1 Einleitung. Das Gefährdungspotenzial der Root Kits ist auf Grund der Professionalität ihrer Vorgehensweise



Ähnliche Dokumente
Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Protect 7 Anti-Malware Service. Dokumentation

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Installation OMNIKEY 3121 USB

Lizenzen auschecken. Was ist zu tun?

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Nutzung von GiS BasePac 8 im Netzwerk

XEROX SICHERHEITSBULLETIN XRX Eine Schwachstelle im Xerox MicroServer-Webserver könnte zu einem Denial of Service (DoS) führen.

Prodanet ProductManager WinEdition

Synchronisations- Assistent

Mail-Signierung und Verschlüsselung

Windows Vista Security

Einstellen der Makrosicherheit in Microsoft Word

Tutorial -

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

teamsync Kurzanleitung

Evident VDDS-Anbindung von MIZ

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Drucken aus der Anwendung

Medea3 Print-Client (m3_print)

Hilfedatei der Oden$-Börse Stand Juni 2014

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Kurzanleitung der Gevopa Plattform

Kontakte Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Anton Ochsenkühn. amac BUCH VERLAG. Ecxel für Mac. amac-buch Verlag

Enigmail Konfiguration

ANYWHERE Zugriff von externen Arbeitsplätzen

Nutzung der Onleihe Schritt für Schritt

Benutzeranleitung (nicht für versierte Benutzer) SSH Secure Shell

S/W mit PhotoLine. Inhaltsverzeichnis. PhotoLine

Verschlüsseln von Dateien mit Hilfe einer TCOS-Smartcard per Truecrypt. T-Systems International GmbH. Version 1.0 Stand

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

UpToNet Installationsanleitung Einzelplatz und Netzwerk

Windows Server 2012 RC2 konfigurieren

- Tau-Office UNA - Setup Einzelplatzinstallation. * Der griechische Buchstabe T (sprich Tau ) steht für Perfektion. Idee und Copyright: rocom GmbH

Print2CAD 2017, 8th Generation. Netzwerkversionen

Cisco AnyConnect VPN Client - Anleitung für Windows7

II. Daten sichern und wiederherstellen 1. Daten sichern

EASYINSTALLER Ⅲ SuSE Linux Installation

Windows 2000 mit Arktur als primärem Domänencontroller (PDC)

Die Backup-Voreinstellungen finden Sie in M-System Server unter dem Reiter "Wartung".

Installationshinweise für OpenOffice Portable auf einem Wechseldatenträger Stand: 27. März 2003 LS Stuttgart, Kaufmännische ZPG

Zwischenablage (Bilder, Texte,...)

Tipps und Tricks zu den Updates

Benutzerhandbuch - Elterliche Kontrolle

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Mandant in den einzelnen Anwendungen löschen

AutoCAD Dienstprogramm zur Lizenzübertragung

FTP-Leitfaden RZ. Benutzerleitfaden

MULTIWEB Banking. Installation und Update unter Windows

Überprüfung der digital signierten E-Rechnung

BOKUbox. Zentraler Informatikdienst (ZID/BOKU-IT) Inhaltsverzeichnis

Anleitung zur Installation des Printservers


Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Gemeinsamer Bibliotheksverbund: Übertragung von Datenexporten für den Verbundkatalog Öffentlicher Bibliotheken

GITS Steckbriefe Tutorial

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

Anwender-Dokumentation. Update ATOSS WINDOWS. Versionswechsel innerhalb der V2.5

Gruppenrichtlinien und Softwareverteilung

Lieferschein Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Datenbank LAP - Chefexperten Detailhandel

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Speicher in der Cloud

Installation der Eicon Diva PCI Karte unter Windows XP

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

WLAN Konfiguration. Michael Bukreus Seite 1

Installationsanleitung Scanner des MEDI Baden-Württemberg e.v.

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Sie können diesen Service verwenden, um fast beliebig große Dateien auch über 2 GB zu versenden.

Mobile Intranet in Unternehmen

multisign Signatur-Prüfwerkzeug Handbuch Security Networks AG Stand:

HTBVIEWER INBETRIEBNAHME

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Software- und Druckerzuweisung Selbstlernmaterialien

CMS.R. Bedienungsanleitung. Modul Cron. Copyright CMS.R Revision 1

Hinweise zum elektronischen Meldeformular

Kulturelle Evolution 12

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

1 topologisches Sortieren

Pädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?

UMSTELLUNG DER RÖNTGEN-SCHNITTSTELLE DÜRR-DBSWIN AUF DÜRR-VDDS

Bevor Sie mit dem Wechsel Ihres Sicherheitsmediums beginnen können, sollten Sie die folgenden Punkte beachten oder überprüfen:

Einzel- s und unpersönliche Massen-Mails versenden

icloud nicht neu, aber doch irgendwie anders

Anleitung Inspector Webfex 2013

Ihr Benutzerhandbuch AVIRA ANTIVIR EXCHANGE

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Verschlüsselung mit PGP. Teil 1: Installation

So gelingt Ihre Online-Bewerbung!

iphone- und ipad-praxis: Kalender optimal synchronisieren

Fragen und Antworten. Kabel Internet

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

BELIEBIG GROßE TAPETEN

Jetzt neu: Online Reporting Schritt für Schritt durch das Online Reporting (OLR) Online Liedmeldung

Internet online Update (Mozilla Firefox)

Internationales Altkatholisches Laienforum

Transkript:

Aufsätze Root Kits Winfried E. Kühnhauser Root Kits sind Werkzeugkästen, die ein Bündel hochgradig automatisierter Werkzeuge zum Angriff auf IT-Systeme enthalten. Ihre Algorithmen und Datenbanken umfassen professionelles Expertenwissen, mit dessen Hilfe ein IT-System über ein Rechnernetz oder von innen heraus angegriffen werden kann. Ziel der Root Kits ist es, auf dem angegriffenen System die Rolle des Administrators anzunehmen und auf diese Weise die volle Kontrolle über das gesamte System zu erlangen. Root Kits stellen ein äußerst ernst zu nehmendes Gefährdungspotenzial dar; ein Angriff ist schnell, vollautomatisch und nachhaltig, sein Gelingen besitzt eine hohe Wahrscheinlichkeit und erfordert nur ein sehr geringes Maß an Fachwissen. Die notwendige Angriffssoftware ist frei im Internet zugänglich. Prof. Dr. Winfried E. Kühnhauser Professur für Verteilte Systeme und Betriebssysteme an der Technischen Universität Ilmenau E-Mail: winfried.kuehnhauser@tu-ilmenau.de 1 Einleitung Das Gefährdungspotenzial der Root Kits ist auf Grund der Professionalität ihrer Vorgehensweise für die heute industriell eingesetzten IT-Systeme extrem hoch. Ein Angriff besteht aus einer systematischen Schwachstellenanalyse, dem Zurechtlegen einer Angriffsmethode einschließlich hieran angepasster Verschleierungstechniken und einer nachhaltigen Veränderung des angegriffenen IT-Systems mit dem Ziel, in Zukunft jederzeit, unentdeckbar und unverhinderbar erneut die vollständige Kontrolle über das IT-System übernehmen zu können. Sämtliche hierzu notwendigen Schritte erfolgen vollautomatisch und äußerst schnell. Die hohen Erfolgsaussichten eines Angriffs sind Folge einer umfassenden und automatisierten Schwachstellensuche. Root Kits nutzen Fehler aus, die bei der heutigen Systemkomplexität kaum vermeidbar sind. Die Fehlerquellen sind dabei sehr zahlreich, angefangen bei Spezifikations- und Implementierungsfehlern der Betriebssysteme, der Server und der Dienstprogramme bis hin zu Fehlern, die bei der Konfiguration und Administration eines IT-Systems gemacht werden. Bereits ein einziger passender Fehler reicht den Root Kits dabei aus, und die große Anzahl der den Root Kits bekannten Fehler macht sein Finden sehr wahrscheinlich. Zur Fehlersuche verfügt ein Root Kit über eine umfangreiche Datenbank, in der die heutigen Betriebssysteme und systemnahen Dienste samt ihrer gängigen Versionen und den hierin enthaltenen Schwachstellen aufgeführt sind. Eine derart umfassende Fehlersuche ist sehr oft erfolgreich, da einerseits häufig auf einem IT-System eine Vielzahl von (teils ungenutzten) Diensten aktiviert ist 1, andererseits zwischen dem bekannt Werden einer Schwachstelle und ihrer Beseitigung in der Regel ein längerer Zeitraum liegt. Wenige Betreiber von IT-Systemen, selbst wenn sie durch 1 In einer Standard-Installation eines Solaris-Systems sind 29 Server aktiviert aufmerksame und verantwortungsbewusste Administratoren hierüber informiert sind, sind derart konsequent und legen in dieser Zeit den problematischen Dienst still. Root Kits nutzen damit Schwachstellen aus, die extrem schwierig zu verhindern sind und gleichzeitig durch Aktualisierung der Systemsoftware oder Erweiterung ihrer Funktionalität immer wieder nachwachsen. Der tatsächliche Angriff erfolgt anschließend so schnell, dass er von menschlichen Beobachtern praktisch nicht rechtzeitig bemerkbar ist, geschweige denn durch menschliche Intervention unterbunden werden kann. Die Vollständigkeit der erlangten Kontrolle über das angegriffene IT-System begründet sich in den umfassenden Rechten eines Administrators und erlaubt es den Root Kits, sich schon kurze Zeit nach der Schwachstellenauffindung zu verbergen und nachhaltige und auch zukünftig kaum zu entdeckende Türen einzubauen, deren spätere Öffnung ebenfalls extrem schwierig zu bemerken ist. Selbst im Falle der Entdeckung einiger dieser Türen kann man sich der restlosen Beseitigung möglicher weiterer Türen ohne drakonische Maßnahmen nicht sicher sein; und selbst im Falle der Entdeckung der Öffnung einer dieser Türen im Zuge eines erneuten Angriffs ist man durch vom Root Kit vorbeugend eingebaute Maßnahmen nicht mehr in der Lage, diesen Angriff abzuwehren. Je leistungsfähiger schließlich ein angegriffenes IT-System ist, desto kürzer ist auch die Angriffszeit; einmal mehr nutzen somit Root Kits auch hier sehr grundsätzliche Eigenschaften des angegriffenen IT- Systems für ihre Ziele aus. 2 Angriffstechnik Der Ablauf eines Angriffs auf ein System läuft vollständig automatisiert in vier Schritten ab. Im ersten Schritt wird auf dem angegriffenen System ein installierter Dienst mit einer dem Kit bekannten Schwachstelle gesucht. Hierzu wird ein zeitlich und numerisch zufälliges Scannen der Standard-IP- DuD Datenschutz und Datensicherheit 4 (2003) 1

Winfried E. Kühnhauser Ports durch Formulierung harmlos erscheinender Anfragen durchgeführt, dessen Ergebnis eine Liste der auf dem angegriffenen System installierten und aktiven Dienste ist. Derartige Dienste gibt es in vernetzten IT- Systemen zu Hauf; dazu gehören der SSH (Secure Shell)-Server, der NTP (Network Time Protocol)-Server, der FTP (File Transfer Protocol)-Server oder einer der vielen Web-Server, um nur einige wenige zu nennen. Zur Schwachstellenanalyse vergleicht ein Root Kit die so erhaltene Liste mit seiner Schwachstellen-Datenbank und erhält als Ergebnis denjenigen Dienst, welcher am einfachsten angreifbar ist. Der zweite Angriffsschritt ist die Ausnutzung der gefundenen Schwachstelle mit dem Ziel, den Server zur Ausführung von Code des Angreifers zu bringen. Dieser Code stellt dann dem Root Kit eine Ausführungsumgebung mit Administrator-Rechten zur Verfügung. In Systemen aus der Unix- Familie entspricht dies dem Erwerb der Rechte des Benutzers root ; hieraus leitet sich auch der Name derartiger Werkzeugkästen ab. Ist dies gelungen, so werden unmittelbar sämtliche bisher hinterlassenen Spuren des Angriffs verwischt und die aktuelle und zukünftige Entdeckung von passiven und aktiven Komponenten des Root Kits extrem erschwert. Dies erfolgt teils durch so einfache Dinge wie die Manipulation der Log- Dateien, teils aber auch durch den Austausch vorgefertigter Dienstprogramme, die einem Administrator das Auffinden der Prozesse und Dateien der Root Kits erschweren. In Root Kits für Systeme aus der Unix-Familie geschieht dies beispielsweise durch Einbau von Filtern in Dienstprogramme wie ps, pstree, top, ls, die die Dateien und aktiven Prozesse des angreifenden Root Kits herausfiltern. Neuere Versionen der Root Kits sind darüber hinaus bereits in der Lage, dies durch eine direkte Manipulation des Betriebssystems und des /proc-directories zu erreichen. Als nächster Schritt wird ein Installationsskript auf dem angegriffenen System ausgeführt. Einziger Zweck dieses Skriptes ist die Installation einer oder mehrerer Hintertüren, durch die der Angreifer zukünftig jederzeit Administratorrechte auf dem angegriffenen System erhalten kann. Für derartige Hintertüren gibt es eine Vielzahl von Möglichkeiten. Sie können beispielsweise durch den Austausch von preparierten Standardservern eingebracht werden, durch Austausch der Authentisierungsprogramme (login) oder durch Austausch der von ihnen aufgerufenen Bibliotheken, beispielsweise dann, wenn login-programme zur Überprüfung von Passworten selbst wieder LDAP- Directorydienste nutzen. Die Existenz dieser Hintertüren wird durch Manipulation des Änderungsdatums betroffener Programmdateien, durch eingebrachte Filtermechanismen in Dienstprogrammen zur Inspektion des Dateisystems (z. B. in Unix das ls-shellkommando) oder durch Manipulationen des Betriebssystems (z. B. die Implementierung der Unix Systemaufrufe stat oder getdents) verschleiert. Der gesamte Angriff einschließlich der Installation der Hintertür, der Spurenverwischung des aktuellen Angriffs und der Installation der Verschleierungsmechanismen für zukünftige,,besuche des Systems dauert typischerweise nur wenige Sekunden, eine Zeitspanne also, in der selbst ein aufmerksamer menschlicher Beobachter keine Möglichkeit einer manuellen Intervention hat. Ironischerweise ist diese Zeitspanne um so kürzer, je leistungsfähiger das angegriffene System ist. Nach wenigen Sekunden ist das System dann in einem Zustand, der selbst bei gut ausgebildeten Administratoren den Anschein des Normalen erweckt. 3 Werkzeuge im Root Kit Die Werkzeuge eines Root Kits dienen der Suche von Schwachstellen, der Verschleierung von Angriffen und der Verhinderung der Entdeckung und Konterkarierung zukünftiger Angriffe. Hierzu gehören verschiedene Algorithmen zur Kontaktaufnahme mit dem angegriffenen IT-System und zur Auswertung dessen Antworten, Wissensdatenbanken mit bekannten Schwachstellen von Betriebssystemen und Diensten und vorbereitete veränderte Standard-Dienstprogramme und Betriebssystemkomponenten zum Austausch gegen ihre Originale. 3.1 Werkzeuge zur Schwachstellenanalyse Ziel dieser Werkzeuggruppe ist das Auffinden von Schwachstellen. Derartige, auch Exploiter genannte Suchalgorithmen besitzen eine Wissensbasis, in der drei Klassen von Schwachstellen enthalten sind: Schwachstellen der Standard Dienstprogramme und der zu ihrer Implementierung oftmals als Dämonenprozesse laufenden Server; hierzu gehören beispielsweise in Systemen der Unix-Familie die Dienstprogramme ssh/slogin, mount, cron, lpr, sendmail, ftp und die Web-Browser sowie die als Dämonenprozesse laufenden Server sshd, maild, inetd, nscd, smbd und die Web-Server Schwachstellen der Systemkonfiguration (z. B. Standardpassworte oder offene Kommunikationsports) Schwachstellen der Version des laufenden Betriebssystems mit ihren bekannten Implementierungsfehlern. 3.2 Verschleierung von Angriffen Ziel dieser Werkzeuggruppe ist die selektive Unterdrückung oder Beseitigung von Informationen über einen akut laufenden Angriff und den Installationsprozess, über die hinterlassenen Manipulationen zur Vereinfachung zukünftiger Angriffe sowie über die bei zukünftigen Angriffen zu startenden Backdoor- oder Rückmeldungsprozesse. Hierzu gehören das Verbergen von aktuellen Installationsprozessen und zukünftigen Hintergrundprozessen das Verbergen offener Netzwerkverbindungen das Verbergen der neuen Installationen und der Manipulationen an Programmen, die eine Hintertür eingebaut bekamen der Neustart von Servern und Dämonen, die während des Angriffsvorganges abgestürzt sind oder ausgetauscht wurden. Die hierzu eingesetzten Techniken umfassen die Säuberung von Einträgen über gestartete Prozesse in den Log-Dateien des Systems die Manipulation sämtlicher Dienstprogramme, die Auskunft über ablaufende Prozesse, offene Kommunikationsverbindungen, Zustand der Netzwerkschnittstellen oder den Zustand des Dateisystems geben. Darüber hinaus beschränken sich heutige Root Kits auf Grund der wenn auch schwierigen Entdeckbarkeit derartiger Manipulationen nicht mehr auf diese Techniken allein, sondern nutzen die Möglichkeiten der dynamisch gebundenen Bibliotheken oder der Manipulation des Betriebssystemkerns durch dynamisch eingebundene Module aus, um durch Einbau von Filtern unmittelbar an der Quelle der Informationen Pro- 2 DuD Datenschutz und Datensicherheit 4 (2003)

Root Kits zesse, Netzwerkverbindungen und Dateien zu verbergen oder vorgenommene Änderungen unsichtbar zu machen. 3.3 Vorbereitung zukünftiger Angriffe Ein erfolgreicher Angriff durch ein Root Kit strebt Nachhaltigkeit an; selbst nach Beseitigung der anfänglich ausgenutzten Schwachstelle soll es später immer wieder möglich sein, Zugang zum angegriffenen System zu erhalten. Zu diesem Zweck bauen Root Kits Hintertüren in Standard-Dienstprogramme ein. So enthält beispielsweise eine modifizierte Version des SSH-Servers eine Codesequenz, die Shell-Kommandos mit Root- Rechten ausführt, wenn der lokale Benutzername ein bestimmtes, dem Angreifer bekanntes Muster enthält. Falls ein so modifizierter SSH-Server aktiv ist, wird dem Angreifer in Zukunft immer durch das Kommando ssh -l magisches-muster angegriffenes-system /bin/sh i, eingegeben an einem beliebigen anderen IT- System, eine interaktive Root-Shell bereitgestellt. Des weiteren werden die bereits erwähnten Mechanismen benutzt, um zukünftige Angriffe unsichtbar bleiben zu lassen; in Administrationsprogramme eingefügte Filtertechniken sorgen gleichzeitig dafür, dass selbst im unwahrscheinlichen Falle einer Entdeckung ein erneuter Angriff nicht mehr verhindert werden kann. Wie auch bei den Verschleierungstechniken verlagern neuere Root Kits solche Hintertüren und auch die Etablierung verdeckter Netzwerk-Kommunikationskanäle unmittelbar in den Betriebssystem-Kern. Haarsträubend wird es somit dann, wenn trotz all dieser Verschleierungstechniken dennoch ein Root Kit auf einem System entdeckt wird, das Betriebssystem aber auf Grund der eingebrachten Filtermechanismen sich der Deinstallation sämtlicher Angriffssoftware der Root Kit Komponenten verweigert. 3.4 Veränderte Systemkomponenten Diese Werkzeuggruppe enthält vorgefertigte, manipulierte Versionen von Standard- Dienstprogrammen, dynamischen Bibliotheken und Betriebssystemmodulen, die im Falle eines erfolgreichen Angriffs zu seiner Verschleierung und zur Sicherung seines nachhaltigen Erfolges installiert werden. Exemplarisch seien einige Beispiele genannt, die im Kontext von Serversystemen mit Betriebssystemen der Unix-Familie als Ersatz für Standard-Dienstprogramme und Dämonenprozesse zur Anwendung kommen: Veränderte Versionen von beispielsweise ls, du, find und md5sum verbergen manipulierte oder hinzugefügte Software auf dem angegriffenen IT-System; dies gelingt auch für solche Programme, deren kryptografischer Fingerabdruck mit einem MD5-Algorithmus geprüft wird, da auch das entsprechende Prüfprogramm gleich mit ausgetauscht wird Offene Netzwerkverbindungen werden durch modifizierte Varianten von Programmen wie netstat oder ifconfig verborgen Laufende Hintergrundprozesse werden durch modifizierte Varianten von ps, pstree, top oder ksysguard verborgen Die Wäscherei der Log-Dateien erfolgt durch Versionen von Dämonenprozessen, die bereits Wäschereicode enthalten (z. B. syslogd) Hintertüren für den nachhaltigen Zugang zum angegriffenen System sind z. B. in Varianten der ssh-, inet-, ftp-, telnetoder slogin-dämonen sowie in Administrationsprogramme (z. B. passwd) eingebaut Ein ganzes Bündel von Ausspäh- und Rückmeldungsmechanismen ist in den unterschiedlichsten Programmen eingebaut; login, ssh, linsniffer oder ftp spähen Benutzernamen und zugehörige Passworte, andere, problemspezifische Spionageprogramme unmittelbar konkrete Datenbankinhalte aus. Zur Verhinderung der Verhinderung von zukünftigem Eindringen werden modifizierte Versionen typischer Administrationsprogramme installiert; so verhindern die bereits genannten modifizierten Varianten von top, ksysguard oder auch Varianten von kill, killall oder shutdown das Löschen von Prozessen des Root Kits und das Herunterfahren des Systems Schließlich können Root Kits Vervielfältigungstechniken enthalten, die breitflächige, automatisierte Angriffe auf eine ganze Gruppe von Systemen durchführen. 4 Abwehrstrategien Die Angriffstechnik der Root Kits beruht auf der Ausnutzung von Fehlern in IT-Systemen; somit wird es keinen sicheren Schutz vor Root Kits geben, solange IT- Systeme Fehler enthalten und diese Fehler auf die beschriebene Art ausgenutzt werden können. In absehbarer Zeit ist es als wenig wahrscheinlich anzusehen, dass die Informatik Techniken zur Konstruktion fehlerfreier komplexer Softwaresysteme hervorbringen wird. Ansätze zur Abkapselung von IT- Systemen haben gleichfalls ihre Grenzen: klassische Firewalls an der Schnittstelle zwischen dem Internet und einem proprietären Intranet bieten nur einen sehr unzulänglichen Schutz, da sie einerseits durch mobile IT-Systeme und funkbasierte Netze immer schwerer durchsetzbar werden und andererseits Root Kits auch von Insidern eingesetzt werden können. Somit bleibt als recht unbefriedigender Schluss, dass die von Root Kits ausgenutzten Schwächen heutiger IT-Systeme nicht grundsätzlich beseitigt werden können, und dass wir uns beim Umgang mit dieser Angriffsform darauf konzentrieren müssen, die Wahrscheinlichkeit der Existenz von Fehlern klein zu machen und die Konsequenzen aus den verbleibenden unbekannten Restfehlern zu begrenzen. 4.1 Vorbeugung Vorbeugende Maßnahmen haben das Ziel, die Wahrscheinlichkeit ausnutzbarer Schwachstellen eines IT-Systems zu minimieren. Relevant ist hier zum einen die Ebene des betrieblichen Sicherheitsmanagements, auf der strategische Entscheidungen über den sicheren Betrieb eines IT- Systems getroffen werden, und zum anderen die technische Ebene, auf der diese Strategien durch konkrete technische Maßnahmen umgesetzt werden. Schließlich, und dies ist einer ihrer wenigen positiven Auswirkungen, legen Root Kits erhebliche Schwächen in Konstruktionsmethodik und Paradigmen heutiger IT-Systeme offen, welche durch kurzfristige Maßnahmen nicht beseitigt werden können und denen die Informatik auf eine grundsätzliche Weise begegnen muss. Wesentliche strategische Entscheidungen zur Gewährleistung eines sicheren Betriebs eines IT-Systems werden in unternehmensspezifischen Sicherheitspolitiken DuD Datenschutz und Datensicherheit 4 (2003) 3

Winfried E. Kühnhauser formuliert. Die Angriffstechnik der Root Kits impliziert hier die Beachtung dreier wesentlicher Punkte: Root Kits nutzen Fehler und Schwachstellen in der verwendeten Systemsoftware aus. Notwendig ist daher ein permanentes Monitoring der Veröffentlichungen über das bekannt werden derartiger Fehler und Schwachstellen durch ein problembewusstes Sicherheitsmanagement; hierzu gehört auch eine Registrierung bei einschlägigen Warndiensten, die sich genau dies zur Aufgabe gemacht haben (Computer Emergency Response Teams CERT, z. B. [1]). 2 Unmittelbar nach bekannt Werden einer solchen Schwachstelle muss eine Risikoanalyse erfolgen, die ergibt, ob die Schwachstelle toleriert werden kann, ob neue Sicherheitsmaßnahmen zum Umgang mit der Schwachstelle getroffen werden sollen oder aber ob die betroffene Funktionalität des IT-Systems abgeschaltet werden muss. Generell muss das Explorationsfeld der Root Kits klein gehalten und die Aktivierung von Diensten und Kommunikationsports problembewusst erfolgen; je mehr Dienste auf einem IT-System aktiv sind, desto höher ist die Wahrscheinlichkeit, dass durch dort enthaltene Implementierungsfehler eine Schwachstelle eingeführt wird. Schließlich ist es heute gängige Praxis, zentrale Systeme in DMZs durch Firewalls sowohl gegen Angriffe von außen als auch von innen zu schützen. Auf methodischer Ebene werden unternehmensspezifische Sicherheitspolitiken durch formale Sicherheitsmodelle realisiert, die präzise beschreiben, auf welche Weise die informellen Strategien der Sicherheitspolitiken durch eine Vielzahl von Sicherheitsmechanismen und durch die Sicherheitsarchitektur eines IT-Systems realisiert werden. Der Einsatz derartiger Modelle im Kontext der Vorbeugung dient der Fehlervermeidung: formale Methoden zwingen zur Präzision, decken Fehler auf und sind mit Einschränkungen in der Lage, die partielle Korrektheit der Implementierung von Sicherheitspolitiken nachzuweisen. Von einer breiten praktischen Anwendung sind derartige Techniken allerdings noch recht weit entfernt; während ihr Einsatz in eng begrenzten Anwendungen z. B. 2 Zur Arbeitsweise von CERTs siehe Fox, Gateway, DuD 8/2002, S. 493 und Königshofen, DuD 11/2002, S. 653-657. in militärischen Systemen heute Stand der Technik ist, sind formale Sicherheitsmodelle in kommerziellen Systemen auf Grund der noch geringen Anzahl hierzu ausgebildeter Experten und ihrer erheblichen Kosten nicht sehr verbreitet. Auf technischer Ebene muss versucht werden, ein hohes Maß an Korrektheit solcher Systemkomponenten zu erzielen, die in ihrer Gesamtheit die Sicherheitseigenschaften eines IT-Systems herstellen (die trusted computing base [6, 3]). Hier lassen sich folgende vorbeugende Maßnahmen ergreifen: die Installation und das Booten authentischer und signierter Betriebssysteme, deren Signaturen im Zuge eines sicheren Bootvorgangs geprüft werden die ausschließliche Installation und Ausführung authentischer und signierter Dienste, Dienstleistungsprogramme und Anwendungssoftware, deren Signaturen vom Betriebssystem vor ihrer Ausführung geprüft werden die unmittelbare Aktualisierung von Diensten und Betriebssystemkomponenten bei bekannt Werden von Sicherheitsmängeln und eine regelmäßige Prüfung der zentralen Systeme auf vermeidbare Angriffsziele wie offene Ports oder nicht mehr benötigte Dienste (Penetrationstests, Scans). Die Methode des sicheren Bootens und digitale Signaturen zur Gewährleistung von Authentizität und Integrität von Software sind seit langer Zeit bekannt. Die hierzu notwendigen Techniken und Algorithmen wurden bereits vor mehr als zehn Jahren beschrieben [5, 9]; obwohl heute einige wenige Lösungen existieren [4, 7] sind die Systemhersteller gefragt, diese Techniken in ihren Produkten umfassender anzubieten. Weitere technische Maßnahmen sind die Verwendung schnell reagierender, problembewusster Intrusion-Detection-Systeme (e.g. port scan detectors wie PortSentry [8]), der Einsatz von Täuschungssoftware (deception toolkits, e.g. [2]) und regelmäßige automatisierte Analysen, in denen ein IT-System auf seine Schwachstellen untersucht wird. Zu letzterem eignen sich insbesondere die Analysekomponenten der Root Kits selbst, die mit aktuellen Schwachstellendatenbanken auf das zu testende IT- System angesetzt werden. Schließlich und nicht zuletzt muss auf ein Grundübel hingewiesen werden, ohne dies die Root Kits einen Großteil ihrer Gefährlichkeit verlieren würden. Es sind dies die allumfassenden Rechte eines Systemadministrators, die zum Teil tief in das Rechtemanagement der Betriebssystemkerne integriert sind. Dies geht so weit, dass beispielsweise in vielen Unix-Implementierungen bei einer Reihe von Systemfunktionen jegliche Rechteprüfung ausgeschaltet ist, falls der Aufrufer der Funktion der Unix-Benutzer root ist. Hierdurch wird es einerseits äußerst schwierig, den Wirkungskreis eines Unix-Administrators zu begrenzen; andererseits ist dieses Alles-oder- Nichts-Rechteschema derart grob granular, dass viele Dienste, die tatsächlich nur einige wenige Rechte mehr als übliche Benutzer benötigen, mit Root-Rechten ablaufen müssen. Wiederum treten hier erhebliche Schwächen in Paradigmen und Implementierungen der Autorisierungsschemata heutiger IT-Systeme zu Tage, welche durch kurzfristige Maßnahmen nicht beseitigt werden können und denen die Informatik auf eine grundsätzliche Weise begegnen muss. 4.2 Entdeckung Die Entdeckung eines Root Kit Angriffs kann auf Grund der Kürze der Angriffszeit entweder nur automatisch (durch Intrusion- Detection Systeme, s. o.) erkannt werden oder aber im Nachhinein. Durch die Vielzahl und Professionalität der Verschleierungstechniken ist eine zufällige Entdeckung im Nachhinein sehr unwahrscheinlich; selbst eine explizite Suche führt nur dann zu verlässlichen Ergebnissen, wenn Betriebssystem, Server, Dienstleistungsprogramme und Anwendungssoftware digital signiert sind die Schlüssel zur Signierung von Betriebssystem, Servern, Dienstleistungsprogrammen und Anwendungssoftware unerreichbar vom angegriffenen System aufbewahrt werden diese Signaturen vor jeder Ausführung der Software geprüft werden und die Prüfung sicher ist; dazu gehört als Anker die Prüfung der Signatur des Betriebssystems durch eine verlässliche Prüfkomponente [5]. Auf dieser Grundlage lassen sich nun ergänzend Werkzeuge einsetzen, die periodisch Signaturprüfungen vornehmen (z.b. [10]) oder darüber hinaus nach weiteren Indizien für einen erfolgten Angriff suchen (z.b. rkdet [11]). Eine in der Praxis bewährte Methode zur Erkennung von Root Kits ist darüber hinaus 4 DuD Datenschutz und Datensicherheit 4 (2003)

Root Kits die Verhinderung der nachträglichen Säuberung von Log-Einträgen, indem diese von separaten Systemen auf einem Write-Once- Medium (z. B. CD-ROM) abgelegt werden. 4.3 Reaktion Ist ein IT-System erst einmal erfolgreich angegriffen, so hat man ohne die in Abschnitt 4.2 beschriebenen Vorkehrungen heute keine verlässliche Methode, die installierten Hintertüren vollständig aufzufinden. Diese können sich in Dienstleistungsprogrammen, Servern, Anwendungsprogrammen, Daten mit aktivierbaren Komponenten (Word-Dokumente, E-Mails) und sogar im Betriebssystem selbst verstecken, und die Suche nach ihnen kann durch Modifikationen der zur Suche verwendeten Dienstprogramme oder wiederum des Betriebssystems selbst hoffnungslos gemacht werden. Der vollständige Austausch des IT-Systems durch ein Stand-by-System oder eine vollständige Neuinstallation kann nur in solchen Fällen helfen, in denen das System ausschließlich zustandslose Dienste ohne lokale Datenspeicherung bereitstellt. Selbst ein Rettungsversuch wichtiger Programme und Daten durch Ausbau ihrer Trägermedien (magnetische und optische Medien, Memory Sticks etc.) aus dem angegriffenen System und Einbau in ein bisher unversehrtes System kann grundsätzlich nicht zu einem Erfolg führen, wenn mindestens eine der folgenden Bedingungen nicht erfüllt ist: die untersuchten Programme und Daten sind mindestens mit einem kryptografischen Hashcode (message digest) versehen die hierzu verwendeten Schlüssel und die damit erstellten Fingerabdrücke der unmanipulierten Originale werden unerreichbar vom angegriffenen System aufbewahrt die Prüfung der Hashcodes erfolgt auf einem integeren IT-System, welches ausschließlich mit authentischen und integritätsgesicherten Such- und Prüfprogrammen bestückt ist; insbesondere muss gewährleistet sein, dass das Betriebssystem des prüfenden IT-Systems durch einen sicheren Bootvorgang gestartet wurde und nicht bereits selbst schon manipuliert worden ist. Steht der Zeitpunkt des Angriffs unzweifelhaft fest, so ist ohne diese Maßnahmen immerhin eine vollständige Restaurierung des Betriebssystems, der Programme und der Daten von Sicherungsmedien möglich. In allen anderen Fällen sind sämtliche Programme und Daten auf dem befallenen System definitiv nicht mehr sicher weiterverwendbar. Fazit Ansatzpunkt, Technik und Vollständigkeit der Schwachstellenanalyse, die verwendeten Verschleierungstechniken und die Nachhaltigkeit erfolgreicher Angriffe machen Root Kits zu einem äußerst gefährlichen Angriffswerkzeug. Ihre Angriffe sind mit heutigen IT-Systemen kaum verhinderbar, da die ausgenutzten Schwachstellen kaum zu beseitigen sind und stets nachwachsen. Ihre nachhaltige Wirkung erzielen Root Kits in Form installierter Hintertüren, die später immer wieder geöffnet werden können, selbst wenn die ursprüngliche Schwachstelle längst beseitigt worden ist. Dabei verhindern ausgefeilte Verschleierungstechniken die Entdeckung dieser Hintertüren; weitere vorbeugende Maßnahmen verhindern die Abwehr ihrer späteren Öffnung im Zuge eines erneuten Angriffs für den Fall, dass dieser zufällig entdeckt werden sollte. Im Falle der Entdeckung solcher Hintertüren ist es extrem schwierig, diese wieder zu beseitigen und sich dabei der vollständigen Beseitigung sicher zu sein. Notwendig sind immer sehr teure Maßnahmen, in deren Zuge die betroffenen IT- Systeme über Tage hinweg unbrauchbar sind. Die Möglichkeiten zur Abwehr von Root Kits sind heute sehr beschränkt, da sie als Schwachstellen Fehler in der Systemsoftware und den systemnahen Diensten ausnutzen, die prinzipiell durch heutige Systemkonstruktionstechniken nicht zu verhindern sind. Auch Firewalls bieten hier nur einen sehr eingeschränkten Schutz, da sie nicht vor Insider-Angriffen schützen und durch mobile IT-Systeme und funkbasierte Netze unterlaufen werden. Eine Verhinderung der Ausnutzung derartiger Schwachstellen stößt auf Grenzen prinzipieller Art, die in den heutigen Autorisierungsschemata der Betriebssysteme und speziell den umfassenden Rechten der Administratoren liegen. Schließlich kann die Erkennung erfolgter Angriffe nur dann gelingen, wenn modifizierten Softwarekomponenten ihre Modifikation anzusehen ist. Hier stehen ausgereifte Techniken bereit, jedoch ist ihre tatsächliche Nutzung nicht sehr verbreitet. Schließlich und letztlich ist eines der wirksamsten Mittel gegen Root Kits die Verbreitung von Wissen über ihre Existenz und Wirkungsweise, so dass die Hürden für Root Kits in heutigen IT-Systemen denkbar hoch gehangen werden können; der Informatik ist dagegen aufzutragen, schnell auf derart elementare Bedrohungen zu reagieren und Prinzipien, Paradigmen und Techniken zu entwickeln, die sich auf grundsätzliche Weise dieses Problems annehmen. Literatur [1] CERT Coordination Center. http://www.cert.org. [2] Fred Cohen and Associates. Deception Toolkit. http://all.net/dtk. [3] CSE (Kanada), SCSSI (Frankreich), BSI (Deutschland), NNCSA (Niederlande), CESG (England), NIST und NSA (USA). Common Criteria for Information Technology Security Evaluation, Version 2.1, August 1999. [4] Dirk Fox und Manfred Böttger. SecuBoot Authentisches Remote Boot für Client- Server-Netzwerke. In K. Bauknecht und S. Teufel (Hrsg.): Sicherheit in Informationssystemen. Fachtagung SIS 94, S. 161-173. vdf-verlag, 1994. [5] Michael Groß. Vertrauenswürdiges Booten als Grundlage authentischer Basissysteme. In A. Pfitzmann und E. Raubold (Hrsg.): Verlässliche Informationssysteme. Fachtagung VIS 91, S. 190-207. Springer Verlag, 1991. [6] National Computer Security Center. Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria, Juli 1987. NCSC Technical Guideline 005. [7] Stefan Osterlehner und Jörg Sauerbrey. Authentisches Booten und Software-Integritätstest auf PC-Architekturen. In G. Weck und P. Horster (Hrsg.): Verlässliche Informationssysteme. Fachtagung VIS 93, S. 321-331. DuD-Fachbeiträge 16, Vieweg Verlag, 1993. [8] Psionic Technologies. Port Sentry Version 2.0b1, 2002. http://www.psionic.com. [9] R. L. Rivest, A. Shamir und L. Adleman. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, 21 (2): 120-126, Februar 1978. [10] Tripwire. The Tripwire Open Source Project. http://www.tripwire.org. [11] Vancouver Pages. Root Kit Detectors. http://www.vancouverwebpages.com/rkdet DuD Datenschutz und Datensicherheit 4 (2003) 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback