Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Saturday, July 31, 2010

Datensicherheit bedeutet mehr als nur Virenschutz

Source
Wenn Sie den vorhergehenden Artikel gelesen haben, wissen Sie wahrscheinlich schon, dass ich nicht glaube, dass ein System jemals allumfassend gesichert werden kann – zumindest dann nicht, wenn Sie es tatsächlich nutzen möchten. Eine weitere grundlegende Annahme, die ich vorbehaltlos akzeptiere, ist, dass sich die Datensicherheit mit weit mehr auseinander zu setzen hat als mit Würmern und Viren. (Nebenbei bemerkt, es gibt zwar Unterschiede zwischen Würmern und Viren, und die Fachleute in diesem Bereich sind sich nach wie vor nicht ganz einig, worin diese Unterschiede liegen, aber wir haben es hier generell mit böswilligem Code zu tun, daher werde ich Würmer und Viren im weiteren Verlauf als eine Angriffsart behandeln und sie kollektiv als "Würmer" bezeichnen.) Trotzdem neigen wir dazu, uns in erster Linie auf die Würmer zu konzentrieren, und das hat sicher seinen Grund. Sasser, Blaster, Lion, Trino, Ramen, Slapper und andere Würmer sind äußerst destruktiv, und es kostet Unsummen, sie wieder loszuwerden. Mit einige wenigen Ausnahmen (wie der Linux-Wurm Ramen und Code Red) ist ein Wurm als solcher nicht destruktiv. Ich will damit nicht sagen, dass Würmer nicht destruktiv sein können, aber wenn Sie es "nur" mit einem Wurm zu tun haben, wissen Sie im Wesentlichen wenigstens, was Sie sich da eingefangen haben. In der Regel haben in einem solchen Fall eine Menge Leute den gleichen Wurm, und hierunter gibt es immer zumindest einige, die wissen, wie man ihn analysiert, und nehmen Ihnen damit das Problem ab.
Einige dieser Würmer installieren allerdings Hintertüren (so genannte Backdoors) im System – Hintertüren, die von den echten Bösewichten dann genutzt werden können, um in Ihrem System weit Schlimmeres anzurichten, als der Wurm das je gekonnt hätte. Nimda war so ein Wurm. Und auch Slapper (ein weiterer Linux-Wurm) gehört in diese Kategorie. Nachdem der Wurm in Ihrem System eine Hintertür eingerichtet hat, kann das System von bösen Buben über das Internet ganz nach deren Gutdünken gesteuert werden. Nebenbei bemerkt, von diesen Würmer verewigt sich natürlich keiner in irgendeiner Art von Protokolldatei, der Sie dann entnehmen könnten, was durch die Hintertür alles geschehen ist. Wenn das System von einem dieser Würmer befallen ist, können Sie keinem Bit hierauf mehr trauen. Die Tatsache, dass der Wurm es geschafft hat, in das System zu gelangen, sollte unbedingt als Symptom dafür angesehen werden, dass das gesamte System nun nicht mehr vertrauenswürdig ist. Es ist nämlich gut möglich, dass der gleiche Vektor (d. h. die gleiche Angriffsmethode) schon einmal für einen anderen Angriff verwendet worden ist, und hierbei kann bereits sehr viel mehr Schaden angerichtet worden sein, als der Wurm selbst verursachen kann. Der Kernpunkt ist, dass wir uns nicht mehr ausschließlich auf Würmer konzentrieren dürfen, sondern uns mehr um die eigentlichen Schwachstellen kümmern müssen, die der Wurm genutzt hat.
Das Problem mit den E-Mail-Würmer ist ein wenig anders gelagert, denn sie sind im Wesentlichen ein Problem von Schicht 8 – ein Problem also, das die Gutgläubigkeit der Benutzer ausnutzt und nicht eine Schwachstelle der Technologie. Dies bedeutet, dass mit E-Mail-Würmern anders umgegangen werden muss, denn würden die Benutzer nicht mehr blindwütig auf jeden E-Mail-Anhang doppelklicken, der in ihr Postfach flattert, wäre dieses Problem längst Schnee von gestern. Und im Umkehrschluss gilt, würde das Management uns gestatten, sämtliche E-Mail-Anhänge einfach zu blockieren – zumindest für die Benutzer, die nicht begreifen wollen, dass man auf verdächtige Anhänge nicht einfach doppelklickt – würde sich das Problem ebenfalls von selbst erledigen. Dies lässt sich übrigens mit jeder relativ neuen Version von Microsoft Exchange und Outlook im Handumdrehen bewerkstelligen. Und natürlich würde auch jeder dieser Benutzer arglos auf einen böswilligen Trojaner doppelklicken, aber das ist eher ein orthogonales Problem. Die einfache Tatsache, dass ein E-Mail-Wurm in das System gelangen konnte, ist noch kein schlagender Beweis dafür, dass das System von einem aktiven Angreifer auf die gleiche Weise kompromittiert wird, wie dies bei einem Netzwerkwurm wie Sasser der Fall ist.
Unter dem Strich bereiten mir aktive Angreifer wesentlich mehr Sorgen als Würmer – und aktive Angreifer können eine Menge findiger Methoden nutzen, um in Ihr System und Ihr Netzwerk einzudringen. Dem Wurmproblem kann hingegen mit relativ einfachen Schritten begegnet werden (die hier nur aufgelistet werden und nicht notwendigerweise alle unternommen werden müssen):
Sorgen Sie dafür, dass alle sicherheitsrelevanten Patches sofort nach ihrer Veröffentlichung implementiert werden.
Arbeiten Sie mit einer Firewall.
Arbeiten Sie mit einer Antivirensoftware. Falls Sie nicht über ein solches Tool verfügen, besuchen Sie /germany/protect/. Hier stehen kostenlose Testversionen zum Download bereit. Informationen zur Bereitstellung von Antivirenlösungen in einer größeren Umgebung finden Sie zudem im Leitfaden zur erfolgreichen Virenabwehr.
Machen Sie den Benutzern eindringlich klar, dass sie keinesfalls auf unverlangt eingegangene E-Mail-Anhänge doppelklicken dürfen, ohne vorher zu prüfen, ob diese einwandfrei sind, oder blockieren Sie solche Anhänge schon im Vorfeld.
Das Eindringen eines aktiven und entschlossenen Angreifers in das System zu verhindern, gestaltet sich nicht immer so einfach. Darüber hinaus verfügen wir, wie einige Leser betonten, auch nicht immer über ausreichend Datensicherungen, um ein System auf zuverlässige Weise wiederherstellen zu können. Daher wird es immer wichtiger, erkennen zu können, ob ein System kompromittiert wurde und, falls ja, welcher Schaden angerichtet wurde. Hierfür stehen durchaus einige Möglichkeiten offen.

No comments: