Home      Themenübersicht / Sitemap      Notizen      Webmaster
Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

Die dümmsten Ideen der Computer-Sicherheit

(Stand: 3.10.2005 - Autor: Philipp Schaumann

Marcus Ranum schreibt auf seiner Website einen sehr prägnanten Artikel über die Six Dumbest Ideas in Computer Security. Auch wenn ich ihm inhaltlich nicht ganz bis zum Ende folgen kann, so muss ich doch zumindest den ersten 3 seiner Beobachtungen bzgl. was der Kern des Problems der Computersicherheit, bzw. der Informationssicherheit ist, voll und ganz zustimmen.

Default Permit

Der erste Punkt ist gleich der wichtigste und vermutlich der Kern dessen warum wir mit dem Sichern der Rechner nicht mehr nachkommen: "Default Permit" bedeutet, dass wir ganz oft so vorgehen, dass wir erst mal alles erlauben und dann versuchen, alles Böse zu verbieten. Ein Beispiel: Die meisten Anwender benutzen nur eine sehr geringe Zahl von Anwendungen/Programmen auf ihren Rechnern, aber statt in einer "White-List" diese aufzuzählen und alles andere zu verbieten, versuchen wir mittels Virenscanner und Anti-Spyware-Programmen die Bösen zu verbieten. Das gleiche für Websites, die meisten Firmen, die versuchen, die Webzugriffe ihrer Mitarbeiter zu regulieren, sperren einzelne Seiten, statt gezielt die wichtigen Seiten freizugeben.

Firewalls sollten an sich nach dem Prinzip arbeiten, dass nur das was explizit erlaubt ist, durchkommt, aber viele Administratoren machen es sich leicht, sie geben alles frei und versuchen dann, die Angriffe einzeln zu blockieren. Das gleiche gilt für die Zugriffsregeln (access control lists) im Router, für die Zugriffe der Mitarbeiter zu Fileshares, für die Philosophie hinter der XP-Firewall von Microsoft, die alles, was vom Rechner selbst kommt, herauslässt. Und das ist in den Firmen-LANs implementiert, die flach und weit angelegt sind und jeden Rechner innerhalb des konzernweiten Netzes auf jeden anderen Rechner im Netz loslassen, anstatt eine Segmentierung, z.B. in Form von VLANs, zu implementieren.

Enumerating Badness

Der zweite Punkt hängt ganz eng damit zusammen, nämlich unser Versuch, alles Böse, was in einem EDV-Netz passieren kann, aufzuzählen. Beispiele sind Viren-Pattern-Dateien, Listen von Spyware-Pattern, Listen von als ungeeignet empfundenen Website, Listen von Spam-Versendern. Damit kommen wir aber schon ganz lange nicht mehr nach, die Listen der "Bösen" (black lists) werden länger und länger und hinken ständig hinter der Realität hinterher. Dabei gibt es Konzepte wie bei "Application Based Computing", z.B. das "Thin-Client"-Konzept von Citrix, mit deren Hilfe alles definiert wird, was ein Anwender ausführen darf.

Natürlich kann es etwas mühsam sein, alle legitimen Anwendungen zu definieren. Einer der Kunden meines Arbeitgebers kommt dabei auf 500 legitime Anwender für das Gesamtunternehmen. Aber andererseits sinkt damit die Gefahr von bösartiger Software auf ein erträgliches Maß zurück.

Solange wir nicht anfangen, den legitimen Verkehr in Netzen zu definieren, werden wir nie damit nachkommen, die Angriffspattern aller möglichen Angriffe in einem Intrusion Detection System einzeln aufzulisten.

Mit dieser Graphik stellt Marcus Ranum die Entwicklung der Zahl der "bösen" Programme gegenüber den "guten" Programmen dar. Die Schere klappt heute so weit auf, dass den durchschnittlich vielleicht 30 "guten" Anwendungen ca. 75.000 Viren gegenüberstehen und dass 200 bis 700 neue "böse" Anwendungen im Monat dazukommen und nicht alle davon werden an Anti-Viren-Unternehmen weitergeleitet. Der neue Trend der Angreifer geht dahin, dass Angreifer ihre Programme oft nur ganz gezielt an eine Zielgruppe, oft nur 1 Unternehmen, verbreiteten, um durch die geringe Verbreitung genau diesen "black-lists" zu entgehen.

Penetrate and Patch

Der dritte Punkt ist die gängige Praxis, genau 1 Schwachstelle zu finden (selbst, z.B. durch Penetrations- oder Vulnerability-Test, oder über eine Veröffentlichung z.B. bei CERT) und dann genau diese 1 Schwachstelle durch einen Patch des Hersteller zu schließen. Wenn dieses Konzept funktionieren würde und die Sicherheit von Anwendungen wirklich verbessern würde, dann müssten die Schwachstellen aus dem Internet Explorer jetzt irgendwann raus sein oder ganz stark gegen Null gehen. Das ist aber nicht der Fall, weil jede neue Sicherheitskorrektur eine gute Chance hat, neue Probleme zu erzeugen.

Grund ist, dass wir EDV-Leute vor vielen Jahren schon den Versuch aufgegeben haben, fehlerarme Software zu entwickeln. Mehr dazu unter dem Stichwort Lausige Software. Es hat sich die Programmiersprache C durchgesetzt, die es extrem einfach macht, sog. Buffer-Overflows zu erzeugen.

Aber das gilt auch für andere Aspekte der EDV, z.B. für Netzwerke. Die könnte man erheblich sicherer machen, wenn sich die Firmennetze aus vielen überschaubaren VLANs zusammensetzen würden, und mit Firewalls zwischen diesen, in denen der jeweils legitime Verkehr zwischen einzelnen Rechner und Rechnergruppen in einer white-list definiert ist.

Hacking is Cool

Computerwurms, Schaden anrichtet, als "wizz kid" oder Computerspezialist bezeichnet wird. Dazu gehören auch die Gerüchte (oder mehr ?), dass reputable Firmen ehemalige Hacker einstellen, um das eigene Netz zu überprüfen. Ich stimme damit überein, dass das "coole" Image der Angreifer in der Öffentlichkeit sehr kontraproduktiv ist. Es besteht leicht die Gefahr, dass ein junger Mensch, der Spaß am Programmieren und Tüfteln hat, sich einen Virenschreiber als Vorbild nimmt.

Viel besser wäre, wenn es ein so aufregendes Image für die Software-Entwickler gäbe, die sich die Entwicklung von sicheren Software-Systemen auf die Fahnen geschrieben haben.

Educating Users

An dieser Stelle stimme ich mit dem Autor nicht mehr überein. Sein Argument ist, dass wir uns die Sysiphus-Arbeit des Benutzertrainings vollständig sparen können. Er sagt, Benutzertraining ist überflüssig, wenn

  • wir verhindern, dass der Benutzer gar keine ausführbaren Anhänge (Attachments) mehr bekommt,
  • keine Mails mit Javascripts mehr zugestellt werden,
  • nur noch auf Website zugänglich seind, die gepürft sind
  • nur noch Programme ausführen darf, die in der White-List stehen.

Hier stimme ich nicht mehr mit ihm überein. Einmal, weil es leider in fast keinem Unternehmen kurzfristig durchsetzbar ist, den Arbeitsplatz technisch so abzusichern und weil zum Zweiten dann immer noch die Angriffe über Social Engineering wären. Für mich hat Benutzersensibilisierung, als Teil der Arbeit an einer vernünftigen Unternehmenskultur, einen sehr wichtigen Wert.

Action is Better than Inaction

Was er hier meint ist, dass es Firmen gibt, die werfen sich auf jede neue (Sicherheits-)Technologie, schon lange bevor sie ausgereift und im Markt und vergleichbaren Unternehmen getestet ist. Die Alternative ist, abzuwarten und dann zu sehen, wie diese Technologie in eine Gesamtstrategie hineinpasst, z.B. was die drahtlosen Kommunikationstechnologien betrifft, die jetzt überall ausgerollt werden. Klüger ist es, eine gesamthafte Strategie dafür zu entwickeln, wie Mitarbeiter von außerhalb des Unternehmensnetzes auf Daten sicher zugreifen können, und auf welche Daten der Zugriff wirklich notwendig ist.

 

Philipp Schaumann, http://sicherheitskultur.at/

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Andererseits betrachte ich meine Artikel als "offenes Material", d.h. andere dürfen sie bei entsprechendem Hinweis auf die Autorenschaft gern verwenden. Dies ist in Anlehnung an das Konzept des Copyleft.