Sie sind auf Seite 1von 50

SSL-Zertifkate

Einkaufen ist Vertrauenssache -


online und offine!
Ihre Vorteile
90
Tage
lngere Laufzeit*
Bis zu
Jederzeit
Unkomplizierte Lieferung
auf Rechnung
**
ohne Aufpreis
*
Zustzliche Lizenzen
Persnlicher
Support
in deutsch, englisch,
spanisch und polnisch
kostenloser
* in den Produktlinien Lite,
Silver und Gold
** bei Pay-as-you-Go
Austausch
DomainValidation(DV)-Zertifkate
OrganizationValidation(OV)-Zertifkate
ExtendedValidation(EV)-Zertifkate
Single-Zertifkate
Wildcard-Zertifkate
Multidomain(MDC)-Zertifkate
UnifedCommunication/
SubjectAlternativeName(UCC/SAN)-Zertifkate
ServerGatedCryptographie(SGC)-Zertifkate
V
e
rtra
u
e
n

S
ie
a
u
f
b
e
r
J
a
h
r
e
E
rfa
h
ru
n
g
unSERE PRodukTE
4 HAKIN9 5/2009
das Hauptthema der November Ausgabe ist IT-Forensik.
Kleine Fehler knnen Untersuchungsergebnisse unbrauchbar machen und
ganze Verfahren ruinieren. Welche Punkte sind bei der Sicherung zu beach-
ten? Welche Methoden sind blich? Welche spezielle Hardware verwenden IT-
Forensiker? Des Weiteren lesen Sie im Artikel Sicherung Digitaler Beweismittel.
Das war das beliebteste Thema in unserer Umfrage und wir gehen Ihren
Wnschen entgegen.
Zu weiteren Highlights der aktuellen Ausgabe gehren: Netzwerksicherheit -
Spannungsverhltnis von Sicherheit, Komplexitt und Produktivitt, Web Security
Identifzieren und Beheben von Sicherheitslcken in Webanwendungen, Ein
teilquantifzierter Risikobewertungsansatz mit einer Prise IT-Grundschutz,
MYBIOS Lsst sich das BIOS infzieren?
Das ist die letzte Ausgabe in diesem Jahr, deswegen mchte ich Ihnen zur
Weihnachtszeit Gesundheit, Glck und Zufriedenheit wnschen.
Wir danken Ihnen fr das uns entgegen gebrachte Vertrauen und wnschen
Ihnen auch einen guten Rutsch ins Neujahr.
Falls Sie Interesse an einer Kooperation htten oder Themenvorschlge,
wenden Sie sich bitte an unsere Redaktion.

Viel Spa mit der Lektre!
Karolina Soko owska
LIEBE hakIN9 LESER!
4
INHALTSVERZEICHNIS
NETZWERKSICHERHEIT
13 Netzwerksicherheit - Spannungsverhltnis
von Sicherheit, Komplexitt und Produktivitt
Gert Hansen
Es hat sich einiges getan, seit die ersten Personal
Computer mit dem Internet verbunden wurden. Heute
sind Firmennetzwerke vor allem durch eines geprgt:
Komplexitt. Neue Technologien wie Mobile Compu-
ting oder gehostete Services tragen besonders zu die-
sem Trend bei. Dabei sind Unternehmen oft voll davon
abhngig, dass die eigene IT reibungslos funktioniert.
Heutzutage sind digitale Firmendaten wie Konstrukti-
onszeichnungen oder Kundendatenbanken oft ihr wert-
vollster Besitz, auf den es immer mehr und professi-
onell organisierte Kriminelle abgesehen haben. Sie
entwickeln laufend neue Methoden, den Betrieb zu st-
ren oder an vertrauliche Informationen zu gelangen.
INTERNETSICHERHEIT
7 Sicherung Digitaler Beweismittel
Manuel Rundt, Martin Wundram, Alexander Sigel
Die Sicherung digitaler Beweismittel stellt hohe Anfor-
derungen an eine absolut korrekte Arbeitsweise. Denn
schon kleine Fehler knnen Untersuchungsergebnisse
unbrauchbar machen und ganze Verfahren ruinieren.
Welche Punkte sind bei dieser Sicherung zu beachten?
Welche Methoden sind blich? Wie kann sichergestellt
werden, dass die Beweismittel spter nicht manipuliert
wurden, oder dass etwaige Manipulationen zumindest
sicher aufgedeckt werden? Welche spezielle Hardware
verwenden IT-Forensiker?
12/2011
4 6/2010
herausgegeben vom Verlag:
Software Press Sp. z o. o. SK
Geschftsfhrer: Pawe Marciniak
Managing Director: Justyna Ksiek
justyna.ksiazek@software.com.pl
Chefredakteurin: Karolina Sokoowska
karolina.sokolowska@software.com.pl
Redaktionsassistentin: Ewa Strzelczyk
ewa.strzelczyk@software.com.pl
Redaktion: Christian Heutger, Geschftsfhrer
der PSW GROUP, Manuel Rundt, Martin Wun-
dram, Alexander Sigel, Gert Hansen, Stefan
Schurtz, Dr. Philipp Walter, Christoph Besel,
Andr Glenzer, Robert Lommen, Michael Schratt
Produktion: Andrzej Kuca
DTP: Przemysaw Banasiewicz
Umschlagsentwurf: Przemysaw Banasiewicz
Werbung: adv@software.com.pl
Anschrift:
Software Press Sp. z o.o. SK
ul. Bokserska 1, 02-682 Warszawa, Poland
Tel. +48 22 427 36 56, Fax +48 22 244 24 59
www.hakin9.org/de
Die Redaktion bemht sich, dafr Sorge zu
tragen, dass die in der Zeitschrift sowie auf
den begleitenden Datentrgern erhaltenen
Informationen und Anwendungen zutreffend
und funktionsfhig sind, bernimmt jedoch
keinerlei Gewhr fr derer Geeignetheit fr
bestimmte Verwendungszwecke. Alle Mar-
kenzeichen, Logos und Handelsmarken, die
sich in der Zeitschrift befinden, sind regist-
rierte oder nicht-registrierte Markenzeichen
der jeweiligen Eigenmer und dienen nur als
inhaltliche Ergnzungen.
Anmerkung!
Die in der Zeitschrift demonstrierten Tech-
niken sind AUSSCHLIELICH in eigenen
Rechnernetzen zu testen! Die Redaktion
bernimmt keine Haftung fr eventuelle
Schden oder Konsequenzen, die aus der
unangemessenen Anwendung der beschrie-
benen Techniken entstehen. Die Anwendung
der dargestellten Techniken kann auch zum
Datenverlust fhren!
hakin9 erscheint in folgenden Sprachversionen
und Lndern: deutsche Version (Deutschland,
Schweiz, sterreich, Luxemburg), polnische
Version (Polen), englische Version (Kana-
da, USA)
hakin9.org/de 5
KASPERSKY LAB
41 MYBIOS Lsst sich das BIOS infizieren?
Beim Thema BIOS-Infizierung kristallisiert sich derzeit
eine deutliche Tendenz heraus, die am als zurck zu
den Wurzeln bezeichnen knnte. Die Infizierung des
Master Boot Record (MBR), das Abfangen der Pointer
in verschiedenen Systemtabellen des Betriebssystems,
die Infizierung von Systemkomponenten das alles
gibt es bereits, und zwar schon sehr lange.
5
ANGRIFF
22 Web Security Identifizieren und Beheben
von Sicherheitslcken in Webanwendungen
Stefan Schurtz, Dr. Philipp Walter
Webanwendungen haben sich in den vergangenen
Jahren als eigenstndige Anwendungsform groflchig
etabliert, daher stehen gerade diese Anwendungen,
stndig unter Beobachtung, so dass hier kontinuierlich
Sicherheitslcken gefunden und gestopft werden ms-
sen
REZENSION
31 Kaspersky Internet Security
Christoph Besel
DATENSCHUTZ
32 Ein teilquantifizierter Risikobewertungsan-
satz mit einer Prise IT-Grundschutz
Andr Glenzer
Wie wahrscheinlich ist denn das?. Wie oft ist das
denn bereits vorgekommen?. Fr unsere Daten inte-
ressiert sich doch kein Mensch!. Endlose Abende vor
leider viel zu lange viel zu blitzweien Worddokumen-
ten, in welchen Sie argumentativ versuchen, solcher-
art Polemik zu entkrften. Sind Sie Ihnen nur allzu gut
bekannt?
Inhaltsverzeichnis
Im Zusammenhang mit den nderungen, die in letzter Zeit in dem
deutschen Recht stattgefunden haben und die IT-Sicherheit be-
treffen, mchten wir ankndigen, dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschlielich den Erkenntniszwecken.
Alle im Magazin prsentierten Methoden sollen fr eine sichere IT
fungieren. Wir legen einen groen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Be-
kmpfung von IT Kriminalitt.


eine Arbeitsgemeinschaft von ARD und ZDF

90431 Nrnberg - Wallensteinstrae 119 Telefon 0911-6573-0 - Fax 0911-6573-111 www.rbt-nbg.de
Geschftsfhrer: Dipl.-Ing. (FH) Alfred Preissner
Mitglieder der ARGE:
Bayerischer Rundfunk Hessischer Rundfunk Mitteldeutscher Rundfunk Radio Bremen - Rundfunk Berlin Brandenburg
Saarlndischer Rundfunk Sdwestrundfunk Westdeutscher Rundfunk Zweites Deutsches Fernsehen

Die ffentlich, rechtlichen Rundfunkanstalten BR, HR, MDR, RB, SR, RBB, SWR, WDR und
ZDF betreiben gemeinsam die Arbeitsgemeinschaft Rundfunk-Betriebstechnik (ARGE RBT).
In Dieser untersttzen sich die Rundfunkanstalten gegenseitig bei der Erstellung, beim Betrieb
und bei der Weiterentwicklung ihrer technischen Anlagen und Arbeitsablufe.
Im Sachgebiet Informationstechnik der ARGE RBT sind zum 01.01.2012 zwei Stellen
eines/einer
Informatikers/Informatikerin
zu besetzen.

Aufgabenstellung:
Als Spezialist im Bereich IT-Security untersuchen Sie Netzwerke und Systeme im
Rundfunkumfeld nach Sicherheitslcken, fhren simulierte Angriffe durch und beraten
Rundfunkanstalten. Sie fhren Projekte eigenverantwortlich durch und koordinieren den
Projektablauf. Sie dokumentieren und prsentieren Vorgehensweise und Ergebnisse der
Untersuchung.

Voraussetzungen und Einsatzdauer:
Abgeschlossenes Studium und fundierte Kenntnisse im Bereich IT-Security
Kenntnisse in Betriebssystemen (Linux, Windows), Netzwerken und Programmierung
Sicheres Beherrschen der englischen Sprache
Bereitschaft zu Dienstreisen.
Die Stellen sind zunchst auf drei Jahre befristet. Eine Verlngerung ist mglich.

Geboten werden:
Die Eingruppierung erfolgt in Abhngigkeit von vorhandenen Kenntnissen und
Fhigkeiten gem dem Tarifvertrag des Bayerischen Rundfunks.

Wenn Sie die Arbeit in einem jungen, engagierten Team schtzen und auf ein freundliches,
offenes Arbeitsklima sowie abwechslungsreiche Aufgaben und flexible Arbeitszeiten Wert
legen, so freuen wir uns auf Ihre aussagekrftige Bewerbung.

Fr weitere Informationen steht als Ansprechpartner Herr Jrgen Wehner,
Tel. 0911-6573-190, juergen.wehner@rbt-nbg.de, zur Verfgung.
Sicherung Digitaler Beweismittel
hakin9.org/de 7
Z
ur Aufklrung von Hackerangriffen, aber auch von
wirtschaftskriminellen Vorgngen, wird zuneh-
mend hufiger auf die IT-forensische Analyse von
digitalen Beweismitteln zurckgegriffen. Diese mssen
zunchst gesichert werden, bevor Indizien und Beweise
in den elektronischen Daten gefunden werden knnen.
Dabei gibt es einige Fallstricke zu beachten. Wichtigs-
tes Ziel bei einer Digitalen Beweismittelsicherung ist, die
Vollstndigkeit und die Unversehrtheit der Daten zu ge-
whrleisten. Dies bedeutet, dass bei der Sicherung der
Daten keine Vernderungen an den Datentrgern vorge-
nommen werden drfen und dass auch bei der spteren
Auswertung die Daten nicht verndert werden drfen,
da sonst Beweismittel unwiederbringlich vernichtet wer-
den oder der Verdacht, die Beweise seien manipuliert,
nur schwer zu widerlegen ist. Bei der Sicherung einge-
schalteter Gerte, die verfahrensrelevante flchtige Spu-
ren enthalten knnen, z.B. hinsichtlich der Existenz von
Rootkits, der Nutzung von Diensten im Internet oder in
Clouds oder etwaiger Verschlsselungen, kann die gol-
dene Regel, keine Daten zu verndern, nicht eingehalten
werden. Denn die Sicherung flchtiger Spuren fhrt in
der Regel zu nderungen an den zu sichernden Daten.
Hier ist eine Gterabwgung vorzunehmen. Erforderli-
che nderungen sind auf ein Minimum zu beschrnken
und sorgfltig und beweissicher zu dokumentieren.
Wie sollte vorgegangen werden?
Eine sorgfltige Planung und Durchfhrung der digi-
talen Beweismittelsicherung ist entscheidend fr den
spteren Erfolg bei der Datenauswertung und der Nut-
zung der digitalen Beweismittel vor Gericht. Sofern im
betroffenen Unternehmen keine ausgebildeten Compu-
terforensik-Experten vorhanden sind, empfiehlt es sich,
schon zu Beginn eines Vorfalls externe IT-Forensik-Ex-
perten hinzuzuziehen.
Die betroffenen Computer drfen unter keinen Um-
stnden eingeschaltet werden, bevor nicht alle Da-
tentrger physisch gesichert wurden und die Beweis-
mittelsicherung verifiziert ist. Auch eine unmittelbare
Einsichtnahme (mal eben reinschauen) in die aufge-
fundenen Datentrger ist unter allen Umstnden zu ver-
meiden, da sich hierdurch nahezu immer fr den Lai-
en nicht sichtbare Spuren verndern, die spter eine
Sicherung Digitaler Beweismittel
Die Sicherung digitaler Beweismittel stellt hohe Anforderungen an
eine absolut korrekte Arbeitsweise. Denn schon kleine Fehler knnen
Untersuchungsergebnisse unbrauchbar machen und ganze Verfahren
ruinieren. Welche Punkte sind bei dieser Sicherung zu beachten?
Welche Methoden sind blich? Wie kann sichergestellt werden, dass
die Beweismittel spter nicht manipuliert wurden, oder dass etwaige
Manipulationen zumindest sicher aufgedeckt werden? Welche
spezielle Hardware verwenden IT-Forensiker?
In DIeSem ArtIkel erfAhren SIe
welche Methodiken und Techniken bei einer forensischen Si-
cherung digitaler Beweismittel eingesetzt werden und was
Sie von Anfang an vermeiden sollten. Zudem erfahren Sie, wie
sptere Manipulationen von Beweisen ausgeschlossen wer-
den oder zumindest zuverlssig aufgedeckt werden knnen.
WAS SIe vorher WISSen Sollten
welche verschiedenen Arten von Datentrgern potentiell
wichtige Informationen enthalten knnen, um diese zunchst
sicherzustellen. Um selbst forensische Sicherungen digitaler
Beweismittel vorzunehmen, sollten Sie wissen, wie nderun-
gen an Datentrgern und Dateisystemen entstehen und ver-
mieden werden knnen, sowie spezielle forensische Hardware
verwendet und forensische Imaging-Software benutzt wird.
manuel rundt, martin Wundram, Alexander Sigel
Abbildung 1. Ablauf einer IT-forensischen Analyse
12/2011 8
InternetSICherheIt
Systemen lschen, wenn sie zu frh bemerken, dass
sie entdeckt wurden.
Digitale Beweismittelsicherungen
Ziel jeder digitalen Beweismittelsicherung und IT-foren-
sischen Untersuchung ist die Erstellung von gerichts-
verwertbaren, d.h. vor Gericht zulssigen digitalen Be-
weismitteln, um mgliche zivilrechtliche Ansprche
auch vor Gericht durchzusetzen oder um als Beweis-
mittel in einem Strafverfahren zu dienen.
Dazu ist die Erstellung von exakten - sprich bitweise
identischen - forensischen Kopien der originalen Daten-
trger nach den Grundstzen der ordnungsgemen
Beweiserhebung notwendig. Dabei hat sich allgemein
durchgesetzt, dass stets mindestens zwei exakte Ko-
pien der originalen Datentrger erstellt werden. Die
erste Kopie dient als Beweiskopie und wird blicherwei-
se direkt nach Erstellung und erfolgreicher Verifikation
manipulationssicher versiegelt und an einem sicheren
Ort wie einem Tresor oder Bankschliefach verwahrt.
Die weiteren Kopien dienen nach ihrer Verifikation als
Grundlage fr die anschlieenden IT-forensischen Ana-
lysen.
Die originalen Daten und auch die erstellten Kopi-
en drfen weder whrend der digitalen Beweismittelsi-
cherung noch zu einem spteren Zeitpunkt verndert
werden. Hierzu wird zum einen geeignete Hardware
eingesetzt, zum anderen kommen spezielle Prfsum-
men, sog. Hashes, zum Einsatz, mit deren Hilfe die
Unversehrtheit der Daten spter nachgewiesen wer-
den kann.
Vor der Erstellung der digitalen Beweismittelsi-
cherungen und der computerforensischen Ana-
lysen muss jedoch die Zulssigkeit geklrt wer-
den, denn bei schwerwiegenden oder fahrlssigen
Verfahrensversten ist ein Beweisverwertungsverbot
die zwingende Folge [1]. In jedem Fall sind jedoch
die Vorschriften des Bundesdatenschutzgesetzes so-
wie weiterer einschlgiger Gesetze und Vorschriften
sowie natrlich alle betriebsinternen Regelungen ein-
zuhalten.
Die verfgbaren Datenquellen mssen vor der Be-
weissicherung hinsichtlich des Grades ihrer Bestndig-
keit (Flchtigkeit) eingeordnet werden, um die richtige
Reihenfolge fr die Sicherung der Beweismittel festle-
gen zu knnen. Je flchtiger (volatiler) ein Beweismittel
ist, desto frher ist es zu sichern [2]. Flchtige Spuren
sind bereits nach kurzer Zeit bei normalem Betrieb des
Computersystems oder nach dessen Abschalten fr im-
mer verloren. Hierzu zhlen beispielsweise Daten in der
CPU (Prozessorregister, CPU-Cache), im DNS-Cache
oder im Hauptspeicher. Weniger flchtige Informatio-
nen sind auch noch nach dem Abschalten des Com-
putersystems auf den angeschlossenen Datentrgern
aufzufinden und auswertbar.
verlssliche Zuordnung der aufgefundenen Beweise zu
einem bestimmten Computerbenutzer unmglich ma-
chen knnen.
Bei der physischen Sicherung ist zu unterscheiden,
ob die Computer eingeschaltet oder ausgeschaltet sind:
Alle Computer, die ausgeschaltet sind, sollten an ei-
nen sicheren Ort verbracht werden, zu dem Verdchti-
ge und deren mgliche Helfer keinen Zutritt haben. Dies
gilt auch fr andere relevante Datentrger wie externe
Festplatten, DVDs, USB-Memory-Sticks, Speicherkar-
ten, aber auch MP3-Player, PDAs, Smart- und Mobilte-
lefone, etc., die am Arbeitsplatz bzw. Tatort aufzufinden
sind. Denn auch auf ihnen knnten sich digitale Beweise
befinden.
Fr eingeschaltete Computer und Mobilger-
te wurde vor einigen Jahren noch angeraten, die-
se durch Unterbrechen der Stromzufuhr hart
abzuschalten (also Steckerziehen bzw. Batterie ent-
fernen), um ein geordnetes Herunterfahren zu un-
terbinden, welches mgliche Beweise vernichten
knnte. Auch durch dieses harte Abschalten ge-
hen jedoch wichtige Informationen verloren, die je
nach Fall entscheidend sein knnen. Zudem knn-
ten Speichersysteme von Servern dadurch Schaden
nehmen, wenn sie z.B. als RAID-Verbnde laufen
und gepufferte Daten noch nicht auf die physischen
Datentrger geschrieben wurden.
Deshalb wird heute empfohlen, laufende Compu-
ter so lange eingeschaltet zu lassen, bis von einem
IT-Forensiker abgeklrt ist, wie weiter zu verfah-
ren ist. Dies ist ohnehin angezeigt, wenn die Diens-
te auf dem System geschftskritisch sind und eine
Abschaltung mglicherweise greren Schaden ver-
ursacht als z.B. ein bislang nur vermuteter Sicher-
heitsvorfall anrichten knnte. Bis zum Eintreffen
des Spezialisten sollte aber sichergestellt werden
(z.B. durch Wechsel der Trschlsser oder persn-
liche Bewachung), dass kein Dritter physisch Zu-
gang zu diesen Computern hat. Um zu verhindern,
dass ber Netzwerk Vernderungen an den Com-
putern vorgenommen werden, sollten Netzwerk-
verbindungen (LAN-Kabel, WLAN-Verbindungen,
ggf. auch UMTS- und ISDN- und Modem-Anbindun-
gen) unterbrochen werden. Das genaue Vorgehen
hngt jedoch vom Einzelfall ab. Ist das kompromit-
tierte System ein Server, der fr die Aufrechterhal-
tung des Geschftsbetriebes notwendig ist, wird ei-
ne Trennung vom Netzwerk nur in Ausnahmefllen
praktikabel sein. Ebenso kann es beispielsweise bei
Hackerangriffen sinnvoll sein, den betroffenen Ser-
ver vorlufig am Netz zu lassen, um den Angreifern
zunchst verdeckt bei Ihrer Arbeit zuzuschauen und
dadurch eventuell wichtige Erkenntnisse zu weite-
ren kompromittierten Systemen zu erhalten. Zudem
knnten die Angreifer wichtige Beweise auf anderen
Sicherung Digitaler Beweismittel
hakin9.org/de 9
Die Sicherung flchtiger Daten
Vor jeglicher Analyse ist der Hauptspeicherinhalt voll-
stndig zu sichern. Denn jede gezielte Abfrage flch-
tiger Informationen aus dem Hauptspeicher (z.B. wel-
che Prozesse sind aktiv? Welche Ports sind offen?)
ndert den Hauptspeicherinhalt, wodurch wichtige Tei-
le der flchtigen Informationen verloren gehen kn-
nen. Weil auch die Sicherung des gesamten Haupt-
speichers typischerweise den Hauptspeicherinhalt
ndert, darf man nur Werkzeuge einsetzen, welche die
geringstmglichen Vernderungen (minimal footprint)
hervorrufen, d.h. minimal-invasiv sind [3]. Am wenigs-
ten Vernderungen erzeugen Hauptspeichersicherun-
gen mit spezieller Hardware oder besonderen Techni-
ken (Firewire-Kabel oder Cold boot-Angriff), danach
solche Sicherungsprogramme mit dem geringsten
Hauptspeicherbedarf.
Bei der Sicherung ber die Firewire-Schnittstel-
le knnen Gerte mit manipulierter Firmware ein-
gesetzt werden [4] oder aber ein zweiter Computer,
der, als Firewire-Gert maskiert, an den Firewire-Port
angeschlossen wird [5]. Mittels Direktzugriff auf den
Hauptspeicher (via DMA) des zu sichernden Compu-
ters kann so der Hauptspeicher ausgelesen werden.
Alternativ knnen bei einem Cold boot-Angriff die
Speicherriegel des laufenden Computers mit Khl-
mittel (z.B. Kltespray) gekhlt werden, sodass ihre
Inhalte sich weniger schnell ndern. Danach werden
die Speicherriegel mit einem speziellen Lesegert
oder ber ein von einem externen Datentrger ge-
booteten Linux ausgelesen [6]. In der Praxis werden
jedoch Hauptspeichersicherungen mit mglichst klei-
nen Kommandozeilen-Programmen bevorzugt, da sie
praktischer sind.
Im Anschluss an die komplette Sicherung des
Hauptspeichers knnen dann durch gezielte Abfra-
gen weitere Informationen zum Computersystem
und dessen Zustand gewonnen werden, wie bei-
spielsweise Informationen zu den derzeit angemel-
deten Benutzern, ausgefhrten Prozessen und den
bestehenden Netzwerkverbindungen. Im Zusam-
menhang mit den Netzwerkverbindungen sind auch
die geffneten TCP- und UDP Ports, die Prozesse,
welche diese Ports geffnet haben sowie die interne
Routing-Tabelle von Bedeutung. Alternativ knnen
diese Informationen meist auch nachtrglich aus
dem Abbild des Hauptspeichers ausgelesen wer-
den. Das Tool der Wahl ist hierbei das bekannte Vo-
latility Framework [7], das in der aktuellen Version
2.0 Hauptspeicherinhalte bis Windows 7 (allerdings
nur 32bit) untersttzt.
Wichtig ist, dass fr die Gewinnung der oben auf-
gefhrten flchtigen Informationen unter allen Um-
stnden auf die bereits auf dem System verfgbaren
Administrationswerkzeuge verzichtet wird, da nicht ab-
geschtzt werden kann, inwieweit diese mglicherwei-
se absichtlich manipuliert wurden, um falsche Informa-
tionen zu liefern oder um weitere Schadfunktionen zu
aktivieren. Daher sind nach Mglichkeit bei der Siche-
rung der flchtigen Daten statisch kompilierte und aus
vertrauenswrdiger Quelle stammende Administrati-
onswerkzeuge zu verwenden, die von einer CD oder
einem schreibgeschtzten einem USB-Stick aufgeru-
fen werden.
Als Tools kommen hierbei meist spezielle forensi-
sche Live-Distributionen zum Einsatz, wie beispiels-
weise Helix [8], F.I.R.E [9], Inside [10] oder grml [11]
und Backtrack [12] mit der Forensic-Option. Oftmals
dienen dabei zur Sicherung des Hauptspeichers
und von Festplatten im laufenden Betrieb auf Win-
dows portierte Open Source Tools, z.B. das dd aus
der MoonSols Windows Memory Toolkit Community
Edition [13]. Beliebt ist auch der frei verfgbare FTK
Imager [14].
Sofern nicht geklrt ist, dass smtliche Passworte
eingebundener virtueller und verschlsselter Laufwerke
und Partitionen auch fr die sptere Analyse zur Verf-
gung stehen, ist der Status der Verschlsselung eben-
falls zu dokumentieren und mssen die die Daten aus
den verschlsselten Partitionen gesichert werden, be-
vor das System ausgeschaltet wird.
Die Sicherung weniger flchtiger Daten
Klassisches Beispiel fr eine digitale Beweissicherung
von nicht-flchtigen Daten ist die Erstellung von foren-
sischen Kopien der Festplatten eines Computers. Hier-
bei wird eine bitweise Kopie des originalen Datentr-
gers erstellt, wobei jedes Bit der originalen Festplatte in
gleicher Weise in die zu erstellende Kopie geschrieben
wird. Bei Lesefehlern vom Originaldatentrger kann
mit Werkzeugen wie dd_rescue versucht werden, noch
mglichst viele Daten rund um den beschdigten Be-
reich herum zu retten.
Neben den erwhnten Beispielen zu nicht-flchtigen
Daten gibt es noch zahlreiche weitere Datenquellen.
Dazu gehren zum Beispiel optische Medien wie CD und
DVD, Flash-Speicher wie Solid State Disks, USB-Me-
mory Sticks und Flash-Speicherkarten in diversen For-
maten sowie Organizer wie MDAs, PDAs, XDAs und
Palms. Auch MP3-Player, Smartphones, Blackberrys
und Telefonanlagen knnen wichtige digitale Beweise
enthalten.
Die zunehmend beliebteren Solid State-Disks (SSD)
stellen eine besondere Herausforderung dar, weil selbst
beim Einsatz von Hardware-Schreibschutz die Firmwa-
re bei der Nutzung und damit auch bei der Sicherung ei-
ne automatische Defragmentierung durchfhren kann,
welche Beweise vernichtet [15].
Als Werkzeuge kommen hierbei ebenfalls ber-
wiegend spezielle forensische Live-CDs zum Ein-
12/2011 10
InternetSICherheIt
satz, wie die bereits zuvor erwhnten Distributio-
nen. Zudem liefern oftmals auch die Hersteller von
computerforensischer Analyse-Software ihre eige-
nen Imaging Tools aus, so wie das von Guidance
Software bereitgestellte LinEn, das zur Erstellung
von Encase-Imagedateien verwendet werden kann,
oder der zuvor erwhnte FTK Imager, der ebenfalls
Encase-kompatible Images aber auch dd-kompatib-
le Raw-Images erstellen kann. Als schnellste und
effizienteste Kombination erweist sich in der Praxis
meistens eine Linux-Live CD mit dem Kommando-
zeilen-Tool dd bzw. dessen forensischen Varianten
wie dd_rescue und dcfldd. Letztere erlaubt auch die
gleichzeitige Erstellung mehrerer Kopien und kann
zudem auch gleich noch die notwendigen Hashwer-
te mit berechnen [16].
Um nderungen an den originalen Datentrgern ef-
fektiv auszuschlieen, wird spezielle Hardware ein-
gesetzt, die jegliche Schreibzugriffe auf die Daten-
trger verhindert. Diese sogenannten Write-Blocker
gibt es fr nahezu alle mglichen Anschlusstechni-
ken von Datentrgern und Bussystemen (IDE/PATA,
SATA, USB, Firewire, SCSI, SAS, etc.). Darber hi-
naus sind viele Linux-basierte forensische Live-Dis-
tributionen so ausgelegt, dass ein Schreiben auf die
angeschlossenen Datentrger per Software Write-
Block verhindert wird. Durch den Einsatz zertifizierter
Hardware-Write-Blocker knnen Vernderungen an
den originalen Datentrgern effektiv ausgeschlossen
werden. Eine Liste zertifizierter Write-Blocker fhrt
das US-amerikanische NIST (National Institute of
Standards and Technology) [17]. Bekannte Herstel-
ler von Hardware Write-Blockern sind Tableau [18]
und WiebeTech [19]. Bei Einsatz von Software-Write-
Blockern in Live-Distributionen ist ebenfalls darauf zu
achten, ob ausreichend getestet wurde, dass diese
wirklich keine Vernderungen an den Original-Daten-
trgern hervorrufen.
Die verifizierung digitaler Beweismittel
Um sicherzustellen, dass die originalen Daten und
die erstellten Kopien bitweise identisch sind, werden
Prfsummen des originalen Datentrgers und der er-
stellten Kopien berechnet. Hierzu werden kryptogra-
fische Hash-Funktionen eingesetzt, welche fr einen
eingelesenen Datenstrom eine eindeutige Prfsumme
berechnen. Mit geeigneten Hash-Funktionen lassen
sich so selbst kleinste Unterschiede zwischen zwei
Datenstrmen eindeutig nachweisen (etwa ein gekipp-
tes Bit).
In der Praxis hat sich hier die Nutzung des SHA1
Hash-Algorithmus [20] durchgesetzt. Der frher ver-
wendete MD5 Hash-Algorithmus [21] findet kaum
noch Anwendung, da er mittlerweile als zu anfllig fr
Kollisionen gilt [22][23]. Um ganz sicher zu gehen, nut-
zen manche Computerforensik-Experten unterschied-
liche Hash-Algorithmen gleichzeitig, zumal bekannte
Sammlungen von Hashwerten z.T. noch auf MD5 ba-
sieren.
Durch die bei der Erstellung der Beweissicherun-
gen erzeugten und dokumentierten Prfsummen kn-
nen spter zufllige oder gezielte Manipulation von
digitalen Beweisen in jedem Fall aufgedeckt werden.
Auch wenn die kryptografische Strke der in der Pra-
xis verwendeten Hash-Algorithmen durch die allseits
bekannten Kollisionsattacken geschwcht wurde (sie-
he Kasten), bedeutet dies noch lange nicht, dass die-
se Verfahren zur Aufdeckung von gezielten Manipula-
tionen nicht mehr einsetzbar sind. Um beispielsweise
eine digitale Beweismittelsicherung nachtrglich zu
manipulieren und geflschte Beweise einzubringen
oder vorhandene Beweise zu vernichten, msste da-
zu eine neue Beweismittelkopie erzeugt werden, die
wiederum exakt den bei der ursprnglichen Sicherung
ermittelten Hash erzeugt. Hierzu ist eine sogenannte
Pre-Image-Attacke notwendig (s. Kasten), bei der es
bislang noch keine nennenswerten Fortschritte gibt.
Angrife auf hash-funktionen am Beispiel von ShA1
Es gibt zwei Arten von Angrifen auf kryptografsche Hashfunktionen. Die erste Angrifsart ist der sogenannte Pre-Image-Angrif,
bei dem zu einer vorgegebenen Nachricht eine zweite Nachricht gefunden werden muss, die exakt den gleichen Hashwert lie-
fert. Die zweite Angrifsart bezieht sich auf das Aufnden von zuflligen Kollisionen, d.h. von zwei zuflligen Nachrichten, die
den gleichen Hashwert ergeben. Eine solche Attacke wird auch als Kollisionsangrif bezeichnet.
Whrend ein Pre-Image-Angrif auf den SHA1-Algorithmus mit einem 160 Bit-Hashwert theoretisch 2
160
Hashwertberechnun-
gen bentigt, bentigt das Aufnden zweier zuflliger Nachrichten, die eine Kollision der Hashwerte verursachen, aufgrund des
Geburtstagsparadoxons nur 2
80
Hashwertberechnungen.
Die von den chinesischen Forschern um Xiaoyun Wang berichteten Fortschritte bei der Errechnung von Kollisionen beim
SHA1-Algorithmus beziehen sich ausschlielich auf den Kollisionsangrif. So konnten die Forscher den Aufwand zum Aufnden
zweier zuflliger Kollisionen beispielsweise fr den SHA1-Algorithmus von 2
80
auf 2
69
senken [25].
Doch auch die Senkung auf 2
69
Hashwertberechnungen bedeutet in der Praxis, dass die Erzeugung von zuflligen Kollisio-
nen selbst auf einem Computersystem, das theoretisch 1 Milliarde Hashwerte je Sekunde ausrechnen knnte, noch immer an-
nhernd 20.000 Jahre dauern wrde [26].
Um hingegen einen Pre-Image-Angrif durchzufhren, sind somit aktuell 2
91
mal mehr Berechnungen notwendig, als bei
einem Kollisionsangrif. Somit wrde ein solcher Angrif auch mit aller weltweit verfgbaren Rechenkraft noch immer viele Mil-
lionen Jahre dauern.
Sicherung Digitaler Beweismittel
hakin9.org/de 11
Somit knnen die gngigen Hash-Funktionen bislang
noch als sicherer Schutz gegen Manipulationen ange-
sehen werden.
Durch die gleichzeitige Verwendung mehrerer
verschiedenartiger Hash-Algorithmen kann in der
Praxis eine unentdeckte Manipulation an den Be-
weismitteln nahezu mit Sicherheit ausgeschlossen
werden.
Zudem sollte das Vertrauen in die Unversehrtheit der
Daten zustzlich anhand einer lckenlosen Beweismit-
telkette (chain of custody) nachgewiesen werden kn-
nen [24]. Dazu mssen die Beweismittel sofort nach
der bergabe bzw. Erstellung sicher versiegelt und auf-
bewahrt werden. Dazu sollten manipulationssichere
Beweismittelbeutel verwendet werden und die Beweis-
mittel an einem zutrittsgeschtzten und fr die Lage-
rung digitaler Speichermedien geeigneten Ort aufbe-
wahrt werden
Hierbei ist grundstzlich zu berlegen, ob die Be-
weismittel berhaupt im eigenen Haus aufbewahrt
werden sollten oder ob diese nicht lieber an einen un-
parteiischen Dritten wie den forensischen Dienstleis-
ter oder eine Anwaltskanzlei ausgehndigt werden
sollten. So kann dem vor Gericht leicht geuerten
Verdacht, dass sowohl Interesse als auch Mglich-
keit zur Manipulation der Beweismittel vorhanden
waren, von vornherein effektiv ein Riegel vorgescho-
ben werden.
literatur
[1] Pressemitteilung Nr. 47/2005 vom 8. Juni 2005 zu Bundesverfassungsgericht 2 BvR 1027/02 vom 12. April 2005, http://www.
bundesverfassungsgericht.de/pressemitteilungen/bvg05-047.html
[2] Order of Volatility gem RFC 3227: Guidelines for Evidence Collection and Archiving http://www.ietf.org/rfc/rfc3227.txt
[3] Windows Forensic Analysis Incident Response and Cybercrime Investigation Secrets; Harlan Carvey, 2007, Syngress Verlag
[4] 0wned by an iPod; Maximillian Dornseif; Prsentation fr die PacSec 2004 http://pi1.informatik.uni-mannheim.de/flepool/
presentations/0wned-by-an-ipod-hacking-by-frewire.pdf
[5] pythonraw1394; Adam Boileau http://www.storm.net.nz/projects/16
[6] Lest We Remember: Cold Boot Attacks on Encryption Keys; Princeton University http://citp.princeton.edu/research/memory/
[7] The Volatility Framework https://www.volatilesystems.com/default/volatility
[8] Helix Live-CD http://www.e-fense.com/helix/
[9] F.I.R.E Live-CD http://fre.dmzs.com/
[10] Inside Live-CD http://www.inside-security.de/
[11] grml Live-DVD http://grml.org
[12] Backtrack Live-DVD http://www.backtrack-linux.org/
[13] Monsools Windows Memory Toolkit http://www.moonsols.com/products/
[14] Access Data FTK Imager / FTK Imager Lite http://accessdata.com/
[15] Graeme B. Bell & Richard Boddington: Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic
Recovery?, in: JDFSL The Journal of Diigtal Forensics, Security and Law, 5(3), 2010 http://www.jdfsl.org/subscriptions/JDFSL-
-V5N3-Bell.pdf
[16] dcfdd http://dcfdd.sourceforge.net/
[17] NIST Hardware Write Block reports http://www.nist.gov/itl/ssd/cs/cftt/cftt-hardware-write-block.cfm
[18] Tableau, Guidance Software Inc. http://www.tableau.com/
[19] Wiebetech, CRU Acquisitions Group, LLC http://www.wiebetech.com/
[20] RFC 3174 US Secure Hash Algorithm 1 (SHA1); http://www.ietf.org/rfc/rfc3174.txt
[21] RFC 1321 The MD5 Message-Digest Algorithm; R. Rivest, April 1992 http://www.ietf.org/rfc/rfc1321.txt
[22] Collisions for Hash Functions - MD4, MD5, HAVAL-128 and RIPEMD; Xiaoyun Wang, 2004 http://eprint.iacr.org/2004/199.pdf
[23] Schneier on Security: Cryptanalysis of SHA-1; Bruce Schneier, 2005 http://www.schneier.com/blog/archives/2005/02/crypta-
nalysis_o.html
[24] Moderne Elektroniktechnologie und Informationsbeschafung im Zivilproze; Dr. Helmut Rmann, 1995
[25] Hash mich - Konsequenzen der erfolgreichen Angrife auf SHA-1; Reinhard Wobst, Jrgen Schmidt, 2005 http://www.heise.
de/security/artikel/56555
[26] Hashfunktion SHA-1 ofenbar gebrochen - Digitale Signaturen in Gefahr; Gesellschaft fr Informatik e.V., Fachgruppe fr
Angewandte Kryptologie, 2005
mAnuel runDt, mArtIn WunDrAm,
AlexAnDer SIgel
Manuel Rundt, Dipl.-Kfm.
ist Geschftsfhrer der IT Compliance Systeme
GmbH. Er beschftigt sich bereits seit mehr als 9
Jahren mit dem Thema Wirtschaftskriminalitt
insbesondere IT Forensik und Incident Response.
manuel.rundt@compliance-systeme.de
Martin Wundram
ist Geschftsfhrer der TronicGuard GmbH. Er ist
Sachverstndiger fr IT-Sicherheit und IT-Foren-
sik und beschftigt sich auch mit Anti-Forensik.
wundram@tronicguard.com
Alexander Sigel
Bert Ermittlungsbehrden und Unternehmen zu
Fragen der IT-Forensik und Informationssicher-
heit. Er ist Sachverstndiger fr IT-Forensik und
Geschftsfhrer der DigiTrace GmbH.
sigel@digitrace.de
Netzwerksicherheit - Spannungsverhltnis von Sicherheit, Komplexitt und Produktivitt
hakin9.org/de 13
D
abei sind Unternehmen oft voll davon abhn-
gig, dass die eigene IT reibungslos funktioniert.
Heutzutage sind digitale Firmendaten wie Kons-
truktionszeichnungen oder Kundendatenbanken oft ihr
wertvollster Besitz, auf den es immer mehr und profes-
sionell organisierte Kriminelle abgesehen haben. Sie
entwickeln laufend neue Methoden, den Betrieb zu st-
ren oder an vertrauliche Informationen zu gelangen.
Um sich vor dieser Angriffswelle zu schtzen, sind
eine breit umfassende Verteidigung und nicht nur ein-
zelne Speziallsungen fr bestimmte Problembereiche
unabdingbar. Ein Beispiel: Wenn Sie an Ihrem Haus die
Vordertr mit einer Stahltr und Fingerabdruckscanner
schtzen, aber Ihre Fenster Tag und Nacht offen ste-
hen, wie gut ist dann Ihr generelles Schutzlevel? Viele
der Ratgeber, Checklisten, FAQs, Best Practices etc.,
die man finden kann, wenn man Rat sucht, sind ent-
weder komplex, so wie zum Beispiel das BSI Grund-
schutzhandbuch, oder konzentrieren sich nur auf be-
stimmte Teilgebiete der IT-Sicherheit, beispielsweise
Firewalling. Wer sich nur danach richtet, dem fehlt hin-
terher die ausgedehnte Basis einer effektiven Netz-
werkverteidigung. Sicherheit ist immer nur so stark wie
ihr schwchstes Glied.
Zu dieser technischen Seite kommt aber noch ein
weiterer Aspekt, der bercksichtigt werden muss: die
Produktivitt der eigenen Mitarbeiter. Manche Sicher-
heitsmanahmen, zu denen Experten raten, klingen
theoretisch gut, sind aber zu komplex in der Umsetzung
und behindern die Mitarbeiter in ihrer Arbeit. Ein Bei-
spiel: Wrde ein Mitarbeiter jedes Mal die Tr abschlie-
en, wenn er sein Bro verlsst, wre das zwar sehr
sicher, dafr aber auch sehr zeitraubend.
Um nun sowohl der technischen als auch der orga-
nisatorischen Seite eine komplexen Sicherheitsan-
spruchs im Unternehmen gerecht zu werden, muss
man sich die Netzwerkabsicherung als eine Mauer be-
stehend aus mehreren Bausteinen vorstellen. Um sich
breit aufzustellen, ist es wichtig, keinen dieser Bereiche
zu vernachlssigen und ein Unified Threat Manage-
ment (UTM) aufzuziehen. Mit Hilfe der so genannten
Security Wall lassen sich die eigene Infrastruktur mit
dem aktuellen Stand der IT-Sicherheit abgleichen und
Schwachstellen oder Defizite identifizieren. Auf diese
Art und Weise kann die IT-Sicherheit im Unternehmen
zielgerichtet optimiert werden.
Funktionstiefe, Skalierbarkeit und
Lizenzmodell als Unterscheidungsmerkmal
UTM-Lsungen haben in den vergangenen Jahren ei-
nen regelrechten Boom erlebt. Das Konzept, mehrere
Sicherheitsfunktionen auf einer technologisch einheit-
lichen Plattform mit grafischer Benutzeroberflche zu-
sammenzufassen, wird immer populrer. Angesichts
eines steigenden Wettbewerbsdruckes verfeinern die
etablierten Anbieter regelmig ihr Produktangebot,
whrend gleichzeitig neue Startup-Unternehmen fast
tglich mit ihren eigenen UTM-Lsungskonzepten auf
Netzwerksicherheit - Spannungsverhltnis von
Sicherheit, Komplexitt und Produktivitt
Es hat sich einiges getan, seit die ersten Personal
Computer mit dem Internet verbunden wurden. Heute
sind Firmennetzwerke vor allem durch eines geprgt:
Komplexitt. Neue Technologien wie Mobile Computing
oder gehostete Services tragen besonders zu diesem Trend
bei.
IN dIeSem ArtIKeL erFAhreN SIe
wie ein Unternehmensnetzwerk per UTM-Lsung efektiv auf
den Kampf gegen Sicherheitsbedrohungen eingestellt und
derMobile-BoomingeordneteBahnengelenktwerdenkann.
WAS SIe vorher WISSeN SoLLteN
dass Ihr Netzwerk stndigen Bedrohungen ausgesetzt ist, die
sich nur durch einen konstanten Sicherheitsprozess und nicht
durcheinmaligeAktionenindenGrifbekommenlassen.
Gert hansen
12/2011 14
NetzWerKSIcherheIt
dungen ber IPSec oder SSL nicht nur an zentraler Stel-
le entschlsseln, sondern zugleich per Intrusion-Protec-
tion-System filtern. Einzellsungen dagegen mssen in
der richtigen Reihenfolge angeordnet werden erfordern
eine aufwndige Konfiguration mit komplexen Routing-
und Traffic-Regeln erfordern.
Auf den ersten Blick hneln sich moderne UTM-L-
sungen bei der Ausstattung, Funktionalitt und Ge-
samtkonzeption. Nahezu alle Hersteller kombinieren
verschiedene Einzellsungen von Drittanbietern, prop-
rietre und Open-Source-Technologien in einem Gert
und bewerben dieses als umfangreichste oder vollstn-
digste Best-Of-Breed-Lsung. Die bloe Aneinander-
reihung verschiedener Einzelfunktionen, wie sie hufig
praktiziert wird, ist nur von geringem Wert, wenn nicht
gleichzeitig alle Funktionen in einem einheitlichen Ma-
nagement-System integriert werden, ohne dass die Ge-
samtlsung zu komplex oder bedienungsfeindlich wird.
Genau an diesem Punkt zeigen viele UTM-Lsungen
dem Markt kommen. Diese Produktvielfalt fordert ihren
Tribut. Das Gerangel auf dem Markt resultiert in einer
unbersichtlichen Anzahl an Herstellerangeboten mit
unterschiedlichster Funktionalitt, Performance und
Ausstattung.
Die Konsolidierung vieler Netzwerksicherheitspro-
dukte im Rahmen einer einheitlichen Appliance hat be-
kanntermaen viele Vorteile: Sie spart aufwndige Ad-
ministrationsarbeiten, bei denen sich Administratoren
mit mehreren Management-Oberflchen zurechtfinden
mssen, das umstndliche Einspielen von einzelnen
Firmware- und Versions-Updates sowie versteckte Kos-
ten fr Support, Wartung und Updates. Unified-Threat-
Management-Lsungen punkten durch eine einheitliche
grafische Administrationsoberflche und vereinfachen
die Fehlersuche und Problemlsung im Netzwerk. Zu-
dem sind die Applikationen einer UTM-Appliance auf-
einander abgestimmt und ergnzen sich gegenseitig:
Eine UTM-Appliance kann zum Beispiel VPN-Verbin-
Abbildung 1. Nur die Kombination verschiedener Einzellsungen sorgt fr ausreichende Sicherheit.
Netzwerksicherheit - Spannungsverhltnis von Sicherheit, Komplexitt und Produktivitt
hakin9.org/de 15
deutliche Schwchen. Ein Hauptaugenmerk bei der
Auswahl eines UTM-Produkts sollte daher auf dem Ma-
nagement liegen, auf einer klar strukturierten Bedie-
nungsoberflche und einer verstndlichen Benutzerfh-
rung. Dabei geht es nicht in erster Linie darum, ob einem
das Mendesign der Benutzerschnittstelle zusagt, son-
dern ob alle Funktionsbereiche der Lsung nahtlos inte-
griert sind. Viele UTM-Plattformen leiden darunter, dass
die verschiedenen Module nicht vernnftig implemen-
tiert und nicht richtig miteinander verknpft sind. Zum
Beispiel kommt es bei der Implementierung eines einfa-
chen Webfilters hufig vor, dass viele verschiedene Be-
reiche der Plattform unabhngig voneinander konfigu-
riert werden mssen: Der Content Filter muss aktiviert
und richtig konfiguriert sein, aber zugleich auch andere
UTM-Module so eingerichtet werden, dass sie mit dem
Content-Filter zusammenarbeiten, wie u.a. die manu-
elle Definition von Masquerading-Regeln im Paketfilter.
Im Gegensatz dazu versetzt ein ausgereiftes UTM-Pro-
dukt den Administrator in die komfortable Lage, dass
sich das Komplettsystem automatisch konfiguriert, so-
bald er den Content Filter an zentraler Stelle aktiviert.
Man sollte sich auerdem nicht nur versichern, dass
die gewnschten Funktionsbereiche im Datenblatt auf-
gelistet sind, sondern die integrierten Funktionen ms-
sen genauestens unter die Lupe genommen werden. Es
ergeben sich groe Unterschiede zwischen den UTM-
Lsungen, wenn man die Qualitt der integrierten Kom-
ponenten einmal genauer untersucht. Viel zu oft trifft
man auf Lsungen, die bestimmte Produktfeatures nur
rudimentr implementiert haben, was sich dann zwar in
den Marketingbroschren gut liest, aber in der Praxis
als unbrauchbar erweist.
Weitere Schlsselfunktionen einer UTM-Lsung be-
treffen Upgrade-Mglichkeit und Skalierbarkeit, um auf
zuknftige Anforderungen vorbereitet zu sein. Der Si-
cherheitsmarkt verndert sich angesichts immer neuer
Herausforderungen stndig, und die Hersteller reagie-
ren mit neuen Werkzeugen und Technologien. Hufig
wird der Wert skalierbarer Lsungen, die auf zuknftige
Entwicklungen vorbereitet sind und dadurch fr Inves-
titionsschutz sorgen, unterschtzt. Hierzu gehrt einer-
seits die laufende automatische Aktualisierung der Pro-
dukt-Firmware durch den Hersteller, andererseits auch
Mglichkeit, die Leistungsstrke eines Systems zu er-
hhen und weitere Funktionen zu aktivieren, wenn das
im Rahmen des Unternehmenswachstums erforder-
lich wird. Hilfreich ist beispielsweise, wenn bei Bedarf
mit weiteren Appliances ein Cluster-Verbund gebildet
und die die Gesamtlast automatisch und ohne externe
Loadbalancer auf alle Cluster-Einheiten verteilt werden
kann. Die effektivsten Lsungen erlauben eine vollkom-
men dynamische Erweiterung eines Clusters im laufen-
den Betrieb und sorgen auerdem fr Ausfallsicherheit
und Hochverfgbarkeit im Rahmen eines Active/Active
Clusters. Flexible Erweiterungsmglichkeiten zahlen
sich sptestens dann aus, wenn man bei steigenden
Leistungsanforderungen nicht auf eine grere Hard-
ware-Plattform wechseln muss, sondern sukzessive
auch kleinere Upgrade-Schritte gehen kann.
Abbildung 2. Netzwerksicherheit bedeutet auch Kontrolle externer Kommunikations- und Arbeitsprogramme.
12/2011 16
NetzWerKSIcherheIt
Das dritte Unterscheidungsmerkmal, das Lizenzmo-
dell einer UTM-Lsung, ist oft schwer durchschaubar,
weil komplex und sehr unterschiedlich aufgebaut. Ob-
wohl einige Hersteller damit werben, dass ihre Hard-
ware-Appliances unbegrenzte Benutzerzahlen zulas-
sen, ist das jedoch selten tatschlich der Fall. Frher
war es hufig so, dass sich die Produktlizenzierung von
Sicherheits-Appliances wie bei reinen Softwarelsun-
gen auch nach der Anzahl gleichzeitig aktiver Benut-
zer bzw. IP-Adressen richtete. Mehrere Jahre lang war
das die bliche Praxis, aber der Markt verlangte nach
Vernderungen, hauptschlich weil UTM-Appliances
immer mehr unterschiedliche Funktionen integrieren
und in verschiedenen Unternehmen fr unterschiedli-
che Zwecke eingesetzt werden unterschiedliche Kun-
den stoen je nach Einsatzgebiet frher oder spter an
die Kapazittsgrenzen ihrer Lsung. Einige Unterneh-
men verwenden eine recht undurchsichtige Methodik,
wie die pro Benutzer zugeteilten Ressourcen begrenzt
oder lizenziert werden und definieren die User-Lizenz
anhand der IP-Adresse, MAC-Adresse oder anderer
Faktoren. Ein typisches Beispiel ist, dass mit einer un-
begrenzten Benutzerzahl geworben wird, aber die An-
zahl gleichzeitiger Verbindungen eingeschrnkt bleibt.
hnlich gelagert sind Flle, bei denen eine bestimm-
te Funktionalitt nur fr die greren Modell-Versionen
einer UTM-Produktpalette verfgbar ist oder aber spe-
zielle Lizenz-Codes erfordern, die zustzlich erworben
werden mssen. Zur Vermeidung von versteckten Zu-
satzkosten ist es also ratsam, beim Kauf einer bestimm-
ten Version einer UTM-Lsung darauf zu achten, dass
die eigentlich gewnschte Funktionalitt nicht eine an-
dere Version erfordert. Ein einfaches Produkt-Lizenz-
modell erhht die Wahrscheinlichkeit, dass der Kunde
tatschlich die fr seine Anforderungen passende L-
sung erwirbt.
Die obigen Ausfhrungen knnen sicherlich nur
erste Ansatzpunkte fr die Auswahl der richtigen Uni-
fied-Threat-Management-Lsung sein. Dafr ist der
Markt fr Sicherheitsprodukte mit einer Vielzahl an
Anbietern in diesem Segment einfach zu unbersicht-
lich, ganz zu schweigen von der schier unendlichen
Liste an Produkten und Features, so dass es in der
Regel geschulten IT-Sicherheitsexperten vorbehal-
ten bleibt, die Funktionsvielfalt einer Lsung mit den
gefragten Systemanforderungen im Unternehmens-
netzwerk in bereinstimmung zu bringen. Hufig ist
man als Kunde vom Angebot an UTM-Lsungen ein-
fach berfordert, muss die technischen Fachbegriffe,
Werbeversprechen und Leistungskataloge erst ein-
ordnen, um sich bei der Problemlsung auf die Kern-
fragen zu konzentrieren. Dabei hilft es, das Anforde-
rungsprofil der gesuchten UTM-Lsung festzulegen,
bevor man die fr diesen Fall passenden Appliance
mit entsprechend attraktivem Preis-Leistungsverhlt-
nis auswhlt.
Das vorgelegte Marketing- und Zahlenmaterial ist
bei dieser Suche zumeist eher ablenkend. Stellen
Sie sicher, dass Sie das Lizenzierungsmodell kom-
plett verstanden haben und dass Sie flexible Upgrade-
Mglichkeiten haben, um eine grtmgliche Investiti-
onssicherheit fr die UTM-Lsung zu erreichen. Achten
Sie genau auf den Leistungskatalog des Produktes, um
sicherzustellen, dass Sie den richtigen Grad an Funkti-
onsvielfalt und -tiefe haben, um die Problemstellungen
auch lsen zu knnen und nicht nur ber eine Vielzahl
an Features zu verfgen. Und natrlich sollten Sie sich
ausreichend Zeit nehmen, um die Benutzeroberflche
der in Frage kommenden Lsung kennenzulernen.
Neben dem alltglichen Arbeiten mit UTM-Lsungen,
muss aber auf jeden Fall auch das technische Innen-
leben beachtet werden. In diesem Zusammenhang ist
Abbildung 3. Aktivierung vollstndiger HTTPS-Filterung mit nur einem Klick.
Netzwerksicherheit - Spannungsverhltnis von Sicherheit, Komplexitt und Produktivitt
hakin9.org/de 17
der Umgang mit HTTPS, also verschlsselten Daten,
absolut wichtig.
httPS der blinde Fleck der
Netzwerksicherheit
Ohne Codierung sind Daten, die im Internet ber-
tragen werden, fr jeden als Klartext lesbar. HTTPS
dient der Verschlsselung und Authentifizierung der
Kommunikation zwischen Webserver und Browser
und ist das einzige Verschlsselungsverfahren, das
ohne zustzliche Softwareinstallation auf allen Com-
putern untersttzt wird: Es verschlsselt Inhalte un-
abhngig vom Netzwerk. Vor allem aufgrund der zu-
nehmenden Verbreitung von Funkverbindungen, die
zum Beispiel an WLAN-Hotspots hufig unverschls-
selt angeboten werden, steigt die Bedeutung von HT-
TPS.
Wer Daten verschlsselt, will nicht, dass sie von je-
mandem gelesen werden, fr den sie nicht bestimmt
sind. Allerdings kann das Motiv dahinter vollkommen
verschieden sein. Das Problem ist: Herkmmliche Filt-
erlsungen sind nicht in der Lage, den verschlsselten
Inhalt von HTTPS-Datentransfers zu untersuchen und
evtl. enthaltene Malware zu erkennen. Viele mit HTTPS
verschlsselte Webseiten wie etwa Kundenportale, Da-
tensicherungsdienste, Webmailer und Banken-Portale
sind jedoch fr den alltglichen Betrieb in vielen Unter-
nehmen notwendig. Dadurch ist es unmglich, HTTPS
grundstzlich zu blockieren.
Normaler HTTP-Datenverkehr ber Port 80 wird
unverschlsselt bertragen und kann an mehreren
Stellen auf der Strecke zwischen Web-Browser und
Zielserver abgefangen werden. HTTPS hingegen
ist ein abgesichertes Protokoll, welches eine ver-
schlsselte Verbindung zwischen Client und Zielser-
ver, blicherweise einem Webserver, herstellt. Aus
diesem Grund werden sensible Daten oft mit Hil-
fe von HTTPS abgesichert. Dieses Protokoll erlaubt
Webservern einen sicheren Informationsaustausch
und ermglicht dem Benutzer die Wahrung von Pri-
vatsphre und Sicherheitsbedrfnissen. Webseiten
die persnliche Daten enthalten, Online-Banking Por-
tale, Seiten zum Zahlungstransfer und viele weiteren
Transaktionen werden durch Verwendung mit HTTPS
abgesichert und beugen so einem mglichen Daten-
missbrauch vor.
Die HTTPS Kommunikation erfolgt dabei immer in
Verbindung mit digitalen Zertifikaten zur Gewhrleis-
tung der Integritt jeder einzelnen Internetsitzung. Am
Anfang einer jeden HTTPS Transaktion werden diese
Zertifikate ausgetauscht, auf Ihre Gltigkeit hin ber-
prft und nach erfolgreicher Prfung die verschlsselte
Verbindung initiiert.
Die HTTPS-Filterfunktionen beispielsweise der Web
Security Application fr das Astaro Security Gateway
ermglichen Administratoren, die hhere Sicherheit
von HTTPS-Verbindungen bei der bertragung sen-
sibler Daten im Web zu nutzen und gleichzeitig mgli-
Abbildung 4. CA Verwaltung und Optionen im WebAdmin.
12/2011 18
NetzWerKSIcherheIt
chen Missbrauch und Angriffe ber HTTPS zu verhin-
dern. Durch ausgeklgelte Mechanismen kann Web
Security
HTTPS-Verbindungenentschlsseln.
denInhaltuntersuchenundwiederverschlsseln.
verhindern, dass HTTPS von Tunnel-Programmen
missbraucht wird.
Phishing-Versuche durch Zertifkatsprfungen ver-
eiteln.
effektives Filtern von httPS
Ist eine verschlsselte HTTPS Verbindung zwischen
Client und Server erst einmal aufgebaut, ist es schwie-
rig die darber bertragenen Daten zu filtern. Daher
spalten wir die Verbindung auf. Das Security Gateway
entschlsselt zunchst die Daten vom Zielserver, indem
es sich dem Zielserver selbst als Client prsentiert und
verschlsselt die Kommunikation daraufhin in Richtung
des eigentlichen Clients nochmals neu. Damit verhlt
sich das Security Gateway als man-in-the-middle und
ermglicht eine vollstndige Filterung der Daten.
Um die Vorgehensweise zu verdeutlichen, stellen Sie
sich ein Telefonat zwischen zwei Personen vor. Der An-
ruf wird hierbei nicht direkt durchgestellt sondern zu-
nchst einem bermittler bergeben, der sich als Emp-
fnger ausgibt. Der bermittler wiederum stellt sich
dem Empfnger als der eigentliche Absender vor, ber-
gibt ihm die Nachricht und nimmt eventuelle Antworten
entgegen. Die Nachrichteninhalte kann der bermittler
dabei jeweils filtern und wenn ntig eine gereinigte
Version weiterleiten.
In HTTPS-Verbindungen sind darber hinaus zustz-
liche, technische Schritte fr den Austausch der ver-
wendeten Zertifikate und deren Validierung notwendig,
damit der Client dem Security Gateway und dessen CA
vertraut.
Mit dem vollstndigen und einfach zu konfigurieren-
den HTTPS-Filter knnen Unternehmen einen weit-
aus hheren Sicherheitsstandard erreichen als mit her-
kmmlichen Lsungen. Viele Web Security Produkte
prfen oftmals nur die Zertifikate einer HTTPS-Initiali-
sierung und erlauben hchstens eine Filterung anhand
der URL, die unverschlsselt zur Verfgung steht. Eine
Prfung der tatschlich bertragenen Daten selbst ist
jedoch meist nicht mglich.
Beispielsweise knnen solche einfachen HTTPS-Fil-
ter anhand der URL erkennen, dass es sich bei https://
www.paypal.com um eine Bank/Finanz-Seite handelt,
jedoch nicht verhindern dass der Endbenutzer einen Vi-
rus herunterldt sobald der Zugriff einmal erlaubt wird.
Entsprechende Gateways knnen sowohl den Zugriff
auf die URL kontrollieren als auch verhindern, dass in-
fizierte Dateien, Spyware, Trojaner oder andere Schad-
software bertragen werden.
Abwehr von tunnel-Programmen und
sicherer Umgang mit zertifikaten
HTTPS-Datenverkehr (Port 443) wird, wie bereits be-
schrieben, normalerweise nicht grundstzlich durch Si-
cherheitsgateways blockiert, zumal das Protokoll ur-
sprnglich zur reinen Absicherung von Webseiten dient.
Diese Tatsache haben sich viele Softwareentwickler zu-
nutze gemacht, um mgliche Sicherheitsmanahmen
zu umgehen und ihre Programme ber HTTPS-Tunnel
ungestrt an Firewall-Regeln vorbei zu leiten. Dieser
Freifahrtschein ins Internet birgt jedoch groe Sicher-
heitsrisiken.
Ein richtig eingestellter HTTPS-Filter kann diese Pro-
gramme zuverlssig stoppen indem er alle Programme,
die keinen ordnungsgemen Zertifikatsprozess ein-
halten, automatisch blockiert. Hiermit knnen beispiels-
weise Programme wie UltraSurf unterbunden werden,
die anonymes, verschlsseltes Websurfen auf beliebi-
ge Seiten ermglichen und herkmmliche Webfilter um-
gehen. ber diese Funktion kann auch verhindert wer-
den, dass eventuell eingeschleuste Schadprogramme
wie Spyware oder Adware Sicherheitslcken aufrei-
en, indem sie unbemerkt Daten ber diesen Weg ins
Internet bertragen. Des Weiteren werden Benutzer da-
ran gehindert, Zertifikatswarnungen des lokalen Webb-
rowser einfach zu ignorieren oder zu umgehen.
Angriffe wie beispielsweise Phishing-Attacken set-
zen oftmals zum Zeitpunkt des Aufbaus einer HTTPS-
Verbindung an, bei der Zertifikatsinformationen ausge-
tauscht und die verschlsselte Verbindung eingeleitet
werden. Dies passiert in der Regel in Sekundenbruch-
teilen und entstehende Warnmeldungen werden vom
Benutzer fatalerweise meist akzeptiert. Security Gate-
ways knnen einen sicheren Verbindungsaufbau ga-
rantieren und den Benutzer vor einem sorglosen Um-
gehen der Warnungen schtzen.
Der Aufbau einer HTTPS-Verbindung geschieht un-
mittelbar nachdem der Benutzer eine entsprechende
Seite aufruft (beispielsweise https://www.paypal.com)
indem die Webseite mit einem Zertifikat fr den Ver-
schlsselungsprozess antwortet. Da diese Aufbaupha-
se unverschlsselt erfolgt besteht hier die Gefahr der
Manipulation des Zertifikats. Daher wird das Zertifikat
blicherweise von einer unabhngigen Zertifizierungs-
stelle (Certificate Authority, CA) mit einem Stempel ver-
sehen, um dessen Richtigkeit zu beglaubigen und mg-
liche Flschungen zu erkennen. Heutige Webbrowser
enthalten eine Liste offizieller CAs denen sie vertrauen
und welche fr die Prfung von Zertifikaten verwendet
werden. Wenn whrend der bermittlung ein Zertifikat
verndert oder ausgetauscht wird, bekommt der Benut-
zer eine Fehlermeldung des Webbrowsers. blicher-
weise jedoch akzeptieren Benutzer diese Meldungen
ohne diese zu lesen oder richtig zu interpretieren, fah-
ren mit dem Aufbau der Verbindung fort und umgehen
Netzwerksicherheit - Spannungsverhltnis von Sicherheit, Komplexitt und Produktivitt
hakin9.org/de 19
letztlich die Sicherheit des HTTPS-Systems. Verlssli-
che Systeme blockieren HTTPS-Verbindungen mit feh-
lerhaften Zertifikaten automatisch, bevor der Benutzer
damit konfrontiert wird.
Fr trojaner fhren viele Wege nach rom
Genau dieser vorrausschauende Sicherheitsaspekt
spielt auch im boomenden, mobilen Netzwerk eine
entscheidende Rolle. Neue Technologien wie Cloud
oder Mobile Computing bringen immer auch neue IT-
Sicherheitsrisiken mit sich. Inzwischen kursieren zum
Beispiel spezielle, auf Smartphones ausgelegte Wr-
mer, und auch das sogenannte Jailbreaking, mit dem
sich der Nutzer Root-Zugriff verschafft, macht Mobil-
telefone verwundbar. Web 2.0 Anwendungen, die zu-
nehmend auch im geschftlichen Alltag genutzt wer-
den, sind anfllig gegen neue Angriffsmethoden wie
XSS oder SQL-Injection. Flash und Java sind zu un-
glaublichen.
Hinzu kommt, dass auf der Schattenseite des Inter-
nets eine bis vor kurzem nahezu unbemerkte Evolu-
tion stattgefunden hat: Nach den Hackern der ersten
Stunde, die sich von einer Art Abenteuersinn leiten
lieen, und den gewinnorientierten Botnet-Betreibern
der zweiten Generation sehen wir nun die ersten Bl-
ten politisch motivierten Hackens. Mehr als eine Re-
gierung wird verdchtigt, spezielle Behrden fr Cy-
ber-Spionage und -Sabotage eingerichtet zu haben.
Und manche Hacker verstehen sich selbst als Cyber-
Sldner, die ihre Fhigkeiten meistbietend verkaufen,
oder folgen mit ihren Taten ihrer eigenen politischen
berzeugung.
Unternehmen stehen also ganz neuen Bedrohungen
gegenber. Allerdings verfgt nur eine Minderheit ber
ein ganzheitliches Sicherheitskonzept, das auch noch
Lcken aufweist und von Mitarbeitern kaum umge-
setzt wird. Ohne breit aufgestellte Schutzmanahmen
wird es jedoch schnell brenzlig Wie gut ist Ihr allge-
meines Sicherheitslevel, wenn Sie den Haupteingang
durch Stahltren und Zahlenschlsser schtzen, aber
Ihre Fenster Tag und Nacht geffnet sind? Die Sicher-
heit eines Unternehmens ist immer nur so stark wie ihr
schwchstes Glied.
Wenn man sich die Sicherheit eines Unternehmens
als eine Mauer vorstellt, dann besteht diese aus sechs
Bausteinen, die miteinander verzahnt sind. Damit der
Schutzwall stabil ist, darf kein Bereich vernachlssigt
werden.
Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter zum
Thema IT Sicherheit und geben Sie einfache Richtli-
nien zur Internetnutzung vor. Ein gutes Beispiel ist die
Nutzung von USB-Sticks: Meist per Richtlinie verboten,
aber aufgrund mangelnder Kontrollmglichkeiten tole-
riert. Dringend ntig ist in so einem Fall die technische
Untersttzung einer solchen Verbots-Policy!
Endpoints: Schtzen Sie alle Computer (Notebooks,
Tablets und Smartphones) gegen Verlust und Infektion.
Kommt ein Endgert abhanden, ist es aufgrund des ge-
ringen Materialwerts schnell ersetzt, aber die darauf ge-
speicherten Daten sind von unschtzbarem Wert.
Datenverkehr: Analysieren Sie den Traffic in Ihrem
Netzwerk und filtern und verschlsseln Sie, wo notwen-
dig. Wissen Sie, welche Anwendungen im Unterneh-
men laufen, und welche davon Verbindung ins Internet
hat? Wei das ihr Administrator? Ein wichtiger Punkt
ist hier die Sicherstellung der Mitarbeiterproduktivitt,
ein anderer, den Abfluss von Daten durch absichtliches
oder unabsichtliches Fehlverhalten der Mitarbeiter zu
verhindern. Wer zum Beispiel auf E-Mail-Verschlsse-
lung verzichtet, kann genauso gut eine Postkarte an
eine Litfasule kleben. Und bei internetbasierten An-
wendungen wie Salesforce oder Facebook, das inzwi-
schen ja schon zum Handwerkszeug einer guten Mar-
ketingabteilung gehrt, ist unbedingt HTTPS zu nutzen.
letzteres
Server: Sichern Sie den Zugriff auf Daten und Diens-
te auf Ihren Servern. Wichtig ist hier zuerst die physi-
sche Sicherheit: Wer darf den Serverraum betreten und
Backup-Bnder mitnehmen? Leider sieht man immer
noch Serverrume, die eher einem Kabuff gleichen und
deren Lftung aus offener Tr und Ventilator besteht,
oder die im Keller untergebracht und ber das Marke-
tinglager zu betreten sind. Zweiter wichtiger Punkt ist
die Regelung des elektronischen Zugriffs mit Hilfe von
Berechtigungen, Authentifizierung und Protokollierung.
Und drittens sind eine Backup- und eine Hochverfg-
barkeitslsung erforderlich.
Prozesse: Definieren Sie klare IT-Prozesse unter
Einbeziehung aller Beteiligten und sorgen Sie fr deren
Einhaltung. Hier geht es vor allem darum, durch Kom-
munikation ein Bewusstsein fr die Wichtigkeit des The-
mas zu schaffen. Und darum, die Prozesse technisch
zu untersttzen. Kontrolle heit hier aber nicht Miss-
trauen und berwachung, sondern proaktive Vorsorge:
Es gilt, Prozessbeteiligte vor Fehlern zu schtzen und
zu entlasten.
Management: Verwalten und berwachen Sie alle
IT Systeme von zentraler Stelle aus. Dabei ist ein Mo-
nitoring-System unabdingbar, das automatisch Alarm
schlgt, sobald es Unregelmigkeiten feststellt. Aber
das Wissen ber Sicherheitsprobleme ist nur der erste
Schritt ber zuverlssiges Patch Management ms-
sen die Lcken auch geflickt werden.
Anstelle sich auf einen Baustein zu konzentrieren und
diesen bis zur Perfektion auszubauen, ist es wichtig, in
allen gleichmig aktiv zu sein. Auerdem sollte man
sich stets bewusst sein, dass Sicherheit kein Zustand,
sondern ein fortlaufender Prozess ist, und dementspre-
chend die Systeme pflegen, zum Beispiel durch Ein-
spielen von aktuellen Updates und Patches.
12/2011 20
NetzWerKSIcherheIt
Netzwerksicherheit ohne Kabel - 6 tipps fr
ein sicheres W-LAN
1) eine WPA2-verschlsselung verwenden
ltere Verschlsselungstechniken wie WEP knnen se-
kundenschnell mit einfachen Mitteln wie einem Brow-
ser-Addon oder einer Anwendung fr Mobiltelefone
berwunden werden. WPA2 ist der aktuellste Sicher-
heitsalgorithmus, der bei praktisch allen WLAN-Sys-
temen verfgbar ist. Als Nachfolger von WPA imple-
mentiert WPA2 zudem die wichtigsten Funktionen des
neuen Sicherheitsstandards IEEE 802.11i. Aus diesem
Grund sollte WPA2 bei der Konfiguration ausgewhlt
werden.
2) ein Kennwort mit mehr als zehn zeichen whlen
Selbst moderne Verschlsselungsmethoden wie
WPA2 knnen durch Angriffe berwunden werden,
bei denen in einem automatisierten Verfahren Mil-
liarden mglicher Kennwrter durchprobiert wer-
den. Je mehr Stellen ein gewhltes Passwort hat,
umso mehr Zeichenkombinationen mssen auspro-
biert werden. Um die Sicherheit zu erhhen, bieten
Ausdrcke wie unserdrahtlosesnetzwerkistsicher
einen erheblich besseren Schutz als ein krzeres,
komplexeres Kennwort wie w3l4nkw!, da die Re-
chenleistung, die zum Knacken eines derart langen
Schlssels erforderlich wre, in der Praxis nicht zu
realisieren ist.
3) Keine Standard-SSIds nutzen
Viele WLAN-Router verwenden in der Voreinstellung
einen Standardnetzwerknamen bzw. eine Standard-
SSID wie netgear oder linksys. Die meisten Be-
nutzer machen sich nicht die Mhe, diesen voreinge-
stellten Namen zu ndern. Diese SSID wird bei der
WPA2-Verschlsselung als Teil des Kennworts ge-
nutzt. Wird sie nicht gendert, knnen Hacker pas-
sende Kennwortlisten (sog. Regenbogentabellen) vor-
bereiten, die das Knacken des Passworts drastisch
beschleunigen, da so Millionen von Kennwrtern pro
Sekunde durchprobiert werden knnen. Die Verwen-
dung einer benutzerdefinierten SSID steigert dagegen
den Arbeits- und Zeitaufwand fr potenzielle WLAN-
Eindringlinge erheblich.
4) Persnliche Informationen in der SSId vermeiden
Geben Sie Hackern keine Hinweise darauf, dass Ihr
Netzwerk ein lohnendes Angriffsziel bietet. Eine SSID
wie Firma Mller macht es neugierigen Nachbarn oder
Personen, die es auf Ihr Unternehmen abgesehen ha-
ben, leicht, Ihr Netzwerk zu finden. Geben Sie keine
Informationen preis, aus denen Hacker erkennen kn-
nen, ob es sich um Ihr WLAN oder das des Ladens an
der Ecke handelt. Verwenden Sie eine nichtssagende
SSID, die keine Rckschlsse auf Ihre Identitt oder Ih-
ren Standort zulsst.
5) Kennwrter aus ziffern, Sonderzeichen sowie Gro-
und Kleinbuchstaben nutzen
Je komplexer das Kennwort, desto mehr Zeichen ms-
sen bei einem Knackversuch bercksichtigt werden. So
gibt es zum Beispiel bei einem vierstelligen Kennwort,
das ausschlielich aus den Ziffern von 0 bis 9 besteht,
104 (10.000) Kombinationsmglichkeiten. Werden zu-
stzlich Kleinbuchstaben verwendet, steigt diese Zahl
auf 364 (1,6 Millionen) Mglichkeiten, da zu den zehn
Ziffern die 26 Buchstaben des Alphabets hinzukom-
men. Muss ein Knackprogramm aus 10411 Zeichen
whlen, ergeben sich 15.394.540.563.150.776.827.904
Mglichkeiten. Dies steigert den Zeitaufwand fr das
Knacken eines Kennworts von Sekunden auf Millionen
von Jahren.
6) Funkreichweite beschrnken
Moderne Access Points verfgen ber mehrere Anten-
nen und senden ihr Signal weit ber die vier Wnde
ihres Standorts hinaus. Bei einigen Gerten kann die
Funkleistung mit Hilfe von Menoptionen eingestellt
werden. Damit knnen Unternehmen den Bereich au-
erhalb ihres Standorts einschrnken, in dem Unbefug-
te das Funksignal empfangen und dann versuchen kn-
nen, sich Zugang zu dem Unternehmensnetzwerk zu
verschaffen.
Gert hANSeN
ist Vice President Product Management und
Mitbegrnder von Astaro im Jahr 2000. Zu-
vor hatte er bereits beim Internet-Service-
-Provider Plannet Systems sowie seiner eige-
nen Softwareentwicklungsfrma Timenet ein-
gehende technische und unternehmerische
Erfahrungen gesammelt. Dem war ein Stu-
dium der Informatik an der Technischen Universitt Karlsruhe
vorausgegangen. Bei Astaro trgt er in Karlsruhe die Veran-
twortung fr Produktstrategie sowie Softwaredesign. www.
astaro.com
Was ist Utm?
UTM bedeutet Unifed Threat Management und steht bei
Netzwerk-SicherheitssystemendenSpezializedSecurityAp-
pliances (SSA) gegenber. Whrend SSA ganz spezielle Si-
cherheitsaufgabenbernehmen,vereintUTMverschiedene
dieser Arbeiten innerhalb einer Plattform. Damit entsteht
einezentraleSteuerungfrdasgesamteNetzwerkinPunk-
te Sicherheit. Zu den verschiedenen Kombinationselemen-
ten gehren unter anderem Firewall, VPN, Spamflter, Re-
portingoderWLAN-Schutz.
12/2011 22
ANGRIFF
Einfhrung
Webanwendungen haben sich in den vergangenen
Jahren als eigenstndige Anwendungsform groflchig
etabliert. Sie sind einerseits fr Nutzer attraktiv, andrer-
seits aber auch einfach zu entwickeln, da es eine Viel-
zahl von Programmiersprachen, Frameworks und an-
passbaren Open-Source-Standardlsungen gibt. Das
fhrt allerdings hufig dazu, dass selbstgestrickte L-
sungen gravierende Sicherheitsmngel aufweisen, da
den Entwicklern nur wenige Ressourcen zur Verfgung
stehen oder sie schlicht nicht ber die notwendige Er-
fahrung verfgen. Aber auch groe, etablierte Pake-
te, z. B. Content-Management-Systeme (CMS), Blog-
oder Forensoftware, stehen gerade wegen ihrer groen
Verbreitung stndig unter Beobachtung, so dass auch
hier kontinuierlich Lcken gefunden und gestopft wer-
den mssen. Oft stehen Entwickler vor allem im pro-
fessionellen Umfeld unter Zeitdruck und haben meist
nicht die Mglichkeit einer sauberen und sicheren Im-
plementierung oder gar die Gelegenheit einer metho-
dischen Sicherheitsberprfung. Ein weiteres Problem
knnen zum Beispiel Plugins sein: immer wieder zeigt
sich, dass eine Webanwendung durch den Einsatz ei-
ner unsicher programmierten Erweiterung auf einen
Schlag kompromittiert werden kann. Typische Mngel
sind z. B. Cross-Site-Scripting (XSS), Local File Inclu-
sion (LFI), Remote File Inclusion (RFI) bis hin zu SQL-
Injection.
Der vorliegende Artikel behandelt in diesem Zusam-
menhang die drei hufigsten Sorten von Schwach-
stellen: Cross-Site-Scripting, SQL-Injection und Blind
SQL-Injection. Fr jede dieser Schwachstellen wird an
jeweils einem Fallbeispiel gezeigt, wie die Schwachstel-
le funktioniert, wie sie erkannt werden kann und wie sie
Web Security Identifizieren und Beheben
von Sicherheitslcken in Webanwendungen
Webanwendungen haben sich in den vergangenen Jahren
als eigenstndige Anwendungsform groflchig etabliert,
daher stehen gerade diese Anwendungen, stndig unter
Beobachtung, so dass hier kontinuierlich Sicherheitslcken
gefunden und gestopft werden mssen
IN dIESEm ARtIkEl ERFAhREN SIE
Wie vorhandene Schwachstellen in Webanwendungen er-
kannt, identifziert und behoben werden knnen
WAS SIE voRhER WISSEN SolltEN
Linux-,Apache-,MySQL,PHP-Kenntnisse
KenntnissezumThemaWeb-Application-Security
Stefan Schurtz, dr. Philipp Walter
Abbildung 1. Kommentarfeld mit eingefgtem JavaScript Abbildung 2. Netsparker Community Edition: Scan-Settings
Web Security Identifizieren und Beheben von Sicherheitslcken in Webanwendungen
hakin9.org/de 23
Cross-Site-Scripting: Funktionsweise
Dieses erste Beispiel handelt von einer News-Seite, die
genau solch ein Kommentarfeld beinhaltet, um Besu-
chern der Seite die Mglichkeit zu bieten, eigene Kom-
mentare zu News-Eintrgen abzugeben. Hierzu ms-
sen Name, E-Mail-Adresse und eben der gewnschte
Kommentar eingegeben werden. Augenfllig wird die
XSS-Angreifbarkeit, wenn zwar wie vorgesehen ein Na-
me und eine E-Mail-Adresse eintragen werden, in das
Kommentarfeld aber statt einem Text das Codefragment
"><script>alert('XSS')</script> (Abbildung 1) einge-
fgt und das Formular abgeschickt wird. Im Browser er-
scheint daraufhin ein kleines Fenster mit der Meldung
XSS, was nichts anderes bedeutet, als dass es an die-
ser Stelle mglich ist, fremden Code in das Formular ein-
zufgen und im Browserkontext der Seite auszufhren.
Da damit offensichtlich eine Anflligkeit besteht, wird als
nchster Schritt mithilfe des Web-Security-Scanners Net-
sparker Community Edition ein kompletter berblick
ber mgliche weitere Sicherheitsprobleme des zugrunde-
liegenden CMS erstellt. Netsparker Community Edition
ist die kostenlose Version des gleichnamigen Web-Applica-
tion-Security-Scanners Netsparker aus dem Hause ma-
vitunasecurity. Nach dem Start kann man eine URL ein-
geben, verschiedene Security Tests auswhlen und die
berprfung starten (Abbildung 2). Gegenber der Profes-
sional Version hat diese frei erhltliche Version zwar eini-
ge Einschrnkungen, u. a. bei den zur Auswahl stehenden
Angriffsmglichkeiten, dennoch bietet auch diese Version
die Mglichkeit, nach Anflligkeiten fr Cross-Site-Scripting
und SQL-Injections (Error und Boolean Based) zu suchen.
behoben wird. Dabei kommen hnlich wie bei einem
externen Angriff verschiedene Tools, z. B. Web-Se-
curity-Scanner, zum Einsatz. Darber hinaus wird aber
auch aus Entwicklersicht gezeigt, wie die problemati-
schen Stellen bzw. die genauen Umstnde fr das Pro-
blem durch ein Code-Review und durch Log-Auswer-
tungen auf dem Server identifiziert werden knnen. Im
letzten Schritt wird dann anhand der gewonnenen In-
formationen eine beispielhafte Lsung fr die jeweilige
Sicherheitslcke implementiert.
Fallbeispiel Cross-Site-Scripting
Cross-Site-Scripting (abgekrzt XSS) tritt in Web-
anwendungen immer dann auf, wenn es versumt
wurde, den Inhalt von Benutzereingaben, die letzt-
lich in einem vertrauenswrdigen Kontext wieder an
den Browser gesendet werden, zu prfen, oder die-
se Prfung ungengend bzw. fehlerhaft ist. Dadurch
wird es einem potenziellen Angreifer unter gewissen
Umstnden ermglicht, an sensible Daten (z. B. Coo-
kies) eines Benutzers zu gelangen. Hufig werden
Webanwendungen ber vorhandene Suchfeldern,
Kontaktformulare oder hnliche Eingabemglichkei-
ten fr XSS anfllig.
Abbildung 3. Netsparker Community Edition: Identifzierte XSS-
Anflligkeit
Abbildung 4. Suchergebnis von fgrep nach commentmessage
Abbildung 5. Funktion sendcomment() in der Datei main.php
Abbildung 6. Persistent XSS in der MySQL-Datenbank
12/2011 24
ANGRIFF
Nach Abschluss des Security-Scans stehen in dem
rechten unteren Fenster Issues die Ergebnisse zur Ver-
fgung. Dort wird auf der einen Seite die XSS-Anfllig-
keit im Feld commentmessage besttigt, auf der ande-
ren Seite werden weitere Anflligkeiten fr XSS in den
Feldern commentemail und commentname angezeigt
(Abbildung 3). Bis zu diesem Punkt kann der Angriff ge-
nauso von einem externen Angreifer durchgefhrt wer-
den, der bei Open-Source-Anwendungen berdies auch
Einblick in den Quellcode nehmen kann. Bei Closed-
Source-Anwendungen hat der Entwickler indes den Vor-
teil, dass er als Einziger die Sicherheitslcke durch Log-
Auswertungen und Code-Reviews nachvollziehen kann,
da er auf Quellcode und Server Zugriff hat. Letztlich ist
er damit aber auch der Einzige, der durch Anpassungen
und/oder Korrekturen die Sicherheitslcke im Quellcode
beseitigen kann. Diese beiden Schritte werden in den fol-
genden beiden Abschnitten demonstriert.
Cross-Site-Scripting: Code Review
Ausgangspunkt des Code Reviews ist das gefundene
XSS in commentmessage, das im Folgenden im vor-
liegenden Quellcode lokalisiert werden soll. Mit einem
Wechsel auf der Konsole in das entsprechende Instal-
lationsverzeichnis und dem dort abgesetzten Komman-
do fgrep -r "commentmessage" *, werden zunchst alle
vorhanden Dateien nach dem String commentmessage
durchsucht, der sich schlielich in den zwei Dateien ad-
dons/news/main.php und addons/news/main1.php fin-
det (Abbildung 4). Der erste Fundort befindet sich in der
Datei main.php in den Zeilen 38 & 39 in der Funktion
sendcomment() (Abbildung 5). Wie hier zu erkennen ist,
wird die POST-Variable commentmessage mit einem
str_replace() und der Funktion sanitize() bearbei-
tet und der Variable $commentmessage zugewiesen.
Danach erfolgt in dem INSERT eine weitere Behand-
lung mit der Funktion encode(), sanitize() (Anmerkung:
sanitize() & encode() sind Funktionen in der Datei com-
mon.php) und der PHP-Funktion stripslashes(). Wenn-
gleich der vom Benutzer eingegebene String damit au-
genscheinlich mehrfach redundant gefiltert wird, bleibt
die Variable offenbar dennoch fr XSS anfllig.
In hnlicher Weise knnen auch die XSS-Anflligkeiten
der beiden anderen Felder commentemail und com-
Abbildung 7. Fehlerhaftes preg_replace() in der Datei common.php
Abbildung 8. Korrigiertes preg_replace() in der Datei common.php
Abbildung 9. Validierung der E-Mail-Adresse durch flter_INPUT()
Abbildung 10. Mit sanitize() geflterte Benutzereingabe (id 11) in der Datenbank
Web Security Identifizieren und Beheben von Sicherheitslcken in Webanwendungen
hakin9.org/de 25
mentname im Quellcode nachvollzogen werden. Um den
Rahmen des Beitrags nicht zu sprengen, wird an dieser
Stelle aber auf eine ausfhrliche Darstellung verzichtet.
Da die Benutzereingaben und somit auch der eingefg-
te XSS-Code in der Datenbank gespeichert werden (Ab-
bildung 6), handelt es sich hierbei sogar um sogenannte
persistent XSS. Das bedeutet, das eingeschleuste Script
wird bei jedem Besuch der News-Seite erneut im Browser
des Betrachters ausgefhrt, ohne dass dafr vom Angrei-
fer weitere Schritte unternommen werden mssen.
Cross-Site-Scripting: Problemlsung
Ein Blick in die Funktion sanitize() zeigt die Ursache fr
die XSS-Anflligkeit: dort werden verschiedene Filter an-
wendet, um Eingaben von ungewolltem Inhalt zu befrei-
en. Unter anderem werden beispielsweise die Zeichen-
ketten meta, embed, iframe, script, title, applet
und rfameset entfernt, was durch ein preg_replace()
in Zeile 490 erreicht werden soll (Abbildung 7). Bei ei-
ner genaueren Betrachtung dieses preg_replace() fllt
aber auf, dass dieses zwar den Inhalt der Variable $text
als Argument bergeben bekommt, der Rckgabewert
dann aber keiner neuen Variable zugewiesen wird, wo-
mit dieser Teil der Filterung ins Leere luft. Indem die
von preg_replace() vernderte Zeichenkette wieder der
Variablen $text zugewiesen wird, wird dieser Umstand
korrigiert und die Probleme beim Filtern mit der Funktion
sanitize() sind damit behoben (Abbildung 8).
Eine weitere Anpassung behebt die XSS-Anflligkeit der
POST-Variablen commentemail', die in der Datei main.
php (Zeile 30) zu finden ist. Die dort vorhandene If-Bedin-
gung fhrt bereits Prfungen fr andere POST-Variablen
durch, weshalb sie schlicht um die Anweisung zur zustz-
lichen Validierung der Variable $_POST['commentemail']
erweitert wird. Dazu wird die PHP-Funktion filter_
INPUT() genutzt und mit dieser hinzugefgten Anweisung
erreicht, dass durch die Eingabe einer nicht gltigen E-
Mail Adresse keine weitere Verarbeitung erfolgt bzw. der
Benutzer nur mit der Eingabe einer gltigen E-Mail Adres-
se fortfahren kann (Abbildung 9).
Ein erneuter Angriffsversuch mit dem oben aufgefhr-
ten JavaScript auf das Kommentarfeld und ein erneu-
ter Blick in die Datenbank offenbaren dann auch einen
deutlichen Unterschied. Erstens wird das eingeschleus-
te Script nun nicht mehr einfach ausgefhrt und zwei-
tens werden nun bei den zuknftig in der Datenbank
gespeicherten Eingabedaten die script-Tags heraus-
gefiltert (Abbildung 10). Da die Funktion ebenfalls auf
die Felder commentemail und commentname ange-
wandt wird, sind die XSS-Anflligkeiten auch in diesen
beiden Feldern behoben. Um den Erfolg der bisherigen
Manahmen einzuschtzen, wird eine zweite berpr-
fung mit Netsparker durchgefhrt, die allerdings fr
zwei der drei Felder weiterhin XSS-Anflligkeiten fest-
stellt, nmlich fr commentname und commentmes-
sage. Das bedeutet, die bisherigen Anpassungen ha-
ben erst einen Teil des Problems gelst, denn es ist nach
wie vor z. B. mglich, durch die Eingabe von ><input
type="hidden" name="submit" value="sendcomment"
ein Defacement der Webseite zu erreichen. Dieses Ver-
halten rhrt daher, dass HTML-Tags offenbar auch wei-
terhin nicht korrekt herausgefiltert werden (Abbildung
11), wenngleich auch JavaScript nicht mehr ohne wei-
teres ausgefhrt werden kann.
Abbildung 11. Defacement der Webseite durch ungengend
geflterte Benutzereingaben
Abbildung 12. Netsparker Community Edition: Identifzierte SQL-
Injection Anflligkeit
Abbildung 13. sqlmap besttigt Anflligkeit per SQL-Injection im Parameter forum
Abbildung 14. Ausgefhrte SELECT-Anweisung nach gewhnlichem Seitenaufruf im MySQL-Log
12/2011 26
ANGRIFF
Um diese verbleibenden Probleme endgltig zu lsen,
mssen die Funktion commentform() in der Datei main1.
php (Zeile 13 2& 143) gendert werden. Dort wer-
den die beiden Variablen $_POST['commentname']
& $_POST['commentmessage'] zwar mit der Funk-
tion sanitize() gefiltert, nicht jedoch mit der Funktion
encode(), die u. a. die fr HTML-Defacements notwen-
digen spitzen Klammern (<) durch HTML-Entities (lt;)
ersetzt. Um diese zustzliche Filterung bzw. Prfung er-
weitert sind auch die verbliebenen Probleme behoben.
Fallbeispiel SQl-Injection
hnlich wie bei Cross-Site-Scripting werden Angriffe mit
SQL-Injection durch nicht ausreichend abgesicherte Be-
nutzereingaben ermglicht. So kann ein Angreifer z. B.
durch die Eingabe eines Apostrophs einer vom Entwick-
ler vorgesehenen SQL-Query seine eigene Query hinzu-
fgen. Gelangt dieses Query-Paket in den SQL-Interpre-
ter, kann der Angreifer so die Datenbank zu manipulieren
und sensible Daten auslesen. Im Gegensatz zu XSS,
das im Browser des Benutzers ausgefhrt wird, zielt die-
ser Angriff per SQL-Injection direkt auf den Server bzw.
die Anwendung und nur indirekt auf den Benutzer.
SQl-Injection: Funktionsweise
Im Mittelpunkt des zweiten Beispiels steht eine Fo-
rensoftware, die auf ihre Anflligkeit fr SQL-Injection
berprft werden soll. Zu Beginn wird zunchst wieder
ein Security-Scan mit Netsparker durchgefhrt. Dabei
wird das Tool so eingestellt, dass nur nach SQL-Injec-
tions gesucht wird. Nach dem Scan werden unter Issu-
es mehrere Probleme aufgefhrt, in diesem Fall insbe-
sondere potenzielle Anflligkeiten fr SQL-Injection an
unterschiedlichen URLs (Abbildung 12).
Aus den so identifizierten Schwachstellen wird im
Folgenden der Parameter forum auf seine Anfllig-
keit fr SQL-Injection untersucht. Dazu wird im ersten
Abbildung 15. Ausgabe der Webseite nach eingefgtem
UNION+ALL+SELECT+1,2,3,4,5,6,7+
Abbildung 16. Variable $_GET[forum] in der Datei rss.php
Abbildung 17. Korrigierte SELECT-Anweisung in der Datei rss.php
Abbildung 18. Alternative Problemlsung der SQL-Injection durch intval() bzw. sprintf()
Web Security Identifizieren und Beheben von Sicherheitslcken in Webanwendungen
hakin9.org/de 27
Schritt die beim Security-Scan als verwundbar identi-
fizierte URL aufgerufen und dabei dem Parameter fo-
rum als Wert ein einzelner Apostroph (http://<target>/
rss.php?forum=') zugewiesen. Im Webbrowser zeigen
sich nach Abschluss der Transaktion zwar keine direk-
ten Aufflligkeiten, aber ein Blick in den HTML-Quelltext
offenbart dort die Fehlermeldung You have an error in
your SQL syntax; . Damit ist die Anflligkeit des Pa-
rameters forum fr SQL-Injection verifiziert, d. h. ber
Zuweisungen an diesen Parameter kann die Datenbank
per SQL-Injection mglicherweise manipuliert werden.
Um die Manipulationsmglichkeiten auszuloten, wird
in einem weiteren Schritt statt einem einfachen Apos-
troph der SQL-Befehl ' UNION+ALL+SELECT+1,2+'
bergeben. In der Antwort zeigt die Fehlermeldung
The used SELECT statements have a different num-
ber of columns daraufhin an, dass die von der ur-
sprnglich eingebauten SQL-Abfrage erzeugte Tabelle
wahrscheinlich mehr als zwei Spalten hat. Ein Angrei-
fer kann hier einfach weitere UNION-Queries mit wach-
sender Spaltenanzahl ausprobieren, um so die korrekte
Anzahl der zurckgegebenen Spalten herauszufinden.
Diese beiden dargestellten Schritte stellen nur den
Anfang eines SQL-Injection-Angriffs dar, der sich in der
Regel noch aus zahlreichen weiteren SQL-Statements
zusammensetzt. Um einen solchen Angriff zu automa-
tisieren, kann ein externer Angreifer z. B. auf das Tool
sqlmap zurckgreifen, um noch mehr Informationen
ber die Datenbank zu erhalten, Daten daraus zu ex-
trahieren oder sogar zu verndern. Dieses Werkzeug
ist u. a. in der Lage, einen Parameter auf die korrekte
Anzahl der Spalten zu prfen und dann durch den Ein-
satz unterschiedlicher SQL-Injection-Angriffstechniken
auszunutzen. Darber hinaus bietet es die Mglichkeit,
automatisiert Benutzernamen und Passwrter (oder
Hash-Wert) aus der verwundbaren Datenbank zu ext-
rahieren. Im vorliegenden Beispiel wurde sqlmap von
der Konsole mit dem Aufruf sqlmap.py --dbms=mysql
--users -p forum -u 'http://<target>/rss.php?forum=1'
gestartet. Damit prft sqlmap den offensichtlich ver-
wundbaren Parameter forum und versucht, die Ver-
wundbarkeit auszunutzen und die Benutzerkonten aus
der Datenbank auszulesen. Nach kurzer Laufzeit ge-
lingt dies auch tatschlich (Abbildung 13).
Abbildung 19. Arachni: Anflligkeit fr eine Blind SQL-Injection im Parameter key
Abbildung 20. Arachni: Anflligkeit fr eine Blind SQL-Injection im Parameter id
Abbildung 21. Vergleich der Webseiten-Ausgabe nach True/
False-Abfrage mit logischem ODER
12/2011 28
ANGRIFF
SQl-Injection: Code Review
Verfgt man ber Zugang zu Server, Datenbank und
Quelltext, kann man die Ursachen fr die Verwundbar-
keit im Quellcode nachvollziehen. Im vorliegenden Fall
ist die MySQL-Datenbank dazu so eingerichtet, dass ei-
ne von der Anwendung ausgefhrte Query im mysql.
log ausgegeben wird. Wird die o.g. URL wie vorgese-
hen per http://<target>/rss.php?forum=1 aufgerufen,
wird das daraufhin ausgefhrte SELECT-Statement auf
die Tabelle kaibb_topics ins Log geschrieben (Abbil-
dung 14). Ein Blick in die Datenbank zeigt, dass diese
Tabelle mit id, title, author_id, forum_id, date, sticky, lo-
cked sieben Spalten hat.
Das UNION-Statement in der Form fr sieben Spal-
ten ('UNION+ALL+SELECT+1,2,3,4,5,6,7+') fhrt da-
zu, dass keine Fehlermeldung mehr erscheint, sich da-
fr aber die Ausgabe der Webseite verndert: anstelle
der Meldung Welcome to your forum wird nun die Zahl
2 ausgegeben (Abbildung 15) dabei handelt es sich
genau um die 2, die im inneren SELECT als Parameter
angegeben wurde. Setzt man an dieser Stelle statt der
Zahl ein version() ein ('UNION+ALL+SELECT+1,versi
on(),3,4,5,6,7+'), so wird statt der Zahl die Version der
eingesetzten MySQL-Datenbank des darunterliegen-
den Systems zurckgegeben.
Die Ursache des gefundenen Problems lsst sich
auf die Datei rss.php eingrenzen, die in der URL auf-
gerufen wurde. Der String forum kommt hier in Zeile
40 vor (Abbildung 16). In einem if-Block wird hier die
GET-Variable $_GET['forum'] in einer Klasse secu-
re verarbeitet und der Variable $id zugewiesen (Zeile
42). Die Klasse ist wiederum in der Datei inc/function.
php in Zeile 247 definiert, in der die bergebene Varia-
ble $content in der Funktion clean() mit mysql_real_
escape_string() und htmlspecialchars() bearbeitet und
zurckgegeben wird. Auch die die GET-Variable forum
wird so gefiltert, was die Frage aufwirft, warum sie den-
noch fr SQL-Injection anfllig ist. Die Antwort wird an
der entsprechenden Stelle in der Datei rss.php offen-
sichtlich: zwar wird forum selbst korrekt behandelt und
der Variable $id zugewiesen, danach jedoch nicht ge-
nutzt. Die SELECT-Anweisung in der Zeile darunter be-
inhaltet nicht $id, sondern die ursprngliche GET-Vari-
able $_GET['forum'] (Abbildung 16).
SQl-Injection: Problemlsung
Im vorliegenden Fall ist die Problemlsung offen-
sichtlich: die SELECT-Anweisung muss dahinge-
hend angepasst werden, dass eben statt der Variable
$_GET['forum'], die Variable $id genutzt wird (Abbil-
dung 17). Eine andere Mglichkeit, die Sicherheitsl-
cke an dieser Stelle zu beheben, wre die Nutzung von
sprintf() oder intval(), da der Parameter forum of-
fenbar nur Integer-Werte erwartet (Abbildung 18).
Fallbeispiel Blind SQl-Injection
Bei einer sogenannten Blind SQL-Injection wird im Ge-
gensatz zu einer normalen SQL-Injection vom Ser-
ver keine (Fehler-)Meldung ber Erfolg oder Misserfolg
des eingeschleusten SQL-Statements zurckgegeben.
Stattdessen mssen unterschiedliche Verhaltenswei-
sen, zum Beispiel vernderte Antwortzeiten und/oder
Abbildung 22. sqlmap idenitifziert Schwachstellen in den Parametern id und key
Abbildung 23. SELECT-Anweisung mit angefgtem logischem ODER in mysql.log
Web Security Identifizieren und Beheben von Sicherheitslcken in Webanwendungen
hakin9.org/de 29
ein verndertes Verhalten der Anwendung, z.B. Fehler-
seiten, beobachtet werden, um eine Verwundbarkeit zu
erkennen und auszunutzen.
Blind SQl-Injection: Funktionsweise
Das dritte und letzte Beispiel baut auf dem Open-
Source Web-Application-Security-Scanner-Framework
Arachni auf. Dieser Web-Security-Scanner bietet die
Mglichkeit, Webanwendungen auf LFI, RFI, XSS,
(Blind) SQL-Injection und andere Sicherheitslcken
hin zu berprfen. Der Angriff wird von der Konsole
ber den Befehl arachni --only-positives --mods=sqli_*
'http://<target>/cms/website.php?id=/de/index.htm'
gestartet. Mit diesem Aufruf wird die Suche auf un-
terschiedliche Angriffsarten fr SQL-Injections einge-
schrnkt und es werden aus Grnden der bersicht-
lichkeit nur potenziell gefundene Sicherheitsprobleme
auf der Konsole ausgeben. In vorliegenden konkreten
Beispiel findet Arachni zwei Lcken fr Blind SQL-Injec-
tion, und zwar im Parameter key (Abbildung 19) und
im Parameter id (Abbildung 20). Unterzieht man den
Parameter key zunchst einem manuellen Test, indem
der URL am Ende ein logisches ODER angefgt wird,
ergibt sich damit die URL http://<target>/cms/website.
php?id=/de/sendpage.htm&key=236 or 1=1. Wenn-
gleich keine auf der Antwortseite oder ihrem Quelltext
sichtbare Fehlermeldung erzeugt wird, ist jedoch im
Vergleich mit der Antwort auf den unvernderten Aufruf
ein entscheidender Unterschied festzustellen: die ber-
schrift der Seite ndert sich je nach ODER-Statement.
Wird rechts vom ODER ein 1=1 (quivalent zu true)
angegeben, erscheint als berschrift Homepage (de),
fr ein 1=2 (quivalent zu false) ndert sich die
berschrift in Seite versenden (Abbildung 21).
Um nun Daten aus der Datenbank zu extrahieren,
kann ein Angreifer Abfragen einfgen, um durch die
Auswertung der berschrift Antworten auf Ja/Nein-Fra-
gen zu erhalten. So kann z. B. mithilfe der SQL-Funk-
tion REGEXP der Account eines Admin-Benutzers, der
mit der E-Mail-Adresse admin@example.com und dem
Passwort admin (MD5: 21232f297a57a5a743894a0e4
a801fc3) in der Tabelle oe_account gespeichert ist, kom-
promittiert werden: mit OR 1=(SELECT 1 FROM oe_ac-
count WHERE account_email='admin@example.com'
AND account_password REGEXP '^[a-f]') erscheint die
die berschrift Seite versenden, d. h. die Abfrage er-
gibt false. Das verrt dem Angreifer, dass der hexade-
zimale MD5-Hash des Kennworts nicht mit Buchstaben
beginnt. Die Gegenprobe mit OR 1=(SELECT 1 FROM
oe_account WHERE account_email='admin@example.
com' AND account_password REGEXP '^[0-9]') ergibt
dann auch die berschrift Homepage (de), d. h. die Ab-
frage ergibt true. Mittels binrer Suche kann ein Angrei-
fer so in relativ kurzer (logarithmischer) Zeit den kom-
pletten MD5-Hash erraten. Eine automatisierte Form
dieses Angriffs beherrscht z. B. auch das oben genannte
Tool sqlmap, dass es auf diese Weise ermglicht, Be-
nutzernamen und Hash-Werte aus der Datenbank zu ex-
trahieren (Abbildung 22).
Blind SQl-Injection: Code Review
Beginnt man die Suche nach der Ursache im Quellcode
wie blich mit fgrep nach dem Parameter key ber
alle Quellcodedateien, so werden unbersichtlich vie-
le Treffer erzielt. Fokussiert man stattdessen zunchst
die Datei cms/website.php, die in der URL steht, finden
sich etliche require(), ber die abhngige Quellcode-
teile importiert werden. Verfolgt man die Importe und
vergleicht die im MySQL-Log aufgezeichnetes Queries,
fhrt die Spur zur Datei cms/system/02_page/includes/
admin.php. Diese Datei enthlt u. a. die Funktion get_
page_key(), die offensichtlich ein zuvor im Log protokol-
liertes SELECT enthlt (Abbildung 23). Mangels einer
GET- oder POST-Variable ist jedoch noch nicht nachzu-
vollziehen, wie die missbruchliche Eingabe in die An-
wendung gelangt ist.
Abbildung 26. Alternative Problemlsung fr den Parameter id durch sprintf()
Abbildung 24. Zuweisung der GET-Variable id in der Datei page.
php
Abbildung 25. Problemlsung fr den Parameter id durch is_
numeric()
12/2011 30
ANGRIFF
Ein fgrep nach $_GET["key"] ergibt eine berschau-
bare Anzahl von Treffern, wobei die unter den ausgege-
benen Trefferzeilen vielversprechendste auf die Datei
html/modules/pagemailer/main.php hindeutet, da hier
unter anderem der Variablen $sendpage der Funk-
tionsaufruf von get_page_key() mit der GET-Variable
key zugewiesen wird. Die Suche nach dem zweiten
Parameter id gestaltet sich ein wenig einfacher, da ein
fgrep -r '$_GET["id"]' * nur zwei Dateien zurckgibt. In
der Datei cms/system/02_page/includes/page.php wird
dann auch die GET-Variable id der Variable $input
zugewiesen, die wiederum der Funktion get_page
bergeben wird (Abbildung 24). Die Funktion get_pa-
ge ist hnlich wie die Funktion get_page_key() zu-
vor in der Datei cms/system/02_page/includes/admin.
php definiert. Damit sind die problemverursachenden
Stellen im Quellcode identifiziert, denn in beiden Fllen
werden keine Prfungen oder Filterungen der Eingaben
vorgenommen, somit sind diese unsicheren Paramete-
rbergaben der Grund fr die gefundenen Sicherheits-
lcken.
Blind SQl-Injection: Problemlsung
hnlich wie im vorangegangenen Fallbeispiel wird hier
fr die GET-Variable key ein Integer-Wert erwartet,
somit ist dieses Problem auch in analoger Weise z. B.
mit is_numeric() fr die GET-Variable key (Abbildung
25) oder mit sprintf() in der SELECT-Anweisung (Ab-
bildung 26) behebbar. Der problematische Parameter
id kann korrigiert werden, indem die Variable $pa-
ge_path vor Ausfhrung der SELECT-Anweisung mit
der PHP-Funktion mysql_real_escape_string() gefiltert
wird (Abbildung 27). Nach diesen Anpassungen halten
die beiden Parameter einer erneuten berprfung mit
Arachni und sqlmap stand.
Fazit
Die drei gezeigten Fallbeispiele decken mit XSS, SQL-
Injection und Blind SQL-Injection die derzeit hufigs-
ten Typen von Sicherheitslcken in Webanwendungen
ab. Diese Sicherheitslcken wurden sowohl manuell
und automatisiert angegriffen, als auch per Code-Re-
view analysiert und durch entsprechende Anpassun-
gen am Code behoben. Wenngleich Entwickler nicht
immer ber die Zeit und die Ressourcen verfgen, so
tiefgehende Untersuchungen wie die hier dargestellten
durchzufhren, zeigen die hier angefhrten und aus der
Praxis gegriffenen Beispiele anschaulich, dass zumin-
dest die berprfung der eigenen Anwendung mithilfe
des einen oder anderen (kostenlosen) Web-Security-
Scanners dringend anzuraten ist. Wie man aus den Bei-
spielen ersieht, knnen auch bei Verwendung von Fil-
terfunktionen Lcken auftreten, wenn z. B. der Kontext
um die Filterung nicht korrekt implementiert ist. Eine
automatisierte Prfung kostet im Grunde nicht viel Zeit
und bietet den Vorteil, schon frhzeitig offensichtliche
Fehler aufdecken und beheben zu knnen. Darber
hinaus bewirken die gezielte Suche nach Sicherheits-
lcken und ihre Analyse in der Regel einen signifikan-
ten Lerneffekt. Neben einem Blick fr das Wesentliche
stellt sich auch schnell die Fhigkeit ein, IT-Strukturen
ganzheitlich zu betrachten, das Zusammenspiel ihrer
Komponenten aus sicherheitstechnischer Sicht zu be-
urteilen und Erfahrung mit Strken und Schwchen ver-
schiedener Security-Tools zu gewinnen.
Unabhngig davon, ob eine gefundene Sicherheits-
lcke nun zufllig oder durch eine gezielte Suche ge-
funden wurde, sollte wenn mglich der Kontakt mit dem
oder den zustndigen Entwicklern gesucht werden,
um sie ber die gefundenen Probleme zu informieren.
Nur so haben sie die Gelegenheit, die Sicherheitslcke
kurzfristig zu beheben. In Absprache mit den Entwick-
lern bzw. nach Verstreichen einer angemessenen Zeit-
spanne, z. B. ein oder zwei Wochen, sollte auch eine
Mitteilung an entsprechende Security-Mailinglisten, Si-
cherheitsforen oder hnliche Stellen im Internet in Be-
tracht gezogen werden. Zum einen werden hiermit eine
groe Anzahl mglicher Nutzer erreicht, zum anderen
kann so eine offene Diskussion ber die Sicherheits-
probleme angestoen werden. Ein verantwortungsvol-
les Vorgehen ist in jedem Fall unverzichtbar, da mit ei-
ner Verffentlichung auch bswillige Angreifer auf die
Lcke aufmerksam werden knnen.
Abbildung 27. Problemlsung fr den Parameter key durch
mysql_real_escape_string()
Im Internet
http://www.mavitunasecurity.com/communityedition/
NetsparkerCommunityEdition
http://sqlmap.sourceforge.net - sqlmap - automatic SQL
injection and database takeover tool
http://arachni.segfault.gr - Arachni - Web Application Se-
curityScannerFramework
StEFAN SChuRtz, dR. PhIlIPP WAltER
Stefan Schurtz
arbeitet bei der INFOSERVE GmbH in Saarbrcken
Kontakt mit dem Autor: s.schurtz@infoserve.de
Dr. Philipp Walter
ist IT-Leiter der INFOSERVE GmbH in Saarbrcken.
Kontakt mit dem Autor: p.walter@infoserve.de
Rezension
hakin9.org/de 31
K
aspersky Labs neues Sicherheitspaket ist vor kur-
zem in den Handel gekommen. Erste Tests be-
scheinigen Kaspersky Internet Security 2012
hervorragende Ergebnisse bei der Erkennung und Be-
seitigung aktueller Schdlinge aller Art. Dabei bietet der
russische Antiviren-Hersteller fr Heimanwender - je nach
Bedrfnissen drei verschiedene Produkte der neuen Ge-
neration an: Anti-Virus, Internet Security und PURE Total
Security. Wir haben das Produkt Internet Security 2012,
das den Computer mit AV-Scanner und Firewall gegen
alle aktuellen Gefahrenpotentiale schtzen soll genauer
unter die Lupe genommen. Mit heuristischer Analyse und
Einbindung in den Cloud Dienst Kaspersky Security Net-
work (KSN) ist das AV-Modul auf den neusten Stand der
technischen Entwicklung. Das hat sich auch in den vom
unabhngigen AV-TEST Institut durchgefhrten Untersu-
chungen gezeigt. Diese wurden wie blich mit den neus-
ten Updates und der Standardkonfiguration unter Win-
dows 7 und Windows XP durchgefhrte. KIS 2012 stellte
sich in den Laboren des Magdeburger IT-Sicherheitsins-
tituts insgesamt ber 110.000 Schdlingen aller Art aus
den letzten zwei bis drei Monaten und schnitt dabei mit ei-
ner Erkennungsrate von 99,4% sehr gut ab. Im Vergleich:
Der Durchschnitt der im Mai getesteten Antivirusprodukte
liegt bei 98,5 Prozent. Sollte es dennoch zu einer Infekti-
on kommen, so ist es mindestens genauso wichtig, dass
das AV-Programm Viren entfernen und das System ent-
sprechend subern kann. Kaspersky gelang das im Ge-
gensatz zu seinen Konkurrenten in 100 Prozent der ge-
testeten Fllen. Eine besondere Herausforderung stellen
Rootkits, die sich tief in das System und unteren Schich-
ten des Betriebssystem eingraben, dar. Auch in diesem
(nur unter Windows XP) durchgefhrten Test schnitt KIS
2012 hervorragend ab. Von 18 Schdlingen wurden 17 er-
kannt und entfernt. Bei den im Frhjahr diesen Jahres ge-
testeten Produktion lag der Durchschnitt nur bei mageren
44,7%. In der neuen Version hat sich aber nicht nur unter
der Oberflche einiges getan, sondern auch die Usabili-
ty und Programmoberflche wurden komplett berarbei-
tet. So sind wichtige Funktionen jetzt noch einfacher zu
finden und der aktuelle Sicherheitsstatus des Computers
kann mit einem Blick berprft werden. Vor allem weni-
ger versierte Anwender erhalten ber die in Windows 7
und Vista verfgbare Minianwendung einen schnellen
berblick ber aktuelle Bedrohungen und den Status ih-
res Systems. Neben einem grndlichen Virenscanner und
einer Firewall gehren zu einer Sicherheitssoftware heute
fr einen umfassenden Schutz noch viele weitere kleinere
Tools. So etwa der URL-Advisor, der durch eine farbliche
Markierung von Links mgliche Gefahren beim Folgen
dieser URL anzeigt. Oder auch die in der neuen Version
verbesserte Kindersicherung und Sandboxumgebung fr
sicherheitskritische Anwendungen. Besonders hervorzu-
heben ist aber die Mglichkeit eine Notfall CD zu erstel-
len, von der im Ernstfall gebootet und das System wieder-
hergestellt werden kann. So knnen vor allem Rootkits,
die sich in den Windows Systemdateien eingenistet haben
effizient entfernt werden.
Fazit: Mit der neuen Version ihres Flaggschiffs In-
ternet Security ist es Kaspersky gelungen, den bereits
hervorragenden Vorgnger nochmals entscheidend zu
verbessern. Bei den aktuellen Mitbewerbern knnen in
puncto Erkennungsrate und Funktionsumfang nur GDa-
ta und Bitdefender mithalten. Hier muss man aber Ab-
striche bei Performance oder Preis in Kauf nehmen.
Vorbereitet von Christoph Besel
Kaspersky Internet
Security 2012
12/2011 32
DATENSCHUTZ
Wie Ihnen die quantifizierte Risikoanalyse
den Abend retten kann
Das muss nicht sein! Lassen Sie mich Ihnen bitte er-
lutern, wie Sie Ihren Abend retten knnen und statt-
dessen Ihre kostbare Zeit mit einer znftigen Me-
tasploit Konsolenschlacht verbringen knnen. Alles
was Sie tun mssen ist mich auf meine eigene Reise
in, wie ich dachte, lngst vergessener Primanermathe-
matik zu begleiten.
Wie bitte? Sie werden ja wohl als ausgewachsener
und gefrchteter P-Tester, Auditor oder Security Evan-
gelist keine Angst vor etwas ominsem wie dem KgV
haben? Ich kann Sie beruhigen, da gibt es zum Glck
eine Excel-Funktion zu.
Quantitative vs. qualitative Risikoanalyse
In freier Anlehnung an den CBK[1] des ISC2[2] verfgt
eine (nahezu vollstndige) quantitative Risikoanalyse
dagegen ber folgende Vor- und Nachteile gegenber
der qualitativen Risikoanalyse:
Vorteile
FinanzielleKostensinddefniert,ausdiesemGrund
ist eine Kosten / Nutzen Analyse mglich
Diekonkretere,aufBasiskonkreterDatengesttz-
te Analyse reduziert Vermutungen und Schtzun-
gen
Analysen und Kalkulationen knnen automatisiert
werden
Quantifizierbare Ergebnisse knnen Entschei-
dungstrgern verstndlicher vermittelt und kom-
muniziert werden. Fhrungskrfte neigen zu ei-
nem besseren Verstndnis solcher Analysen,
wenn diese ein Das kostet uns jedes Jahr 5 Milli-
onen Euro als Ergebnis vermitteln und kein Viel-
leicht knnte irgendwann, irgendein Verlust eintre-
ten.
Nachteile
Normalerweise werden viele, komplexe Kalkulatio-
nen bentigt
DerzuleistendeZeit-undArbeitsaufwandistrelativ
hoch
EswirdeinegroeDatenbasisvorausgesetzt
EinigeAnnahmenwerdenimmerbentigt.Einerei-
ne quantitative Risikoanalyse ist nicht mglich oder
sinnvoll.
Ein teilquantifizierter
Risikobewertungsansatz mit einer
Prise IT-Grundschutz
Wie wahrscheinlich ist denn das?. Wie oft ist das denn bereits
vorgekommen?. Fr unsere Daten interessiert sich doch kein
Mensch!. Endlose Abende vor leider viel zu lange viel zu blitzweien
Worddokumenten, in welchen Sie argumentativ versuchen, solcherart
Polemik zu entkrften. Sind Sie Ihnen nur allzu gut bekannt?
IN DIESEm ARTIkEl ERfAHREN SIE
Mehr ber die Unterschiede von qualfzierten und quantif-
zierten Risikobewertungsanstze
Mehr ber einen freien, neuentwickelten Quantifzierungsan-
satz
Wie Sie slber Risiken fr Schden an Informationssicherheits-
wertequantifzierenknnen
DasDesignunddieAnwendungeinerRisikomatrix
Anwendungsmglichkeiten im Zusammenhang mit dem IT-
Grundschutzstandard
WAS SIE VoRHER WISSEN SollTEN
GrundlagendesRisikomanagements
BasiswissenberITrelevanteSchwachstellenundzusammen-
hngendeAnalyse-undBewertungsmethodiken
GrundlagenderIT-Systemadministration
Basiswissen ber den IT-Grundschutzstandard des BSI (z.B.
Schichtenmodell,BSIStandard100-3)
Andr Glenzer
Ein teilquantifizierter Risikobewertungsansatz mit einer Prise IT-Grundschutz
hakin9.org/de 33
Zu diesem Zweck legen wir SLE und ARO mal einen
Moment zur Seite und versuchen die 5 Millionen Euro
Frage einmal auf einem anderen Weg dar zu stellen
und unsere Risiken nebst Schden wie folgt zu fakto-
risieren:
Wie hoch ist die Restrisikoeintrittswahrscheinlichkeit
(RE) in Prozent, dass innerhalb des Zeitraums (t), die
Anzahl (z) aller System-Zielobjekte (SZ) von dem Rest-
schaden (RS) an einem der Grundwerte der Informati-
onssicherheit betroffen sind?
Klingt kompliziert? Ist es auch! Im Prinzip hat ein sol-
ches Konstrukt hnlichkeit mit Methoden die Ihre Versi-
cherung verwendet, um Ihren Beitrag fr die Vollkasko
Ihres 911ers Turbo zu berechnen. Leider hat Ihr Versi-
cherer neben einer Vielzahl von Versicherungsmathe-
matikern die er beschftigt, Ihnen gegenber den Vor-
teil, dass er auf umfangreiches statistisches Material
zurckgreifen kann.
Solange Sie sich dagegen in Ihrer Risikoanalyse nicht
wenigstens im Bereich der BSI IT-Grundschutz Gefhr-
dungsschicht 1 Hhere Gewalt befinden, drfte Ihnen
ein hnliches Vorgehen schwerfallen. Wobei es sicher-
lich ganz interessant zu erfahren wre, um wie viel h-
Quo Vadis, vollstndige Quantifizierung ?
Eine quantifizierte Risikobewertung ermittelt also Ein-
trittswahrscheinlichkeiten und Schden, ausgedrckt
in numerischen Werten. Eine qualifizierte Risikobewer-
tung beschreibt Eintrittswahrscheinlichkeiten und Sch-
den mittels argumentativer Thesen.
Um unseren angenommen Entscheider nun ein ent-
schiedenes Das kostet uns pro Jahr fnf Millionen Eu-
ro zu kommunizieren, mssten wir folgende, CISSPs
[3] sicherlich nicht ganz unbekannte Berechnung durch-
fhren:
SLE x ARO = ALE
wobei SLE, die Single Loss Expectancy, im Wesent-
lichen den Schaden fnanziell quantifziert. ARO, die
Annualized Rate of Occurrence, drckt die Hufg-
keit des Schadenereignisse per Anno aus und ALE,
die Annualized Loss Expectancy, ergibt den monetr
quantifziertenSchadenproJahr.
So weit so gut. Sie werden sich allerdings sicherlich
fragen, wie wir denn nun erst einmal die beiden Teilfak-
toren SLE und ARO errechnen?
Abbildung 1. Beispiel fr die grafsche Darstellung einer teilquantifzierten Risikoanalyse mit Akzeptanzempfehlung der Restrisiken
12/2011 34
DATENSCHUTZ
her - statistisch gesehen - das Risiko sich einen Troja-
ner ein zu fangen in z.B. China wre, als sagen wir mal
in der Schweiz (um einfach mal total zufllig zwei vllig
beliebige Lnder heraus zu suchen).
Wir kommen zum Ende des Artikels noch einmal auf
diesen vollquantifizierten Ansatz zurck, dann erfahren
Sie auch, was es mit dem zu diesem Ansatz korrelie-
renden Risikowrfel auf sich hat (Nein, es handelt sich
dabei nicht um eine zufallsbasierende Wrfelmethode
zur Ermittlung von Risiken).
Gehen wir an dieser Stelle vorerst einmal von einer
eintretenden Gefhrdung aus. Versuchen wir weiterhin
deren Auswirkung auf die Informationswerte zu quanti-
fizierten.
Und nun machen wir es uns einfach: Wie oft diese
Gefhrdung (z.B. pro Jahr) auftritt, ist nicht Gegenstand
der Quantifizierung. Die Hufigkeit muss nach wie vor
qualifiziert beschrieben werden. Wir berechnen ledig-
lich die Wahrscheinlichkeit, mit der ein Schaden fr ei-
nen der drei Informationsgrundwerte Sicherheit, Ver-
traulichkeit, oder Verfgbarkeit eintritt.
Interdependenzen
mit dem BSI Standard 100-3
Anders ausgedrckt halten wir uns an den BSI IT-Grund-
schutzstandard 100-3 Risikoanalyse auf der Basis von
IT-Grundschutz [4]. Dieser lehnt eine Betrachtung von
Eintrittswahrscheinlichkeiten einer Gefhrdung in der
eigentlichen Risikobewertung ab. So heit es im er-
whnten Standard im Kapitel 1.2 Ziele:
Im IT-Sicherheitshandbuch [SHB] und in einigen an-
deren Vorgehensweisen zur Risiko- und Sicherheits-
analyse werden unter anderem auch Eintrittswahr-
scheinlichkeiten von Schadensereignissen betrachtet,
um Entscheidungen zum Umgang mit Risiken zu tref-
fen. Es hat sich jedoch gezeigt, dass die Abschtzung
dieser Wahrscheinlichkeiten in der Praxis oft schwie-
rig ist, da keine Grundlagen fr verlssliche Schtzun-
gen vorhanden sind. Auch die Interpretation der Wahr-
scheinlichkeiten ist in vielen Fllen fraglich. In der hier
beschriebenen Methodik werden deshalb Eintrittswahr-
scheinlichkeiten nicht explizit, sondern lediglich implizit
im Rahmen der Ermittlung und Bewertung von Gefhr-
dungen betrachtet.
D.h. die IT-Grundschutzmethodik geht hinsichtlich der
Eintrittswahrscheinlichkeit von Gefhrdungen mathe-
matisch betrachtet mit einer Eintrittswahrscheinlichkeit
= 1 aus oder philosophisch, stark vereinfacht ausge-
drckt:
Alles, was schiefgehen kann, wird auch schiefge-
hen. [5]
Wir fragen uns also nicht: Wie wahrscheinlich ist es,
dass eine vorstzlich handelnde Person ein System
hackt?, sondern: Eine vorstzlich handelnde Person
hackt ein System mittels einer spezifischen Methodik.
Wie wahrscheinlich ist es, dass ein bestimmter Scha-
den durch Verlust eines der drei Grundwerte der Infor-
mationssicherheit Vertraulichkeit, Integritt, oder Ver-
fgbarkeit entsteht?.Oder ganz einfach: Es wird auf
jeden Fall jemand versuchen uns zu hacken. Wie wahr-
scheinlich ist es, dass der Hacker richtig ble Sachen
macht und Fotos von unserer letzten Betriebsfeier bei
Wikileaks verffentlicht?.
There are only 2 types of people. People that have
experienced a harddisk crash and people that are go-
ing to experience a harddisk crash! [6]
Der Vollstndigkeit halber warnen mchte ich noch vor
der stringenten Anwendung von Murphys Gesetz. Ge-
Tabelle 1. Die ersten 5 Zeilen einer mglichen Risikotabelle der Schicht 5 Vorstzliche Handlung.
Tabelle5.1:
Schwachstellenvoraussetzungen
Tabelle5.2:Temporaleundrumliche
Zugangsvoraussetzung
Tabelle5.3:Technischeund
organisatorische Ausstattung
Faktor Voraussetzungen Faktor Voraussetzung Faktor Voraussetzung
1 UnbekannteDesign-
schwachstelleinIT-Archi-
tektur.
1 Dauerhafterphysikalischer
Zugrif.Gesichertes,immo-
biles System.
1 Dauerhafte Rechenleistung
einesSupercomputersnotwen-
dig.
2 BekannteDesignschwach-
stelleinIT-Architektur.
2 Dauerhafterphysikalisch-
erZugrif.Gesichertes,mo-
biles System.
2 Dauerhafte Personalunterstt-
zungntig.
3 Proof-ofConceptExploit
liegt vor.
3 Dauerhafterphysikalischer
Zugrifungesichertes,im-
mobiles System.
3 Dauerhafte Rechenleistung
eines geclusterten Rechnerver-
bund notwendig.
4 Proof-ofConceptCodeliegt
vor.
4 Dauerhafterphysikalischer
Zugrifungesichertesmo-
biles System notwendig.
4 Kurzfristige Personalunterstt-
zung notwendig.
5 Code liegt vor. 5 Dauerhafte LAN-Konnek-
tivitt, Konnektivitt, MAC-
Spoofng.
5 Spezielle,kommerzielleSoft-
warefrSicherheitsprofs
ntig.
Ein teilquantifizierter Risikobewertungsansatz mit einer Prise IT-Grundschutz
hakin9.org/de 35
rade im Zusammenhang mit dem im BSI IT-Grund-
schutz beschriebenen Kumulationseffekt von mehre-
ren normalen Schutzbedarfen hin zu einem, laut Mur-
phys Gesetz sicher eintretenden, nicht normalen, son-
dern dann ja hohen Schaden.
Zwar scheint Murphys Gesetz genau diesen Kumula-
tionseffekt zu befrworten, tatschlich ist es aber, rein
wissenschaftlich betrachtet, nur auf geschlossene Ver-
suchsanordnungen anwendbar und nicht dazu geeignet
zuknftige Handlungen vorauszusehen.
Als einfaches Beispiel knnte die Mglichkeit be-
trachtetwerden,dassalleKraftfahrzeugeeinerGro-
stadt gleichzeitig (zeitnahe) in einem Verkehrsun-
fall verwickelt wren. Zwar wrde dies nach Murphys
Gesetz anscheinend sicher eintreten, aber nicht nur
menschliche Erfahrungswerte, sondern wohl auch das
NaturgesetzderEntropie,schlieendieseMglichkeit
aus.
Die nun erwhnten Schutzbedarfskategorien sind
aber ntzlich um unsere Restschden (RS, Sie erinnern
sich?), auf einfache Methode zu bestimmen. Fr Grund-
schutzfremde: Wir verwenden die Kategorien normal,
hoch und sehr hoch, in Relation zu mglichen Schden
durch Verlust von Informationssicherheitswerten Ihrer In-
stitution. Dabei werden diese Kategorien, einfach aus-
gedrckt, zuerst hinsichtlich Ihrer Bedeutung fr Ihre In-
stitution relativiert. So drfte beispielsweise der fr Sie
und mich wahrscheinlich existenzbedrohende, sehr ho-
he Schaden an dem Ferrari des CEOs eines fhrenden
Antivirenherstellers, fr Ihn nichts weiter als eine rger-
liche Randnotiz sein. Mit anderen Worten ein normaler
Schaden.
Diese teilquantifizierte Methodik wrde dann folgende
Fragestellung implizieren (die hier erwhnten Risikota-
bellen werden spter erlutert):
Wie hoch ist die Restrisikoeintrittswahrscheinlichkeit
(RE) in Prozent, dass in einem Zeitraum, dessen Um-
fang sich aus den Teilfaktoren (Risikotabellen) ableiten
(d.h. wie folgt qualifizieren) lsst, ein gem Schutzbe-
darfsklassifizierungen ermittelter Restschaden (RS) an
einem durch die Gefhrdung betroffenem Informations-
wert, eintritt. [7]
In diesem Risikobewertungsansatz wird also lediglich
ein Teil der weiter oben beschriebenen ARO quantifi-
ziert (genaugenommen nur das RO denn das per An-
no, bleibt weiterhin qualifiziert) und die SLE mit Hilfe
der IT-Grundschutz entnommen Schutzbedarfskatego-
rien, pauschalisiert.
Bewertungsmethodik
Lassen Sie uns einmal diesen Bewertungsansatz visu-
alisieren. Sehen Sie, eigentlich ganz einfach, oder?
Abbildung 2. Beispiel fr die grafsche Darstellung einer teilquantifzierten Risikoanalyse ohne Akzeptanzempfehlung der Restrisiken.
12/2011 36
DATENSCHUTZ
Hier wird eine auf Basis der Vorberlegungen skizzierte
Risikomatrix vorgestellt. hnlich wie bereits bekannte Ri-
sikomodelle, wie z.B. der Risikomatrix nach Nohls [8], wird
auf der X-Achse die Schadenauswirkung dargestellt und
auf der Y-Achse die Eintrittswahrscheinlichkeit des Scha-
dens.
Dabei wurde das Schadensausma an gngige IT-
Grundschutz Schutzbedarfskategorien angepasst, wo-
mit die X-Achse die drei Schadensstufen normal, hoch
und sehr hoch darstellt.
Von einer pauschalen Kategorisierung der Eintritts-
wahrscheinlichkeiten, wie etwa in dem Model nach
Nohls verwendeten Stufen wie niedrig oder mittel, wur-
de abgesehen und stattdessen mit dem reinen, quanti-
fizierten Prozentwert gearbeitet.
Das () resultierende Restrisiko ist gering und kann
hingenommen werden
Gutachten zum Klner U-Bahn Bau.
Dies soll eine klare Differenzierung zu gngigen, voll-
qualifizierten Risikobewertungsmethoden erleichtern.
Durch die Verwendung des Prozentwertes wird impli-
ziert, dass eine berechnende Grundlage vorhanden sein
muss. Eine niedrige oder mittlere Eintrittswahrschein-
lichkeit dagegen knnte man abschtzen (Siehe auch
weiter oben).
Risikotabellen als Teilfaktoren
Doch wie berechnen wir nun das Risiko? Oder genauer
dasRestrisiko,schlielichgehenwirdocheinfachmal
davon aus, dass bereits risikomindernde Manahmen
durchgefhrt wurden.
Meine grundlegende Idee war, Bedingungen die ei-
nen Schadenseintritt begnstigen, in mehreren Tabel-
len gem des IT-Grundschutz Schichtenmodells zu
parametrisieren. Das klingt komplizierter als es ist. Hier
als ein anschauliches Beispiel dieser Risikotabellen:
Die ersten Zeilen der drei Tabellen der IT-Grundschutz
Gefhrdungsschicht 5 Vorstzliche Handlung. Wie
unschwer zu erkennen ist, wird die Eintrittswahrschein-
lichkeit eines Schadens von Zeile zu Zeile der Tabelle
hher. Wenn alle drei Teilfaktoren, der letzten Zeile ent-
nommen wrden, htten Sie ein absolutes Worstcase
Szenario. Es kommt mit absoluter Sicherheit zu einem
Schaden fr Ihre Institution.
Abbildung 3. Risikobewertungstool
Ein teilquantifizierter Risikobewertungsansatz mit einer Prise IT-Grundschutz
hakin9.org/de 37
Bei meinem eigenen Erstentwurf der Tabellen ging ich
von folgenden Grundannahmen aus:
Um eine mglichst aussagekrftige Quantifzie-
rung zu ermglichen, sollten wenigstens drei unter-
schiedlichen Risikofaktoren je Gefhrdungsart ver-
wendet werden.
Bei der Erstellung der Risikotabellen sollte auf Ho-
mogenitt, d.h. eine gleichartige Verteilung der
Wirksamkeit der ausgewhlten Teilfaktoren geach-
tet werden. Andererseits ist es sinnlos, zu granu-
lare Abstufungen der einzelnen Teilfaktoren inner-
halb einer Tabelle auszufhren, da die praktische
Anwendbarkeit darunter leiden kann. D.h. ein An-
wender der Tabelle sollte jederzeit, ohne groen
Aufwand, den entsprechenden Teilfaktor ermitteln
knnen.
Fr die praktische Anwendbarkeit ist es sinnvoll,
ein absolutes Worst Case Szenario am Tabellen-
ende aufzufhren.
Ein Best-Case Szenario am Anfang der Tabel-
le aufzufhren, wird als nicht sinnvoll angesehen,
da damit ein Wahrscheinlichkeitsteilfaktor von 0 die
gesamte Gefhrdung als solche negieren wrde.
mathematische Bewertungsgrundlagen
Nun sind alle Zutaten beisammen um uns ein sch-
nes Risikosppchen an Restschaden an zu richten. Wir
mssen nur noch die einzelnen Faktoren der Risikota-
bellen miteinander multiplizieren. Also
RE = Tab1.1 x Tab1.2 x Tab1.3 [9]
Bzw. bei gleichzeitiger Anwendung mehrerer Risikota-
bellen:
RE = (Tab1.1 x Tab1.2 x Tab1.3) x (Tab2.1 x Tab2.2 x
Tab2.3)
Was aber tun, wenn unsere Risikotabellen eine diver-
gierende Zeilenanzahl aufweisen? Wir mssen diese
dann, vor dem Multiplikationsvorgang, zuerst mitein-
ander kompatibel werden lassen. Und damit sind wir
beim eingangs erwhnten KgV.
Abbildung 4. Auswahl der Teilfaktoren der Risikotabellen und der Schadenskategorie
12/2011 38
DATENSCHUTZ
Um eine vergleichbare Multiplikation der Tabellen,
die ber eine unterschiedliche Anzahl von Teilfak-
toren (also Zeilen) verfgen, zu gewhrleisten wird
das KgV (Kleinste gemeinsame Vielfache) der Ta-
bellen ermittelt und damit die Multiplikationsvorgn-
ge durchgefhrt. Anschlieend wird das KgV mit
der Anzahl der Tabellen potenziert. Das Produkt der
Tabellenwerte wird durch das potenzierte KgV divi-
diert.
So, wie gefllt Ihnen die fertige Formel?
(TF)
RE =
(AF)
Wo bei TF, den ausgewhlten Teilfaktor darstellt und
AF, die Gesamtanzahl der Faktoren.
Zugegeben, nicht unbedingt E=mc
2
, unsere Formel
hat aber den wesentlichen Vorteil, dass man die oben
beschriebenen Rechenschritte ganz einfach in Excel
darstellen kann! Setzen wir dieses RE in das bekannte
ein
R = RE x RS
wo bei RE fr Restrisikoeintrittswahrscheinlichkeit, RS,
fr Restschaden und schlussendlich, dass blanke R
fr unser Restrisiko steht, haben wir nun alle Grundla-
gen fr unsere Risikomatrix zusammen.
A fool with a tool is still a fool [10]
Das bereits erwhnte Exceltool sieht dann so aus. Ach-
ten Sie auf die Titel der Excel-arbeitsbltter. ffnet man
ein solches, kann man die Teilfaktoren (TF) der zu der
entsprechenden Gefhrdungsschicht gehrenden Risi-
kotabelle, auswhlen:
Risiko auswrfeln?
Ich versprach Ihnen, noch einmal auf den erwhnten
Risikowrfel zurck zu kommen. Stellen Sie sich vor,
Sie wrden unserer zweidimensionalen Risikomatrix
noch weitere Dimensionen, wie etwa eine Z-Achse, im-
plementieren. Diese wrde von dem Scheitelpunkt der
X- und Y- Achse aus, im 45 Grad Winkel nach rechts
oben, also nach hinten, verlaufen. Wir htten einen
Wrfel. Dort knnte man versuchen, den zu qualifizie-
renden Teil der Risikoanalyse ebenfalls numerisch aus
zu drcken. Beispielsweise knnte man dort die Zeit die
einem Angreifer zur Verfgung steht, vermutlich also
die Lebensdauer eines IT-Systems, abbilden. Auch mit
der Anzahl der mglicherweise betroffenen Systeme,
oder Assets knnte man arbeiten.
Solange wir aber mit der hier vorgestellten zweidi-
mensionalen Matrix arbeiten, ist die Eingangsfrage der
Risikoanalyse als qualifizierter Teil der Risikobewertung
von entscheidender Bedeutung fr die Aussagekraft der
Risikobewertung.
Die Eingangsfrage sollte dahingehend ausgerichtet
sein, im quantifizierten Teil der Risikobewertung eine
Abbildung 5. Risikobewertungstool
Ein teilquantifizierter Risikobewertungsansatz mit einer Prise IT-Grundschutz
hakin9.org/de 39
Z-Achse und einen damit notwendigen Risikowrfel
zu vermeiden um die Komplexitt der in Kriterienkatalo-
gen definierten Basisfaktoren zu reduzieren.
Im Wesentlichen sollte also der qualifizierte, d.h. be-
schreibende Teil, die Faktoren Zeit (t) und Anzahl der
von dem Schaden betroffenen Entitten (z) substituie-
ren, um eine praxisnahe Anwendung der hier beschrie-
benen Bewertungsmethodik zu ermglichen.
Beispielrechnung
Die oben aufgefhrten Formeln werden mit einer Bei-
spielrechnung leichter verstndlich. Zu diesem Zweck
werden wir diese in einer vollstndigen, teilquantifizier-
ten Risikobewertung darstellen.
Gehen wir einmal davon aus, Sie mchten bewerten,
ob es sich lohnt die Internetnutzung in Ihrer Institution
aufgrund eines Browser- Exploits zu dem bereits Proof-
of-Concept Code existiert, welcher ber bekannte ost-
europische Angriffsinfrastrukturen verteilt werden
knnte, einzuschrnken.
Sie wrden die Tabelle der IT-Grundschutz Gefhr-
dungsschicht 5 Vorstzliche Handlung heranziehen und
folgende Teilfaktoren (TF) auswhlen:
Teilfaktoren
Tabelle5.1Schwachstellenvoraussetzungen,mit13
Zeilen. Also AF=13 (AF, die Gesamtanzahl der Fak-
toren) : Proof-of Concept Code liegt vor ; TF =4
Tabelle 5.2 Temporale und rumliche Zugangsvo-
raussetzung (zur Ausnutzung der Schwachstelle);
AF=20: Kurzfristige WAN-Konnektivitt ohne Filter-
mglichkeit durch Firewall ; TF =19.
Tabelle 5.3 Technische und organisatorische Aus-
stattung (des Angreifers); AF= 9: Umfangreiche
kommerzielle Software fr Sicherheitsprofs ntig;
TF = 6.
kgV
DasKgVderdreiTabellenmitdenAFs13,20und
9 betrgt 2340.
DasKgV2340geteiltdurchAF13malTF4ergibt720.
DieseRechenschrittefrdiebeidenanderenTabel-
len ergeben 2223 fr die Tabelle 5.2 und 1560 fr
5.3.
Die Multiplikation dieser drei Werte ergibt
2496873600
DasursprnglicheKgVvon2340hoch3(potenziert
um die Anzahl der Tabellen) ergibt 12812904000
Restrisikoeintrittswahrscheinlichkeit
2496873600 geteilt durch 12812904000 ergibt nun
unser RE = 0,194871795
Und lge damit nur ganz knapp unter der in der folgenden
Abbildung angenommenen Akzeptanzgrenze von 0,2.
Sie knnten nun die Situation weiter beobachten
undvonManahmenzurEinschrnkungderInternet-
nutzung absehen. Sollte sich allerdings ein Teilfak-
tor einer Tabelle erhhen, beispielsweise von 4 auf
5, weil nun echter Angriffscode bekannt wird, wrde
sich die Risikoeintrittswahrscheinlichkeit erhhen (hi-
er auf etwa 24%) und damit sich auerhalb des fr
normalen Schutzbedarf akzeptablen Restrisikos be-
finden.
So, ich hoffe der Artikel konnte Ihnen das etwas
trockene Thema der Risikoanalysen mit etwas Spa
nherbringen. Noch folgendes ein: Bitte beachten Sie,
dass es sich bei hier vorgestellten Methodik um ke-
ine z.B. vom BSI anerkannte Risikobewertungsmetho-
dik handelt, sondern um eine selbststndige Entwick-
lung. Wenn Sie die Methodik also als Grundlage fr
auditrelevante Dokumente verwenden wollen, sollten
Sie dieses im Vorfeld abstimmen. Ebenfalls selbstver-
stndlich ist ein vlliger Haftungsausschluss des Au-
tors bezglich etwaiger, aus diesem Artikel und der
darin vorgestellten Methodik, abgeleiteter Ergebnisse
und eventueller daraus resultierender Fehleinscht-
zungen oder Schden. Sollten Sie Interesse an der
Nutzung des erwhnten Tools haben, wrde ich mich
ber Ihre Nachricht via Twitter an @andreglenzer sehr
freuen.


ANDR GlENZER
Andr Glenzer ist seit 12 Jahren als CEO seines
eigenen Informationssicherheits-Beratungsun-
ternehmens ttig. Er ist BSI zertifzierter ISO
27001 Auditor und BSI zertifzierter IS-Berater
und Revisor. Zurzeit bert er fentliche Institutionen in Nord-
deutschland. Privat ist er verheiratet, Vater von 2 Kindern und
engagiert sich im Schachsport.
[1] Common Body of Knowledge: http://www.isc2.org/of-
cial-isc2-textbooks.aspx
[2] Unabhngige, international operierende Sicherheitsin-
stitution, siehe http://www.isc2.org/aboutus/default.aspx
[3] Certifed Information System Security Professional. Eine
international anerkannte Personenzertifzierung fr In-
formationssicherheitsexperten.
[4] https://www.bsi.bund.de/cae/servlet/contentblob/471454/
publicationFile/30757/standard_1003.pdf
[5] Murphys Gesetz: http://de.wikipedia.org/wiki/Murphys_
Gesetz
[6] BekannterAphorismusausderInformationstechnik
[7] Siehe dazu auch weiter oben. Es sollte lediglich von
einem isolierten Schadereignis ausgegangen werden,
obwohl theoretisch mehrere gleichzeitig vorstellbar se-
inknnten.
[8] http://de.wikipedia.org/wiki/Risikomatrix
[9] Restrisikoeintrittswahrscheinlichkeit
[10]BekannterAphorismusausderInformationstechnik
MYBIOS Lsst sich das BIOS infizieren?
hakin9.org/de 41
Einleitung
Die Mglichkeit, das BIOS eines Rechners zu infizieren,
existiert schon relativ lange. Das Online-Magazin Phrack
hat dazu einen der besten Artikel verffentlicht und auf
der Webseite Pinczakko gibt es ebenfalls viele ntzliche
Informationen. Beim Thema BIOS-Infizierung kristalli-
siert sich derzeit eine deutliche Tendenz heraus, die am
als zurck zu den Wurzeln bezeichnen knnte. Die In-
fizierung des Master Boot Record (MBR), das Abfangen
der Pointer in verschiedenen Systemtabellen des Be-
triebssystems, die Infizierung von Systemkomponenten
das alles gibt es bereits, und zwar schon sehr lange.
Durch die Infizierung des MBR oder des BIOS kann
sich Schadcode unmittelbar nach dem Einschalten des
Computers initialisieren. Ab diesem Zeitpunkt kann der
Schadcode alle Etappen des Bootvorgangs des Com-
puters und des Betriebssystems kontrollieren. Natrlich
ist diese Lade-Methode fr Virenschreiber attraktiv, wo-
bei andererseits auch die Schwierigkeiten, mit denen sie
dabei zu kmpfen haben, auf der Hand liegen. In erster
Linie ist damit das nicht einheitliche Format des BIOS
gemeint: Die Autoren des Schadcodes mssen in jedem
Fall das BIOS jedes Herstellers untersttzen und sich mit
dem Algorithmus der Firmware im ROM auskennen.
Im vorliegenden Artikel wird ein tatschlich existie-
rendes Schadprogramm genauer untersucht, das so-
wohl das BIOS als auch den MBR infizieren kann. Au-
erdem schauen wir uns seine Installation und seinen
Schutz vor Erkennung nher an. Nicht behandelt wer-
den dagegen die Aspekte, die mit dem Eindringen des
Schdlings ins System und dem kommerziellen Nutzen
des Schadprogramms zu tun haben. Derzeit kann der
Schdling nur Mainboards infizieren, die mit einem BI-
OS der Firma AWARD ausgestattet sind.
Installation
Kaspersky Lab fhrt den Trojaner, um den es in dieser
Analyse geht, unter dem Namen Rootkit.Win32.Mybios.a.
Dieser Schdling verbreitet sich als ausfhrbares Modul
und bringt alles zum Funktionieren notwendige bereits mit.
Die Liste der Komponenten:
TreiberfrdieArbeitmitdemBIOSbios.sys(Ge-
rt \Device\Bios)
TreiberzumVerbergenderInfektionmy.sys(Ge-
rt \Device\hide)
KomponenteBIOShook.rom
Bibliothek zur Steuerung des Treibers bios.sys
fash.dll
Tool vom Hersteller fr die Arbeit mit dem BIOS-
Abbild cbrom.exe
Als erstes fhrt der Dropper eine simple Entschlsse-
lung durch und startet den Installationsprozess. Aus den
Schdlingsressourcen wird der Treiber bios.sys auf die
Festplatte kopiert und gestartet und empfngt anschlie-
end alle notwendigen Informationen ber das BIOS. Sei-
ne Funktionalitt wird im Folgenden nher beschrieben.
MYBIOS
Lsst sich das BIOS infizieren?
Beim Thema BIOS-Infizierung kristallisiert sich derzeit
eine deutliche Tendenz heraus, die am als zurck zu
den Wurzeln bezeichnen knnte. Die Infizierung des
Master Boot Record (MBR), das Abfangen der Pointer in
verschiedenen Systemtabellen des Betriebssystems, die
Infizierung von Systemkomponenten das alles gibt es
bereits, und zwar schon sehr lange.
In dIESEM ArtIkEL ErfAhrEn SIE
dasssichBIOSmitMYBIOSidentifzierenlsst
WAS SIE vOrhEr WISSEn SOLLtEn
keinspeziellesVorwissen
12/2011 42
kASpErSkY LAB
BIOS.SYS und CBrOM.EXE
Der Treiber bios.sys wird als Installer des Rootkits ver-
wendet und verfgt insgesamt ber drei Funktionen.
Die erste Funktion, die wir FindSMIPORTAndBIOSSi-
ze nennen, wird vom Dropper unter anderem dazu ver-
wendet, um den BIOS-Typ im System zu bestimmen.
Zur Bestimmung des BIOS-Typs wird nach der magi-
schen Signatur im Speicher gesucht.
Stimmen die Signaturen berein, setzt die Funkti-
on ihre Arbeit fort und versucht SMI_PORT zu finden
unddieGredesBIOSzubestimmen.Inallenan-
deren Fllen meldet die Funktion einen Fehler und
der Dropper fhrt eine gewhnliche Infizierung des
MBR durch.
Ergibt die Untersuchung, dass es sich um ein BIOS
von AWARD handelt und sind die Variablen SMI_PORT
und BIOSSize vorhanden, wird die Funktion MakeBI-
OSBackup aufgerufen, die das BIOS-Abbild auf der
Festplatte in der Datei c:\bios.bin speichert.
Als nchstes wird der Treiber my.sys in das Stamm-
verzeichnis der Festplatte kopiert. Der BIOS-Typ ent-
scheidet ber die weitere Vorgehensweise.
Verwendet der Rechner ein AWARD-BIOS, werden
folgende Schritte durchgefhrt:
Lesen des BIOS aus dem Speicher, Suche nach
SMI_PORTundBestimmungderGredesBIOS
Erstellung eines BIOS-Abbilds auf der Festplatte
(c:\bios.bin)
FehltdasModulhook.romindemaufderFestplatte
gespeicherten BIOS-Abbild, wird es diesem Abbild
hinzugefgt
Einfgen des infzierten Abbilds von der Festplatte
ins ROM
WirdkeinAWARD-BIOSverwendet,infziertderDropper
den MBR. Damit funktioniert das Rootkit auf jedem belie-
bigen System, unabhngig vom Hersteller des BIOS.
Abbildung 1. Dispatch-Prozedur des Treibers bios.sys
MYBIOS Lsst sich das BIOS infizieren?
hakin9.org/de 43
Der Dropper schaut in dem auf der Festplatte gespei-
cherten Abbild nach, ob sein Modul vorhanden ist. Ist
das nicht der Fall, fgt er dem BIOS-Abbild ISA ROM
hinzu. Zu diesem Zweck wird das Tool cbrom.exe (mit
dem Befehl cbrom c:\bios.bin /isa hook.rom) verwendet.
Das Tool ist ebenfalls in den Ressourcen des Installers
gespeichert und wird auf die Festplatte kopiert.
Achten Sie auf das 11. Modul in der Liste. Dabei han-
delt es sich um das hinzugefgte ISA ROM mit der Be-
zeichnung hook.rom.
Mit dem nchsten Aufruf der Funktion FlashROM
wird das infizierte Abbild in das ROM eingefgt und
ab sofort bei jedem Einschalten des Computers auf-
gerufen.
MY.SYS
Um die Infektion zu verbergen, wird der relativ simple
Rootkit-Treiber my.sys verwendet. Er fngt die Funkti-
onen IRP_MJ_READ, IRP_MJ_WRITE und IRP_MJ_
DEVICE_CONTROL des Gertetreibers fr das Lauf-
werk \Device\Harddisk0\DR0 ab. Wann und wie dieser
Treiber startet, zeigen wir etwas spter.
Weil die Abfangroutine recht primitiv ist, beschftigen
wir uns hier nicht nher damit. Beim Lesen wird Comple-
Abbildung 2. Magische Signatur im BIOS
Abbildung 3. BIOS vor der Infzierung
Abbildung 4. BIOS nach der Infzierung
12/2011 44
kASpErSkY LAB
tionRoutine ausgetauscht und beim Versuch, geschtzte
Sektoren zu lesen, wird ein leerer Puffer ausgegeben.
Das Abfangen von IRP_MJ_WRITE ermglicht nicht
das Schreiben der Daten in die geschtzten Sektoren.
Das Abfangen von IRP_MJ_DEVICE_CONTROL
kontrolliert die Aufrufe IOCTL_DISK_GET_DRIVE_
LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TY-
PES_EX, IOCTL_DISK_GET_DRIVE_GEOMETRY_
EX und gibt eine Fehlermeldung aus.
BIOS und MBr
BIOS
Aus dem BIOS gestartet, ist das Schadprogramm in der La-
ge, jede Etappe der Initialisierung des Computers und des
Abbildung 5. Abgefangene Funktion des Treibers disk.sys
Abbildung 6. Erster Sektor der physischen Festplatte
Abbildung 7. Anfang des ISA ROM
MYBIOS Lsst sich das BIOS infizieren?
hakin9.org/de 45
Betriebssystems zu kontrollieren. Schauen wir uns also ein-
mal an, was die Virenschreiber hier umgesetzt haben.
Das Modul, das dem BIOS hinzugefgt wird, unterschei-
det sich von dem infizierten MBR und den nachfolgenden
Sektoren nur durch eine Funktion, die zusammen mit zu-
stzlichen Informationen in einem Sektor untergebracht ist
(512 Byte). Das ISA ROM belegt 0x1E00 Byte, der MBR
und zustzliche Sektoren 0x1C00 Byte.
Die einzige Aufgabe dieser Funktion besteht darin, zu
besttigen, dass sich im MBR eine infizierte Kopie befin-
Abbildung 8. Aufruf der einzigen Funktion Main im ISA ROM
Abbildung 9. Funktion Main, die den MBR berprft und neu infziert
12/2011 46
kASpErSkY LAB
det beziehungsweise den MBR zu infizieren, wenn die
Kopie nicht vorhanden ist. Da sich der infizierte MBR und
die entsprechenden Sektoren im Modul ISA ROM befin-
den, ist es mglich, im Falle einer Nichtbereinstimmung
den MBR direkt aus dem BIOS neu zu infizieren. So wer-
den die Chancen deutlich verbessert, dass der Computer
infiziert bleibt, selbst wenn der MBR desinfiziert wurde.
Ob eine Infektion vorhanden ist, wird mittels einer Su-
che nach der magischen Konstante nach der fixierten
Verschiebung im MBR bestimmt. Die Konstante int1
sollte im infizierten Sektor vorhanden sein.
Findet die Funktion CheckMBRInfected im Master
Boot Record keine Infektion, besteht der nchste Schritt
darin, den MBR und die 13 darauf folgenden Sektoren
zu infizieren.
Damit ist die Arbeit des dem BIOS hinzugefgten Mo-
duls ISA ROM beendet. Die Hauptarbeit bernimmt der
Code, der aus dem MBR ausgefhrt wird.
MBr
In allen anderen Fllen von Infektionen des MBR, die
wir betrachtet haben, ist der Algorithmus fast immer
gleich: zhlen der auf den MBR folgenden Sektoren und
bergabe der Steuerung an den errechneten Code, der
auch die Hauptarbeit bernimmt.
Der Original-MBR wird von dem Trojaner bei der In-
fizierung im siebten Sektor der Festplatte gespeichert
und zum Empfang der Partitionstabelle verwendet (und
zur bergabe der Steuerung an ihn, sobald die Haupt-
arbeit beendet ist).
Zu dem Code, der auf dieser Etappe ausgefhrt wird,
gehrt auch ein einfacher Disassembler der Dateisys-
temformate NTFS und FAT32. Das Hauptziel ist eine
Suche nach den Sektoren auf der Festplatte, die den
Systemdateien winlogon.exe oder wininit.exe entspre-
chen Systemkomponenten, die dafr verantwortlich
sind, dass der Anwender ins System kommt.
Findet der Schdling diese Sektoren, wird die aus-
fhrbare Datei winlogon.exe oder wininit.exe infiziert
genauso wrde es auch ein Dateivirus machen. Das
geschieht durch einen direkten Eintrag in die Sektoren
der Festplatte, auf denen sich die Dateien befinden. Die
Schablone fr die Infizierung befindet sich im achten
Sektor der Festplatte.
Dieser Code ist recht klein, daher erfllt er insgesamt
nur zwei Aufgaben:
Abbildung 10. Magische Konstante im MBR
Abbildung 11. Suche nach winlogon.exe oder wininit.exe
MYBIOS Lsst sich das BIOS infizieren?
hakin9.org/de 47
Download und Start einer bestimmten Datei aus
dem Internet anhand eines Links
Start des Rootkit-Treibers my.sys, der sich auf der
FestplatteC:befndetundderdieinfziertenSekto-
ren der Festplatte schtzen wird
Aword statt AWArd
Im Schadcode stehen selten Debug-Kommentare, da
sie fr Virenanalysten hilfreich sein knnten. Doch es
kommt vor, dass solche Kommentare im Endprodukt
landen. Im Fall von Rootkit.Win32.Mybios.a enthalten
sie viele Schreibfehler.
Liste der Debug-Mitteilungen des Treibers bios.sys:
FlashAword BIOS form diks c bios.bin success.
SMI_AutoEraseAword Bios Failed.
ExAllocatePoolreadfleNonPagedPoolfailed.
BackupAword BIOS to disk c bios.bin success.
MmMapIoSpacephysics address:0x%x failed.
ThisisnotaAword BIOS!
fazit
Malware setzt hufig verschiedene Methoden ein, um
sich im Betriebssystem einzunisten und den Compu-
terzuinfizieren.GleichzeitigsuchenihreAutorennach
neuen Mglichkeiten zum automatischen Laden der
Schadprogramme. Heute verwenden die Virenschrei-
ber in ihren Produkten zumeist Methoden, die schon
lange bekannt und manchmal fast schon vergessen
sind. Die Anleihen aus den heute nicht mehr existen-
ten 16-Bit-Technologien sind ein extremes Beispiel da-
fr.
Vermutlich lassen hnliche Rootkits fr das BIOS an-
derer Hersteller nicht mehr lange auf sich warten.
Abbildung 13. Eintrittspunkt von winlogon.exe nach der Infzierung
Abbildung 12. Eintrittspunkt von winlogon.exe vor der Infzierung
Recommended Companies
SEC Consult
SEC Consult ist der fhrende Berater
fr Information Security Consulting in
Zentraleuropa. Die vollstndige Unab-
hngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
ssen externe/interne Sicherheitsaudits,
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
SEC Consult
Tele-Consulting GmbH
Vom BSI akkreditiertes Prfabor fr IT-
Sicherheit, hakin9 und ct Autoren, jah-
relange Erfahrung bei der Durchfhrung
von Penetrationstests und Security-Au-
dits, eigener Security Scanner tajanas,
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte
ISO 27001-Auditoren, VoIP-Planung
und -Security
www.tele-consulting.com
B1 Systems
Die B1 Systems ist international ttig
in den Bereichen Linux/Open Source
Consulting, Training und Support. B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster.
info@b1-systems.de
www.b1-systems.de
Blossey & Partner
Consulting Datenschutzbro
Datenschutz ist EU-weit gesetzliche An-
forderung. Wir sorgen fr die Erfllung
rechtlicher Vorschriften und kmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen,
auch international. Wir erledigen alle er-
forderlichen Aufgaben, die Fden behal-
ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgesprch.
www.blossey-partner.de
secXtreme GmbH
schtzt Ihre Web-Anwendungen bis
auf Applikationsebene. Dazu gehrt
sowohl die Prfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fr Sicherheit im
Entwicklungsprozess und Schutzl-
sungen (Web Application Firewalls) bei
Grounternehmen und dem gehobenen
Mittelstand.
www.sec-Xtreme.com
Mabunta
Die mabunta GmbH agiert als hoch-
spezialisierter und kompetenter Partner
rund um IT-Security- und Netzwerk-L-
sungen. Wir untersttzen bei IT-Sicher-
heitsfragen in allen Unternehmens-
bereichen, verbinden Wachstum mit
sicherer Kommunikation.
Alles in allem- mabunta one-face-to-
the-customer, Ihr Spezialist in Fragen
der IT-Sicherheit.
www.mabunta.de
Recommended Companies
SecureNet GmbH, Mnchen
Als Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen: Anwendungs-Pentests, Sour-
cecodeanalysen, Secure Coding Gui-
delines, Beratung rund um den Software
Develoment Lifecycle. Tools: Application
Firewalls, Application Scanner, Fortify
SCA/Defender/Tracer.
www.securenet.de
underground_8
secure computing gmbh
Wir entwickeln und vertreiben securi-
ty appliances fr die Bereiche Unifed
Threat Management, Traffc Shaping
und Antispam. Unsere Lsungen sind
hardwarebasiert und werden ber Dis-
tributoren, Reseller und Systemintegra-
toren implementiert und vertrieben.
www.underground8.com
OPTIMAbit GmbH
Wir sind Spezialisten fr Entwicklung
und Security. Wir sichern Java, .NET
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Dien-
ste umfassen Audits, Code Reviews,
Penetrationstest, sowie die Erstellung
von Policies. Zustzlich bieten wir Semi-
nare zu sicherheitsrelevanten Themen.
www.optimabit.com
m-privacy GmbH
IT-Sicherheitslsungen funktional und
einfach zu bedienen!
So prsentieren sich die von m-privacy
entwickelten TightGate-Server, z.B.
TightGate-Pro mit Datenschutz-G-
tesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
gezielten Angriffen!
www.m-privacy.de
NESEC
NESEC ist Ihr Spezialist fr Penetra-
tionstests, Sicherheitsanalysen und
IT-Security Counsulting. Das NESEC
Pentest-Team untersttzt Sie bei Si-
cherheitsprfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
Mitarbeiter und zertifzieren Ihr Unter-
nehmen nach ISO 27001.
www.nesec.de
Seed Forensics GmbH
Die Seed Forensics GmbH bietet
fr Strafverfolgungsbehrden profe-
ssionelle Untersttzung in den
Bereichen der Datensicherstellung
und Datentrgerauswertung. Selbst-
verstndlich entsprechen unsere
Mitarbeiter, unser technisches Equip-
0ment und auch unsere Rumlichkeiten
den notwendigen Anforderungen.
www.seed-forensics.de
Protea Networks
Protea ist spezialisiert auf IT-Security-
Lsungen: Verschlsselung, Firewall/
VPN, Authentifzierung, Content-Filte-
ring, etc. Wir bieten umfassende Bera-
tung, Vertrieb von Security-Hard- und
Software, Installation und umfangreiche
Dienstleistungen (z. B. Konzeption, Trai-
nings). Protea setzt auf Lsungen der
Markt- und Technologiefhrer und hlt
dafr direkten inhouse-Support bereit.
www.proteanetworks.de
secadm
secadm ist durchtrainierter Spezialist fr
Airbags, ABS und Sicherheitsgurte in der
IT. Zehn IT-Sicherheitsexperten mit 70
Mannjahren Erfahrung beraten, entwi-
ckeln und implementieren IT-Lsungen
fr Kunden weltweit. Der Fokus liegt da-
bei auf Themen wie Prozess-Optimierung
und Security-Management. Risiko-Analy-
se, die Sicherheitsberatung, Auditing, Se-
curity-Leitfden, Software-Entwicklung,
Reporting bis zum Training.
www.secadm.de
Datenschutz ist EU-weit gesetzliche Anforde-
rung. Wir sorgen fr die Erfllung rechtlicher
Vorschriften und kmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen, auch international.
www.blossey-partner.de
Recommended Sites
Securitymanager.de ist eine Produktion des
Online-Verlag FEiG & PARTNER. Seit dem
Start hat sich Securitymanager.de zu einem
fhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhngiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de
Pericom base camp IT-Security: Unser Ziel ist
es, unsere Kunden vor mglichen Gefahren
fr Ihre IT-Infrastruktur bestmglich zu scht-
zen. Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir, durch
die Implementierung von Security-Lsungen,
Schutz vor konkreten Gefahren.
www.pericom.at
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges, IT-Quiz, Web-Bibliothek, Multi-
media-Center & vielen weiteren Features.
www.happy-security.de
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfgung: Nutzer
knnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen. Es knnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingerumt und somit ein sicherer Daten-
austausch ermglicht werden.
www.cloudsafe.com
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhngigen Testhuser
fr Antiviren-Software.
www.av-comparatives.org
Die Seed Forensics GmbH bietet fr Strafver-
folgungsbehrden professionelle Untersttzung
in den Bereichen der Datensicherstellung und
Datentrgerauswertung. Selbstverstndlich
entsprechen unsere Mitarbeiter, unser tech-
nisches Equipment und auch unsere Rumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten gengen Stoff fr kommende
Administratoren und Netzwerkprofs.
www.easy-network.de
Hier fndest Du alles, was das Herz eines
Computerfreaks hher schlagen lsst: Geek
Wear mit intelligenten Sprchen, eine riesige
Auswahl Gadgets und natrlich auch viele
Hacker Tools.
www.getDigital.de
Datenschutz ist EU-weit gesetzliche Anforde-
rung. Wir sorgen fr die Erfllung rechtlicher
Vorschriften und kmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen, auch international.
www.blossey-partner.de
Recommended Sites
Securitymanager.de ist eine Produktion des
Online-Verlag FEiG & PARTNER. Seit dem
Start hat sich Securitymanager.de zu einem
fhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhngiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de
Pericom base camp IT-Security: Unser Ziel ist
es, unsere Kunden vor mglichen Gefahren
fr Ihre IT-Infrastruktur bestmglich zu scht-
zen. Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir, durch
die Implementierung von Security-Lsungen,
Schutz vor konkreten Gefahren.
www.pericom.at
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges, IT-Quiz, Web-Bibliothek, Multi-
media-Center & vielen weiteren Features.
www.happy-security.de
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfgung: Nutzer
knnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen. Es knnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingerumt und somit ein sicherer Daten-
austausch ermglicht werden.
www.cloudsafe.com
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhngigen Testhuser
fr Antiviren-Software.
www.av-comparatives.org
Die Seed Forensics GmbH bietet fr Strafver-
folgungsbehrden professionelle Untersttzung
in den Bereichen der Datensicherstellung und
Datentrgerauswertung. Selbstverstndlich
entsprechen unsere Mitarbeiter, unser tech-
nisches Equipment und auch unsere Rumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten gengen Stoff fr kommende
Administratoren und Netzwerkprofs.
www.easy-network.de
Hier fndest Du alles, was das Herz eines
Computerfreaks hher schlagen lsst: Geek
Wear mit intelligenten Sprchen, eine riesige
Auswahl Gadgets und natrlich auch viele
Hacker Tools.
www.getDigital.de
base-camp IT-Security & Solutions: Unser
Ziel ist es, unsere Kunden vor mglichen
Gefahren fr Ihre IT-Infrastruktur bestmglich
zu schtzen. Neben der Analyse von Risiko-
potentialen durch Security Audits bieten wir,
durch die Implementierung von Security-
Lsungen, Schutz vor konkreten Gefahren.
www.base-camp.cc