Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 11. CRACKER-TOOLS AM BEISPIEL<br />
In e<strong>in</strong> paar Schriften von selbsternannten Hackern oder Autoren von Crackertools, wie den bereits<br />
erwähnten [Fyodor 1998] und [Cornwall 1985], wird versichert, daß e<strong>in</strong>er Art Ehrenkodex gefolgt<br />
und versucht werde, sich vom unreifen Verhalten der „Script-Kiddies“ abzusetzen. Insbesondere<br />
[Fyodor 1998] warnt aus diesem Grunde davor, se<strong>in</strong> Tool nmap dazu zu verwenden, e<strong>in</strong>e große Anzahl<br />
von Sites zu scannen, um sich dann aus e<strong>in</strong>er so erzeugten Datenbasis von Hosts e<strong>in</strong>en herauszusuchen,<br />
der e<strong>in</strong>e bestimmte <strong>Sicherheit</strong>sschwäche (Im Jargon: „vulnerability“ - Verwundbarkeit) hat.<br />
Allerd<strong>in</strong>gs ist genau dies der häufigste Verwendungszweck dieses Tools.<br />
Das Verhalten bei E<strong>in</strong>brüchen <strong>in</strong> Rechner sieht oft anders aus, als es oben unter Punkt 2 def<strong>in</strong>iert und<br />
gefordert wird. In der Regel werden z.B. Log-Dateien ohne Rücksicht auf Verluste gelöscht, um der<br />
Entdeckung zu entgehen.<br />
Der mögliche Schaden, den e<strong>in</strong> Cracker-Angriff anrichten kann, läßt sich folgendermaßen beschreiben:<br />
Personalkosten, die dadurch entstehen, daß sich Systemadm<strong>in</strong>istratoren und Operatoren darum kümmern<br />
müssen, wieder e<strong>in</strong>en normalen Betriebszustand herzustellen. Auch die damit verbundenen<br />
Verzögerungen und Ausfallzeiten s<strong>in</strong>d e<strong>in</strong> Faktor, der auch materiell Kosten verursacht.<br />
Datenverlust: Nach e<strong>in</strong>em „Root-Compromise“ 6 kann über den Zustand des Systems <strong>in</strong> der Regel<br />
ke<strong>in</strong>e Aussage mehr gemacht werden. Programme im System können Trojaner 7 enthalten,<br />
persönliche Daten von Benutzern (wie z.B. auch elektronische Schlüssel) können entwendet<br />
worden se<strong>in</strong>, so daß es nötig se<strong>in</strong> kann, das System neu zu <strong>in</strong>stallieren, oder zum<strong>in</strong>destens e<strong>in</strong><br />
Backup e<strong>in</strong>es Zustands e<strong>in</strong>zuspielen, der begründet als nicht kompromittiert gelten kann. Außerdem<br />
werden durch das Vorgehen des Crackers unter Umständen wichtige Daten gelöscht.<br />
Das Entfernen e<strong>in</strong>es Systemlogs kann z.B. für e<strong>in</strong>en Internet-Service-Provider auch e<strong>in</strong>en monetären<br />
Verlust bedeuten (Verlust von Account<strong>in</strong>g-Daten).<br />
Instabilität: Das Auswechseln von Programmen oder gar Programmbibliotheken durch Cracker (mit<br />
dem Ziel, Trojaner zu <strong>in</strong>stallieren) kann (unvorhergesehene) Instabilitäten zur Folge haben.<br />
Es hängt meist von der persönlichen E<strong>in</strong>schätzung der „Opfer“ ab, was als Schaden oder Verlust verstanden<br />
wird, allerd<strong>in</strong>gs gibt es auch unstrittige Beispiele von destruktivem Verhalten durch Cracker:<br />
In „An even<strong>in</strong>g with Berferd“ [Cheswick 1991] wird beschrieben, wie der Angreifer an e<strong>in</strong>em Punkt<br />
(offenbar aus Frustration, da die von Bill Cheswick per Hand simulierte Umgebung ihn zu verwirren<br />
schien) den Unix-Befehl „rm -rf / &“ als root 8 auszuführen versucht. Das ist nun offensichtlich<br />
destruktives Verhalten. Allerd<strong>in</strong>gs gibt es auch Beispiele für unabsichtlichen Schaden, den Cracker<br />
verursacht haben. Der von Clifford Stoll [Stoll 1988] beschriebene Angreifer drang vor se<strong>in</strong>er Entdeckung<br />
<strong>in</strong> e<strong>in</strong>en Rechner e<strong>in</strong>, der bei der Echtzeitüberwachung e<strong>in</strong>es mediz<strong>in</strong>ischen Experiments<br />
benutzt wurde. Wenn das E<strong>in</strong>dr<strong>in</strong>gen nicht rechtzeitig entdeckt worden wäre, hätte das laut Stoll e<strong>in</strong>e<br />
ernsthafte Gefährdung e<strong>in</strong>es Patienten bedeuten können. Stoll beschreibt, daß derselbe Cracker,<br />
obwohl er offensichtlich versucht hat, ke<strong>in</strong>en Schaden zu verursachen, unwillentlich die Daten e<strong>in</strong>es<br />
physikalischen Experiments beschädigt hat.<br />
Damit wurde wohl dargelegt, warum bei den folgenden „Motivationen“, wie sie unter anderem Hugo<br />
Cornwall (siehe [Cornwall 1985]) angibt, eher von Rechtfertigungen gesprochen werden sollte.<br />
6 root compromise: E<strong>in</strong> Unbefugter erhält die Privilegien des Systemverwalters, oder des Benutzers „root“ unter Unix.<br />
7 Trojaner: E<strong>in</strong> Programm, das, meistens als legitime Anwendung oder Systemdienst getarnt, Crackern Zugriff zu e<strong>in</strong>em<br />
System erlaubt, oder andere Funktionen erfüllt, die für Cracker nützlich s<strong>in</strong>d, wie z.B. verfälschen von Angaben über den<br />
Systemzustand. Prom<strong>in</strong>ente Trojaner s<strong>in</strong>d unter W<strong>in</strong>dows z.B. „Back-Orifice 2000“ und „Netbus“.<br />
8 Die Ausführung dieses Befehls als Benutzer root löscht alle auf dem System vorhandenen Daten unwiderruflich.<br />
170 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>