für Sie durch. Während 6 Tagen, zwischen dem 2. Juni 213 und dem 2. August 213, prüfte unser System über 19 Millionen IP-Adressen, die einem Schweizer Unternehmen zugewiesen sind. Auf über 925 Hosts fanden wir mindestens einen aktiven Dienst. 5% Nicht aktiv 19 Aktiv % 1: IP-Adressen mit aktiven Diensten 6

7 Das System von FST erkannte über 6 9 verschiedene Produkte, die über IP-Adressen ansprechbar sind. Diese wurden mit unserer CVE-Datenbank, die über 55 Schwachstellen kennt, verglichen. Abbildung 2 zeigt die Top-1-Betriebssysteme mit den meisten Schwachstellen. Der Schweregrad der Schwachstellen ist in fünf Kategorien unterteilt: vernachlässigbar, klein, mittel, hoch und sehr hoch. Betriebssysteme Linux Microsoft Apple Cisco Sun Roku FreeBSD Linksys VMware OpenBSD verschiedene Schwachstellen Anzahl Vernaschlässigbar Anzahl klein Anzahl mittel Anzahl hoch Anzahl sehr hoch 2: Die Betriebssysteme mit den meisten Schwachstellen Abbildung 3 zeigt die 1 Applikationen mit den meisten Schwachstellen. Der Schweregrad der Schwachstellen ist auch hier in die fünf Kategorien unterteilt: vernachlässigbar, klein, mittel, hoch und sehr hoch. Applikationen MySQL Apache httpd OpenSSH ISC BIND Sendmail Apache Advanced Extranet Server IMail pop3d ProFTPD Microsoft IIS webserver Zope verschiedene Schwachstellen Anzahl Vernaschlässigbar Anzahl klein Anzahl mittel Anzahl hoch Anzahl sehr hoch 3: Die Applikationen mit den meisten Schwachstellen 7

8 4. Inventarisierung Hosts gefunden Unbekannt Identifiziert 2% 1% 15% Firewall Server Router Switch 43% 57% 95% 82% 4: Aktive Hosts Es konnten über 4% der aktiven Hosts identifiziert und ihr Betriebssystem erkannt werden. Bemerkenswert: Auf dem grössten Teil der Hosts (22 ) sind Server-Betriebssysteme wie zum Beispiel Windows-Server 28 installiert. Auf 4 IP-Adressen sind Firewalls ansprechbar. Switches (3 ) und Router (5 3), die für die Netzwerkverbindungen nötig sind, befinden sich dabei in der absoluten Minderheit. 4.1 Betriebssysteme Abbildung 5 verdeutlicht die ausserordentlich starke Verbreitung von Linux auf Server- Seite. Gründe für diese Dominanz sind die gute Performance, die hohe Flexibilität, tiefe Lizenzkosten und das Image als sicheres Betriebssystem. Betriebssysteme Linux Microsoft ZyXEL Linksys AVtech Cisco FreeBSD Juniper IPCop Motorola Hosts 5: Anzahl der Betriebssysteme in der Schweiz mit Anbindung ans Internet 8

9 Apple findet im Serverbereich keinen grossen Anklangt; mit etwas mehr als 3 7 Systemen reicht es nicht in die Top 1. Bei den Microsoft-Servern führen die 28-Versionen, dicht gefolgt von Microsoft- Server 23. Eher überraschend sind auch viele Desktopversionen aktiv ans Internet angebunden, wie etwa Windows 7, XP und Vista. Auch wurden Betriebssysteme identifiziert, die nicht mehr unterstützt werden. Dazu zählt zum Beispiel Windows 2, das mit immerhin noch über 3 IP-Adressen im Internet erreichbar ist. Nicht mehr unterstützt bedeutet: Der Hersteller entwickelt das System nicht mehr weiter und stellt keine Updates und Patches mehr zur Verfügung. Das erschwert es stark, neu entdeckte Schwachstellen zu schliessen falls dies überhaupt noch möglich ist. Das älteste Betriebssystem aus dem Hause Microsoft, das wir identifizieren konnten, ist das Urgestein Windows 3.1 es ist mit noch 5 Exemplaren ans Internet angebunden. Erstaunlich ist auch diese Erkenntnis: Über 1 Windows-Phones lassen sich direkt aus dem Internet ansprechen. Wir beurteilen dies als Gefahr, weil die Smartphones über eine leistungsstarke Hardware und einen schnellen Internetzugang verfügen. Sie werden zur Synchronisation an den PC und das interne Netzwerk angeschlossen. Dabei hinken jedoch die Sicherheitseinstellungen und -lösungen dem Stand der Technik in der Regel nach. Über 46 Windows-Systeme, die nicht mehr vom Hersteller unterstützt werden, sind direkt ans Internet angebunden. Windows Versionen XP Vista 28 r2 Phone Hosts 6: Windows-Versionen 9

10 4.2 Dienste Die fast 2 Millionen IP-Adressen der Schweiz wurden auf die 27 Dienste [siehe Liste 7.4 im Anhang], die am meisten verwendet werden, überprüft. Dabei entdeckten wir über 1,4 Millionen aktive Dienste. Über ein Drittel dieser Dienste gab das Produkt und die Version der Applikation preis, die auf dem Dienst läuft Dienste gefunden Erkannt Nicht erkannt 64% 36% Scan-Dauer 35 Tage Wie Abbildung 7 zeigt, übersteigt Port 88 alle anderen Dienste um ein Mehrfaches. Die detaillierte Untersuchung ergab, dass 555 der gesamthaft 565 aktiven Ports 88 zu einem Router gehören, der einen Remotezugriff für Updates und Konfigurationen bereitstellt. Der Dienst ist zwar aktiv, kann aber nur von bestimmten Quellen (in der Regel vom Provider) angesprochen werden. Auf den ersten Blick sieht dies sicher aus. Doch was geschieht, wenn es beim Router und dessen Schutzmechanismus eine Schwachstelle gibt? Solche Router setzen hauptsächlich Privatpersonen und Kleinstunternehmen ein. Neben dem Spezialfall des Ports 88 führen die Dienste für HTTP (8) und HTTPS (443), gefolgt von FTP (21) und Mail (25, 11, 143) die Rangliste der am meisten verwendeten Dienste an Aktive Ports TCP Ports 7: Häufigkeit der Dienste [Details der Dienste siehe 6.4 im Anhang] 1

11 Linux ist das meistverwendete Betriebssystem. Es ist daher nur logisch, dass Apache als Webserver und OpenSSH für den Remote-Zugriff am häufigsten eingesetzt werden. An zweiter Stelle steht der IIS-Webserver von Microsoft. Für seine Administration wird oftmals Remotedesktop (Terminalserver) verwendet. Erstaunlicherweise gibt es viel weniger FTP- Server als Webserver. Dies zeigt, dass viele Webserver keinen direkten FTP-Zugang mehr zur Verfügung stellen. Als Mailserver wird am häufigsten Microsoft verwendet. Bemerkenswert: Über 1 MySQL-Datenbanken sind direkt übers Internet erreichbar. Applikationen Apache httpd Microsoft IIS Webserver OpenSSH Microsoft Terminal Service ProFTPD Embedded Allegro RomPager Webserver Microsoft ESMTP MySQL Aktive Ports 8: Produkte der Dienste Über 11 Datenbanken und knapp 2 Terminalserver sind übers Internet erreichbar Apache Die Versionsdarstellung in Abbildung 9 verdeutlicht die starke Verbreitung von Apache 2.2.x. Das Betriebssystem Linux Ubuntu LTS zum Beispiel verwendet standardmässig die Apache-Version Die aktuellste Apache-Version (Stand September 213) wurde während der Inventarisierung nicht gefunden. Es sind also ausschliesslich nicht aktuelle Apache-Versionen im Einsatz. Server Apache Versionen 9: Apache-Versionen 11

12 5. Schwachstellen 69 Mio Schwachstellen gefunden Max CVSS 1. Schwachstellen/IP 74 Sind die Betriebssysteme, Dienste und ihre Versionen identifiziert, lassen sich durch einen Vergleich mit unserer CVE-Datenbank die potenziellen Schwachstellen ermitteln. Wir decken dabei ein Potenzial von über 69 Millionen Schwachstellen auf. Übertragen auf die aktiven Systeme bedeutet dies im Durchschnitt 74 Schwachstellen pro aktives System oder 48 pro aktiven Dienst in der Schweizer Internetlandschaft. Die Bedeutung der Schwachstellen kann von klein bis hin zu kritisch reichen. Kritische Schwachstellen entsprechen dem CVSS-Wert (CVSS: Common Vulnerability Scoring System) von 1. Dies ist der maximal mögliche und bei unseren Untersuchungen auch tatsächlich entdeckte Wert. 5.1 Branchen Der Vergleich der verschiedenen Branchen und ihrer Schwachstellen ist äusserst spannend. Gibt es Branchen, die mehr Schwachstellen als andere aufweisen, oder sind diese branchenunabhängig verteilt? Für unseren Vergleich teilten wir die IP-Adressen in 16 Branchen ein. Ein Grossteil der IP-Adressen wird via Internet Service Provider (ISP) dynamisch für den Internetzugang von Privatpersonen und Kleinstunternehmen vergeben. Um die Grafik übersichtlicher zu gestalten, sind in Abbildung 11 die IP-Adressen der ISPs nicht aufgeführt. 75% der aktiven IP-Adressen sind einem ISP zugeordnet und weisen neben diesem keinen spezifischen Besitzer aus. ISP Rest 75% 25% 1: Aufteilung aktive IP-Adressen der ISPs zu allen anderen Bereichen 12

13 Lässt man die «anonymen» IP-Adressen der ISPs ausser Acht, bieten die Branchen Kommunikation, Dienstleistung, IT und Wissenschaft am meisten Services im Schweizer Internet an. Die Anzahl ihrer Schwachstellen korreliert dabei weitgehend mit der Anzahl Adressen. Ein Ergebnis aber sticht positiv heraus: Die Industrie weist im Verhältnis zur Anzahl aktiver Systeme erstaunlich wenige Schwachstellen auf. Unter «Private» sind Privatpersonen zu verstehen, die ihre eigenen fixen IP-Adressbereiche besitzen. Privatpersonen, die nicht über eine eigene registrierte IP-Adresse verfügen, sind in der Branche ISP enthalten. Die wesentliche Erkenntnis dieses Vergleichs: Praktisch jede Branche sollte sich intensiver mit Schwachstellen auseinandersetzen. Hosts Kommunikation Dienstleistungen IT Wissenschaft Industrie Energie Banken Behörden Versicherungen Gesundheitswesen Pharmaindustrie Baugewerbe Private Tourismus Landwirtschaft Branchen Schwachenstellen 11: Anzahl Schwachstellen und aktive Hosts nach Branchen, ohne ISP Für einen Branchenvergleich berechneten wir auf der Basis unserer Analysen die durchschnittliche Anzahl Schwachstellen pro aktive IP-Adresse. Abbildung 12 zeigt, dass das grösste Verbesserungspotenzial beim Gesundheitswesen liegt dicht gefolgt von den Behörden. In der Kategorie ISP befinden sich die Privatpersonen und Kleinstunternehmen ohne eigene registrierte IP-Adresse. Negativ überrascht Platz 4: die Banken. Die Probleme liegen nicht im E-Banking. Vielmehr werden zahlreiche Webseiten und -services mit einer Vielzahl von Schwachstellen angeboten. Vorbildlich dagegen sind die Branchen Tourismus und Industrie. Sie weisen die wenigsten Schwachstellen aller Branchen aus. Bei der Industrie ist dies nicht weiter erstaunlich, löste doch das Thema SCADA in jüngster Zeit ein Umdenken bei der Sicherheit aus, zumindest hinsichtlich der Perimeterinfrastruktur. SCADA steht für Supervisory Control and Data Acquisition und bezeichnet das Überwachen und Steuern technischer Prozesse mittels eines Computersystems. 13

14 Branchen Gesundheitswesen Behörden ISP Banken Wissenschaft Dienstleistungen Baugewerbe Private IT Pharmaindustrie Versicherungen Kommunikation Energie Landwirtschaft Industrie Tourismus Schwachenstellen/Host 12: Schwachstellen pro aktive IP-Adresse nach Branche 5.2 Angreifbare Betriebssysteme Was die Anzahl Schwachstellen betrifft, sind die Linux-Distributionen mit Abstand und im negativen Sinne «führend». Die Linux-Hosts weisen über 63 Millionen Sicherheitslücken auf. Dies entspricht 95% sämtlicher entdeckter Schwachstellen. Am zweitmeisten Schwachstellen weist Microsoft auf. Diese Systeme lassen die nächsten Ränge die Switches, Router und Firewalls von Cisco ebenfalls weit hinter sich. Im Vergleich dazu bieten die verschiedenen Unix-Derivate der BSD-Familie relativ wenig Angriffsfläche durch Schwachstellen. Abbildung 13 zeigt, dass 3% der Systeme auf Linux laufen diese aber 95% der Schwachstellen ausmachen. Es stellt sich eine interessante Frage: Wieso weist Linux viel mehr Schwachstellen pro erreichbares System als Microsoft auf? Wir konnten zwei Gründe als Ursache ermitteln: Erstens Microsoft lernte in den letzten Jahren, ihre viel kritisierten Schwachstellen durch einen automatisierten Prozess schnell zu beheben. Linux-Systeme dagegen werden meist installiert und konfiguriert und danach nicht mehr gepflegt. Frei nach dem Motto: «Never touch a running system». Zweitens Es gibt eine sehr grosse Anzahl Embedded Systems auf dem Markt, die auf Linux basieren. Diese Geräte und Anwendungen werden ebenfalls selten aktualisiert. Untersucht man die hohe Anzahl Systeme in der Kategorie ISP und deren Schwachstellen genauer, stellt man fest, dass die allermeisten Schweizer Schwachstellen auf veraltete Netzwerkdevices (Switches, Routers und Firewalls) zurückzuführen sind. Bei diesen Geräten sind auch die Betriebssysteme nicht mehr aktuell. 14

15 3% 5% Andere Schwachstellen Linux Schwachstellen Andere Hosts Linux Hosts 95% 7% 13: Linux-Systeme und Schwachstellenanteil von Linux Vergleicht man die Zahl der aktiven Hosts in der Kategorie ISP mit ihren Schwachstellen, zeigt sich: 23% der aktiven Systeme verzeichnen 5% der Schwachstellen. Ein wirkungsvolles Element, um die Schweiz sicherer zu gestalten, wäre, die 23% der überholten Systeme zu aktualisieren. 23% Andere Schwachstellen ISP Linux Schwachstellen ISP Andere Hosts ISP Linux Hosts ISP 5% 5% 77% 14: Anzahl Hosts mit Linux im Vergleich zur Anzahl Schwachstellen bei Linux in der Kategorie ISP 15

16 Anzahl Hosts Betriebssysteme Microsoft Cisco Linksys Apple FreeBSD Sun OpenBSD VMware NetBSD Roku Anzahl Schwachenstellen 15: Total der Schwachstellen und aktive Hosts nach Betriebssystem ohne Linux Betriebssysteme Roku Linux Microsoft Sun Apple Cisco Linksys NetBSD FreeBSD VMware Schwachenstellen/Host 16: Durchschnittliche Schwachstellen pro Host nach Betriebssystem 16

17 5.2.1 Microsoft Die detaillierte Untersuchung der Microsoft-OS-Versionen zeigt, dass ältere Versionen wie XP 2 und 23 die meisten Schwachstellen aufweisen. Interessant ist, dass Windows 98 weniger Angriffsfläche als Windows 2 bietet. Anzahl Hosts Windows Versionen XP 23 Vista r2 Phone NT 3.X PocketPC/CE Anzahl Schwachenstellen 17: Total der Schwachstellen und aktive Hosts von Microsoft OS Windows Versionen XP 23 2 Vista Phone 3.X NT 7 28 r2 PocketPC/CE Schwachenstellen/Host 18: Durchschnittliche Schwachstellen pro aktiven Host nach Microsoft-OS-Versionen Fazit: Am sichersten sind Windows-28-Server von den Microsoft Server Betriebssystemen. 17

18 5.3 Dienste mit Schwachstellen Abbildung 19 zeigt die gesamte Anzahl Schwachstellen pro Port. Auf jedem Port wurde mindestens eine Schwachstelle mit dem CVSS-Score von 1 erkannt, was einer kritischen Sicherheitslücke entspricht. Schwachstellen TCP Ports 19: Anzahl der Schwachstellen der einzelnen Ports Abbildung 2 zeigt die zehn meistverwendeten Produkte und die Summe ihrer Schwachstellen. Auch hier führen diejenigen Produkte die Rangliste an, die Webservices zur Verfügung stellen. Anzahl Hosts Applikationen Apache httpd Microsoft IIS Webserver MySQL OpenSSH ISC BIND dnsmasq ProFTPD Microsoft IIS httpd Exim smtpd Sendmail Anzahl Schwachenstellen 2: Anzahl der Schwachstellen nach Produkt 18

19 Abbildung 21 zeigt die zehn meistverwendeten Produkte und die durchschnittliche Anzahl ihrer Schwachstellen pro Host. Applikationen Apache httpd MySQL Microsoft IIS Webserver ISC BIND dnsmasq OpenSSH Microsoft IIS httpd Sendmail ProFTPD Exim smtpd Schwachenstellen/Host 21: Durchschnittliche Schwachstellen pro Host, bezogen auf das Produkt Apache Abbildung 22 zeigt die verschiedenen Apache-Versionen mit den meisten Schwachstellen. Lesebeispiel: Version ist auf über 7 Hosts installiert und weist insgesamt über 25 Schwachstellen auf. Dies bedeutet: Allein dieser Dienst weist im Durchschnitt über 3 Schwachstellen auf, was wiederum in jedem einzelnen Fall Schadprogrammen Möglichkeiten eröffnet, den Server zu übernehmen oder Informationen zu beschaffen. Dabei wurden die Webapplikationen, die auf dem Webserver selbst laufen, noch nicht einmal mit einbezogen. Zu diesen zählen zum Beispiel CMS wie Joomla und Wordpress oder Webmail. Anzahl Schwachenstellen Anzahl Hosts Apache Versionen : Schwachstellen von Apache nach Versionen Fazit: Apache weist pro Dienst über 3 Einfallstore auf. 19

20 6. Fazit 6.1 Fazit der Ergebnisse Stichwortartig seien noch einmal einige wesentliche Erkenntnisse aus den Untersuchungen von FST herausgegriffen: Im Schweizer Internet sind über 1.4 Millionen Dienste aktiv. Nur 15% aller IP-Adressen sind durch eine Firewall geschützt. FST konnte über 69 Millionen potenzielle Schwachstellen ermitteln. Übertragen auf die aktiven Systeme bedeutet dies im Durchschnitt 74 Schwachstellen pro aktives System. Praktisch alle Branchen weisen grosse Sicherheitslücken auf. Eine besonders grosse Zahl von Schwachstellen pro Host haben: Gesundheitswesen, Behörden, ISP, Banken, Wissenschaft. Besser schneiden die Industrie und die Tourismusbranche ab. Bei der Anzahl Schwachstellen schneiden Linux-Distributionen mit Abstand am schlechtesten ab: 95% aller Schwachstellen gehen auf ihr Konto. Am meisten Schwachstellen pro Host weisen die Dienste Apache, MySQL und Microsoft IIS Webserver auf Alleine Apache in der Version ist auf über 7 Hosts installiert und weist insgesamt über 25 Schwachstellen auf. Fazit Das Schweizer Internet weist einige bedenkliche Sicherheitslücken auf. Ob diese Schwachstellen auch tatsächlich ausgenutzt werden, um Datendiebstahl zu betreiben, oder ob Ressourcen missbraucht werden, hängt stark von der Situation ab und ist nicht Gegenstand dieser Studie. Zudem kann nicht jede Schwachstelle auf die gleiche Art missbraucht werden. So ist zu unterscheiden zwischen Schwachstellen, die via Remote-Zugriff aus der Ferne ausgenutzt werden können, und solchen, bei denen dies nur durch einen Zugriff vor Ort möglich ist. Gibt es Sicherheitsmassnahmen, die es erschweren oder gar verhindern können, Schwachstellen auszunutzen? Klar ist: Alle Branchen und Unternehmen, egal welcher Grösse, müssen sich mit Schwachstellen auseinandersetzen. Insbesondere Linux-Systeme sollten regelmässig einem Update unterzogen werden, wie dies zum Beispiel bei Windows vom Hersteller vorbildlich angeboten wird. Eine zentrale Erkenntnis der Studie von FST ist, dass Geräte wie Modem und Router von KMU und Privatpersonen eine unglaublich hohe Zahl an Schwachstellen aufweisen. Die Folgen solcher Schwachstellen können enorm sein. Sie reichen vom Unterbruch der Internetverbindung über den Missbrauch der Ressourcen, zum Beispiel für Botnetze, bis zum Abhören der übermittelten Daten. Paradoxerweise sind die Zugriffe auf Router und Modem von externer Stelle meistens gar nicht gewollt oder bewusst eingerichtet worden. Zum Abschluss zeigen wir kurz einige Lösungsansätze auf, wie sich den Bedrohungen durch Schwachstellen effektiv begegnen lässt. 6.2 Software-Updates Regelmässige Updates des Betriebssystems und der Applikationen sind zwingend notwendig, um Angriffe auf bekannte Schwachstellen abzuwehren. Bei Anbietern wie Microsoft sind Updates standardmässig vorgesehen und können durch die entsprechenden Einstellungen automatisch installiert werden. Jede bekannte Linux-Distribution hat einen eigenen Prozess, um Sicherheitslücken in den Upstream-Projekten möglichst rasch zu beheben. Für weitverbreitete Produkte wie zum Beispiel PHP werden Security-Patches manchmal selber in den Code eingepflegt und kompiliert. 2

21 6.3 Firewall richtig konfigurieren 6.4 Vulnerability-Management Eine Firewall verringert die Angriffsfläche, die sich Eindringlingen von aussen bietet, stark. Nicht benötigte Dienste sollten dabei gar nicht erst übers Internet ansprechbar sein. In unserer täglichen Arbeit stellen wir aber immer wieder fest, dass Firewalls nicht optimal konfiguriert oder Systeme direkt ohne Firewall ans Internet angeschlossen sind. Die Prüfung der IP-Adressen sollte wie ein Backup oder das Update der Antivirensysteme regelmässig durchgeführt werden. Solche Überprüfungen führt zum Beispiel der Inventarisierungsdienst der First Security Technology AG unkompliziert durch. Um die Schwachstellen in einem Netzwerk zu identifizieren und möglichst rasch zu beheben, empfiehlt sich eine regelmässige Prüfung. Genau dafür gibt es das Vulnerability- Management. Dieser Prozess überprüft Systeme regelmässig und vereinfacht die Behebung ihrer Schwachstellen. Beim Vulnerability-Management wird in einem ersten Schritt die Infrastruktur inventarisiert genau so, wie es für diesen Bericht gemacht wurde. Dabei werden die aktiven Systeme identifiziert, der Auftraggeber erhält eine Prognose über die Schwachstellen. Als Nächstes wird eine vertiefte Sicherheitsuntersuchung durchgeführt, die als Resultat die real existierenden Schwachstellen ermittelt. Diese werden in stufengerechten Reports aufbereitet und priorisiert. Nun geht es an die Behebung der Schwachstellen, und zwar gemäss der Anleitung in den Reports. Der Auftraggeber erhält exakte Anweisungen, wie er die richtigen Massnahmen in der richtigen Reihenfolge und auf die richtige Art ergreifen kann. Der professionelle Vulnerability-Management-Prozess steigert die Effizienz und die Wirksamkeit der IT eines Unternehmens und erhöht ihre Sicherheit massgeblich. So werden die IT-Risiken signifikant verringert. Dies wiederum trägt wesentlich dazu bei, mittelund langfristig Kosten zu sparen. Denn ein Vulnerability-Management-Prozess verhindert den Verlust von Daten und macht teure Wiederherstellungskosten überflüssig. Nicht zuletzt lassen sich mit ihm auch Imageschäden abwenden, die häufig zu Umsatzeinbussen führen. 23: Vulnerability-Management-Prozess 21

22 7. Glossar 7.1 CVE 7.2 CVSS 7.3 Betriebssystem 7.4 Port Common Vulnerabilities and Exposures (CVE) ist ein Industriestandard, der dazu dient, Schwachstellen in Computersystemen einheitlich zu benennen, um sie eindeutig zu identifizieren und den reibungslosen Informationsaustausch zu ermöglichen. Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard, der den Schweregrad von Schwachstellen in der IT wiedergibt. Zur Beschreibung des CVSS-Werts dient eine Skala, die von bis 1 reicht. bedeutet kein Risiko; 1 ist der maximale Wert und stellt eine bedrohliche Schwachstelle dar. Das Betriebssystem ist die Schnittstelle zwischen dem Computer und dem Anwender. Auf einem Port können Verbindungen hergestellt werden. Er ist sozusagen die Tür zum Server im Internet. Beim Swiss Vulnerability Scan wurden folgende Ports geprüft: Port Protokoll Name 21 TCP ftp 22 TCP ssh 23 TCP telnet 25 TCP smtp 5 TCP ike (VPN) 53 TCP dns 8 TCP http 11 TCP POP3 137 TCP netbios 139 TCP netbios 143 TCP imap 161 TCP snmp 389 TCP ldap 443 TCP https 515 TCP lpd 547 TCP dhcp 1433 TCP mssql 1521 TCP oracle 282 TCP cpanel 336 TCP mysql 5 TCP upnp 88 TCP http Admin 8443 TCP https Admin 7.5 Schwachstelle 7.6 Vulnerability 7.7 Branchen Gesundheitswesen Kommunikation ISP 7.8 Privatperson Eine Schwachstelle ist eine Sicherheitslücke in einer Software-Anwendung. Siehe Schwachstelle. Spitäler, Kliniken und weitere. Firmen, die der Telekommunikationsbranche angehören. In der Branche Internet-Service-Provider (ISP) werden alle Hosts vereint, die von ISPs an Kunden verteilt werden. Diese IP-Adressen werden sogenannt dynamisch vergeben und können nicht eindeutig bestimmten Personen oder Firmen zugeordnet werden. Eine Privatperson, die für sich eine definierte IP-Adresse registriert hat. 22