Beruflich Dokumente
Kultur Dokumente
Bis zu
90 Tage
längere Laufzeit*
Vertra Jederzeit
u
Sie au en
f über
kostenloser
Jahre
Erfahr
ung
Austausch
unSERE PRodukTE
Zusätzliche Lizenzen
• Domain Validation (DV)-Zertifikate ohne Aufpreis*
• Organization Validation (OV)-Zertifikate
• Extended Validation (EV)-Zertifikate Unkomplizierte Lieferung
auf Rechnung**
• Single-Zertifikate
• Wildcard-Zertifikate
• Multidomain (MDC)-Zertifikate
Persönlicher
Support
• Unified Communication /
Subject Alternative Name (UCC/SAN)-Zertifikate in deutsch, englisch,
spanisch und polnisch
• Server Gated Cryptographie (SGC)-Zertifikate
** bei Pay-as-you-Go
LIEBE HAKIN9 LESER,
2011 ist schon da - die erste Januar Ausgabe von hakin9 auch.
Das Hauptthema dieser Ausgabe ist „Windows Filtering Platform:
Netzwerkdatenfilterung unter Windows“ - der Artikel von René Espenhahn.
Beginnend mit Windows Vista hat Microsoft die Windows Filtering Platform in
ihr Betriebssystem integriert. Sie soll die vielen über Jahrzehnte entstandenen
Teillösungen zur Filterung der ein- und ausgehenden Netzwerkdaten ersetzen
und eine einheitliche Basis zur Filterung bereitstellen. In diesem Artikel werden
die Grundlagen der Windows Filtering Platform vorgestellt. Darauf aufbauend
wird ein Beispiel aus dem Windows Driver Kit näher erläutert.
Kann ein quelloffenes Pentesting-Tool an seine kommerzielle Pendants he-
ranreichen? Welche Informationen eines Zielsystems sind für einen erfolgrei-
chen Exploit erforderlich? Welche Vorteile bringt das Metasploit Framework?
Darüber erfahren Sie aus dem Artikel von Alexander Winkler „Das Metasploit
Framework als Unterstützung bei Penetrationstests“ in der Rubrik Tools.
Lichtgeschwindigkeit ist die höchste Geschwindigkeit, mit der sich Einheiten
bewegen können. Auch beim Austausch von Computerdaten setzt man auf
optische Übertragungswege, um Höchstgeschwindigkeiten zu erreichen. Mit
mehreren Gigabit pro Sekunde werden große Datenmengen in Backbone-
Strukturen oder zum Zusammenschluss von Rechenzentren ausgetauscht.
Wie Glasfaserleitungen durch Lauschattacken bedroht werden, warum das so
ist und welche Schutzmaßnahmen IT-Verantwortliche ergreifen sollten, erläu-
tert uns Leonhard Zilz in dem Artikel „Angriffe in Lichtgeschwindigkeit - Gefahr
durch Lauschattacken auf Glasfaserleitungen“ in der Rubrik Angriff.
Besonders empfehlenswert ist das Interview mit Thomas Hackner, dem
Geschäftsführer von HACKNER Security Intelligence. Diesmal unterhalten
wir uns über Industrie- und Wirtschaftsspionage, IT-Penetration Tests, Social
Engineering Audits und das Projekt SecurityPitfalls.org.
Ich hoffe, dass wir mit dieser Ausgabe Ihren Herausforderungen gewachsen
sind.
Wenn Sie Ideen, Bemerkungen oder Tipps für Hakin9 haben, neh-
men Sie sich kurz Zeit und beantworten die 11 Fragen, die unter: http://
hakin9.org/de/leserumfrage zu finden sind. Ihre Meinung ist uns wichtig.
Damit helfen Sie uns das hakin9 IT Security Magazin noch besser zu
gestalten und weiterzuentwickeln.
5/2009 HAKIN9 4
1/2011
INHALTSVERZEICHNIS
ANGRIFF PRAXIS
06 Angriffe in Lichtgeschwindigkeit Gefahr 20 Schwachstellen bei der Ressourcenopti-
durch Lauschattacken auf Glasfaserleitungen mierung im virtuellen Raum
Leonhard Zilz Steve Hampicke
Lichtgeschwindigkeit ist die höchste Geschwindigkeit, Die Virtualisierung von physischen Systemen gewinnt
mit der sich Einheiten bewegen können. Auch beim mehr und mehr an Bedeutung. Mittlerweile ein alter
Austausch von Computerdaten setzt man auf optische Hase unter den Virtualisierungsarten ist die Servervir-
Übertragungswege, um Höchstgeschwindigkeiten zu tualisierung. Sie hat sich bereits in Unternehmen und
erreichen. Mit mehreren Gigabit pro Sekunde werden Behörden etabliert und verdrängt erfolgreich die „alte“
große Datenmengen in Backbone-Strukturen oder zum physische Serverstruktur. Unternehmen und Behörden
Zusammenschluss von Rechenzentren ausgetauscht. versprechen sich durch den Einsatz der Virtualisie-
Je mehr Daten in solchen Glasfasernetzen übertragen rung Kosteneinsparungen durch eine Reduzierung der
werden, umso brisanter werden auch Abhörattacken. Server-Hardware, Senkung der Energie und Minimie-
rung des benötigten Platzes im Rechenzentrum. Doch
die Virtualisierung von Servern bringt durch die neuen
SICHERHEITSANWEN- Techniken auch zusätzliches Gefahrenpotential gegen-
DUNGEN über physischen Servern mit sich.
4 6/2010
InhaltsverzeIchnIs
36 Ncrack – Netzwerkauthentifizierungen
knacken
Christian Stockhorst
Dieser Artikel beschreibt wie mit dem Tool Ncrack ver-
schiedene Dienste im Netzwerk bzw. die Computer und
andere Geräte im Netzwerk auf denen diese Dienste
laufen auf schwache Passwörter überprüft werden kön-
nen. Ncrack bedient sich dabei einem modularem An-
satz, für verschiedene Services.
INTERVIEW
44 Interview mit Thomas Hackner
„Zu aller erst sollte man sich seiner Situation, seiner
schutzwürdigen Interessen und seiner Risiken bewusst
sein.“ Mehr erfahren Sie aus dem Interview mit Thomas
Hackner, dem Geschäftsführer von HACKNER Security
Intelligence.
hakin9.org/de 5
ANGRIFF
Angriffe in Lichtgeschwindigkeit
Gefahr durch Lauschattacken auf Glasfaserleitungen
Leonhard Zilz
J
e mehr Daten in solchen Glasfasernetzen übertra- nächste Enthüllung kündigt das Internet-Projekt an, das In-
gen werden, umso brisanter werden auch Abhör- nenleben einer großen US-Bank ausstellen zu wollen. Die
attacken. Enthüllungsplattform, aber auch klassische Medien, greifen
Geheime Informationen in fremden Händen – die Auswir- zur Erfüllung ihrer journalistischen Aufgabe auf Material zu-
kungen kennt man von WikiLeaks. Von Filmmaterial über rück, das an sie weitergeleitet wurde. So brisant die ver-
US-Militäroperationen bis zu diplomatischen Geheimpa- öffentlichten Informationen auch sein mögen - auf einem
pieren reichen die veröffentlichten Dokumente bisher. Als anderen Feld sind Finanzinstitute sowie viele andere Unter-
Abbildung 1. Lauschangriff auf Glasfaserkabel mit der Abbildung 2. Angreifer biegen die Glasfaser, um mittels
Splitter-Coupler-Methode. Biegekoppler auf den Informationsfluss zuzugreifen.
6 1/2011
Angriffe in Lichtgeschwindigkeit
nehmen viel direkter betroffen. Bekannte Schwachstellen gnals ist im Angriffsverlauf technisch nachweisbar. Dafür
optischer Glasfaserleitungen lassen sich ausnutzen, um an wird nicht einmal Spezialtechnik benötigt, denn solche
wertvolle Informationen zu kommen. Geräte sind frei erhältlich und gehören zur Standardaus-
Denn Glasfaserstrecken sind vor allem bei Hochlei- rüstung der Wartungstechniker, die den Zustand und die
stungsrechenzentren mit besonders hohen Anforde- Funktion von Lichtwellenleitern regelmäßig überprüfen.
rungen an Rechenleistung und Bandbreite im Einsatz, Neugierige Mitlauscher können aber auch den direk-
wie sie in Banken, Versicherungen, Unternehmen und ten Kontakt mit der Datenleitung komplett vermeiden
öffentlichen Verwaltungen typisch sind. Hier laufen in („Non-touching Methods“). Sie machen sich dabei zu-
Hochgeschwindigkeit übertragene Echtzeitdaten und nutze, dass jedes Glasfaserkabel eine minimale Licht-
bandbreitenintensive Dienste über optische Übertra- menge während des Weitertransports verliert. Empfind-
gungssysteme. Der Datenhunger moderner Netzwerke liche Fotodetektoren können diese Rayleigh-Streuung
wächst und so müssen die Verbindungswege neben ei- auffangen, die seitlich aus dem Kabel austritt. Aus dem
ner hohen Übertragungsgeschwindigkeit auch bei Ska- technischen Betrieb kennen die Carrier diesen Streuef-
lierbarkeit, Kapazität, Kompatibilität und Wirtschaftlich- fekt und gleichen den Verlust auf langen Übertragungs-
keit überzeugen. strecken aus, indem sie die Signale verstärken. In
Optische Glasfaserleitungen mit Gigabit-Übertra- gleicher Weise erhalten unbefugte Angreifer nunmehr
gungsgeschwindigkeiten decken diese Bedürfnisse ab lesbare Daten und können sie über Snifferprogramme
und verschicken Echtzeitinformationen von Standort auswerten. Auch große Echtzeit-Datenmengen lassen
zu Standort. Sie verfügen über die notwendigen Eigen- sich so auf Interna, Passwörter, Projekt-, Kunden- oder
schaften, um der im täglichen Geschäftsbetrieb anfal- Personendaten durchsuchen.
lenden Datenflut aus E-Mails, hochauflösenden Bildern
oder E-Business-Systeminformationen Herr zu werden. Wie verschaffen sich
In gleicher Weise punktet die Kommunikationstechno- Angreifer physischen Zugriff?
logie in Lichtgeschwindigkeit bei Einsatzszenarien mit Die fest eingebauten Zugangspunkte eines Glasfasernet-
noch schärferen technischen Vorgaben – wie zum Bei- zes eignen sich als unauffälliger Angriffspunkt für Daten-
spiel bei Backup- und Disaster-Recovery-Daten. Unter
Einhaltung von Compliance- und Best-Practice-Vorga-
ben lassen sich alle relevanten Daten auf separate Spei-
chermedien übertragen. Glasfasernetze sorgen auch für
den reibungslosen Betrieb gemeinschaftlich genutzter
ERP-Systeme und E-Business-Applikationen.
hakin9.org/de 7
ANGRIFF
diebe. In den Verteilerkästen sind die einzelnen Fasern der Kryptographie verdunkelt
Kabel miteinander verbunden und einige Leitungen eines geheime Informationen
Kabelbündels häufig auch markiert. Eigentlich nutzen Pro- Best-Practice-Vorgaben für das Banken- und Versiche-
vider die Verteilerkästen, die über das ganze Streckennetz rungsumfeld sowie andere Branchen empfehlen daher,
an verschiedenen Orten verteilt sind, nur zur Erkennung den Transport sensibler Informationen grundsätzlich durch
und Beseitigung von Störungen. Nach einem erfolgrei- starke Verschlüsselung zu schützen. Das schreiben Regel-
chen Zugriff auf die Wartungskästen haben die Angreifer werke wie SOX, PCI-DSS, Basel II oder Datenschutzrichtli-
leichtes Spiel und können Lauschangriffe beginnen. nien vor. Auch das deutsche Bundesamt für Sicherheit in
Und das ist leichter als gedacht, denn die Spleisstel- der Informationstechnik (BSI) sieht Handlungsbedarf und
len sind in der Regel nur ungenügend vor unbefugtem empfiehlt den Einsatz von Kryptographie. Im Rahmen ei-
Zugriff geschützt und damit eine echte Schwachstelle ner Information-Risk-Management-Strategie sind dabei
des Streckennetzes. Kein Wunder also, dass mittler- Verschlüsselungstechnologien wie AES (Advanced En-
weile mehrere Fälle dokumentiert wurden, bei denen cryption Standard) mit Schlüssellängen bis zu 256 Bit die
Glasfaserverbindungen abgehört wurden. In der Nähe gängige Methode, sensible Daten zu schützen.
der Finanzmetropole Frankfurt am Main beispielsweise Ein Spezialanbieter für die Entwicklung und Implemen-
starteten unbekannte Eindringlinge einen Abhörversuch tierung von Verschlüsselungslösungen in optischen Glas-
auf drei Hauptverbindungen und wollten den über Glas- fasernetzen ist die Schweizer InfoGuard AG. Mit einem
faserleitungen laufenden Datenverkehr mitschneiden. Produktportfolio verschiedener Hardware-Appliances
Ein vergleichbarer Lauschangriff auf die US-amerikani- konzentriert sie sich auf die kryptographische Absiche-
sche Supermarktkette Hannaford hatte den Diebstahl rung hochsensibler Umgebungen im Banken-, Industrie-
von circa 4,2 Millionen Kreditkartendaten zur Folge. Der und Dienstleistungsumfeld. InfoGuard bietet Verschlüsse-
größte Industrieverband Nordamerikas, die National lungsplattformen mit Übertragungsraten von bis zu zehn
Association of Manufacturers (NAM), geht deshalb von Gigabit pro Sekunde für s���������������������������������
tark ausgelastete Links und zeit-
einer ernstzunehmenden Gefährdung durch den Raub kritische Anwendungen. Die Chiffriergeräte zum Schutz
optisch übertragener Daten aus. Ihre Fachleute war- von Gigabit-Ethernet-, SONET-, SDH-, Fibre-Channel-,
nen, dass das Anzapfen von Glasfaserleitungen eine FICON-, Fast-Ethernet- und E1-Verbindungen kommen
weit verbreitete Methode zur Wirtschaftsspionage ist. unabhängig von der eingesetzten Netzwerk-Topologie oh-
In einer aktuellen IDC-Studie fragt der Analyst Romain ne Overhead aus und lassen sich flexibel in die bestehen-
Fouchereau provokativ, ob die vermeintliche Sicherheit in den Netzwerkinfrastruktur e integrieren.
optischen Glasfasernetzen nicht nur eine optische Täu-
schung sei. Schließlich gehe Glasfasernetzen in der öf-
fentlichen Wahrnehmung fälschlicherweise immer noch LEONHARD ZILZ
der Ruf voraus, die schnellste, zuverlässigste und sicher- Der Autor ist Sales Director Europe Central & East bei der Info-
ste Technologie zu sein, um Daten zwischen verschie- Guard AG. Seit drei Jahrzehnten ist er in der IT Branche in ver-
denen Netzwerken auszutauschen. Fouchereaus Fazit: schiedenen verantwortlichen Positionen tätig und hat in den
„Dieser Ruf hat sich als falsch erwiesen, denn neue und vergangenen Jahren seinen beruflichen Schwerpunkt auf die
kostengünstige Technologien haben es Hackern ermög- Themen Sicherheit und Verschlüsselung von Daten gelegt.
licht, auf einfache Art und Weise Daten zu stehlen.“ Kontakt mit dem Autor: leonhard.zilz@infoguard.com
8 1/2011
SICHERHEITSANWENDUNGEN
10 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
Die KMFE ist das Herzstück der WFP. Sie steuert die WFP-Layern installiert sind und diese können die Netz-
Anwendung sämtlicher installierter Filter. Wie in Abbil- werkdaten nach ihren Kriterien filtern. Die KMFE sam-
dung 2 ersichtlich muss jeder Filter zwingend eine Lay- melt alle Entscheidungen der Filter (Block oder Permit)
er-Komponente besitzen. Die Layer-Komponente defi- und sendet das Endergebnis zurück zur ursprünglichen
niert, auf welchem WFP-Layer der Filter arbeitet und Shim-Komponente. Wird der Shim-Komponente von
somit, welche Daten der Filter von der KMFE zur Filte- der KMFE ein Block übermittelt, blockiert und verwirft
rung übermittelt bekommt. In Abbildung 1 werden inner- sie die Netzwerkdaten. Bei einem Permit können die
halb der orange hervorgehobenen KMFE lediglich die Daten ihren Weg zum nächsten TCP/IP-Layer und so-
zum TCP/IP- mit zur nächsten Shim-Komponente bzw. zum Ziel fort-
Stack passenden Filter-Layer dargestellt. Insgesamt setzen. Abbildung 3 veranschaulicht dies.
besitzt die KMFE über 70 verschiedene Layer[4], an de- Filter können, wie in Abbildung 2 dargestellt, optio-
nen Filter hinzugefügt werden können, um die dort ein- nal Bedingungen enthalten. Eine Bedingung kann bei-
treffenden Netzwerkdaten zu filtern. Die hohe Zahl an spielsweise sein, dass ein Filter nur Netzwerkdaten von
Filter-Layer ergibt sich größten Teils daraus, dass viele einem speziellen Quellport filtern soll. Obwohl mit Win-
Filter-Layer bis zu viermal vorhanden sind. Viermal des- dows 7 die Anzahl der unterschiedlichen Bedingungen
wegen, da die WFP oft zwischen IPv4 und IPv6 sowie gestiegen ist, beschränken sie sich weiterhin auf die
ein- und ausgehender Richtung der Netzwerkdaten un- Metadaten des Payload der Netzwerkdaten. Soll hinge-
terscheidet. gen untersucht werden, ob das Wort rainy im Payload
Die Netzwerkdaten bezieht die KMFE mittels der in der Netzwerkdaten enthalten ist, so ist dieses mit ei-
Abbildung 1 grün dargestellten Shim-Komponenten aus ner Bedingung nicht realisierbar. Es muss ein Callout
dem TCP/IP-Stack. Die Shim-Komponenten sind hier- verwendet werden. Callouts sind benutzerdefinierte
bei auf den verschiedenen Layern des TCP/IP-Stack Routinen im Kernel-Mode. Besitzt ein Filter eine Call-
installiert und leiten die bei ihnen ankommenden Netz- out-Referenz, so leitet der Filter alle Netzwerkdaten
werkdaten zur KMFE um. Die KMFE reicht die Daten zur Entscheidungsfindung an den Callout weiter. Inner-
ihrerseits weiter zu den Filtern, die auf den betreffenden halb des Callout kann ein Entwickler die Netzwerkdaten
hakin9.org/de 11
SICHERHEITSANWENDUNGEN
ganz nach seinen Wünschen untersuchen und daraus ten, aufgrund des Permits, zurück in den TCP/IP-Stack,
die Entscheidung Block zum Blockieren oder Permit sodass sie ihren Weg fortsetzen können.
zum Passieren treffen.
In Abbildung 3 werden zwei konkrete Abläufe einer Vorbereitung zur Filterentwicklung
Filterung mittels der WFP schematisch dargestellt. Im Im weiteren Verlauf wird nun ein von Microsoft zur Ver-
oberen Fall trifft eine Anfrage (A.) mit Zielport (ZP) 80 fügung gestellter Filter untersucht, der mittels Callout
im TCP/IP-Stack ein. Der Stream Layer Shim der WFP eine Filterung des Payload vollzieht. Der Filter ersetzt
leitet die Anfrage aus dem TCP/IP-Stack um zur KM- dabei in den Netzwerkdaten mit Zielport 5001 das Wort
FE. Die KMFE überprüft nun, welche Filter die Anfrage rainy gegen das Wort sunny. Da für den Callout ein Ker-
zur Filterung übergeben bekommen müssen und sor- nel-Mode Treiber notwendig ist, wird das Windows Dri-
tiert diese absteigend nach ihrer Gewichtung, auf die im ver Kit (WDK) benötigt[5].
späteren Verlauf noch eingegangen wird. Parallel da- Das WDK beinhaltet die Build-Umgebungen für die
zu prüft sie die Bedingungen der Filter und sieht, dass verschiedenen Windows-Versionen zum Kompilieren
der Filter mit der hohen Gewichtung (HG, zweiter von von Treibern, alle notwendigen Header-Dateien sowie
rechts) die Bedingung hat, nur Daten mit Zielport 8080 Tools zur Treiberanalyse. Zum Entwickeln des Treibers
zu filtern. Da die Bedingung zur Anfrage nicht passt, wird Visual Studio 2010 verwendet, allerdings nur des-
wird dieser Filter übersprungen und dem niedriger ge- sen Editor. Kompiliert wird der Treiber nicht mittels Visu-
wichteten (NG) Filter die Anfrage übergeben. Dieser al Studio, sondern mit der jeweiligen Build-Umgebung
verfügt über einen Callout und sendet seinerseits die des WDK.
Anfrage zur Entscheidungsfindung weiter an den Call- Sobald das WDK installiert ist, befindet sich das hier
out. Der Callout entscheidet, dass die Anfrage blockiert untersuchte WFP-Beispiel[6] im Unterordner src\net-
werden soll und gibt diese Entscheidung zurück, wel- work\trans\stmedit. Innerhalb von Visual Studio wird
che nun, da kein weiterer Filter vorhanden ist, bis zum nun ein neues, leeres Visual C++-Projekt erstellt. Im
ursprünglichen Shim durchgereicht wird. Dieser verwirft Anschluss daran sollten alle Dateien aus dem WFP-
die Anfrage aufgrund des Blocks. Beispiel-Verzeichnis in das Projektverzeichnis kopiert
Der zweite Fall betrifft eine Anfrage mit dem Zielport werden, damit der ursprüngliche Beispielcode unverän-
8080, sodass beide Filter aktiv werden. Hier kommt die dert bleibt. Nach dem Kopieren müssen die einzelnen
Gewichtung zum Tragen und der HG-Filter bekommt Quelltext- (*.c) und Headerdateien (*.h) dem Visual Stu-
die Anfrage zuerst von der KMFE. Nachdem er seine dio-Projekt hinzugefügt werden. Alle anderen Dateien
Entscheidung getroffen hat, bekommt der niedriger ge- sind vorerst nicht relevant und können ignoriert werden.
wichtete Filter die Daten und gibt sie wieder seinem Visual Studio zeigt nun an, dass einige #include un-
Callout, der in diesem Fall, genauso wie der HG-Filter, bekannt sind. Das liegt daran, dass Visual Studio das
ein Permit zurückgibt. Die Permit-Entscheidung wird er- WDK nicht kennt. Dieses lässt sich lösen, indem das
neut, da kein weiterer Filter vorhanden ist, bis zum ur- WDK in den Projektoptionen unter dem Punkt VC++-
sprünglichen Shim durchgereicht. Dieser gibt die Da- Verzeichnisse hinzugefügt wird. Dazu muss bei Inclu-
12 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
hakin9.org/de 13
SICHERHEITSANWENDUNGEN
dann untersucht und ggf. später wieder in den TCP/IP- Um eine MDL im späteren Verlauf in die Netzwerkda-
Stack injiziert. Nach der erneuten Injektion setzen sie ten einfügen zu können, wird seitens der WFP ein Injec-
ihren Weg durch den Stack fort. Bevor allerdings näher tion-Handle benötigt. Listing 2 stammt aus Zeile 609 der
auf die Filterung eingegangen wird, müssen die Filter stream_callout.c.
erst mal beim Start des Kernel-Mode Treiber initialisiert Die Funktion FwpsInjectionHandleCreate zum Erstellen
werden. eines Injektion-Handle erwartet als ersten Parameter
die TCP/IP-Protokollversion, für die es Daten injizie-
Initialisierung des Treibers ren soll. AF_UNSPEC steht hierbei sowohl für IPv4 als auch
Jeder Treiber muss über zwei Funktionen verfügen: IPv6. AF_UNSPEC ist allerdings nur für Injektionen auf dem
DriverEntry und DriverUnload. DriverEntry ist hierbei der Transport-Layer und Stream-Layer möglich. Für alle an-
Einstiegspunkt beim Starten des Treibers, gleichzuset- deren Layer innerhalb der KMFE muss explizit ange-
zen mit der Funktion int main(int argc, char* argv[]) und geben werden, ob der Handle für IPv4 (AF_INET) oder
DriverUnload die Funktion, die aufgerufen wird, wenn der IPv6 (AF_INET6) erstellt werden soll. Da hier im zweiten
Treiber beendet wird. Parameter der Stream-Layer mittels FWPS_INJECTION_TYPE_
Im Streamedit-Beispiel werden innerhalb der STREAM ausgewählt wird, kann AF_UNSPEC verwendet wer-
DriverEntry-Funktion die üblichen Initialisierungen des den.
Treibers vollzogen, auf die hier nicht weiter eingegan-
gen wird. Der erste wichtige WFP-Punkt im Stream- Kontakt zur Filter Engine
edit-Beispiel ist der, wo Speicherplatz in Form einer Um Filter und ihre Subkomponenten über die Schnitt-
Memory Decriptor List (MDL) zum Ersetzen des gefun- stellen der BFE oder KMFE hinzufügen zu können,
denen Wortes reserviert wird. Das nachfolgende Listing wird eine Verbindung dorthin benötigt. Eine solche
stammt aus Zeile 562 der stream_callout.c. Verbindung zur BFE oder KMFE wird, wie beim In-
Einhergehend mit dem Next generation network driver jection-Handle, durch einen Handle repräsentiert. Im
stack hat Microsoft in NDIS 6.0 das Datenformat inner- Streamedit-Beispiel wurde dieser Teil in der Funktion
halb des Windows Netzwerkstack grundlegend erneu- StreamEditRegisterCallout zusammengefasst. Listing 3
ert. Seither werden alle Daten, die über das Netzwerk zeigt den Verbindungsaufbau zur KMFE und bezieht
versendet oder empfangen werden, in NET_BUFFER_LIST sich auf die Zeile 265 der stream_callout.c.
(NBL)-Ketten verpackt. Wie in Abbildung 4 dargestellt, Mittels der Funktion FwpmEngineOpen wird ein Engine-
bestehen diese Ketten aus einer verketteten Anzahl an Handle erstellt. Hierbei ist vor allem der vierte Para-
NET_BUFFER (NB)-Strukturen und diese schlussendlich meter von Interesse. Durch die Session ist es möglich,
aus den MDL-Strukturen, wovon eine in der DriverEn- die Lebensdauer der installierten Filter zu definieren. In
try-Funktion des Streamedit-Beispiels erstellt wird. Die diesem Beispiel wird die Session mit dem FWPM_SESSION_
Erstellung geschieht vor dem Hintergrund, dass im spä- FLAG_DYNAMIC Flag versehen. Das bedeutet, dass alle Ob-
teren Verlauf die MDL des Suchwortes gegen die MDL jekte, die innerhalb des aktuellen Engine-Handle instal-
des Ersetzungswortes ausgetauscht und somit das liert werden, nur solange in der KMFE verbleiben, wie
Wort selber ausgetauscht wird. die Session und der Treiber laufen. Wird der Treiber be-
14 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
endet, werden alle WFP-Objekte des Treibers automa- beiten auf dem Stream-Layer der KMFE. Sie haben
tisch aus der KMFE entfernt. die Bedingung, dass sie lediglich Netzwerkdaten auf
Unter den Filtern und ihren Subkomponenten, die zur Quell- oder Ziel-Port 5001 filtern sollen. Das Listing 4
KMFE hinzugefügt werden sollen, existieren oftmals Ab- zeigt nicht die generische Implementierung der Funkti-
hängigkeiten. Deswegen muss im weiteren Verlauf des on wie im Streamedit-Beispiel, sondern wie sie konkret
Listing 3 eine Transaktion mittels FwpmTransactionBegin die einzelnen Parameter des Filters und des Callouts
gestartet werden. Die Transaktion garantiert, wie bei für den IPv4-Filter setzt, damit diese nachfolgend nä-
einer Datenbank-Transaktion, dass alle Objekte erfolg- her betrachtet werden können. Dies ist vergleichbar mit
reich hinzugefügt werden oder im Fehlerfall kein Objekt dem Aufruf der RegisterCalloutForLayer aus Zeile 291. Im
hinzugefügt wird. Die Fehlerbehandlung wurde in den nachfolgenden Listing wurde die Filterbedingung aus
Listings dieses Artikels aus Platzgründen ausgelassen, Platzgründen ausgelassen. Es wird hier auf die MSDN-
findet sich aber im Streamedit-Beispiel. Referenz verwiesen[9].
Das Listing 4 lässt sich thematisch in zwei Teile teilen.
Erstellen der Filter Einerseits die Registrierung des Callout am Anfang und
Mittels der Funktion RegisterCalloutForLayer werden im im späteren Verlauf die Erstellung des Filters, der den
Streamedit-Beispiel nicht nur, wie der Name vermuten Callout nutzt. Damit ein Callout in der KMFE registriert
lässt, Callouts auf einem Layer registriert. Diese Funk- werden kann, muss dieser drei Anforderungen erfül-
tion ist die zentrale WFP-Konfigurationsfunktion des len. Erstens muss er eindeutig identifizierbar sein, was
Beispiels. In ihr werden die eigentlichen WFP-Kompo- durch einen Globally Unique Identifier (GUID) erfolgt.
nenten erstellt und der KMFE hinzugefügt. Im Stream- Als Zweites und Drittes muss er zwei Funktionszeiger
edit-Beispiel werden durch die Funktion zwei Filter samt besitzen. Die Funktionszeiger müssen auf Funktionen
Bedingung und ihrem Callout erstellt. Beide Filter ar- zeigen, die der Filter aufgerufen kann und in denen die
hakin9.org/de 15
SICHERHEITSANWENDUNGEN
Datenbehandlung und Entscheidungsfindung stattfin- de. Zu beachten ist jedoch, dass je mehr Daten ein Fil-
det. Es gibt einmal die classify-Funktion (classifyFn), der ter filtern muss, desto ressourcenintensiver ist er. Aus
der Filter alle Netzwerkdaten zur benutzerdefinierten diesem Grund sollte die Layer-Wahl wohl bedacht sein,
Filterung übergibt und von der der Filter die Filter-Ent- um den Netzwerkstack nicht auszubremsen.
scheidung erwartet. Die andere Funktion ist die notify- Über das Strukturelement action.type wird der Filter-
Funktion (notifyFn). Diese wird von der KMFE aufgeru- typ festgelegt. Im Beispiel ist es ein Typ, der dem Filter
fen, sobald ein Filter hinzugefügt oder entfernt wird, der erlaubt ein Block oder ein Permit an die KMFE zurück
den Callout verwendet. Diese kann zur Initialisierung zu geben. Andere Typen sind beispielsweise für Filter,
Callout-interner Strukturen verwendet werden. die die Daten lediglich inspizieren und nicht verändern.
Die Registrierung eines Filters ist im Gegensatz zum Ein solcher Filter hätte dann als Type FWP_ACTION_CALLOUT_
Callout etwas aufwendiger. Als erstes wird über das INSPECTION. Manche Typen lassen sich lediglich dann
layerKey Strukturelement angegeben, auf welchem KM- auswählen, wenn der Filter über einen Callout verfügt.
FE-Layer der Filter arbeiten soll. Da die KMFE über 70 Um einen Filter mit einem Callout zu verbinden, muss
verschiedene Layer[4] besitzt, hat der Entwickler die das Strukturelement calloutKey des Filters, wie in Lis-
Qual der Wahl, den für seine Filterung richtigen zu fin- ting 4, mit der GUID des Callouts versehen werden.
den. Innerhalb der KMFE gibt es Layer, wie im voran ge- In diesem Beispiel werden lediglich zwei Filter ins-
gangenen Listing der FWPM_LAYER_STREAM_V4 Stream-Layer, talliert, die auf unterschiedlichen IP-Protokollversionen
die von allen TCP Netzwerkdaten durchlaufen werden. arbeiten. Sie sind nicht voneinander abhängig und be-
Sie eignen sich, wie im Streamedit-Beispiel ersichtlich, einflussen oder ergänzen sich nicht gegenseitig. Aus
sehr gut zur Payload-Filterung. Andererseits gibt es diesem Grund reicht es, wenn beide Filter einfach dem
Layer, wie dem FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4, des- universellen Sublayer zugeordnet werden und eine FWP_
sen Filter lediglich einmalig dann von der KMFE aufge- EMPTY-Gewichtung besitzen. Sie sorgt für eine zufällige
rufen werden, wenn eine TCP/IPv4-Verbindung mittels Gewichtung innerhalb des gewählten Sublayer. Sol-
des Three-Way-Handshake vollständig hergestellt wur- len sich hingegen zwei Filter gegenseitig ergänzen, so
16 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows
müssen sie mittels ihrer Gewichtung und dem Sublayer, ClassifyFn-Funktion extrahieren lässt. Es ist lediglich er-
der auch eine Gewichtung besitzt, in die richtige abstei- forderlich, dass zuvor ausreichend viel Speicher allo-
gend sortierte Aufrufreihenfolge gebracht werden. Es kiert wurde, in den der Payload kopiert wird. Die Größe
kann an dieser Stelle leider nicht näher auf die Gewich- des Puffers lässt sich ebenfalls aus der zuvor genann-
tung eingegangen werden, da sie sehr umfangreich ist. ten Datenstruktur auslesen.
Weitere Informationen finden sich dazu in der WFP-Do- Sobald die Daten in den Byte-Puffer überführt wur-
kumentation[10]. den, ist es relativ leicht ihn auf gewisse Inhalte hin zu
überprüfen. Wie in Zeile 240 in der Datei inline_edit.c
Filterung der Netzwerkdaten ersichtlich ist, wird der Byte-Puffer Byte für Byte durch-
Im Listing 4 wurde der Funktionszeiger der classifyFn laufen und mittels RtlCompareMemory mit dem Suchein-
auf StreamInlineEditClassify gesetzt. Dies ist nun auch trag verglichen. Wurde der Sucheintrag im Byte-Puffer
die Einstiegsfunktion zur Netzwerkdatenfilterung. Sie gefunden, wird in Zeile 257 der Datei inline_edit.c der
befindet sich in Zeile 413 der inline_edit.c. Die Signatur KMFE durch den Strukturschlüssel countBytesEnforced
der Classify-Funktion eines Callouts hat sich zwischen mitgeteilt, dass sie die Daten bis zum Suchtreffer wei-
Windows Vista und Windows 7 geändert, sodass, falls tersenden darf. Sobald die Funktion des Callout be-
beide Betriebssysteme unterstützt werden sollen, dort endet ist, führt die KMFE die Aktion aus und ruft den
eine Preprozessor-Unterscheidung gemacht werden Callout mit den Restdaten erneut auf. Diesmal steht
muss. Die Funktion ist im Streamedit-Beispiel sehr ein- der Sucheintrag direkt am Anfang. Der Callout springt
fach gehalten und prüft lediglich die Datenflussrichtung deswegen direkt zum Injection-Handle und injiziert die
der zu untersuchenden Netzwerkdaten. Der Stream- MDL des Ersatzworts in den Netzwerkpfad. Das Listing
Layer, auf dem der Filter arbeitet, ist ein bidirektiona- 6 zeigt einen Ausschnitt des Injektionsvorgangs.
ler Filter-Layer. Das bedeutet, dass dem Callout sowohl Sobald die Dateninjektion erfolgreich war und der Er-
Netzwerkdaten übergeben werden, die gesendet als satzeintrag versendet wurde, werden, wie zuvor über
auch empfangen werden. In dem Beispiel wird aller- countBytesEnforced, der KMFE mitgeteilt, dass nun genau
dings nur eine Richtung gefiltert, was in den Konfigura- findLength an Bytes verarbeitet werden sollen. Als Akti-
tionen in Zeile 66 der stream_callout.c Datei eingestellt on wird FWP_ACTION_BLOCK angegeben, sodass die Daten,
werden kann. die genau den Sucheintrag enthalten, blockiert wer-
Die Filterung erfolgt in diesem Beispiel auf dem den. Nachdem die ClassifyFn-Routine des Callout be-
Stream-Layer der KMFE. Dies hat den Hintergrund, endet ist, führt die KMFE die Aktion erneut aus und ruft
dass sich hier die NBL sehr komfortabel in einen Byte- die Funktion mit den Restdaten wieder auf. Nun kann
Puffer konvertieren lässt. Das Listing 5 zeigt einen Aus- die Suche von neuem beginnen. Die drei Schritte sind
schnitt der Funktion StreamCopyDataForInspection, welche nachfolgend in Abbildung 5 mittels eines Sequenzdia-
in Zeile 531 in der Datei stream_callout.c definiert ist. grammes veranschaulicht. Bei diesem Beispiel werden
Der Funktion wird die Struktur FWPS_STREAM_DATA0 über- die Daten GET search?q=rainy&hl=de nach dem Ein-
geben, welche sich aus dem Parameter layerData der trag rainy durchsucht und dieser durch sunny ersetzt.
hakin9.org/de 17
SICHERHEITSANWENDUNGEN
Im Internet:
[1] Einstiegsseite zur Windows Filtering Platform: http://msdn.microsoft.com/en-us/library aa366510%28v=VS.85%29.aspx
[2] Transport Driver Interface (TDI): http://msdn.microsoft.com/en-us/library/ms819740.aspx
[3] Architekturbild der WFP: http://msdn.microsoft.com/en-us/library/aa366509%28v=VS.85%29.aspx
[4] Liste der ca. 70 Filter Layer der WFP: http://msdn.microsoft.com/en-us/library/aa366492%28v=VS.85%29.aspx
[5] Windows Driver Kit (WDK): http://www.microsoft.com/whdc/devtools/wdk/wdkpkg.mspx
[6] WFP Streamedit-Beispiel: http://msdn.microsoft.com/en-us/library/ff571071%28VS.85%29.aspx
[7] Kompilerfehler Visual Studio 2010 unter Windows 7 http://forums.peerblock.com/read.php?3,6884,6887#msg-6887
[8] NDIS 6.0 Datenstrukturabbildung: http://msdn.microsoft.com/en-us/library/ff568355%28v=VS.85%29.aspx
[9] WFP Filterbedingungen: http://msdn.microsoft.com/en-us/library/aa363994%28v=VS.85%29.aspx
[10] WFP Filter- und Sublayer-Gewichtung: http://msdn.microsoft.com/en-us/library/aa364008%28v=VS.85%29.aspx
Umstellen des Port Datei ausgewählt werden. Danach kann der Treiber in
Um den Filter einfacher testen zu können, sollte die Va- der Eingabeaufforderung mittels des Befehls net start
riable configInspectionPort in Zeile 65 der Datei stream_ stmedit gestartet und mittels net stop stmedit wieder ge-
callout.c auf den Wert 80, was dem HTTP Port ent- stoppt werden. Sobald der Treiber läuft, kann vergleich-
spricht, geändert werden sowie die beiden Variablen in bares wie in Abbildung 6 erzeugt werden. Eingegeben
den Zeilen darunter auf TRUE. Durch die Änderung auf wird rainy und google sucht nach sunny.
Port 80 lassen sich die Filter, wie in Abbildung 4 zu se-
hen, einfach mittels einer Browser-Anfrage testen. Über Fazit
die beiden anderen Variablen wird eingestellt, dass die Die Windows Filtering Platform[1] ist eine sehr mäch-
Filter die ausgehenden Netzwerkdaten filtern und dazu tige und einheitliche Plattform zum Filtern der Netz-
die erläuterte inline_edit Methode verwenden. werkdaten unter Windows Vista, Windows 7, Windows
Server 2008 und zukünftigen Windows-Versionen. Sie
Kompilieren und Starten bietet ca. 70 verschiedene Layer an, auf denen Filter
Das WDK-Streamedit-Beispiel lässt sich mittels der die gesamten oder einen speziell ausgewählten Teil der
Build-Umgebungen des WDK kompilieren. Wenn das Netzwerkdaten des jeweiligen Netzwerkprotokolls fil-
WDK installiert ist, finden sich im Startmenü unter dem tern können. Die hier vorgestellte inline_edit-Methode
Eintrag Windows Driver Kits die Build Environments. Zu zum Filtern der Netzwerkdaten ist die einfachere und
beachten ist, dass die x64-Versionen von Windows eine schnellere Variante. Innerhalb dieser Variante wird die
Treibersignatur verlangen. Die WDK-Beispiele lassen Untersuchung direkt in den Daten, die den TCP/IP-
sich deswegen nur unter der x64-Version starten, wenn Stack passieren, vollzogen und ggf. Teile der Daten,
beim Starten von Windows über das F8-Startmenü die die nicht versendet oder empfangen werden sollen,
Treibersignatur temporär deaktiviert wird. Es ist gene- blockiert. Die hier nicht besprochene out-of-band-Filte-
rell empfehlenswert, Treiber in einer virtuellen Umge- rung, die in der oob_edit.c enthalten ist, ist um einiges
bung zu testen, um Schäden am Hauptsystem zu ver- umfangreicher. Sie klont die Daten des TCP/IP-Stack
meiden. und blockiert die originalen Daten. Die geklonten Da-
Zur Kompilierung muss die zum Zielsystem passende ten können dann beispielsweise aus dem Kernel-Mode
Checked-Build-Umgebung gestartet werden. Diese ist zurück in den User-Mode gereicht und dort untersucht
ein einfaches Kommandozeilenprogramm. Es muss da- werden ohne, dass der Netzwerkstack während der Un-
mit in das betreffende Quellcodeverzeichnis gewechselt tersuchung blockiert wie es bei der inline_edit-Methode
werden und dann lediglich build eingegeben werden. der Fall wäre.
Dann wird im Zuge der Kompilierung ein neues Unter-
verzeichnis im Quellcodeverzeichnis angelegt, in dem
sich der Treiber als *.sys-Datei befindet. Um den WFP-
Filter nun zu starten, muss er zuerst installiert werden. RENÉ ESPENHAHN
Dies geschieht über die *.inf-Datei im Quellcodever- Der Autor ist Masterstudent im Studiengang Informatik – Ver-
zeichnis, die bislang außer Acht gelassen wurde. Wenn teilte und Mobile Anwendungen im Fachbereich I&I der Hoch-
mittels der rechten Maustaste auf die *.inf-Datei geklickt schule Osnabrück. Nebenberuflich ist er selbstständiger Soft-
wird, erscheint im Kontextmenü der Eintrag Installieren, wareentwickler. Er ist Administrator und erster Entwickler der
über den der Treiber im System installiert werden kann. Motorradplattform SVrider.de.
Sobald auf diesen Kontextmenüeintrag geklickt wurde, Kontakt mit dem Autor:
fragt Windows nach dem Ort, wo sich der Treiber be- Rene.Espenhahn@hs-osnabrueck.de
findet. Hier muss im neuen Unterverzeichnis die *.sys- Rene@svrider.de
18 1/2011
PRAXIS
Untersuchung sicherheitsrelevanter
U
nternehmen und Behörden versprechen sich
durch den Einsatz der Virtualisierung Kostenein- Eigenschaften von Memory Overcommitment
sparungen durch eine Reduzierung der Server- und Ballooning
Hardware, Senkung der Energie und Minimierung des Aktuell eine der am meisten verwendeten Servervirtuali-
benötigten Platzes im Rechenzentrum. Doch die Virtua- sierungslösungen kommt von der Firma VMware und ist
lisierung von Servern bringt durch die neuen Techniken momentan in der Version vSphere 4 erhältlich. Die Lösung
auch zusätzliches Gefahrenpotential gegenüber physi- besteht hauptsächlich aus dem ESX- und einem Verwal-
schen Servern mit sich. tungsserver (vCenter Server) und nutzt Technologien wie
20 1/2011
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum
Snapshots, Memory Overcommitment oder das Ballooning. gewonnen werden und welche auf die virtuelle Festplatte
Administratoren wird dadurch eine Vielzahl an Planungs- auszulagern sind. Der durch den Balloon- Treiber beleg-
und Konfigurationsmöglichkeiten für den Einsatz der neuen te Speicherplatz wird durch den Hypervisor erkannt und
Technik geboten. Zunächst eine kurze Einführung. kann nun an andere virtuelle Systeme vergeben werden.
Das Memory Overcommitment, die Überbuchung des Der Ablauf ist in Abbildung 3 dargestellt. Speicherengpäs-
Arbeitsspeichers, ist ein wichtige Technologie bei der Ar- se können so kurzzeitig ausgeglichen werden.
beit mit virtuellen Welten. Da sie mit einer Speicherma-
nagementtechnik des ESX(i) realisiert wird, kann die vir- Vorgehensweise:
tuelle Maschine mehr Speicher nutzen, als physisch
vorhanden ist. Mit dem „totalen“ Memory Overcommit- • Balloon-Treiber belegt Speicher
ment und dem „aktiven“ Memory Overcommitment gibt es • Balloon-Treiber markiert belegten Speicher
zwei Arten. Unter „total“ Overcommitment versteht man, • Gast kann anderen Speicher zurückfordern
was gemeinhin als Memory Overcommitment bezeich- • Balloon-Treiber teilt Hypervisor mit, welcher Spei-
net wird. Es ergibt sich aus der Summe des konfigurierten cher ihm zugeteilt ist
Speichers der virtuellen Maschinen und durch den verfüg- • Hypervisor macht den zugeteilten Speicher frei
baren Host-Speicher für die virtuellen Maschinen (Abb. 1). • Hypervisor besitzt nun mehr freien physischen
Die zweite Art, das „aktive“ Memory Overcommit- Speicher
ment, ergibt sich aus der Summe des aktiven Speichers
der virtuellen Maschinen. Ist das Ergebnis größer Eins, Mithilfe des Parameters sched.mem.maxmemctl kann
so besteht eine hohe Wahrscheinlichkeit, dass es zu die Summe des Speichers bestimmt werden, die vom
einem Leistungsabfall der virtuellen Maschine kommt Balloon-Treiber maximal eingenommen werden kann.
(Abbildung 2). Tritt dieser hohe Leistungsabfall auf, soll- Dieser Parameter kann mittels vSphere Client geän-
te die virtuelle Maschine mittels vMotion auf einen an- dert werden. Eine Anwendungsempfehlung hierfür ist:
deren Host übertragen werden.
Da der Reservierungsparameter eine große Bedeu- • Auf allen virtuellen Maschinen sollten die VMwa-
tung in diesem System hat, sollte er von Anfang an ge- reTools installiert werden und das Ballooning akti-
schickt gewählt werden. Er sollte immer den komplet- viert werden.
ten aktiven Speicher im physischen Speicher haben, • Das Gast-Betriebssystem sollte außerdem genug
um somit eine gute Performance erreichen zu können. Platz für die Auslagerungsdatei besitzen.
Der Speicher, der sich im Leerlauf befindet und der freie
Speicher können durch das Ballooning genutzt werden. Potentielle Gefahren
Ballooning-Technik ermöglicht eine dynamische Anpas- Die Auswirkungen der Servervirtualisierung auf admi-
sung der virtuellen Umgebung. Dies geschieht durch den nistrative und betriebliche Prozesse können beträcht-
Balloon-Treiber (vmmemctl), der durch die VMwareTools lich sein. Aus der Sicherheitsperspektive betrachtet,
in das jeweilige Betriebssystem einer virtuellen Maschine bringen die neuen Techniken, wie das Memory Over-
integriert wird. Der Treiber belegt gezielt den Hauptspei- commitment und Ballooning, ein zusätzliches Gefah-
cher, der vom Gast-Betriebssystem am wenigsten benutzt renpotential gegenüber physischen Servern mit sich.
wird. Das Gast-Betriebssystem muss nun seinen eigenen So werden zum Beispiel zunehmend mehr firmenkriti-
Speicherverwaltungsalgorithmus nutzen. Sollte der Spei- sche Anwendungen in einer virtuellen Umgebung be-
cher zu knapp sein, wird festgelegt, welche Seiten zurück- trieben. Welche Virtualisierungssoftware dabei von den
hakin9.org/de 21
PRAXIS
Unternehmen genutzt wird, hat ITIC und Stratus unter- Anwendungen in einer virtuellen Maschine auch vom
sucht und dabei herausgefunden, dass 71 Prozent der Hersteller der Anwendungssoftware unterstützt wer-
Unternehmen die Software von VMware einsetzt. 28 den. Möglicherweise kann es passieren, dass der Her-
Prozent setzten auf Microsoft und 9 Prozent wenden steller keinen Support anbietet, sobald das Produkt in
Virtualisierungslösungen von Citrix an. Laut einer aktu- einer virtuellen Umgebung betrieben wird. Ist dies ge-
ellen Umfrage von ITIC und Stratus, bei der 500 IT-Ex- klärt, kommt die Wahl der Virtualisierungssoftware und
perten aus 19 Ländern befragt wurden, gaben 42% an, in diesem Zusammenhang, die Auswahl des richtigen
dass ein Viertel bis zur Hälfte der Anwendungen in ihren Servers. Dabei spielt die Planung der Kommunikati-
Unternehmen unternehmenskritisch seien. Bei PC-WA- onsverbindungen zum Server eine wichtige Rolle. Die
RE beobachten wir einen ähnlichen Trend. In 78% der Entwicklung einer Strategie für das Netz- und System-
Unternehmen laufen diese kritischen Anwendungen auf management ist ebenfalls nicht außer Acht zu lassen.
virtuellen Maschinen. Um deren Sicherung gewährleis- Für den richtigen Umgang mit den einzelnen Planungs-
ten zu können, ist es für jeden IT-Manager essentiell zu schritten empfehlen sich die IT-Grundschutz- Kataloge
wissen, wo Gefahrenquellen liegen können. des BSI. Sie listen die einzelnen Gefährdungen und die
Das Bundesamt für Sicherheit in der Informations- dazu passenden Gegenmaßnahmen auf und vermitteln
technik (BSI) gibt hierzu folgende Gefährdungsbereiche so einen sicheren IT-Betrieb.
in virtuellen Infrastrukturen an:
Menschliches Fehlverhalten
• Organisatorische Mängel Menschliche Fehlhandlungen sind immer eine Gefah-
• Menschliches Fehlverhalten renquelle innerhalb von IT Infrastrukturen und deren
• Technisches Versagen Management. Häufig werden Konfigurationen unzu-
• Vorsätzliche Handlungen reichend getestet oder Administratoren unzureichend
ausgebildet. Die Zugangsrechte zu virtuellen Maschi-
In der Abbildung 4 ist eine Art zusammenfassendes nen und deren Anwendungen sollten nur in dem Um-
Angriffsszenario zu sehen. fang eingeräumt werden, wie sie für die Erfüllung der
Aufgaben erforderlich sind. Dabei kann eine fehlerhafte
Organisatorische Mängel Administration der Rechte zu Betriebsstörungen und Si-
Da virtuelle Infrastrukturen meist eine hohe Komplexi- cherheitslücken führen.
tät aufweisen, sind eine gute Planung sowie eine Ana- In Verbindung mit dem Ballooning gibt es die Gefahr,
lyse der Rahmenbedingungen unausweichlich. Bereits dass Benutzer die Gastwerkzeuge beenden und somit
hier können potentielle Gefahren entstehen. Bevor man den Balloon-Treiber deaktivieren. Dies kann zu einem
an die richtige Auswahl des Virtualisierungsservers Speicherengpass der virtuellen Maschinen führen. Im
denkt, ist es wichtig zu wissen, ob die einzusetzenden Normalfall kann nur die Gruppe der Administratoren die
Abbildung 3. Ballooning-Verfahren
22 1/2011
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum
hakin9.org/de 23
PRAXIS
werden. Da auf ihm mehrere virtuelle Maschinen be- den. Um Ressourcenengpässe früh zu erkennen, muss
trieben werden, sollte vorher bestimmt werden, wie viel ein Prozess integriert werden. Nur so kann man schnell
Prozessorleistung, Hauptspeicher und Festplattenplatz genug darauf reagieren.
benötigt wird. Dazu müssen die Performance und der
Ressourcenverbrauch für die geplanten virtuellen Ma- Sichere Konfiguration virtueller Maschinen
schinen ermittelt werden. Virtuelle Maschinen sind in erster Linie genauso zu be-
Möchte man bereits vorhandene physische Systeme handeln und zu modellieren wie physische Maschinen.
virtualisieren, kann der Ressourcenbedarf für die ein- Es sollte aber darauf geachtet werden, dass den virtu-
zelnen Systeme nicht einfach addiert werden. Das BSI ellen Maschinen der Zugang zu Geräten oft erst noch
empfiehlt hier, die Performance der verschiedenen Sys- gewährt werden muss (z.B. DVDLaufwerk). Diese Ge-
teme zu messen und auf dieser Basis die Werte fest- räte können meist aus der virtuellen Maschine über die
zulegen. Außerdem sollte man beachten, dass die Vir- Gastwerkzeuge gesteuert werden.
tualisierungssoftware (Snapshots, Auslagerungsdatei,
Ereignisprotokolle) sowie der Hypervisor (Servicekon- Sicherung der Servicekonsole
sole) weitere Ressourcen benötigen. Die Sicherung der Konsole ist möglich, indem sie mithil-
fe eines abgeschotteten Managementnetzwerkes sepa-
Einsatzplanung für virtuelle Maschinen riert wird. Dafür sollte eine eigene Netzwerkkarte sowie
Um einen reibungslosen Betrieb der virtuellen Maschi- eine VLAN-ID vorgesehen werden.
nen gewährleisten zu können, muss bezüglich ihrer Le- Anschließend sollte der root-Zugriff eingeschränkt
benszyklen vielerlei beachtet werden. Bevor die virtu- werden, da dieser eine enorme Bedeutung für die Ver-
ellen Maschinen in Betrieb genommen werden, sollten waltung von Dateien und Diensten hat. Zudem muss
ihre realistischen und angemessenen Ressourcenan- ein kompliziertes root-Passwort gewählt werden, das in
forderungen bestimmt werden. Danach ist zu prüfen, bestimmten Zeitabständen erneuert wird. Der Zeitab-
ob eventuelle Leistungseinschränkungen bei gelegent- stand kann mithilfe des folgenden Befehls in der Kon-
lichen Lastspitzen hingenommen werden können oder sole festgelegt werden:
nicht. Zusätzlich muss die Performance virtueller Ma-
schinen überwacht werden, um sicherzustellen, dass esxcfg-auth --passmaxdays=[Anzahl-der-Tage]
die Ressourcenanforderungen ausreichend erfüllt wer- Bsp. esxcfg-auth --passmaxdays=30
24 1/2011
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum
Damit nicht jeder Benutzer mittels sudo oder su root- Voraussetzungen für die empfohlenen Maßnahmen
Rechte erlangen kann, wird eine wheel-Gruppe be- der BSI sind fachkundige und speziell geschulte Mit-
nutzt. Benutzer die in den root-Modus wechseln dür- arbeiter. Hier sollte nicht gespart werden. Eine falsche
fen, müssen mit folgendem Befehl in die wheel-Grup- Planung und nicht vorhandenes Fachwissen können zu
pe hinzugefügt werden: einer späteren Behinderung oder sogar zu einem Aus-
fall des Produktivbetriebs führen. Damit ein fortlaufen-
usermod -G wheel Benutzer Bsp. usermod -G wheel Max der und reibungsloser Betrieb möglich ist, sollte also
nur einschlägig ausgebildetes Personal mit und in den
Als nächstes wird der su-Befehl angepasst, damit nur virtuellen Welten arbeiten.
root und die wheel-Gruppe die root-Rechte besitzen.
Dies geschieht mittels: Sicherung zwischen Internet und virtueller
Welt
chgrp wheel /bin/su Besitzen virtuelle Maschinen eine Verbindung zum In-
chmod 4750 /bin/su ternet, ist selbstverständlich auch hier eine Sicherheits-
software erforderlich. Diese kann als virtuelle Lösung
Damit die wheel-Gruppe den sudo-Befehl nutzen oder in Form einer Hardware-Lösung bereitgestellt wer-
kann, muss die /etc/sudoers mittels Befehl visudo in den. Stellt beispielsweise ein Unternehmen seine vor-
einem Editor gestartet und editiert werden. Dabei wird handene physische Infrastruktur auf eine virtuelle um
die Zeile #%wheel ALL = (ALL) ALL auskommentiert. und besitzt eine Hardware-Firewall- und Antivirus-Lö-
Einen zusätzlichen Schutz der Servicekonsole bietet sung, so kann diese weiterhin verwendet werden. Es
die integrierte Firewall, die standardmäßig schon auf entstehen keine weiteren Kosten für das Unternehmen.
einer hohen Sicherheitsstufe eingestellt ist. Soll die Firewall selbst in einer virtuellen Maschine be-
trieben werden, muss diese aus Sicherheitsgründen auf
Sicherer Betrieb von virtuellen einem eigenen Host installiert werden. Dadurch entste-
Infrastrukturen hen für das Unternehmen zusätzliche Software- und
Wenn ein Fehler auf einem Virtualisierungsserver ent- Hardware-Kosten, die sich nur rechnen, wenn mehre-
steht, kann dieser Auswirkungen auf alle virtuellen Ma- re Sicherheitslösungen auf dem Host betrieben werden
schinen haben die auf ihm betrieben werden. Mithilfe sollen. Ansonsten empfiehlt es sich, zu einer Hardware-
von webbasierten Administrationsoberflächen oder ei- Lösung zu greifen. Virtuelle Systeme. die keinen Zu-
ner Administrationssoftware (VMware vSphere Client, gang zum Internet besitzen, können mittels einer ein-
VMware vCenter), kann man lokal und über das Netz fachen Firewall-Software überwacht werden. Bei einem
auf einen Virtualisierungsserver zugreifen. Somit hat sehr geringen Schutzbedarf, beispielsweise bei einem
man die Möglichkeit den Server oder dessen virtuelle einfachen Test-System, reicht meist schon die in Win-
Maschinen zu steuern, zu warten oder zu überwachen. dows Systemen integrierte Firewall aus.
Ein weiterer Punkt ist die Überwachung des Betriebszu-
standes. Die Auslastung der Ressourcen sollte kontinuier- Ausblick
lich geprüft werden. Nur so kann ermittelt werden, ob aus- VMware hat dieses Sicherheitsproblem erkannt und mit
reichend Prozessorressourcen zur Verfügung stehen, die der Einführung der vShield Zones und der VMsafe API
den Performanceanforderungen der virtuellen Maschinen minimiert. Durch eine Zusammenarbeit mit zahlreichen
genügen. Ob Hauptspeicherengpässe vorliegen, die die Security-Software Herstellern wie beispielsweise McA-
Verfügbarkeit der virtuellen Maschinen gefährden könn- fee, Kaspersky oder Trend Micro können neue Sicher-
ten, muss ebenfalls kontrolliert werden. Besonders bei der heitskonzepte entwickelt werden und so die Sicherheit
Verwendung des Memory Overcommitments sollte ein in einer virtuellen Infrastruktur immer weiter vorantrei-
Prozess etabliert werden, der den Hauptspeicher ständig ben. Einige Vorreiter wie die Deep Security Lösung von
überwacht und einen drohenden Engpass früh erkennt. Trend Micro gibt es bereits und es werden sicherlich
Diese Überwachungsaufgaben können automatisiert wer- weitere folgen.
den und zum Beispiel durch E-Mail-Benachrichtigungen
über Unregelmäßigkeiten informieren.
STEVE HAMPICKE
Im Internet Abgeschlossenes Studium (Diplom FH) der Automatisierungstech-
• http://www.vmachine.de nik/ Computersystemtechnik Diplomarbeit bei PC-WARE beschäftig-
• https://www.bsi-fuer-buerger.de/cln_030/ContentBSI/Aktuel- te sich mit dem Thema „Analyse sicherheitsrelevanter Ressour-
les/Veranstaltungen/gstag/gstag_160310.html cenoptimierung in virtuellen IT-Infrastrukturen“ beschäftigt
• http://www.vmware.com
sich weiterhin in seiner Freizeit mit VMware-Lösungen
• http://www.pc-ware.com
Kontakt mit dem Autor: steve.hampicke@googlemail.com
hakin9.org/de 25
Malware-Scan mittels Comodo
HackerProof oder VeriSign Trust Seal
Christian Heutger, Geschäftsführer PSW Group
Bedingt durch die Befürchtung vieler Verbraucher, beim
Einkauf im Internet Opfer von Identitäts- beziehungsweise
Datendiebstahl zu werden, entgingen Online-Händlern
allein im Jahr 2008 Umsätze in Höhe von 21 Milliarden
US-Dollar. Das ergaben Studien von VeriSign, einem
Spezialisten für Zertifikatslösungen im Internet.
F
ür Online-Shop- und Website-Betreiber gilt es da- dere wird geprüft, ob die Website anfällig für Deni-
her Lösungen zu finden, mit deren Hilfe sie Be- al-of-Service-Attacken ist, der Server über offene
suchern ihrer Website, also potenziellen Kunden, beziehungsweise ungeschützte Ports verfügt, un-
aufzeigen können, dass sie sich auf einer vertrauens- sichere Protokolle oder nicht gepatchte Software
würdigen, sicheren Website befinden, die täglich auf ausführt. Hierzu simuliert der HackerProof-Server
Schadcode, Malware und sonstige Schwachstellen hin wirklichkeitsnahe aber nicht schädliche Angriffe auf
gescannt wird. den entsprechenden Web-Server. Am Ende eines
Diese Möglichkeit bieten ihnen das Gütesiegel des jeden Scans generiert die Lösung einen detaillier-
Comodo HackerProof und das VeriSign Trust Seal, die ten Report, in dem sämtliche Schwachstellen prä-
wir Ihnen im Rahmen dieses Beitrages samt der dahin- zise aufgelistet sind und für die bei Bedarf eine Lö-
ter steckenden technischen Lösungen näher vorstellen. sung vorgeschlagen wird.
• SiteInspector: Das Frühwarnsystem
Comodo HackerProof: Zum integralen Bestandteil seines HackerProof
Simulierte Attacken und Frühwarnsystem hat Comodo mit dem SiteInspector ein intelligen-
Der Comodo HackerProof kombiniert unterschiedlichs- tes Frühwarnsystem auserkoren. Der SiteInspec-
te Lösungen, um die Sicherheit und Vertrauenswürdig- tor simuliert den Besuch der Website durch einen
keit von Websites zu gewährleisten und zu signalisie- potenziellen Kunden und überprüft dabei das Sys-
ren: tem auf die spezifischen Gefahren, denen Besu-
cher der Website ausgesetzt sind. Infizierte Seiten,
• Simulierte Attacken und Malware-Scans im die etwa das Betriebssystem des Besuchers schä-
24h-Takt digen könnten, werden unmittelbar gemeldet und
Alle 24 Stunden prüft der ausgefeilte Scan-Algo- können daraufhin vom Website-Betreiber entfernt
rithmus des Comodo HackerProof die Website des werden. SiteInspector geht damit einen Schritt wei-
Anwenders auf Sicherheitslücken, die durch Ha- ter als herkömmliche Scanning-Services, indem die
cker ausgenutzt werden könnten. Zum Einsatz Sicherheit einer Website aus Sicht des Besuchers
kommt dabei eine ganze Batterie an Schwachstel- überprüft wird.
len-Tests. Der Scan wird automatisch seitens des • PCI-Scanning: Den Sicherheitsstandards der
Comodo HackerProof-Servers initiiert. Insbeson- Kreditkartenindustrie entsprechen
26 1/2011
Malware-Scan mittels Comodo HackerProof oder VeriSign Trust Seal
Ebenfalls mit an Bord hat der HackerProof das so- merce erzielt werden konnten. So misst das Feature
genannte PCI-Scanning. Es erfolgt vierteljährlich beispielsweise, wie oft die Besucher der Website,
und überprüft die Website auf die Erfüllung der den Mouse-Over-Effekt des Trust-Mark genutzt ha-
hochgradige Sicherheit garantierenden Standards ben, um die Sicherheit der Website näher zu verifi-
der Payment Card Industry (PCI). Diese sehen zieren.
unter anderem die „Installation und Pflege einer
Firewall zur Absicherung aller Daten“, die „Ent- Comodo HackerProof:
wicklung und Pflege sicherer Systeme und An- Die wichtigsten Merkmale
wendungen“ und „kontinuierliche Prüfungen aller • Täglicher, umfassender Scan der Website auf Si-
Sicherheitssysteme und –prozesse“ für Website- cherheitslücken, Malware und andere Schwach-
Betreiber, die Kreditkartendaten verarbeiten, zwin- stellen, die durch Hacker ausgenutzt werden kön-
gend vor. nen.
• Comodo HackerProof-Siegel: Sicherheitszer- • Innovative SiteInspector-Technologie schützt Web-
tifikat mit Mouse-Over-Effekt site-Besucher vor Drive-by-Attacken und anderem
Eine wichtige Komponente des HackerProof – ge- schädlichem Website-Content.
rade im Hinblick auf die Vertrauensbildung im E- • Integriertes PCI-Scanning zur Umsetzung der Si-
Commerce – ist das Trust-Mark. Es bescheinigt cherheitsstandards der Kreditkartenindustrie.
und verifiziert die Sicherheit der besuchten Web- • Webbasiertes Management des HackerProof: Re-
site in Echtzeit. Das „Sicherheitszertifikat“ wird vom porting-Funktionalitäten geben Aufschluss über
Website-Betreiber per JavaScript in seine Web- Schwachstellenbehebungen, Testergebnisse und
site integriert und offenbart, wann die Website zum Return-on-Investment.
letzten Mal dem HackerProof-Scan unterzogen • Besuchern via Mouse-Over Informationen über
worden ist. Eine Besonderheit ist, dass es mit ei- Tests und verifiziert die Sicherheit der Website in
nem Mouse-Over-Effekt ausgestattet ist. Bewegt Echtzeit.
der Besucher der Website seinen Mauszeiger über • Patentierte Trust-Mark-Technologie trägt für Aus-
das Trust-Mark werden ihm weitere Informationen fallsicherheit und einfache Einbindung in die Web-
zum letzten Scan-Zeitpunkt und dem HackerProof site (ohne Layout-Änderungen) Sorge.
angezeigt.
VeriSign Trust Seal: Hoher Bekanntheitsgrad
Comodo HackerProof: gepaart mit Malware-Scan und Betreiber-
Webbasiertes Management-Tool Authentifizierung
Der Comodo HackerProof ist ein reines Online-Tool. Das VeriSign Trust Seal ist eine Erweiterung des Ve-
Installationen auf Clients sind somit nicht erforder- riSign Seal, einem der bekanntesten Sicherheitssie-
lich. Der Login in das Lösungsbundle ist über die gel im Internet, das im Durchschnitt täglich 250 Millio-
Website von Comodo möglich. Hier erlaubt ein an- nen Mal auf mehr als 90.000 Websites angezeigt wird,
wenderfreundliches Interface sowohl die komfortable unter anderem von 97 der 100 größten Banken, die
Verwaltung und Analyse als auch die Auswertung der SSL-Zertifikate verwenden. Anders als beim VeriSign
Umsatzsteigerungen, die durch den vertrauensbil- Secured Seal kommt das Trust Seal zum Zug, wenn
denden Einsatz des Comodo HackerProof im E-Com- keinerlei SSL-Zertifikate genutzt werden. Kommen
SSL-Zertifikate auf einer Website aber doch zur An-
wendung, muss der Website-Betreiber zwingend auf
VeriSign SSL zurückgreifen, um ein Trust Seal zu er-
halten.
Das VeriSign Trust Seal basiert im Wesentlichen auf
vier Features:
• Authentifizierung
Als vertrauenswürdige dritte Partei prüft VeriSign
die Identität des Website-Betreibers und stellt si-
cher, dass er der rechtmäßige Inhaber der Web-
site ist. Dies geschieht unter anderem anhand des
Whois-Eintrages zur betroffenen Domain. Das Sie-
gel belegt somit auf einer Website, dass deren Be-
treiber von VeriSign einwandfrei authentifiziert wer-
den konnte.
www.psw.net 27
• Täglicher Malware-Scan ren Sicherheitssiegeln unterscheidet: Das soge-
Das VeriSign Trust Seal sieht vor, dass die Web- nannte Seal-in-Search. Dabei handelt es sich um
site täglich auf Malware gescannt wird. Werden ein Feature, dass es ermöglicht, dass das Trust
in diesem Rahmen schädliche Codes festge- Seal im Zusammenhang mit der eigenen geprüf-
stellt, wird der Website-Betreiber davon per E- ten Website auch in den Ergebnislisten der gro-
Mail in Kenntnis gesetzt. In diesem Rahmen wird ßen Suchmaschinen angezeigt wird. Einzige Vor-
er aufgefordert, sich in seinen Account beim Ve- aussetzung für die Anzeige ist, dass sich der End-
riSign Trust Center einzuloggen. Dort findet der nutzer das kostenfreie Browser-Plug-in „AVG Link-
Website-Betreiber dann eine detaillierte Über- Scanner“ installiert hat. Mit Seal-in-Search kön-
sicht über die Seiten seines Web-Angebots, die nen sich Website-Betreiber bereits in den Sucher-
infiziert sind, sowie über die genauen Codes, die gebnissen mit ihren von VeriSign als sicher zerti-
die Sicherheitsprobleme verursachen. Dem Web- fizierten Webseiten von der Konkurrenz abheben
site-Betreiber wird so ermöglicht, den Schadcode und so mehr Traffic generieren. Die täglichen Mal-
schnell aufzufinden und ihn zu entfernen. Im An- ware-Scans verhindern außerdem, dass die eige-
schluss kann er einen erneuten Scan seiner ne Website dem Blacklisting von Suchmaschinen
Website beantragen. Über den gesamten Zeit- zum Opfer fällt.
raum hinweg, wird das VeriSign Trust Seal nicht
mehr auf der betroffenen Website dargestellt. Es VeriSign Trust Seal: Die wichtigsten Merkmale
erscheint erst wieder, wenn im Rahmen des er- • Herauszustreichen ist vor allem der hohe Be-
neuten Scans festgestellt worden ist, dass die kanntheitsgrad des VeriSign Trust Seal: Über 250
Malware entfernt worden ist. Millionen tägliche Einblendungen sprechen für
• Das Trust Seal sich.
Das Trust Seal selbst ist wie der Comodo Hacker- • Auch die Authentifizierung des rechtmäßigen Be-
Proof ein Erkennungszeichen, das den Besuchern treibers der Website u.a. per Whois-Datenabgleich
einer Website signalisiert, sich auf einer sicheren, stellt ein wichtiges Merkmal des Siegels dar.
vertrauenswürdigen Seite zu befinden. Bei Klick • Täglicher, umfassender Scan der Website auf Mal-
auf das Siegel öffnet sich die so genannte „Veri- ware.
Sign Trust Seal Verification Page“. Sie beinhal- • Online-Zugriff über das VeriSign Trust Center auf
tet Informationen über die Website sowie über die Reporting-Funktionalitäten. Hier findet sich bei Mal-
Identität des rechtmäßigen Website-Betreibers, ware-Befall eine detaillierte Aufschlüsselung aller
die von VeriSign im Vorfeld verifiziert wurde. Hier- infizierten Seiten.
zu zählen Name, Ort und Land. Außerdem können • Zeitnaher Re-Scan nach der Beseitigung von
Besucher auf der Verification Page feststellen, wie Schadcode.
der jüngste Malware-Scan verlaufen ist. Mit die- • Schutz vor Aufnahme der eigenen Website in die
ser Transparenz ist sichergestellt, dass die Besu- Blacklists von Suchmaschinen.
cher der Website darauf vertrauen können, dass • Mehrwert im Suchmaschinen-Marketing dank der
die Website nicht von Hackern manipuliert wor- Seal-in-Search-Technologie.
den ist. Das VeriSign Trust Seal kann vom Web- • Transparenz für die Website-Besucher dank den
site-Betreiber erst nach erfolgter Identifizierung Auskünften der VeriSign Trust Seal Verification
sowie erstem Malware-Scan per Copy and Paste Page.
in die Website integriert werden. • Schnelle und simple Einbindung des Siegels per
• Seal-in-Search Copy and Paste.
Das VeriSign Trust Seal umfasst neben der Au-
thentifizierung des Website-Betreibers ein wei- Fazit
teres interessantes Feature, das es von ande- Der Erfolg gibt den digitalen Gütesiegeln Recht. So be-
legen etwa Untersuchungen der Comodo Group, dass
78 Prozent der Online-Shopper einem Gütesiegel wie
dem Comodo HackerProof oder dem VeriSign Trust
Seal glauben, dass ihre Daten sicher sind. Und Stu-
dien von VeriSign konnten nachweisen, dass die On-
line-Verkäufe und Konversionen auf Websites, die über
ein VeriSign-Siegel verfügen, um bis zu 34 Prozent ge-
steigert werden konnten.
28 1/2011
Die rasche Auslieferung statischer Inhalte mittels Secure CDN
I
ndem sie dafür sorgt, dass Besucher Freude an einer Angeles, Ashburn, New York, Chicago, Dallas, Atlanta,
„schnellen“ Website haben und sie dadurch öfter besu- Seattle, London, Frankfurt, Paris, Hong Kong, Singapur,
chen sowie länger auf ihr verweilen, übt die Lade-Ge- Tokio und Sydney zurückgreift. Dort sind die POPs au-
schwindigkeit einen wesentlichen Einfluss auf die Quali- ßerdem in Tier 1-Rechenzentren untergebracht, was die
tät eines Websitebesuchs und damit auf den Umsatz aus. POPs zu so genannten „Super POPs“ mutieren lässt, die
auf robusten Backbone, vielfacher Redundanz und dar-
Content Delivery Networks (CDN) aus resultierend hoher Verfügbarkeit basieren.
Um eine möglichst hohe Übertragungsgeschwindig-
keit zu erreichen, bietet sich die Nutzung eines Content Klassisches CDN vs. Second-Generation-CDN
Delivery Networks (CDN) an. Als Geflecht über das In- (EdgeCast CDN)
ternet verbundener Server, ermöglicht es eine Auslie- Das klassische CDN …
ferung statischer Inhalte wie Grafiken, Bilder und Ja-
vaScripts vom jeweils nächstgelegenen Server aus. • verlässt sich voll und ganz auf DNS, um die jewei-
Auch Software-Downloads, Video-Streams oder der lige Position des auf Inhalte zugreifenden Endnut-
Betrieb von Online-Games wird in hoher Geschwindig- zers zu ermitteln.
keit ermöglicht. Um dies zu erreichen, liefern klassische • benötigt 8 Schritte, um den Nutzer zuverlässig mit
CDNs Inhalte von vielen kleinen Standorten aus. dem gewünschten Content zu beliefern:
Um die Übertragungsgeschwindigkeit weiter zu opti- • Der Endnutzer fragt eine IP-Adresse für content.
mieren, ist es allerdings sinnvoller, nur wenige, strate- domain.com an, um die dort hinterlegten Inhalte
gisch platzierte Points of Presence (POPs) zu betrei- abzurufen.
ben. Die POPs sollten in unmittelbarer Nähe zu den • Der ISP des Nutzers fordert beim Root-Server
wichtigsten Internetknoten weltweit liegen und dadurch die IP-Adressen der autoritativen Domain-Na-
direkt mit allen großen Netzwerken verbunden sein. me-Server von domain.com an.
CDNs, die dieser Strategie folgen, werden als CDNs • Der Root-Server liefert als Antwort die IP-Ad-
der zweiten Generation betrachtet. ressen der autoritativen DNS-Server zurück.
Ein eben solches 2nd-Generation-CDN ist das renom- • Der DNS-Server des ISP greift willkürlich auf ei-
mierte EdgeCast CDN, das strategisch entsprechend nen der autoritativen DNS-Server zurück, wobei
vorteilhaft positioniert ist und auf POPs in San Jose, Los die Distanz zwischen dem DNS-Server des ISP
www.psw.net 29
und dem autoritativen DNS-Server sehr groß • Der EdgeDirector stellt sicher, dass der Nutzer
sein kann. auch weiterhin über den für ihn vorteilhaften POP
• Der autoritative DNS-Server antwortet mit der Inhalte ausgeliefert bekommt.
Adresse eines der Delivery-Server des betroffe- • Tritt bei dem POP in Sydney aber ein Problem auf,
nen Netzwerkes, das dem DNS-Server des ISP verbindet der EdgeDirector den Nutzer mit dem
am nächsten liegt. POP in Hong Kong. Denn dieser ist nach dem POP
• Erst jetzt kann der DNS-Server des ISP den Nutzer in Sydney der dem Nutzer geografisch am nächst-
mit der IP-Adresse des Delivery-Servers versorgen. gelegenen POP.
• Der Nutzer fragt dann den Delivery-Server an. • Steht der POP in Sydney dann wieder zur Verfü-
• Der Delivery-Server beantwortet die Nutzer-An- gung und erweist sich als der für den Nutzer effek-
frage und der Nutzer bekommt die gewünschten tivste lokale POP, so bekommt der Nutzer die Inhal-
Inhalte geliefert. te künftig wieder über diesen geliefert.
30 1/2011
Einfach
sicher
surfen.
G
enaue und stets aktuelle Informationen zu be- sich in besonderer Weise als unterstützendes Mittel beim
sitzen ist heutzutage sehr viel wert, alles andere Pentesting. So lassen sich diverse Tools wie z.B. nmap
gleicht einem Blindflug im Düsenjet. Dies stimmt bequem einklinken und machen es somit zu einem inte-
jedenfalls auch in Verbindung mit Penetrationstest. Ein ressanten Werkzeug. Dieser Artikel wird sich ausschließ-
Test kann immer nur das widerspiegeln was überhaupt lich mit dem Metasploit Framework (MSF) auseinander-
erst entdeckt wurde. Das Metasploit Framework[1] eignet setzen. Das MSF an sich ist eines der bekanntesten Open
32 10/2010
Das Metasploit Framework als Unterstützung bei Penetrationstests
Source Pentesting-Tools, die es einem ermöglichen, eine ten Ubuntu 8.04 Server in Standardkonfiguration auf dem
breite Palette an Malware an einem zu kompromittieren- verschiedene angreifbare Dienste laufen. Metasploitable
den Host auszuführen. Es ist Teil des Metasploit Projekts, liegt als VMware Image vor und kann somit direkt in einer
sehr mächtig und vermag dem Benutzer einige Werkzeu- Virtualbox-Instanz oder dem VMware-Player ausgeführt
ge an die Hand zu geben, um sich damit in verschiedenen werden. Somit wäre unser Zielsystem bereit und wartet
Netzen umzusehen. Dies wird allerdings manchmal sehr sozusagen nur darauf exploited zu werden.
kontrovers diskutiert, da es somit auch die Möglichkeit
mitbringt für unbedarfte User schnelle Ergebnisse in wo- Installation
möglich fremden Netzen zu erzielen. Aber gerade für die- Um das Framework zu laden gibt man auf der Kom-
jenigen Leute unter uns, zu deren täglichen Aufgaben es mandozeile seines Hostsystems folgenden Befehl ein:
gehört, sicherheitsrelevante Netzwerkarchitekturen bzw.
Segmente zu betreuen ist es sehr interessant dies mal svn checkout http://metasploit.com/svn/framework3/trunk/
aus einer anderen Perspektive zu sehen. Es ist vielleicht metasploit
sogar unabdingbar sich als verantwortungsbewusster Ad-
ministrator damit auseinanderzusetzen. Das MSF existiert Nun wird ein Ordner metasploit angelegt und das ca.
für alle unixoiden Systeme und ist auch in der Windows- 200MB große Framework in seiner letzten SVN herun-
Welt dank Cygwin ausführbar. Es existieren drei verschie- tergeladen. Falls noch nicht geschehen, muss noch das
dene Möglichkeiten um mit dem System zu interagieren, aktuelle Ruby on Rails Framework installiert werden.
die msfconsole, msfcli und die msfgui. Wir werden uns sudo gem install -v=2.3.2 rails Danach starten wir die
auf die msfconsole beschränken sie ist -meiner Meinung msfconsole mit: sudo ./msfconsole Es erscheint nach kurzer
nach- die komfortabelste unter allen drei Möglichkeiten. Zeit der Begrüßungsschirm des MSF.
Der große Vorteil an Metasploit ist der modulare Aufbau, Wir sehen hier, dass uns in dieser Version von Me-
es besteht vereinfacht gesagt die Möglichkeit verschiede- tasploit 616 Exploits und 215 Payloads zur Verfügung
ne Payloads über einen Exploit zu bedienen. Anders aus- stehen. Eine immense Zahl, wenn man bedenkt, dass
gedrückt - jedes Modul der MSF-Datenbank ist für sich ei- bei der ersten Ausgabe des Frameworks gerade mal ei-
genständig und hat keine Abhängigkeiten, wenn man mal ne handvoll Exploits zur Verfügung standen.
von den internen Vorschlagslisten absieht.
Anwendung
Vorbereitungen Nun können wir mit dem Kommando msf > help eine Lis-
Wir werden uns für diesen Fall ein Zielsystem suchen, te der zur Verfügung stehenden Befehle erhalten. Für
welches sich innerhalb eines geschlossenen Versuchs- die Anwendung des MSF ist es wichtig zu wissen wel-
netzes befindet. Es ist hilfreich, wenn wir uns den dafür ches Ziel wir verfolgen. Wir wissen ja, dass sich unser
gedachten Metasploitable[2] Images bedienen. Es han- Zielsystem im gleichen Netz befindet, wir führen also ei-
delt sich hier um ein vom Metasploit Projekt bereit gestell- nen Scan aus, um im besten Fall offene Ports vorzufin-
hakin9.org/de 33
TOOLS
den . Dafür wird der in Metasploit integrierte Portscan- vice genutzt wird. Dieser wird normalweise zur Vertei-
ner bemüht. lung von C/C++ Programmen in größeren Netzwerken
und erspart einem so das zeitintensive lokale compilie-
msf > use auxiliary/scanner/portscan/tcp ren auf den jeweiligen Rechnern. Jetzt ist er aber auch
msf auxiliary(tcp) > set RHOSTS 192.168.178.1/24 nützlich für unseren Versuchsaufbau. Nun suchen wir
mittels search distcc welche Exploits für diesen Service
Wir haben also eine IP-Adresse die wir für das weite- in dem Framework vorhanden sind (vgl. Listing 2.).
re Vorgehen nutzen können, außerdem sehen wir eini- Mittels use unix/misc/distcc_exec wählt man das ent-
ge offene TCP-Ports, die leicht als Einfallstor genutzt sprechende Exploit aus.
werden können (vgl. Listing 1.). Jetzt gilt es den richti- Nun ist uns schon einiges über das zu kompromittie-
gen Schlüssel für eines davon zu finden. Wir nehmen rende System bekannt; IP-Adresse, auf welchen Port
uns den Port 3632 vor, der auch von dem DistCC-Ser- der Exploit abzielt und welcher Exploit es sein wird.
34 10/2010
Das Metasploit Framework als Unterstützung bei Penetrationstests
Was noch fehlt ist der Payload, der auf den Exploit auf-
Nachteile des Metasploit Frameworks
setzt. Dies kann einfach über den Befehl show payloads
ermittelt werden (vgl. Listing 3.). • leider keine „All-in-One“ Lösung
Anschließend wird per set payload cmd/unix/bind_perl • für Sicherheitsexperten mit entsprechendem KnowHow
der erste Payload für den Exploit gesetzt. nur bedingt empfehlenswert, da nicht immer so aktuell &
umfangreich wie kommerzielle Lösungen
Entsprechend wird auch der Port und die IP-Adresse
• keine Zero-Day-Exploits
des Ziels mittels set eingegeben. Der Befehl show options
zeigt uns die Einstellmöglichkeiten an (vgl. Listing 4.).
Vorteile des Metasploit Frameworks
Listing 4. Setzen des Hosts und der Ports mittelst set
• Sehr viele inkludierte Exploits und Payloads die auf ver-
schiedensten Betriebssystemen anwendbar sind.
msf exploit(distcc_exec) > set RPORTS 3632 • Gute Anpassungsfähigkeit auf eigene Bedürfnisse (an-
msf exploit(distcc_exec) > set passbare Exploits)
RHOST 192.168.178.100 • Plattformunabhängiges Tool, auch für Einsteiger geeignet
msf exploit(distcc_exec) > show • quelloffen
options
• modularer Aufbau
Module options: Soweit sieht alles gut aus, wir können nun mit dem
Aufruf des Exploits beginnen (vgl. Listing 5.).
Name Current Setting Required Description Es wurde nun per remote Bind-Shell die Verbindung
---- --------------- -------- ----------- hergestellt, jetzt besteht die Möglichkeit weitere Root-
RHOST 192.168.178.100 yes The target Rechte zu erlangen. Auf dem Metasploitable Image be-
address findet sich eine Textdatei die verschiedene Schwach-
RPORT 3632 yes The target port stellen des Systems auflistet, hier kann man sich auch
ein paar Anregungen holen.
ls
4809.jsvc_up ALEXANDER WINKLER
whoami Der Autor ist selbst als Administrator tätig und betreut die
daemon Umsetzung von IT-Sicherheitsrichtlinien in Unternehmen.
Kontakt mit dem Autor unter: mail@swarmstream.de
hakin9.org/de 35
TOOLS
Ncrack – Netzwerkauthentifizierungen
knacken
Christian Stockhorst
Dieser Artikel beschreibt wie mit dem Tool Ncrack
verschiedene Dienste im Netzwerk bzw. die Computer
und andere Geräte im Netzwerk auf denen diese Dienste
laufen auf schwache Passwörter überprüft werden können.
Ncrack bedient sich dabei einem modularem Ansatz, für
verschiedene Services.
N
crack ist ein klassisches BruteForce Programm, Es gibt die Herausforderung, neben einer guten
es bietet auf einer modularen Basis verschie- Passwort- und Namensliste ebenfalls über eine Über-
dene Protokollimplementationen an. Es gibt sicht aller Hosts im Netzwerk und deren offenen Ports
Module zur Authentifizierung für FTP, SSH, TELNET, zu verfügen. Hierfür gibt es mehrere Programme, wie
HTTP(S), SMB, RDP und POP3(S). Es sind ebenfalls z.B. NMap, welches schon genannt worden ist und
alle möglichen Optionen und Services als Module im wohl auch der berühmteste Vertreter seiner Art ist.
Quellcode enthalten. Alle benötigten Informationen ge- Mit solch einem Tool lässt sich schnell und gezielt ein
nauso wie eine detailliertere Anleitung findet sich auf gesamtes Netzwerk untersuchen. Außerdem wird die
der NMap – Webseite. Es gibt verschiedene Tools wie Ausgabe in verschiedenen Dateiformaten angeboten,
Ncrack, z.B. THC-Hydra oder JTR, aber im wesentli- so dass direkt mit dem erzielten Ergebnis weiter ge-
chen unterscheiden diese sich nicht wirklich. arbeitet werden kann. Da Nmap und Ncrack sich un-
Bei BruteForce-Angriffen sollte immer beachtet mittelbar kombinieren lassen, wird in diesem Artikel
werden, dass die Fähigkeit das Password zu kna- speziell der Einsatz von Ncrack mit Hilfe von Nmap
cken davon abhängt wie gut die Passwortliste ist aufgezeigt.
und in welcher Art und Weise eine Authentifizierung In den folgenden Abschnitten werden einige Funktio-
stattfindet. Ein Beispiel hierfür wird im Abschnitt des nen bzw. Optionen und Services des Programms erklärt.
SSH-Moduls gegeben, da Ncrack hier einen anderen Unter anderem, wie und in welcher Art anzugreifende
Algorithmus gegenüber anderen Mitspielern, imple- Ziele definiert werden können. Wie spezielle Spezifika-
mentiert hat. tionen für einen Dienst vorgegeben werden. Wie Zeit-
Wenn es darum geht mit BruteForce-Angriffen erfolg- und Performanceoptionen eingestellt werden und wie
reich die Widerstandsfähigkeit von Systemen überprü- eine Authentifizierung durchgeführt werden kann. Da-
fen zu wollen gilt es einige Dinge zu beachten. Wenn wir neben bietet Ncrack die Möglichkeit die Ergebnisse in
von BruteForce Angriffen sprechen, dann beschreiben verschiedenster Art auszugeben, was ebenfalls in ei-
wir eine Methode bei der eine Brechstange angesetzt nem gesondertem Abschnitt vorgestellt wird.
wird oder wir versuchen mit dem Kopf durch die Wand Im letztem Abschnitt werden dann noch mehrere Bei-
zu gehen. Denn eines ist gewiss, die Angriffe erfordern spiele vorgestellt. Diese Beispiele, mit verschiedenen
meistens viel Zeit und erzeugen ein enorm hohes Auf- Spezifikationen und Nutzung verschiedener Module
kommen an Netzwerkverkehr. Umso schwieriger wer- werden ausführlich erklärt. In diesem Abschnitt wird
den die Angriffe, wenn bekannt ist, dass komplexe auch mittels Programm TCPDump veranschaulicht,
Passwörter eingesetzt werden. dass mit einem BruteForce Angriff im Netzwerk sehr
36 11/2010
Ncrack – Netzwerkauthentifizierungen knacken
/*Mit folgendem NMap-Befehl kann eine entsprechende XML – Datei erstellt werden , welche in Ncrack aufgerufen
werden kann*/
/*Mit folgendem Ncrack-Befehl kann eine entsprechende Nmap-XML Datei aufgerufen werden.*/
hakin9.org/de 37
TOOLS
Schaltern auch über Dateien eingelesen werden, die Per-Host Dienstspezifikation: Spezifikationen die per-
zuvor z.B. mit NMap erstellt worden sind. In Listing 2 Host festgelegt werden sind direkt an diesen geschrie-
sehen sie daher, wie eine solche Nmap-XML Datei er- ben und somit auch gebunden.
stellt werden kann, im Anschluss daran zeigt Listing 3 Beispiel: ncrack ssh://192.168.178.27 ftp://192.168.
wie die erstellte Datei mit Ncrack aufgerufen werden 178.27 192.168.178:21 192.168.178:22
kann. Globale-Dienstspezifikation: Optionen in diesem Mo-
Häufig ist es so, dass durch Nmap mehr Dienste auf dus beziehen sich auf alle Hosts, unabhängig davon auf
dem Host erkannt werden, als eigentlich durch Ncrack welchen Dienst diese sich beziehen. Die globale Defi-
unterstützt werden. Das hat zur Folge, das die nicht un- nition wird mit dem Schalter -p aktiviert. So können mit-
terstützte Dienste von Ncrack ignoriert werden (vgl. Ab- tels Kommatrennung pro Host oder Ziel mehrere Diens-
bildung 1.). te mit entsprechenden Ports festgelegt werden:
Beispiel: ncrack 192.168.178.27 -p 22,ftp:3300,telnet,
Dienstspezifikation: pop:56
Um Ncrack nutzten zu können muss mindestens ein Im Normalfall reicht hier die Spezifikation des Ports
Ziel und ein entsprechender Dienst beim Aufruf ange- oder des Dienstes, da Ncrack diesen zuordnen kann.
geben werden. Dabei kann die Dienstspezifikation über Für entsprechend abweichende Dienste von Standard-
den entsprechenden Port oder den Namen des Diens- ports, muss beides definiert werden, siehe im obigen
tes definiert werden. Eine Ausnahme bildet jedoch, ein Beispiel die Dienste ftp und pop.
Dienst der auf einem ihm fremden Port angesiedelt ist.
Hier muss beim Aufruf, der Dienst und der Port angege- Dienstoptionen:
ben werden, siehe Beispiel. Dienstoptionen können genau wie die eben be-
Ncrack bietet für die oben genannten Möglichkeiten schrieben Dienstspezifikationen auf verschiedene
die Per-Host bzw. Global Spezifikation an. Gruppen angewendet werden. Unter anderem auf
Listing 4. Beispiel 1
38 11/2010
Ncrack – Netzwerkauthentifizierungen knacken
einen einzelnen Host, auf bestimmte Module bzw. Connection Limit: cl <num-minconnections>; CL <num-
Dienste, oder auf eine globale Definition. Durch maxconnections>
Dienstoptionen werden dabei die Timing- und Per- Hiermit wird statisch festgelegt wie viele Verbindungen
formanceeinstellungen festgelegt, diese werden gleichzeitig geöffnet werden. Denn normalerweise arbei-
im folge Abschnitt besprochen. Die verschiedenen tet Ncrack dynamisch, dabei wird die Anzahl von Verbin-
Optionen können in einer großen Vielfalt festgelegt dungen für jedes anzugreifende Ziel anhand von verwor-
werden, dabei gibt es jedoch eine strikte Hierarchie fenen Paketen bzw. Verbindungsfehlern festgelegt.
zu berücksichtigen. Der Nutzen dieser Einstellung ist gerade dann gut
Per-Host Optionen: Wie im vorherigem Abschnitt geeignet wenn bekannt ist, dass die Ziele bei denen
schon beschrieben, definieren auch hier die Per- Authentifizierungsversuche durchgeführt werden kei-
Host Optionen spezielle Parameter für ein einzelnes ne simultanen Verbindungen zulassen. Aber diese Pa-
Ziel. rameter sind auch mit Vorsicht zu gebrauchen, denn
Beispiel: ncrack ssh://192.168.178.27:22,cl=1,CL=2 durch einen zu hohen Wert kann es passieren das
Per-Modul Optionen: Optionen die pro Modul festge- Firewall- oder IDS-Systeme einen DoS Angriff dahinter
legt werden beziehen sich auf, alle in einem Aufruf be- vermuten und die entsprechende IP – Adresse aus dem
stehenden Instanzen dieses Moduls (Dienstes). Aufge- Netz verbannen.
rufen wird die Optionen mit dem Parameter -m . Auf der anderen Seite kann gerade durch den ge-
Beispiel: ncrack ssh://192.168.178.1/24 -m ssh: schickten Nutzen einer Verbindungsobergrenze dafür
cl=1,CL=2,at=2,cd=300ms gesorgt werden, dass der eigene Computer im Netz-
Globale Optionen: Optionen die global festgelegt wer- werk möglichst unentdeckt bleibt, sich quasi unsichtbar
den, gelten für alle Ziele und alle Dienste. Der Aufruf im Netzwerk aufhält. Was aber wiederum einen enor-
dieser Optionen wird mit dem Parameter -g initiiert. men Nachteil der Geschwindigkeit bei den Authentifizie-
Beispiel: ncrack 192.168.178.1/24:22 192.168.178. rungsversuchen nach sich zieht.
1/24:80 -g cl=1,CL=3,at=2,cd=300 -m ssh:cl=1,CL=2
Zeit- und Performanceeinstellungen: Diese Grup- Authentication Tries: at <num-attempts>
pe der Optionen ist die wichtigste die ein vernünftiges
Netzwerk-Authentifizierungs Tool ausmachen. Um eine Mit Hilfe dieses Parameters kann festgelegt werden,
größtmögliche Präzision zu erhalten ohne das weiterer wie viele Authentifizierungs-Versuche pro Verbindung
Benutzereingriffe notwendig sind, müssen diese Optio- vorgenommen werden. Viele Dienste haben eine obe-
nen viele Möglichkeiten mit diversen Einstellungen bie- re Grenze was die Anzahl der Versuche pro Verbin-
ten. dung angeht.
Einige der kommenden Parameter akzeptieren ei- Wenn der Wert auf eine zu hohe Anzahl gesetzt wird,
nen Zeitparameter. Dieser kann in Millisekunden, Se- dann wird daraus kein wirklicher Mehrwert gezogen.
kunden, Minuten und Stunden angeben werden. Im Ab- Denn sobald Ncrack realisiert, dass die angegebene
schnitt Beispiel wird solch ein Beispiel mit festgelegtem Zahl der Authentifizierungsversuche nicht erreicht wer-
Zeitparameter vorgestellt. den kann, wird die übergebene Einstellung ignoriert.
hakin9.org/de 39
TOOLS
Listing 5. Beispiel 2
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten mit ftp und ssh*/
ncrack 192.168.178.1/24 -p ftp:21,ssh:22 - -user root,admin,administrator - -pass 123.Admin,passwort,PASSWORT,Pa
sswort1+
Listing 6. Beispiel 3
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten und Passwortlisten*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 –iX sample.xml -U usernames.txt -P passwortliste.txt
Listing 7. Beispiel 4
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten, Passwortlisten und Moduloptionen*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 -m ssh:cl=1,CL=2 –iX sample.xml -U usernames.txt -P
passwortliste.txt
Listing 8. Beispiel 5
/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten, Passwortlisten, Moduloptionen und globalen
Einstellungen*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 -g cl=1,CL=3,at=2,cd=300 -m ssh:cl=1,CL=2 –iX sample.xml -U
usernames.txt -P passwortliste.txt
40 11/2010
Ncrack – Netzwerkauthentifizierungen knacken
wird. Daneben gibt es dann noch den normal output, gen zu beachten. Daher geht Ncrack bei der Iteration
welcher dem interactive output identisch ist. Die Unter- von Passwort und Benutzerlisten bei SSH etwas anders
schiede zeigen sich in der Ausgabe von Laufzeitinfor- vor als die meisten anderen Programme. Grund hier-
mationen und Warnungen. für ist, dass SSH während einer bestehenden Verbin-
Die dritte Ausgabemöglichkeit ist XML, was heutzu- dungsauthentifikation keine Änderung des Anmeldena-
tage eines der wichtigsten Ausgabetypen ist. Es kann mens zulässt.
sehr schnell in HTML konvertiert werden, um es gra- Ncrack nutzt einen speziellen Algorithmus, welcher
fisch anzeigen zu können. Auch ein Import in Datenban- den Anmeldenamen einer bestehenden Verbindung
ken kann durch dieses Format ohne größere Probleme mit Passwörtern versorgt. Ncrack öffnet als eine Ver-
bewerkstelligt werden. bindung und übergibt soviele Passwörter an einen be-
Ausgabeformate: Die mögliche Ausgabe kann anhand stimmten Anmeldenamen wie Versuche vom Server zu-
dreier Parameter gestaltet werden, welche zwei ver- gelassen werden.
schiedene Dateitypen erzeugen. So kann entweder eine HTTP(S): Im HTTP-Modul wird bis jetzt lediglich die
Textdatei oder eine Xml – Datei als Ausgabeformat ge- BASIS - Authentifikation unterstützt. Ncrack's HTTP-
wählt werden. Der dritte Parameter erlaubt nur noch ei- Module versucht mit dem Keep-Alive Flag zu arbeiten.
ne Ausgabe beider Dateitypen. Die Möglichen Parame- Denn dieses führt zu einer erhöten Geschwindigkeit weil
ter sind: -oN<filespec> ; -oX<filespec> ; -oA<basename>. dutzende von Versuchen pro Verbindung unternommen
Verschiedenes (Miscellaneous Options): Hierunter fal- werden können. Das HTTP – Modul kann auch über
len einige wichtige und nicht so wichtige Optionen die in SSL genutzt werden.
Ncrack eingeschaltet werden können. Drei Optionsmög- SMB: Das SMB – Modul arbeitet über Raw-TCP, Net-
lichkeiten sollten an dieser Stelle jedoch erklärt werden, BIOS ist zum jetzigem Standpunkt noch nicht imple-
da diese die Arbeit mit Ncrack erleichtern können. mentiert. Einen Vorteil, den dieses Protokoll bietet ist
- -resume <file> : Mit dieser Option besteht die Mög- die hohe Parallelisierung, so dass Benutzer die Anzahl
lichkeit eine zuvor durch den Benutzer abgebrochene an gleichzeitigen Proben gegenüber SMB hoch halten
Sitzung wieder aufzunehmen. Eine Datei welche aus können.
einem Abbruch erzeugt wurde, befindet sich im Home- RDP: Ist ein von Microsoft entwickeltest Protokoll zur
Verzeichniss des Benutzers unter .ncrack, die Datei Übertragung von grafischen Terminalsessions vom Re-
weißt dabei das Format: restore.YY-MM-DD_hh-mm mote-Computer zum Client.
auf. RDP ist eines der Protokolle welche den komplexes-
-6: Diese Option aktiviert IPv6, was zur Folge hat ten Aufbau hat, es wird ein Austausch vieler Pakete für
das anstelle von Hostnamen nun ausschließlich Ipv6- die Authehtifizierungsphase vorausgesetzt. Daher ist
Adressen akzeptiert werden. Alles andere wie z.B. die dieses Modul auch das langsamste aller hier vorgestell-
Ausgabe bleibt jedoch gleich. ten Module, dementsprechend benötigt das knacken
von Passwörtern viel Zeit.
Ncrack Module Vorsicht: Sobald es sich um einen RDP Server auf
FTP: FTP ist eines der schnellsten Module, Grund hier- Basis von Windows XP handelt, ist vorsichtig damit um-
für ist unter anderem der geringe Protokoll-Overhead. zugehen. Denn diese können nicht mehrere Verbindun-
Außerdem erlauben die meisten FTP-Dienste 3 bis 6 gen zur selben Zeit aushandeln. Daher ist es ratsam
gleichzeitige Verbindungen, mit dem Ergebnis eines ein sehr langsames timing template oder noch besser
fehlgeschlagenen Anmeldungsversuch. Ein bekanntes die maximale Anzahl an parallelen Verbindungen zu be-
Beispiel hierfür, ist FileZilla bei dem die Verzögerung so schränken, mit der timing option CL (Connection Limit)
groß ist, dass es praktisch einfacher ist, mehrere Ver- oder cd (connection delay).
bindungen gleichzeitig zu öffnen mit jeweils einer Au- POP3(S): Leider lässt sich zu diesem Modul noch
thentifikation. nicht so viel sagen, da es noch in einer experimentalen
TELNET: Telnet ist zwar schon seit längerem durch Phase ist. Jedoch kann es schon vollständig, wie die
seinen Gegenspieler SSH ersetzt worden, jedoch fin- anderen Module auch, eingesetzt werden.
det es immer noch häufigen Einsatz im Bereich von
Routern und Netzwerkdrucken welche einen Fernwar- Ncrack Beispiel
tungszugang haben. Normalerweise ist deren Authen- In den unten aufgezeigten Beispielen, werden alle Auf-
tifizierung auch recht einfach zu knacken, da meistens rufe in einer virtuellen Netzwerkumgebung aufgerufen.
Standardpasswörter benutzt werden welche der Öf- Dabei ist stets der virtuelle Client mit der Ip-Adresse
fentlichkeit bekannt sind. Einen erheblichen Nachteil 192.168.178.27 das Angriffsziel. Hierbei handelt es sich
hat TELNET an sich, die Authentifizierung, welche sehr um das Betriebssystem Debian 5.0 mit einem installier-
langsam. ten OpenSSH-Server.
SSH: Um Bruteforce-Angriffe gegen SSH durchfüh- In dieser Testumgebung wird stets zu Demonstrati-
ren zu können sind einige Hürden und Herausforderun- onszwecken der Benutzer: root mit dem Passwort: 123.
hakin9.org/de 41
TOOLS
Admin verwendet. Da es sich hierbei um einen Account Firewalls oder Ids-Systeme im Netzwerk vorhanden
handelt der in allen vorgestellten Diensten Verwendung sind. Solle die Konfiguration und Durchführung von
findet. Eine erfolgreich durchgeführte Authentifizierung Ncrack mit bedacht durchgeführt werden. Denn schnell
erscheint wie in Abbildung 2 dargestellt. erkennen diese Systeme zu viele Authentifizierungsver-
Beide oben aufgeführten Befehle bewirken den glei- suche von einem Client an einem Dienst als einen DoS-
chen Vorgang, jeweils in einer anderen Schreibweise. Angriff. Auf der anderen Seite, führt dies jedoch auch zu
In Abbildung 4 ist dargestellt welcher Netzwerkver- erheblichen Performanceverlusten, da nur noch wenige
kehr bei einer Authetifizierung, hier gegen SSH, auf- Verbindungen mit hohen Timeouts durchgeführt werden
kommt. können.
Es sollten auch im Normalfall nicht ganze Netzwerk-
Interaktionen zur Laufzeit bereiche angegeben werden, da der zu prüfende Raum
Während der Ncrack Ausführung, ist eine Interaktion mit zu groß wird. Ziele sollten ganz gezielt ausgesucht wer-
dem Programm möglich. Denn alle Tasten die gedrückt den, da so eine zeitliche Prüfung möglich ist. Es sollte
werden, werden vom Programm abgefangen umso mit auch auf z.B. Arbeitszeiten der User geachtet werden,
diesem zu interagieren ohne es abbrechen oder neu- versuchen Sie Zeiten zu finden in denen die User arbei-
starten zu müssen. Dabei können folgenden Buchsta- ten und Fehler in den Anmeldungen zur Tagesgeschäft
ben verwendet werden,ein kleiner Buchstabe bedeutet zählen.
dann die Ausgabe des Programms zu steigern und vice Erstellen Sie sich persönliche Namens- und Pass-
versa. wortlisten. Erstellen Sie Namenslisten anhand von
Informationen die Sie Sammeln konnten. Die Pass-
• v / V – erhöhen oder senken des verbosity Levels wortlisten sollten zusammengestellt werden aus den
• d / D – erhöhen des debugging Levels Namenslisten und Informationen aus dem Internet. Es
• ? - Ausgabe eines Interaktionshilfe-Bildschirms gibt genug Quellen die über bewertete Passwortlis-
ten verfügen, „the common ones“, bzw. aktuelle Listen
Jeder andere Taste – Ausgabe einer Statusmeldung über Standardpasswörter von Netzwerkgeräten verfü-
(vgl. Abbildung 3. ) gen.
Best Practices
Wie bereits weiter oben erwähnt ist ein BruteForce –
Angriff immer ein Versuch ein System mit der Brech-
stange zu knacken. BruteForce bedeutet also eine
Gradwanderung, möglichst viele Versuche innerhalb
kürzester Zeit was Authentifizierung angeht dabei aber
möglichst unsichtbar für die Systeme bleiben die atta-
ckiert werden.
Im voraus, sollten Informationen bzgl. der Netzwer-
kinfrastruktur bzw. der dort angesiedelten Dienste vor-
genommen werden. Hierzu gibt es Tools wie Nmap die
sich in diesem Bereich bereits bewährt haben. Wenn
bekannt ist, dass bestimmte Sicherheitssysteme wie
Im Internet
Nachteile:
• http://nmap.org/
• Es gibt nur eine beschränkte Modulauswahl für Netzwerk- • http://nmap.org/ncrack/
dienste • http://sock-raw.org/papers/openssh_library
• Es gibt lediglich eine frühe Alpha-Version, daher sind Mo- • http://seclists.org/nmap-dev/2010/q4/173
dule gar nicht oder nur unzureichend getestet
42 11/2010
Was erwartet Sie in diesem Kurs:
Die Wiederherstellung verlorener Passwörter
Das Abfangen von Informationen in lokalen Netzwerken
Das Abfangen von verschlüsselten Daten
Angriff auf eine SSL-Sitzung
Backdoor - die "Hintertür" als Tor zum System
Dateien und Verzeichnisse mit Hilfe des Kernels 2.6 verstecken
Angriffe
Angri vom Typ Buffer-Overflow
Angriffe vom Typ Heap-Overflow
Format-String-Angriffe
Das Überschreiben des Datenstrom-Zeigers (File Stream Pointer Overwrite)
Fehler im Systemkernel
Die Verwendung des ICMP-Protokolls aus der Sicht des Hackers
Identifizierung eines Netzwerkcomputers
Netfilter im Dienste der Systemsicherheit
Systemsiche
Absichern des Betriebssystems Schritt für Schritt
Sicherheitsscanner
Kernelpatches zur Erhöhung der Sicherheit
Intrusion Detection System (IDS)
Angriff mit Hilfe eines Webservers
Shellcode-Erstellung in der Win32-Umgebung
72888
INTERVIEW
44 1/2011
Interview mit Thomas Hackner
hakin9: Wie kann nun ein Unternehmen wissen, ob nen, Know-How, Kundenlisten, aber auch bestimmte Pro-
es betroffen ist und welche Maßnahmen sind in solch duktionsmaschinen sein. Anschließend wird versucht die
einem Fall zu setzen? Gefährdungslage zu klären und darauf aufbauend, die
Thomas Hackner: Wir sehen leider, dass die Unterneh- passendste Vorgehensweise für die folgende Sicherheits-
mensgröße keinen Effekt auf das Risiko angegriffen zu überprüfung zu wählen. Es kann sein, dass es vernünftiger
werden hat. Jedes Unternehmen besitzt USPs, die es ist, verschiedene Phasen zu definieren, in denen schrittwei-
von seinen Konkurrenten abhebt, oder seine Marktpositi- se und unabhängig voneinander Überprüfungen der IT-Si-
on stärkt. Dies können spezielle Abläufe im Unternehmen, cherheit, physische Tests und Social Engineering Angriffe
billige Herstellung, qualitativ hochwertige Produktion, aber durchgeführt werden. Wichtig wäre dabei, dass ein Koor-
auch gute Verträge mit Kunden und Beziehungen zu Lie- dinator hinter diesen Tests steht, der die Ergebnisse der
feranten sein. Die Frage, die vor allem Unternehmen zur einzelnen Phasen im Ganzen versteht und in ein Gesamt-
illegalen Konkurrenzanalyse bewegt, ist – warum kaufen konzept vereinen kann. Wird dies im Zuge eines Projek-
die Kunden bei meiner Konkurrenz und wie kann ich sie tes mit einem Anbieter ganzheitlicher Sicherheitsüberprü-
überzeugen bei mir zu kaufen?. Und dies macht jedes er- fungen durchgeführt, ist dies ohnehin der Fall. Wurden die
folgreiche Unternehmen zum möglichen Ziel. einzelnen Bereiche nach ihrer Überprüfung abgesichert, so
Jedes Unternehmen sollte sich bewusst machen, was können diese in einem Abschlusstest auf ihre letzte Probe
seine Kernkompetenzen sind und worin es sich von sei- gestellt werden. Auch für diesen Test muss detailliert festge-
nen Mitbewerbern unterscheidet. Dies werden mit hoher legt werden, welche Assets Ziel des Angriffes sind – ist es
Wahrscheinlichkeit auch jene Bereiche sein, die es ver- beispielsweise das Entwenden eines Dokuments, der Ein-
stärkt zu schützen gilt. Geschützt werden können diese bruch in ein Computersystem oder der Beweis in den Ser-
nur durch ein Sicherheitskonzept, das sowohl IT, Personal verraum zu gelangen. Dies wird in einer Sitzung mit dem
und Geschäftslokalitäten vereint. Es ist wichtig alle diese Geschäftsführer festgelegt, sodass niemand im operativen
Aspekte in die eigene Sicherheitsstrategie zu integrieren. Betrieb von der bevorstehenden Überprüfung weiß. Zudem
Wird ein Bereich außen vor gelassen, so wird mit hoher werden Techniken und Handlungsspielraum der Tester defi-
Wahrscheinlichkeit gerade dieser von potentiellen Angrei- niert. Sind alle Formalitäten geklärt, erfolgt die abschließen-
fern zur Durchführung ihres Planes ausgewählt werden. de Überprüfung, die das Unternehmen einer quasi realen
Investitionen zur Absicherung in den beiden anderen Be- Attacke durch versierte Angreifer aussetzt. Dabei sind die
reichen konnten dann nur teilweise ihre Wirkung zeigen Tester dazu angehalten alle ihre Kenntnisse und Tools ein-
und den Angriff leider nicht verhindern. Doch sollte man zusetzen und die implementierten Sicherheitsmaßnahmen
sich nicht entmutigen lassen, man kann sich diesem Ziel in allen drei vorher genannten Bereichen auf ihre Wirksam-
Schritt für Schritt nähern und mit dem richtigen Einsatz an keit im Anlassfall zu testen. Dieses Audit nennt sich auch Ti-
Mitteln oft bereits durch relativ kostengünstige Maßnah- ger Team Assessment und ist die einzige Möglichkeit, mehr
men die Sicherheit für das eigene Unternehmen erhöhen. über die effektive Sicherheit des Unternehmens im Ernst-
fall zu erfahren und noch vorhandene Schwachstellen im
hakin9: Angenommen ein Unternehmer würde nun Gesamtkonzept zu erkennen. Dieses Assessment wird je-
auf Sie zukommen und um Hilfe bitten, was wären doch nicht nur am Ende eines eben beschriebenen Projek-
die ersten Schritte, die sie dem Unternehmer raten tes mit mehreren Phasen durchgeführt, sondern kann auch
würden? zur ersten schnellen Erhebung der größten Schwachpunk-
Thomas Hackner: Zu aller erst sollte man sich seiner te in einem Unternehmen eingesetzt werden. So stellt es
Situation, seiner schutzwürdigen Interessen und seiner eine kostengünstige Möglichkeit dar, sich einen Überblick
Risiken bewusst sein. Für Risikoanalysen möchte ich über den Ist-Stand der Umsetzung der gesamten Sicher-
an dieser Stelle auf bewährte Vorgehensweisen, wie heitsstrategie zu verschaffen und Mängel bereits frühzeitig
beispielsweise ISO 27005 oder NIST SP 800-30, ver- zu identifizieren.
weisen. Für die Ermittlung des Ist-Standes der Sicher-
heit im Unternehmen und der Wirksamkeit der bisher hakin9: Die Durchführung von IT-Penetration Tests
eingesetzten Mittel, möchte ich zur Durchführung eines und Social Engineering Audits wird in Europa bereits
ganzheitlichen Sicherheitsaudits raten. In diesen wer- von einigen Firmen angeboten. Sie führen neben
den sowohl physische und personelle, als auch die IT- diesen beiden Überprüfungen jedoch auch physische
Sicherheitsmaßnahmen auf ihre Effektivität und ihr Vor- Sicherheitsaudits durch, und führen diese in dem
handensein hin überprüft. von Ihnen beschriebenen ganzheitlichen Konzept
zusammen. Wie sind Sie dazu gekommen und woher
hakin9: Wie läuft ein ganzheitliches Sicherheitsaudit ab? haben Sie Ihre Kenntnisse?
Thomas Hackner: In einem initialen Workshop werden Thomas Hackner: Es liegt bereits einige Jahre zurück,
mit dem Kunden gemeinsam die wertvollsten Assets in dass ich begonnen habe mich mit der zerstörungsfrei-
seinem Unternehmen erarbeitet. Dies können Informatio- en Öffnung von Schließzylindern zu beschäftigen. Ich
hakin9.org/de 45
INTERVIEW
kaufte damals mein erstes Pickset und ein Schloss im Jedermann zur Verfügung zu stellen, da auf diese Weise
Baumark und verbrachte eine knappe Stunde damit, es mehr Menschen erreicht werden können. Die nun veröf-
zu öffnen. Damals hatte ich noch nicht das Gespür und fentlichten Beiträge zeigen Fehler auf, die bei der Umset-
das Verständnis für die Vorgänge während des Pickens, zung von Sicherheitsmaßnahmen passieren können und
doch wenn nach einer Stunde, in der man mit dem Pick- sollen zum einen Sicherheitsbeauftragte auf mögliche
werkzeug im Dunkeln tastet, das Schloss plötzlich öffnet, Fehler aufmerksam machen und bei all jenen, die sich
erlebt man einen sehr zufriedenstellenden Augenblick. noch nicht mit der Thematik auseinander gesetzt haben,
Die darauf folgenden Öffnungsversuche gingen dann mit Bewusstsein schaffen. Das Projekt ist nicht auf physische
10 und 5 Minuten bereits um Einiges schneller. Heute Sicherheit beschränkt, wir haben auch Geschichten aus
benötige ich für das gleiche Schloss 1 bis 3 Sekunden. dem Social Engineering-Bereich, sowie Code-Beispiele
Diese Öffnung damals war genug Motivation, mich mit aus der IT. Die Geschichten und Bilder sind frei verfügbar
der Thematik näher zu beschäftigen und so gründete ich und können von jedem verwendet werden. Und vielleicht
den österreichischen Lockpicking-Verein OpenLocks.at, hilft es ja auch dem ein oder anderen Security Consul-
den wir seit August mit einer Gruppe engangierter Picker tant dabei, Awareness beim Kunden zu schaffen. Mitar-
als offiziellen Sportverein führen. Durch Kontakte im Be- beit ist nicht nur möglich, sondern auch erwünscht. Wir
reich der Schloss- und Tresoröffnung, den Besuch von sind stark davon abhängig, dass uns Leser ihre Beiträge
Weiterbildungsseminaren und vor allem laufende prak- und Erlebnisse per Mail zusenden. Bilder und Beiträge
tische Trainings erweiterte sich mein Wissensgebiet von werden anschließend anonymisiert und der Öffentlichkeit
der zerstörungsfreien Schlossöffnung zur physischen zum freien Gedanken- und Meinungsaustausch zur Ver-
Absicherung von Unternehmen. Meine Ausbildung und fügung gestellt.
praktische Erfahrung davor war hauptsächlich auf IT-
Sicherheit, die Durchführung von IT Penetration Tests hakin9: Was dürfen wir in Zukunft von Ihnen
und IT Security Management Systemen ausgerichtet. erwarten?
Es war naheliegend, dass man mit IT Penetration Tests Thomas Hackner: Das Jahr 2011 wird ein sehr spannen-
nur einen Teilaspekt der Unternehmens- und Informati- des Jahr. Zum einen bieten wir mit HACKNER Security In-
onssicherheit abdeckt. Physische Sicherheit ist bereits in telligence erstmals ganzheitliche Sicherheitspakete für jede
wichtigen IT-Security Management Standards, wie ISO Unternehmensgröße an und werden Unternehmen dabei
27001 oder NIST SP 800-30, ein Thema, wird aber aus unterstützen, physische Sicherheit mit dem Thema Social
IT-Sicht etwas vernachlässigt. IT-Sicherheitsbeauftragte Engineering und IT-Sicherheit in Einklang zu bringen. Hier
sind im Bereich der physischen Sicherheit oft nicht ge- erwarten uns sicher viele spannende Projekte und Sicher-
schult, ein direkter Verantwortlicher für physische Sicher- heitsaudits. OpenLocks.at ist bereits in den Bundesländern
heit fehlt oder es besteht nur eingeschränkt Kommunika- Oberösterreich und Wien vertreten, wo wir monatliche Tref-
tion zwischen beiden Bereichen. Mein Ziel ist es, diese fen veranstalten, bei denen jeder herzlichst eingeladen ist,
Welten miteinander zu verknüpfen und einen umfassen- vorbei zu kommen. Wir freuen uns über jeden neuen be-
deren Ansatz zur Informationssicherheit zu liefern. geisterten Lockpicker und eine erste österreichische Meis-
terschaft der zerstörungsfreien Schlossöffnung wäre ein
hakin9: Sie beteiligen sich ja nicht nur aktiv am guter Schritt, den Lockpicking-Sport auch hier weiter voran
Lockpicking-Verein OpenLocks sondern haben auch zu treiben. SecurityPitfalls.org ist ein sehr Community-ori-
das Projekt SecurityPitfalls.org ins Leben gerufen, mit entiertes Projekt, wir freuen uns also auch hier über jeden,
dem Ziel Bewusstsein für Sicherheit zu schaffen. Wie der uns neue Bilder oder Stories schickt. Mit HACKNER
ist dies entstanden und kann jeder daran mitarbeiten? Security Intelligence arbeiten wir eng in Forschung und
Thomas Hackner: (lacht) Sie haben sich im Vorfeld gut Projektarbeit mit Universitäten und Forschungseinrichtun-
informiert. Entstanden ist dies eher durch Zufall, als ich gen zusammen und auch hier wird es im Jahr 2011 erste
mit meinem geschätzten Freund Aljosha Judmayer ei- interessante Publikationen geben.
nen Vortrag auf einer Konferenz über das Umgehen von
physischen Sicherheitsmechanismen halten sollte. Wir hakin9: Wir bedanken uns sehr herzlich für das
machten dazu einen Streifzug durch Wien und fanden Gespräch!
wirklich viele interessant Beispiele, auch von sehr nam- Thomas Hackner: Die Freude liegt ganz auf meiner
haften Firmen, die zwar klar ersichtlich Sicherheitsmaß- Seite.
nahmen getroffen hatten, diese aber völlig falsch um- Geführt wurde dieses Interview mit Thomas Hackner, dem Ge-
setzten und damit neue Lücken öffneten. Wir begannen schäftsführer von HACKNER Security Intelligence. Für weitere Fra-
also diese Situationen zu fotografieren und zu sammeln gen oder Diskussionen ist er unter der E-Mail Adresse t.hackner@
und so entstand eine kleine Beispielgallerie an Sicher- hackner-security.com bzw. über die Webseite http://www.hackner-se-
heitslücken. Irgendwann kam ich jedoch auf die Idee, curity.com zu erreichen.
diese Sammlung im Internet zu veröffentlichen und für
46 1/2011
Recommended Sites
Datenschutz ist EU-weit gesetzliche Anforde- Die Netzwerktechnik steht auf www.easy-ne- Die Seed Forensics GmbH bietet für Strafver-
rung. Wir sorgen für die Erfüllung rechtlicher twork.de im Mittelpunkt. Artikel, Tutorials und folgungsbehörden professionelle Unterstützung
Vorschriften und kümmern uns um ein ange- ein Forum bieten genügen Stoff für kommende in den Bereichen der Datensicherstellung und
messenes Datenschutzniveau in Ihrem Unter- Administratoren und Netzwerkprofis. Datenträgerauswertung. Selbstverständlich
nehmen, auch international. entsprechen unsere Mitarbeiter, unser tech-
www.blossey-partner.de www.easy-network.de nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Securitymanager.de ist eine Produktion des Happy-Security ist ein neues Portal mit Secu- Hier findest Du alles, was das Herz eines
Online-Verlag FEiG & PARTNER. Seit dem rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- Computerfreaks höher schlagen lässt: Geek
Start hat sich Securitymanager.de zu einem media-Center & vielen weiteren Features. Wear mit intelligenten Sprüchen, eine riesige
führenden Online-Informationsportal in www.happy-security.de Auswahl Gadgets und natürlich auch viele
Deutschland entwickelt und versteht sich als Hacker Tools.
unabhängiger Informationsdienstleister der www.getDigital.de
IT- und Information-Security-Branche.
www.securitymanager.de
CloudSafe stellt seinen Nutzern eine Plattform AV-Comparatives geht hervor aus dem Inns-
zur kryptographisch sicheren Ablage und Verwal- brucker Kompetenzzentrum und gilt als eines
Pericom base camp IT-Security: Unser Ziel ist
tung von sensiblen Daten zur Verfügung: Nutzer der bekanntesten unabhängigen Testhäuser
es, unsere Kunden vor möglichen Gefahren
können auf CloudSafe beliebig viele Dokumente für Antiviren-Software.
für Ihre IT-Infrastruktur bestmöglich zu schüt-
zen. Neben der Analyse von Risikopotentia-
in virtuellen Safes ablegen. Es können weite- www.av-comparatives.org
ren Personen individuelle Zugriffsrechte auf die
len durch Security Audits bieten wir, durch
Safes eingeräumt und somit ein sicherer Daten-
die Implementierung von Security-Lösungen,
austausch ermöglicht werden.
Schutz vor konkreten Gefahren.
www.cloudsafe.com
www.pericom.at
B1 Systems
SEC Consult Die B1 Systems ist international tätig
SEC Consult ist der führende Berater
SEC Consult für Information Security Consulting in
in den Bereichen Linux/Open Source
Consulting, Training und Support. B1
Zentraleuropa. Die vollständige Unab-
Systems spezialisiert sich in den Be-
hängigkeit von SW- und HW-Herstellern
reichen Virtualisierung und Cluster.
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
info@b1-systems.de
ssen externe/interne Sicherheitsaudits,
www.b1-systems.de
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
www.seed-forensics.de www.optimabit.com
www.swisscyberstorm.com