Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?

Olaf19 / 77 Antworten / Flachansicht Nickles
Hallo zusammen.

Da die Diskussionen zum Thema Sicherheitskonzepte auf diesem Board sich mit schöner Regelmäßigkeit im Kreise drehen, nicht wirklich vorankommen und in jedem Thread wieder bei Null beginnen, möchte ich jetzt einmal in die Runde fragen, ob es nicht eine Möglichkeit gibt, sich auf einen Minimalkonsens zu einigen, dem alle zustimmen können, egal welches Sicherheitskonzept sie für sich bevorzugen.

Bildlich gesprochen, hatten bislang alle Diskussionen hier eine V-Form: Einigkeit gab es nur auf dem alleruntersten Level. Jeder ist gegen Malware und für mehr Sicherheit - aber danach driften die Argumentationen schon munter auseinander. Mein Ziel ist es, von diesem V-förmigen Diskussions-Verlauf zu einer Y-Form zu kommen: Ein Stück weit gehen alle zusammen, und erst dann gabelt sich der Weg - je nachdem, wie die Vorlieben in Sachen Sicherheit sind.

Ob das mit Hilfe dieses Thread gelingt, kann ich nicht im voraus sagen - aber einen Versuch ist es mir wert. Wer weiß, vielleicht kann dieser Thread sogar die Grundlage für eine FAQ speziell für dieses Board bilden.

Um überhaupt in die Lage zu kommen, ein Sicherheitskonzept zu entwickeln, muss man sich die Frage stellen: Wer oder was bedroht überhaupt meine Sicherheit, wie, womit, auf welche Weise geschieht das? Dazu das folgende fiktive, aber nicht unwahrscheinliche Fallbeispiel von "Herrn X".

Herr X hat folgende Voraussetzungen:

- ein flottes AMD-System als Einzelplatzrechner, also kein Heimnetzwerk
- Betriebssystem: Windows XP ohne SP 1 und ungepatched
- Browser: Internet Explorer 6 ohne SP 1 und ungepatched
- Mailclient: Outlook Express 6, ebenfalls im "Urzustand"
- Werbeblocker: keine
- Virenscanner: keinen
- Firewall: keine
- sonstige Sicherheitsmaßnahmen: keine

Um es einmal salopp auszudrücken: Herr X kümmert sich einen Dreck um seine Sicherheit. Um das Maß vollzumachen: Er hat noch nicht einmal einen Gastaccount eingerichtet - er geht immer mit vollen Administratorrechten ins Internet... und doch, es gibt auch Positives zu berichten:

Herr X gibt seine eMail-Adresse nicht wahllos heraus. Als Resultat bekommt er kaum Spammails. EMails unbekannter Absender wandern ungelesen in den Müll. Mit Attachments und HTML-Mails ist Herr X äußerst vorsichtig - im Zweifel ebenfalls: Weg damit.

Gelegentlich lädt sich Herr X Software aus dem Internet herunter, Open Office z.B. oder Utilities wie den Acrobat Reader oder Total Commander. Immer vom Hersteller oder von renommierten PC-Zeitschriften. Dubiose Quellen oder Tauschbörsen meidet Herr X wie der Teufel das Weihwasser.

Auch Sex-, Porno-, Hacker- und WareZseiten sind Herrn X fremd. Dafür surft er umso häufiger Nachrichtenseiten, Firmenhomepages, politische, wissenschaftliche und literarische Seiten an.

Was den humanen Sicherheitsfaktor, also das Surfverhalten angeht, ist Herr X demnach geradezu ein Musterschüler des Internets. Vorbildlich ist auch seine Angewohnheit, seine Daten regelmäßig zu sichern. Nur seine Systemkonfiguration enthält keinerlei Merkmale eines sicheren Systems...

Frage an Euch: Was genau kann diesem Herrn X im Internet passieren? Wo lauern die Gefahren? Mit welchen mehr oder gravierenden Sicherheitsproblemen muss er rechnen, wenn er derart ungeschützt im Web auf die Reise geht? An welchen Stellen müsste er konkret den Hebel ansetzen, um Sicherheitslücken zu schließen?

Bitte an dieser Stelle noch keine Ratschläge posten. Zunächst geht es nur um mögliche Probleme - noch nicht um die Lösungen dazu.

Ich freue mich wie immer - aber diesmal ganz besonders! - auf Eure Anregungen.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
www.bsi.de GuFu
Hmm ... Twista
Dumistvieh Olaf19 „IT-Sicherheit: Die Grundlagen... ein Weg zum Minimalkonsens?“
Optionen

> Kann sich Herr X einen Trojaner installieren, ohne dass er davon erfährt bzw. vorher
> gewarnt wird? Was ist ein Raw Socket? Wie kann so etwas passieren, insbesondere ohne
> dass der User etwas davon bemerkt?

erstmal vorweg, ich bin kein sicherheitsexperte oder in der richtung ausgebildet. alles, was ich weiß, habe ich selber in der freizeit gelesen/ausprobiert (im eigenen LAN versteht sich) etc. "sicherheit" ist also nur ein hobby; schwerpunkt eher bei webanwendungen. also, nicht böse sein, wenn ich mal mist erzähle :)

jedes betriebssystem mit netzwerkkern hat einen tcp/ip-stack, mit dem man die benötigten netzwerkpakete erstellen kann. jedes paket hat, je nach protokoll, einen eigenen header, der die benutzerdaten umschließt. dieser enthält zielip und port sowie auch quellip und port. damit es für viele einfacher ist, sind diese header wie masken vorgestanzt, sodaß man die daten nur noch eintragen muß, falls ein programm netzwerkpakete versenden möchte. er braucht sich keine gedanken machen wie ein solches paket aussehen muß. unix, winnt und auch winxp (2000,2003 weiß ich nicht) haben nun einen raw socket. damit kann man vollständig eigene pakete erstellen - natürlich nur mit nötigem hintergrundwissen. damit hat man ein mächtiges werkzeug, um "gefälschte" pakete zu erstellen.

wenn nun erfahrene hacker einen angriff planen, könnten sie auf die idee kommen und viele rechner mit diesem raw socket zu mißbrauchen. sie müssen nur zugriff aufs betriebssystem erlangen und entsprechend kontrollieren. da natürlich nicht alle rechner zum angriffszeitpunkt online sind, werden viele gebraucht. ziel ist es natürlich immer den weg zu sich zu verschleiern, indem man auch gefälschte ip-adressen benutzt. mit einem raw socket kann man eintragen, was man möchte. dies kann, ein "berühmter" angriff auf steve gibson research company (grc.com, was man von der site hält sei jedem überlassen) hat dies bewiesen. ein 13-jähriger kiddie hat da mit einem tool raw sockets ausgenutzt und die site schlicht und einfach abgeschossen, indem das zielnetzwerk mit (für den server) sinnlosen paketen überschwemmt wurde - eine drdos-attacke.

eine kleine faq, die nicht weit ins detail geht:
http://www.whitefang.com/rin/rawfaq.html

ich denke man kann sich ein trojaner einschleppen ohne warnung oder daß man es großartig merkt. welcher normalo-benutzer sitzt schon mit einem sniffer an seinem internetanschluß und kontrolliert die ausgehenden daten? die einfachste möglichkeit ist es natürlich als nützliches tool wie "cracked dialer, free porn access etc." zu tarnen. da herr x aber vorsichtig ist, müßte man es ihm schon schmackhafter machen, bis er die "exe" ausführt. einmal installiert, glaube ich nicht, daß herr x etwas davon merkt. die hacker könnten die datenmenge bewußt klein halten oder ihr tool gleich mit allem ausstatten und bei der "installation" einrichten. das szenario dürfte von den wenigsten kiddies durchgeführt werden können - es sei denn es gäbe fertige lösungen dafür. kiddies mögen zwar nix "drauf" haben, aber klug genug, um den "roten" knopf zu drücken, ist jeder. ich schätze, daß sich wenige tausend oder gar hundertausende rechner so mißbrauchen ließen. wenn die (h|cr)acker vollen "root"-zugriff beim opfer haben (herr x surfte ja mit adminrechten) läßt sich der ip-stack bestimmt so umkrempeln, daß die pakete an eventuellen paketfiltern vorbei geht. ich denke, es gibt da diverse möglichkeiten. somit wäre eine pf dafür sinnlos. nur noch ein gateway/router könnte die pakete jetzt abfangen.

würde man herr x einen server installieren, um warez zu verbreiten, würde er es auch kaum merken. wenn er nicht die offenen ports kontrolliert, sieht er ihn zumindest nicht. obwohl ich denke, daß man auch diese angaben fälschen könnte (ähnlich linux-rootkits) und das entsprechende programm durch ein eigenes austauscht. in der prozessliste taucht er task dann auch nicht auf. in wie weit man das unter windows machen kann, weiß ich nicht. aber irgendeine routine wird da, ähnlich "ps", die liste schon auf den schirm zaubern. ob es solche "kits" für windows gibt (systemdateischutz?), weiß ich auch nicht. für linux gibt es da schon teilweise raffinierte. auffallen dürften ihm aber, daß seine verbindung manchmal lahmt. irgendwann würde ihn das stutzig machen. inwiefern das nun wahrscheinlich ist, daß einem sowas passiert, weiß ich nicht. letztlich sind meine szenarien wohl die seltenen, die nicht von einem freizeit-kiddie durchgeführt werden können. garftermys sind da schon eher anzutreffen. es sei denn, wie gesagt, für "härtere" angriffe gäbe es auch schon "klicki-fertig-lösungen". dennoch: gegen profis nützen auch nur profis auf der anderen seite. das ist wohl klar ;)

ich persönlich halte es u.a. für sinnvoll nicht mit der masse zu gehen. wenn alle dasselbe os, denselben browser etc. nutzen, ist es einfacher für kiddies. gäbe es einen gut "durchmischten garten", dann würde sich das ändern. zumindest eine teilschuld bei monopolkonzernen. auch tcg/ngscb (former known as tcpa/palladium) wird daran nichts ändern. bei technologien ist es immer so. erst können es nur wenige und später sehr viele, aber nicht *besonders* gut.

gruß
dumistvieh

--- wie immer: ALLE ANGABEN OHNE GEWEHR ÄH GEWÄHR!
bei Antwort benachrichtigen
Erstes Fazit Olaf19
Erstes Fazit Grossadministrator
Erstes Fazit Tyrfing
Erstes Fazit Grossadministrator
@Plazebo, Teletom u.a. Olaf19
End of Part I... Fazit Olaf19
End of Part I... Fazit Teletom
Nachrichten-Spam Olaf19
Nachrichten-Spam Tyrfing
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
@Mister NACHRICHTENDIENST Brezel
Mein Fazit Tyrfing
Mein Fazit GarfTermy
na dann....:- glorias