Microsoft Security Essentials – essenzieller Schutz für Windowsrechner?

Vor kurzem gab Microsoft bekannt, mit Microsoft Security Essentials (MSE) ein weiteres kostenloses Ergänzungsprodukt für Windows bereitzustellen. Dabei handelt es sich um einen signaturbasierten On-Access-Scanner, der ständig Dateizugriffe im Hintergrund überwacht, sowie einen On-Demand-Scanner, der vom Anwender gesteuert den gesamten Rechner oder ausgewählte Bereiche auf Schädlinge untersucht. Antiviren-Engine und Signaturen stammen wie schon bei Windows Live OneCare von Microsofts serverbasiertem Business-Produkt Forefront Client Security.

Ziel ist es, einen grundlegenden Basisschutz für Windows-PCs privater Anwender bereitzustellen, so Microsoft. Analysten von AV-Comparatives kamen bei Tests zu dem Ergebnis, dass der Microsoft-Scanner dabei durchaus ordentliche Ergebnisse erreicht. Er fand in Tests mit Wildlist-Virenmaterial etwa 98% der geprüften Schadsoftware. Bei der Erkennung von Adware und Spyware kam MSE immerhin noch auf gut 90 %. Und auch Rootkits werden gut erkannt und entfernt.

Eine Option, Schädlinge anhand ihrer Programmaktivität durch Ausführung in einer sicheren Umgebung zu erkennen (verhaltensbasierte Virenidentifikation) besitzt MSE nicht. Die bekommt man aber auch bei anderen Herstellern nur in kommerziellen Vollprodukten.

Und diese Wettbewerber im Bereich Virenschutz äußerten sich bereits kritisch zu MSE. Denn MSE bietet nur einen Grundschutz und längst nicht so viele Optionen wie ein kommerzielles Sicherheitsprodukt. Allerdings hat Microsoft das auch nie behauptet. Und man befürchtet, der Software-Riese aus Redmont könnte MSE einfach per Auto-Update an Windows-Nutzer ausliefern. Viele Antivirensoftwarehersteller sehen darin eine mögliche Wettbewerbsverzerrung. Denn was ein  Nutzer schon hat, wird er nicht mehr separat erwerben wollen. Und ob das Microsoft-Produkt nun im Detail besser oder schlechter ist, als eines von AVG oder Norton, erschließt sich dem Normalanwender ohnehin nicht.

Zudem könnte ein per Auto-Update weit verbreitetes Sicherheitsprodukt auch Sicherheitslücken beinhalten, die dann ebenso weit verbreitet wären. Sollte die Zahl der Nutzer von MSE durch die Auslieferung als Update schnell rapide ansteigen, könne so eine neue Bedrohung entstehen, weil die Software für mehr Virenautoren zu einem lohnenswerten Angriffsziel werden könnte – so ein Sprecher von AVG.

Nichtsdestotrotz wäre ein MSE-geschützter Rechner wahrscheinlich besser geschützt als einer ohne Schutz vor Schadsoftware.

Download von Microsoft Security Essentials  (XP, Vista, Windows 7)

Testbericht auf Chip.de

Microsoft stellt Prüftools für Security-Tester bereit

Microsoft ist bereits seit längerem bestrebt, sich bzgl. Sicherheit und Softwarequalität seiner Produkte als führend zu positionieren. Daher hat die Firma u.a. das Vorgehensmodell des „Security Development Lifecycle (SDL)“ entwickelt, um Entwicklern bei der weiteren Verbesserung der Qualität sicherheitsbezogener Eigenschaften ihrer Software für die Windows-Plattform zu unterstützen.

Der Microsoft Bin Scope Binary Analyzer überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags, Schutzmechanismen und Kontrollen vorhanden sind. Das stellt sicher, dass in Anwendungen nicht durch gängige Sicherheitsfehler beim Coding Schwachstellen und Sicherheitslücken implementiert werden.

Der Microsoft MiniFuzz File Fuzzer ist eine Lösung für Tester, die unerwartete Verhaltensweisen ihrer Anwendungen eingrenzen wollen. Der Fuzzer automatisiert Sicherheitsüberprüfungen und testet den Code mit zufällig erzeugten Eingabedaten um das Verhalten der Applikation bei deren Verarbeitung zu prüfen. Auf diesem Wege wird bereits sehr früh im Entwicklungsprozess festgestellt, ob etwa Programmabstürze als Sicherheitsrisiken untersucht werden müssen.

„SDL hat sich seit seiner Einführung als effizienter Prozess zur Steigerung der Softwarequalität bewährt“, so Prof. Dr. Sachar Paulus, Vorstandsvorsitzender der ISSECO (International Secure Software Engineering Council e.V.). „Dank der guten Methodologie und einfachen Umsetzbarkeit hat sich SDL mittlerweile bei vielen Entwicklern etabliert. Die beiden neuen Tools sind weitere Bausteine hin zu einer besseren, sichereren Softwareentwicklung“.

Hinzu kommen weitere Hilfen für Entwickler wie z.B. das SDL Process Template für Visual Studio Team System, das SDL Threat Modeling Tool, FxCop (ein Tool zur Analyse von.NET-Assemblies) sowie einige weitere Werkzeuge für die statische Codeanalyse mit Microsoft-Entwicklungsumgebungen.

Alle Tools können bei Microsoft im SDL Tools Repository kostenlos heruntergeladen werden.

Der Security Development Lifecycle ist ein Kernelement der Trustworthy Computing Initiative von Microsoft zur Verbesserung der Sicherheitseigenschaften seiner Produkte. Der Prozess wurde zunächst geschaffen, um firmenintern sichere Anwendungen zu liefern und Attacken besser widerstehen zu können. Jedes Produkt von Microsoft, das mit dem Internet kommuniziert oder für den Unternehmenseinsatz konzipiert ist, muss Angaben von Microsoft gemäß den SDL-Prozess durchlaufen.

Tom Köhler, Direktor Strategie Informationssicherheit Kommunikation bei Microsoft Deutschland hierzu: „Wir schützen damit unsere Plattform. Dazu gehört nicht nur, dass wir unsere eigenen Betriebssysteme und Anwendungen immer sicherer machen, sondern auch Partner und andere Anbieter dabei unterstützen. Gerade Anwendungen von Drittanbietern stehen immer mehr im Zentrum der Attacken durch Schadsoftware. Jeder Entwickler, ob Freiberufler, Microsoft Partner oder Firmenentwickler muss bereits im Designprozess darauf achten, dass seine Anwendungen in der Praxis sicher funktionieren. SDL hilft dabei“.

Kein Zweifel – der Security Development Lifecycle Prozess dürfte für Entwickler auf der Windows-Plattform zunehmend an Bedeutung gewinnen.

Backtrack 4 – Das Hacker-Linux auf der Heise-CD

Vor einigen Tagen erschien das diesjährige ct-Sonderheft Security. Es bietet ein sattes Paket an Informationen, Anwendungen und Hilfestellungen zum Thema IT-Sicherheit. Thematisiert werden u.a. der Kampf gegen Viren, bedrohte Privatsphäre, Verschlüsselung, sicheres Surfen, gefahrloses Online-Banking und die Suche nach Schwachstellen in der IT-Infrastruktur.

Für letzteres liegt eine DVD bei, die unter anderem eine bootbare Version von Backtrack 4 enthält.  Dabei handelt es sich um das BackTrack 4 Pre Final Kernel Update, das auf remote-exploit schon seit einiger Zeit als Pre Release in der Fassung pwnsauce Pentesting and Auditing Verrszum Download bereitsteht. Technisch steckt ein Ubuntu-8.10-Linux als Basis dahinter. Enthalten sind etwa 300 Tools für Sicherheitsexperten und Datenforscher. Sie sind im Backtrack-System als Menüstruktur angelegt, die sich am Arbeitsablauf eines IT-Sicherheitsexperten orientiert.

Die zahlreichen Werkzeuge erfordern zum Teil profundes Security-Fachwissen, so dass ich mich in manches erst einarbeiten muss. Dafür aber ist die bootbare CD (oder ein aus dem Internet gezogenes ISO-Image) bestens geeignet. Man kann mit dem System herumexperimentieren ohne eine bestehende Systeminstallation zu gefährden. Faszinierend, dass eine so umfangreiche und mächtige Werkzeugsammlung legal kostenlos zu haben ist.

Ein entsprechend angepasstes Repository an Software ermöglicht es, vorhandene Applikationen zu aktualisieren oder neue nachzuinstallieren. Freilich erst dann, wenn man das System tatsächlich auf einem Rechner installiert.

Warum hat eigentlich noch niemand ein Backtrack-Buch geschrieben? Wo doch sonst jede Linux-Distribution mit (mindestens) einem eigenen Fachbuch bedacht wird.

Wenn das Internet vergesslich wird

Das Internet vergisst nichts. Alles was an Informationen hineingerät ist potentiell für ewig darin gespeichert. Weil es von Suchmaschinen indiziert und in Cache-Speicher kopiert wird. Weil öffentliche Internetarchive es erfassen und langfristig speichern. Weil Informationen über P2P-Netzwerke, Filesharing, Blogs, Chats oder Aggregationsdienste weitergetragen und verteilt werden. Oder weil zunächst „flüchtig“ angelegte Systeme wie Usenet-Newsserver mit einer Informationsvorhaltezeit von einigen Wochen mittlerweile Archive haben, die zehn und mehr Jahre zurückreichen (bsp. Google-Groups). Das Internet ist aufgrund seiner verteilten, dezentralen und redundanten Infrastruktur der wohl ausfallsicherste und stabilste Datenspeicher der Welt.

Datenschützer fordern daher schon länger „das Internet müsse vergessen lernen“. Was an sich widersprüchlich klingt, wurde kürzlich von Informatikern der University of Washington softwaretechnisch realisiert. Sie entwickelten „Vanish“, ein Open-Source-Programm dass dem Internet Alzheimer einpflanzen würde, wenn es in der Fläche zum Einsatz käme.

Mit ihm kann der Ersteller einer Information jedem Posting, jeder Mail und jedem anderen Informationsfragment, das er in die Welt setzt, ein Verfallsdatum zuteilen, nach dessen Erreichen die Information automatisch verschwindet.

Vanish erzeugt für jede Information, die mit einem Browser online gestellt wird, einen geheimen Schlüssel, mit dem diese verschlüsselt wird. Niemand, auch nicht der Sender, kennt diesen Schlüssel. Der Schlüssel wird anschließend aufgeteilt und zufällig auf mehrere Computer verteilt, die P2P-Netzwerken angehören. Da sich solche Netze laufend verändern, indem Computer neu hinzukommen und andere verschwinden, verschwindet der Schlüssel allmählich aus dem Netz. Nach einer gewissen, vom Nutzer vorgegebenen, Zeit lassen sich die Informationen daher nicht mehr entschlüsseln und werden so zu Datenmüll.

Voraussetzung ist, dass  bei jedem Zugriff auf die Information, der zeitlich nur begrenzt verfügbare Schlüssel erneut aus dem Netz geholt werden muss – die Informationen also nicht offline genutzt werden (können).

Um zu funktionieren, müssen alle Beteiligten Vanish installiert haben, das auch als Firefox-Plugin verfügbar ist.  Allerdings kann das Programm nicht verhindern, dass Nutzer die Informationen retten, indem sie diese ausdrucken bzw. per Screenshot oder Copy & Paste in ein anderes Programm übernehmen.

Ähnliche Ansätze gibt es im Bereich des Enterprise Rights Management (DRM für vertrauliche Unternehmensdaten). Dort sorgen aber stets eine abgeschlossene IT-Umgebung sowie homogene gemanagte Systeme für deren Funktionieren.

Allerdings wirft die Diskussion um das „vergessliche“ Internet einige Fragen auf: Einer der großen Vorteile des Internets ist seine globale Verfügbarkeit verbunden mit dem Zugriff auf potentiell alle jemals darin gespeicherten Informationen. Produkte wie „Vanish“ einzusetzen, käme der Informationsfreiheit in etwa so entgegen, als würde man in einer Bibliothek Buchwürmer aussetzen, um in ihr das Überhandnehmen an Gedrucktem einzudämmen.

Neben den Nutzern sozialer Netzwerke oder von Cloud-Computing-Diensten sind es vor allem Urheber und Rechteinhaber, die zunehmend ein „vergessliches“ Internet fordern. Sie wollen die Kontrolle über „ihre“ (??) Informationen sogar dann noch behalten, wenn sie diese bereits gegen Geld verkauft haben. Wie es kürzlich Amazon-Kunden in den USA feststellen mussten, denen gekaufte und bezahlte e-Books von ihren Kindle-Readern gelöscht wurden.

Technologien wie Vanish könnten daher im Erfolgsfall einen weiteren Beitrag zur Verschiebung der Kräfteverhältnisse weg von der Allgemeinheit und hin zu den Rechtemonopolisten darstellen.

Freies Krypto-Tool Truecrypt in Version 6.2 erschienen

Die Entwickler des beliebten freien Krypto-Tools Truecrypt haben die Version 6.2. herausgebracht. Da Truecrypt an sich bereits sehr mächtig und umfassend ist, gab es diesmal keine neuen Funktionen. Stattdessen wurde „Modellpflege“ betrieben und einige Fehler korrigiert.

So wurde in der Windows-Version die Lesegeschwindigkeit durch die Nutzung von Read-Ahead-Buffer gesteigert, was insbesondere auf Solid-State-Disks (SSD) etwa 30 bis 50 Prozent Geschwindigkeitszuwachs bringen kann.

Auch wurden Probleme beim Bootloader und der Auto-Mount-Device-Funktion sowie viele kleinere Fehler in den Windows-, Linux- und Mac-OS-X-Versionen behoben

TrueCrypt 6.2 steht für Windows Vista, XP, 2000 als Installationspaket sowie für Mac OS X als .dmg-Paket zum Download bereit. Für OpenSuse und Ubuntu bieten die Entwickler ebenfalls Pakete und Installer an.

Truecrypt bietet dem Nutzer einen quelloffenen Zugang zu starken Verschlüsselungsalgorithmen zur Datei- und Datenträgerverschlüsselung.

Truecrypt.org: TrueCrypt 6.2 Released

Die Grafikkarte als Passwort-Cracker

Jeder Passwortschutz lässt sich grundsätzlich dadurch überwinden, dass man alle zulässigen Zeichenkombinationen für das Passwort nacheinander ausprobiert, bis das richtige gefunden ist (Brute-Force-Angriff). Ist das Passwort allerdings lang und sind als Zeichen neben Groß- und Kleinbuchstaben auch Zahlen und Sonderzeichen zulässig, kann das dauern, weil grundsätzlich Millionen oder gar Milliarden Kombinationen möglich sind.

Anmeldepasswörter zur Authentifizierung werden heute meist mit Hilfe von Einwegfunktionen in Hashwerte umgewandelt. Auch wenn jemand den Hashwert kennt, müsste er daraus erst mit Hilfe verschiedener Methoden, wie z.B. dem erwähnten Brute-Force-Angriff versuchen, das gewünschte Passwort im Klartext wiederherzustellen, bevor er es nutzen kann.

Auch hier taucht wieder das Problem auf, dass sehr viel berechnet und getestet werden muss, bevor ein Ergebnis vorliegt. Das machte „starke Passwörter“ relativ sicher, da nur wenige ein Rechenzentrum verfügbar haben, um damit eine Nutzerkennung anzugreifen.

Das hat sich mittlerweile durch leistungsstarke Grafikkarten mit zahlreichen parallel rechnenden Grafikprozessoren (GPUs) darauf geändert. Während selbst gut ausgestattete Rechner aktuell „nur“ über 4 oder 8 parallel rechnende Prozessorkerne verfügen, bringt eine Grafikkarte für ca. 200 – 300 € gleich mehrere Hundert davon mit. Frei programmierbar, d.h. die GPUs können nicht nur realistische 3D-Grafiken für Spiele berechnen, sondern eigentlich alles, was man ihnen programmtechnisch abfordert. Also auch Passwort-Hashes. Und sie ermöglichen es damit, auf gängiger Standard-Hardware aus dem Supermarkt für nicht mal 1.000 € Gesamtkosten Rechenleistungen gegen Passwörter einzusetzen, die bis vor kurzem nicht allgemein verfügbar war.

So ließ die ct’ in ihrer aktuellen Ausgabe 6/2009 einen 24-kerbingen Windows-Server (Wert des Systems: ca. 30.000 €) gegen einen Kaufhaus-Gamer-PC mit Dualcore-Prozessor und sportlicher Grafikkarte (Wert des Systems: ca. 800 €) in der Disziplin „Hashes berechnen mit BarsWF“ antreten. Das Ergebnis in Kürze: Pro Kern berechnet der 24-Kern-Server knapp 50 Millionen Hashes / Sek. und kam auf eine Gesamtleistung von etwa 1,2 Mrd. Hashes / Sek.

Das Gamer-System lieferte in der gleichen Zeit etwa 0,9 Mrd. Hashes, wovon gut zwei Drittel von der Grafikkarte beigetragen wurden. Und das für ein Zwanzigstel des Preises des Servers. Noch dazu ist es grundsätzlich möglich, mehrere solche Systeme parallel rechnen zu lassen und die Suche nach dem richtigen Hash so weiter zu beschleunigen.

Dieser Fortschritt in der GPU-Technik ermöglicht es einzelnen PC-Benutzern nicht nur immer anspruchsvoller visualisierte Spiele zu spielen sondern auch komplexe parallel-rechnende Spezialprogramme am Home-PC einzusetzen. Oder eben auch Milliarden von Passwörtern durchzuprobieren.

s.a. Faster Password Recovery with modern GPUs (Vortrag von Andrey Belenko, ElcomSoft, PDF, 750 KB auf der Troopers 08 in München)

Gerade für Firmen bedeutet das Wissen um diese Weiterentwicklung der Technik (Verfügbarkeit massiv-parallel rechnender Systeme für die breite Masse), dass Passwort-Richtlinien entsprechend überarbeitet werden müssen. Mindestlänge und geforderte Zeichenvielfalt wären heraufzusetzen. Während z.B. ein sechsstelliges Passwort, bestehend aus Groß- und Kleinbuchstaben schon in Minutenschnelle gecrackt ist, muss für ein achtstelliges immer noch Wochen und für ein elfstelliges sogar Jahrhunderte gerechnet werden. Das schließt zumindest Brute-Force-Attacken relativ sicher aus.

Desweiteren muss mit zunehmender Dringlichkeit darüber nachgedacht werden, wo man die doch unsichere Passwortmethode durch zusätzliche oder andere Technologie ersetzen kann. Themen wie biometrische Zugangssysteme, Tokens statt Passwörter oder ähnliches kämen dann wieder auf die Tagesordnung.

Drive-by-Downloads – Angriff auf arglose Surfer und was dagegen getan werden kann

Die meisten PC-Anwender dürften schon etwas von Viren, Trojaner, Spyware oder ähnlichen Ausprägungen von Schadsoftware gehört oder gelesen haben. Zumeist muss man dazu selbst Software (aus oft zweifelhafter Quelle) auf dem Rechner installieren. Denn ein Virus oder Trojaner ist nichts anderes als ein Programm (meist in ein anderes eingebettet), dass durch aktives Zutun des Benutzers einmal in Gang gesetzt werden muss, um seine Schadwirkung entfalten zu können.

Bei neuere Formen von Schadsoftware, den sog. „Drive-by-Downloads“ ist das nicht mehr nötig. Dabei handelt es sich um Schadcode, der unsichtbar in Webseiten eingebettet ist und durch Sicherheitslücken der gängigsten Browser unbemerkt auf den PC des Surfers gespült wird, während man im Internet surft. Einmal auf dem eigenen Rechner angekommen, wird die Schadsoftware meistens unbemerkt nach geldwerten Daten suchen (z.B. Zugänge und Passwörter für kostenpflichtige Internetdienste, Homebanking, Kreditkartendaten, e-Mail etc.), die sich vom Angreifer leicht weiterverkaufen lassen. Oder sie wird den PC zum fernsteuerbaren Rechner umfunktionieren, der zur Weiterverbreitung von Massenwerbemails (sog. SPAM) oder zur Zwischenlagerung illegaler Daten  wie etwa Raubkopien oder Kinderpornografie benutzt werden kann – während der ahnungslose Benutzer daran weiterarbeiten kann, ohne etwas zu bemerken.

Das Risiko kann durch das bewusste Meiden der „Schmuddelecken und Hinterhöfe“ des Internets nicht wirklich reduziert werden. Denn auch Publikumswebseiten z.B. von Zeitschriften oder Fernsehsendern enthalten oft Werbebanner und aktive Elemente, die von Dritten eingespielt werden. Oder sie setzen ihre Webseiten aus zahlreichen Elementen zusammen, die von vielen Rechnern zusammengeholt werden (das macht der Browser automatisch) von denen auch einer gehackt und mit Schadsoftware bestückt werden kann.

Ein Drive-by-Download funktioniert vom Prinzip her wie ein Wurfanker. Einmal gut platziert, können zahlreiche Eindringlinge daran emporklettern und über Mauern hinweg ins Innere eines Hauses gelangen.

Doch was kann man dagegen tun? Zum einen lohnt es sich durchaus, die 30-50 € für die Jahreslizenz eines guten kommerziellen Virenscanners auszugeben. Denn diese Programme erkennen zahlreiche solcher Angriffe und können sie auch abwehren. Die oft funktionell sparsamer ausgestatteten kostenlosen Scanner können das oftmals (noch) nicht.

Aber auch Browser lassen sich sinnvoll ergänzen. So analysiert die kostenlose Erweiterung Finjan Secure Browsing, erhältlich für Internet Explorer und Firefox, die Ergebnisse einer Suchmaschinensuche auf potentiell gefährlichen Seitencode und zeigt dies im Suchergebnis an. Die Analyse beruht auf den aktuellen Datenbankbewertungen von Finjan, einem Anbieter von Sicherheitssoftware.

Die Browsererweiterung Web of trust , verfügbar für Firefox, fügt ein zusätzliches Symbol in die Symbolleiste des Browsers ein. Ein Klick darauf öffnet ein Fenster, das anzeigt, wie andere Benutzer die aktuell angezeigte Website hinsichtlich Vertrauenswürdigkeit, Zuverlässigkeit des Anbieters, Datenschutz und Jugendschutz eingestuft haben.

Drive-by-Downloads basieren auf Skriptsprachen wie Javascript, Active-X etc. die es ermöglichen im Browser fremden Programmcode von Webseiten herunterzuladen und auf dem eigenen Rechner auszuführen. Viele Webseiten realisieren so anspruchsvollere und benutzerfreundlichere Funktionen. Wer auf Nummer Sicher gehen will und Firefox benutzt, kann mit der Erweiterung NoScript den Stecker ziehen. Sie blockiert die Ausführung zahlreicher Arten aktiver Inhalte im Browser. Bemerkt man auf einer regelmäßig genutzten und als sicher eingestuften Seite das Fehlen von Funktionen, kann man diese Seite ganz oder teilweise vom NoScript-Schutz ausnehmen. Das Programm realisiert dadurch das von Sicherheitsexperten empfohlene „Prinzip der schwarzen Liste“ (alles ist erst mal verboten, nach Bedarf werden einzelne Aktionen vom Benutzer wieder erlaubt).

Ein weiteres nützliches Helferlein aus der Gruppe der Firefox-Erweiterungen ist Ad Block Plus, ein Werkzeug das Werbebanner aus dem Internet-Datenstrom herausfiltert. Drive-by-Downloads, die über Werbebanner und damit verbundenen Skriptcode eindringen wollen, werden so effektiv daran gehindert. Als Nebeneffekt werden viele Webseiten dadurch schneller dargestellt und wirken übersichtlicher und leichter lesbar.

All diese Maßnahmen können die Gefahr von Ausspähung und Diebstahl eigener Daten zwar nicht völlig ausschließen. Sie helfen jedoch, das Risiko deutlich zu reduzieren. So wie das Schloss an der Tür und die Scheibe im Fenster.

Fuzzing – Per Zufall auf Schwachstellensuche

Hacker und Softwaretester gehen oft auf ähnliche Weise vor. Und manchmal sogar mit den gleichen Tools. Zumindest bei einer Form der Schwachstellensuche, dem Fuzzing ist das so. Dabei werden Programme automatisiert mit zufällig erzeugten Eingabedaten versehen und die Reaktionen darauf ausgewertet. Im Idealfall gibt ein Programm bei der Eingabe unzulässiger Daten (z.B. Buchstaben in ein Zahlenfeld, überlange Eingabestrings etc.) eine Fehlermeldung aus und verwirft die Eingabe.

Vom Gesichtspunkt der Gebrauchstauglichkeit (Usability) gesehen, sollte die Fehlermeldung dem Nutzer mitteilen was falsch war und wie er es richtig machen kann. Vom Sicherheitsaspekt her betrachtet, sollte die Fehlermeldung keine Hinweise enthalten, die ein Angreifer verwerten kann (z.B. betroffene Systemkomponenten, Versionsnummern, Pfadangaben etc.). Solche Angaben gehören in ein geschütztes Logfile für den Administrator oder Entwickler, nicht auf den Bildschirm des Anwenders.

Durch Fuzzing lässt sich u.a. aufdecken, ob ein Programm durch Eingaben zum Absturz gebracht werden kann oder in unerwarteter Weise reagiert (z.B. dass Ablaufschritte übersprungen werden). Auch die bei Angreifern allseits beliebten Pufferüberläufe, durch die sich Schadcode einschmuggeln lässt, werden oftmals so entdeckt. Mit der Kenntnis, welche Eingabedaten zu Abstürzen führen, kann ein Angreifer gezielt Programme oder Internet-Dienste lahmlegen (Denial of Service), da Eingaben nicht nur durch Nutzer sondern auch durch das Lesen von Dateien oder das Entgegennehmen von Geräte- und Netzwerkdaten anfallen.

Viele der für Fuzzing benötigten Tools sind entweder schon Bestandteil von Entwicklerumgebungen. Oder aber frei erhältlich, wie z.B. in einem Heise-Testbericht nachzulesen ist.

Neben dem reinen Brute Force Fuzzing, bei dem man zu testende Programme mit Zufallsdaten füttert, gibt es auch intelligentere Testansätze, bei denen Protokolle und Formate wie z.B. HTML-Tags, PDF- und JPG-Header etc. berücksichtigt werden. So lassen sich z.B. gültige PDF-Dateienn erzeugen, deren Inhalt den Reader aber beim Versuch ihn zu verarbeiten ggf. in echte Probleme bringen kann.

Allerdings muss nicht jedes per Fuzzing entdeckte Softwareproblem gleich auch eine Sicherheitslücke darstellen. So schreibt heise.de: „Die Popularität des Fuzzing ist in den vergangenen Jahren sprunghaft angestiegen, was sich gut an der wachsenden Zahl der hoch spezialisierten Fuzzing-Tools ablesen lässt. Einige der Tools lassen sich bereits ohne fundierte technische Kenntnisse einsetzen. Dementsprechend häufen sich in letzter Zeit auf einschlägigen Mailinglisten vermeintliche Sicherheits-Advisories, die deutlich erkennen lassen, dass der Poster den Fehlern mit Fuzzing auf die Spur gekommen ist. Frei nach dem Strickmuster „Programm X in Version Y stürzt ab, wenn man eine Datei mit Inhalt Z öffnet“ fehlt ihnen jeglicher Tiefgang, und oft lassen sie selbst Sicherheitsexperten über tatsächliche Auswirkungen und geeignete Gegenmaßnahmen im Dunkeln.“

Alles in allem ist Fuzzing eine wichtige Methode zur Verbesserung der Softwarequalität. Aber auch ein Instrument, um bei fehlender Qualität Schwachstellen in Softwaresystemen zu finden.

Zum Weiterlesen: Schwachstellensuche mit Fuzzing (heise.de)

Der Browser als Hackertool

Das Internet wird interaktiver. Und das schon seit Jahren. Immer mehr Geschäftsprozesse werden ins Netz verlagert. Das macht aber die Anwendungen mit denen das bewerkstelligt wird, nicht unbedingt sicherer. Sog. „business logic flaws“, d.h. Fehler oder Schwächen in der programmtechnisch abgebildeten Geschäftslogik wie etwa fehlende Authentifizierung oder ungeschützter Informationszugriff ermöglichen es zunehmend, nur mit einem Browser bewaffnet Webanwendungen anzugreifen. Und das ohne dass zu ausgefeilteren Angriffsarten wie XSS-Attacken bzw. SQL-Injection auf die Datenbank des Webservers etc. gegriffen werden muss.

s.a. OWASP – Testing for business logic flaws

Der Security-Spezialist Jeremiah Grossmann weist in einem Beitrag für die kommende „Black Hat Convention“ , einer IT-Security-Messe in Las Vegas, darauf hin, dass somit spezielle Hackertools für Angriffe auf Webanwendungen zunehmend durch den Browser als Allzweckwaffe ersetzt werden könnten. Zudem viele „Angriffe“ eigentlich nur aus einem neugierigen „Zupfen an der Tischdecke“ bestehen. Etwa indem man durch „Google Hacking“ nicht verlinkte aber doch vorhandene Webseiten, Administrationsoberflächen, private Webcams etc. aufstöbert.

Da mittlerweile viele Anbieter ihre Dienstleistungen ins Internet verlagern, sei es laut Grossman nun einfacher als früher, viele verwundbare Anwendungen zu finden. Dabei sei das Vorgehen nicht einmal unbedingt illegal. Der Angreifer würde in vielen Fällen nur gegen die Vertragsbedingungen des Anbieters verstoßen.

Sich vor solchen Angriffen zu schützen ist relativ schwer, da sie kein konkretes Angriffsmuster aufweisen. Normale Intrusion Prevention Systems (IPS) oder Web Application Firewalls (WAF) erkennen solche sich noch im normalen Nutzungsbereich befindlichen Interaktionen mit der Anwendung oft nicht.

s.a. Seven Business Logic Flaws That Put Your Website At Risk, Paper von Jeremiah Grossman

Hacker-Linux vom BSI: Die BSI OSS Security Suite 2.0

Vorkonfigurierte und von CD direkt bootbare Linux-Distributionen erfreuen sich wachsender Beliebtheit. Dazu zählen auch „Hacker-Linux“-Distributionen, die meist ein schlankes Linux verbunden mit einer mehr oder weniger umfänglichen Sammlung von Sicherheits-Tools zur Suche nach Sicherheitslücken o.ä. mitbringen.

So ein Linux ist gerade für Schulungszwecke gut geeignet, da man sich die Arbeitsweise zahlreicher Sicherheitswerkzeuge direkt am laufenden Programm ansehen kann. Auch wenn die meisten Tools ein entsprechendes Verständnis von Systemtechnik, Netzwerkprotokollen und Softwareinterna voraussetzen und sich daher nicht zum einfachen herumexperimentieren eignen. Im Gegenteil: Wer ein solches Linux unerlaubt in die Firma mitnimmt und auf den Produktivsystemen seines Arbeitgebers ausprobiert, riskiert sogar die Kündigung!

Inzwischen hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine eigene Linux-Distribution mit Sicherheitstools herausgebracht: die BSI OSS Security Suite, kurz BOSS.

„Die BSI OSS Security Suite baut im Wesentlichen auf dem bewährten Sicherheits-Scanner Nessus auf. Hinzugekommen ist neben der BOSS-Oberfläche der Security Local Auditing Daemon (SLAD), der die Steuerung der angebundenen lokalen Sicherheitssoftware übernimmt.

Die Benutzerfreundlichkeit wurde durch die BOSS-Oberfläche wesentlich erweitert. Durch den entwickelten SLAD verfügt Nessus jetzt über die Möglichkeit Ziel-Systeme auch intensiv von innen her auf Schwachstellen oder gar bereits erfolgreiche Angriffe zu prüfen. Die zentrale, vereinfachte Steuerung und Auswertung vereinfacht damit das organisationsweite Sicherheitsauditing fundamental. Es werden für das Aufspüren von Sicherheitsproblemen in der behörden- bzw. der unternehmensweiten Informationstechnik neue Maßstäbe gesetzt.

Für den OSS-Nessus-Server existieren derzeit ca. 12.000 Plugins, die es ermöglichen auf verschiedenste Sicherheitslücken aller relevanten Betriebssysteme und Netzwerk-Produkte zu prüfen. Täglich kommen neue Plugins hinzu. Der SLAD steuert wichtige Sicherheitssoftware wie TIGER, John-The-Ripper, Tripwire, LSOF, ClamAV oder Chkrootkit.“ (BSI)

Was die Nessus-Plugins angeht: Das sind zwischenzeitlich sogar gut 23.000. Sie werden vom Anbieter registrierten nichtkommerziellen Nutzern sogar kostenlos (mit sieben Tagen Verzögerung) zur Verfügung gestellt. Nessus lädt sie per Auto-Update von selbst herunter und bietet sie in einem Menü nach Kategorien geordnet zur Auswahl an.

(zu Nessus gibt es demnächst einen eigenen Artikel)

Download von BOSS als ISO-Image