von Bruce Schneier
Gründer und CTO
Counterpane Internet Security, Inc.
schneier@counterpane.com
<http://www.counterpane.com/>
Ein kostenloser monatlicher Newsletter mit Zusammenfassungen, Analysen, Einsichten und Kommentaren über Computersicherheit und Kryptographie.
Ältere Ausgaben und die Möglichkeit des Abonnements stehen hier zur
Verfügung:
<http://www.schneier.com/crypto-gram.html>
Deutsche Übersetzung von Holger Hasselbach, galad.com
mit freundlicher Erlaubnis der Counterpane Internet Security, Inc.
h.hasselbach@galad.com
<http://www.galad.com/>
Dies ist keine vollständige Übersetzung des Newsletters. Nicht übersetzte
Teile enthalten einen Link auf das Original.
Stand: 26.11.2001
Alle Übersetzungen stehen hier zur Verfügung:
<http://archiv.galad.com/cg/cg.htm>
Copyright (c) 2001 by Counterpane Internet Security, Inc.
Copyright (c) dieser deutschen Übersetzung 2001 by galad.com
In dieser Ausgabe:
Ich habe eine Menge News-Artikel über "Cyberterrorismus" gesehen. Einige haben den Nimda-Wurm als eine Form des Cyberterrorismus beschrieben. Diese Artikel mahnen die Leser, ihre Antiviren-Software und die Firewalls auf dem aktuellen Stand zu halten, um den Cyberterrorismus zu bekämpfen, weil wir zukünftig noch mehr Website-Defacements und Viren als Teil von cyberterroristischen Angriffen sehen werden.
Betrachten wir das realistisch. Sicherlich sollte man alle seine Sicherheitsprodukte auf dem aktuellen Stand halten. Aber wogegen sie schützen, und was wir hier sehen, ist Cyberhooliganismus: das Cyber-Äquivalent einer telefonischen falschen Bombendrohung und des Werfens von toten Ratten auf Turbanträger. Es ist schrecklich, es ist verabscheuungswürdig, es vursacht ernsthaften Schaden und es sollte gestoppt werden.
Aber man sollte es nicht mit einem Phantasienamen schmücken, und man sollte nicht die Gefahren des wirklichen Terrorismus bagatellisieren. Wirklicher Cyberterrorismus wird es sein, wenn jemand den Stecker vom Internet oder dem Telefonsystem zieht, unwiderruflich Computer und Daten zerstört, oder kritische Systeme unterbricht und dadurch den Verlust von Leben verursacht.
Gegen diese Art von Vorfällen schützt man sich, indem man gute (und getrennt gelagerte) Backups vorhält, indem man sicherstellt, dass man nicht seine Geschäfte aufgeben muss, wenn das Internet für eine Woche ausfällt, und indem man die Redundanz und die Zuverlässigkeit seiner Internet-Verbindung und des Internets als Ganzem erhöht.
Und während Sie Ihre Backups überprüfen (Sind alle Ihre Daten wirklich auf diesen Bändern? Wo sind sie überhaupt? Wie würden Sie sie zurücklesen, wenn Ihr Computer kein Betriebssystem mehr hätte, oder wenn Sie nicht mal mehr einen Computer hätten?), herausfinden, wie redundant Ihre Netzwerk-Verbindungen wirklich sind, und Ihre Antiviren-Software und Ihre Firewall auf den aktuellen Stand bringen, wie wäre es mit einer insgesamten Überprüfung Ihrer Katastrophenpläne?
Wann haben Sie zuletzt ernsthaft eine Evakuierungsübung für den Brandfall durchgeführt?
Dieses Essay wurde von Elizabeth Zwicky verfasst.
Ich schreibe dies inmitten zahlreicher Spekulationen über Anthrax-verseuchte Briefe, die in den Vereinigten Staaten verschickt werden. An diesem Punkt wissen wir nicht, ob dies 1) ein bizarrer Vorfall ohne weiteren Zusammenhang, 2) ein schlimmer terroristischer Angriff, oder 3) ein Feldtest für einen zukünftigen terroristischen Angriff ist. Ich hoffe auf das erste, so weithergeholt es klingen mag, und ich bin über das dritte besorgt.
Einige Minuten der Spekulation sollten genug sein, um jeden davon zu überzeugen, dass wir die Vereinigten Staaten, geschweige denn die Welt, nicht vor dem Terrorismus schützen können. Es spielt keine Rolle, was für drakonische Gesetze zur Terrorismusbekämpfung wir erlassen, wie viele Bürgerrechte wir opfern oder wo wir bewaffnete Wachen hinstellen. Wir können innerhalb eines Landes den Terrorismus nicht stoppen. Wir können ihn nicht an den Grenzen abblocken. Wir sind immer gefährdet gewesen, und wir werden es immer sein.
Der einzige Weg mit dem Terrorismus fertig zu werden ist es, ihn an der Quelle auszurotten: Terroristen und terroristische Organisationen an der Wurzel auszureissen und zu zerstören. In diesem Sinn ist Präsident Bushs Kampagne gegen den Terrorismus die korrekte Handlungsweise. Aber um erfolgreich zu sein, benötigt eine Kampagne zur Terrorismusbekämpfung zwei Komponenten: in der Strafverfolgung und in der Politik. Es wird das Problem nicht lösen, lediglich existierende Terroristen festzunehmen und zu verurteilen, ohne das geopolitische Klima anzusprechen, das diese Terroristen in erster Linie hervorbrachte. Dies ist die Lektion, die die Briten in Nordirland lernten, und die Lektion, die die Israelis bisher in ihrem eigenen Land nicht gelernt haben. Um Bushs Metapher des "Krieg gegen den Terrorismus" zu benutzen -- so fehlerhaft wie sie ist -- dies entspricht dem Gewinnen des Kriegs und dem Gewinnen des Friedens.
Wir müssen beides machen.
Es ist viel über die verschiedenen Anti-Terror-Gesetzgebungen der U.S.A.
geschrieben worden, sowohl hinsichtlich der Effektivität als auch der
Auswirkungen auf die Bürgerrechte. ACLU hat einen exzellenten tabellarischen
Vergleich der verschiedenen dem Kongress vorgelegten Gesetzentwürfe
erstellt:
<http://www.aclu.org/congress/patriot_chart.html>
Kommentar vom CDT:
<http://www.cdt.org/security/011008cdt.pdf>
Kommentar in der Gestalt einer Parodie:
<http://www.theonion.com/onion3736/freedoms_curtailed.html>
Weitere Kommentare zu dieser Situation und ihrer Implikationen für die
Sicherheit:
<http://www.cl.cam.ac.uk/~rja14/wtc.html>
Einige Tage vor dem Angriff auf das World Trade Center veröffentlichte Senator Hollings Amt einen Gesetzentwurf, der die nächste Salve im Krieg um das digitale Copyright repräsentiert. Bezeichnet als SSSCA (Security Systems Standards and Certification Act), macht er die Herstellung oder den Verkauf jeder Art von Computerequipment, das "keine zertifizierten Sicherheitstechnologien beinhaltet und einsetzt", die von der U.S.-Regierung zugelassen wurden, zum Verbrechen.
Bevor ich darauf eingehe, wie lächerlich diese Auflagen wirklich sind, möchte ich über die Situation sprechen, die die Unterhaltungsindustrie zu solchen verzweifelten Maßnahmen verleitet.
Digitale Dateien können kopiert werden. Nichts was jemand sagen oder machen kann, kann daran etwas ändern. Wenn man einen Eimer Bits hat, kann man einfach einen identischen Eimer mit Bits erstellen und ihn mir geben. Man hat weiterhin die Bits, und ich habe die Bits ebenfalls. Ich habe dies bereits früher im Detail erläutert.
Ein Kopierschutz auf Softwarebasis funktioniert nicht. Er funktioniert nicht, um Software-Piraterie zu verhindern. Er funktioniert nicht, um das Kopieren von digitaler Musik, Videos etc. zu verhindern. Dies habe ich ebenfalls bereits früher erläutert.
Kopierverhinderung ist leichter, aber dennoch nicht narrensicher, wenn man den Verhinderungsmechanismus auf die Hardware ausdehnt. Wenn es einen Software-Decoder gibt, der bei Bezahlung durch den Benutzer den digitalen Film entschlüsselt, kann der Benutzer immer ein Tool schreiben, um den digitalen Videostream nach seiner Entschlüsselung abzufangen. Aber wenn die Entschlüsselung in den Lautsprechern und im Monitor passiert, wird dies sehr viel schwieriger. Diese allgemeine Regel erklärt, warum der Hack eines Software-Videoplayers einfacher ist als der eines DVD-Geräts. Es ist immer möglich, den Inhalt am Ausgabegerät abzufangen -- z.B. den Ton aus den Lautsprechern neu aufzunehmen -- aber es wird keine perfekte digitale Kopie sein.
Der SSSCA versucht, die Kopierverhinderung in die Ausgabegeräte zu drücken. Er macht den Verkauf von Computern ohne industriell bewährte Kopierverhinderung illegal. Er macht freie und offene Betriebssysteme (wie Linux) illegal, wenn die Implementierung des Kopierschutzes verweigert wird. Er beschränkt den Fair Use, und im Wesentlichen stellt er die Computerindustrie unter die Kontrolle der Unterhaltungsindustrie.
Er ist irrsinnig.
Ich habe lange erörtert, dass die Unterhaltungsindustrie nicht möchte, dass die Leute Computer haben. Computer geben den Benutzern zu viele Möglichkeiten, zu große Flexibilität, zu viel Freiheit. Die Unterhaltungsindustrie möchte, dass die Benutzer sich zurücklehnen und die Dinge konsumieren. Sie möchten den Computer in eine Internet-Unterhaltungs-Plattform umwandeln, in einer Linie mit dem Fernseher und dem Videorekorder. Diese Vorlage ist ein großer Schritt in diese Richtung. Die Unterhaltungsindustrie wird diese Vorlage benutzen, um Fair Use, freie Meinungsäußerung und Sicherheitsforschung weiter zu unterhöhlen.
Diejenigen die meinen ich sei ein Schwarzseher, müssen lediglich auf die Auswirkungen des DMCAs schauen. Die Unterhaltungsindustrie (und die sie unterstützenden Softwarefirmen) hat dieses Gesetz so weit durchgedrückt wie sie nur konnte. Sie benutzten das Gesetz als Drohung gegen einen Professor der Computerwissenschaften in dem Bemühen, ein Stück Forschung zu zermalmen. Sie benutzten das Gesetz zur Verhaftung eines ausländischen Programmierers auf Besuch in den Vereinigten Staaten. Sie benutzten das Gesetz zur Verhinderung der Publikation eines Zeitschriften-Artikels. Sie benutzten das Gesetz zur Schikanierung der Computerindustrie und zum Verbreiten von Angst, Unsicherheit und Zweifel bei Forschern und Firmen. Wenn Sie nicht glauben, dass sie dieses neue Gesetz zur Änderung der Art und Weise einsetzen, wie die Computerindustrie arbeitet, dann schenken Sie der Geschichte keine Beachtung.
Eine der Nebeneffekte des 11. Septembers ist, dass der Kongress sich nicht zu sehr um irgend etwas anderes sorgt. Der SSSCA scheint für jetzt verschoben zu sein. Es ist totzdem wichtiger wachsam zu sein, weil jemand die Ablenkung der Nation ausnutzen könnte, um die Vorlage durch die Gesetzgebung zu schmuggeln.
Frühere Crypto-Gram Essays über den Schutz des digitalen Copyrights:
<http://www.schneier.com/crypto-gram-0108.html#7>
<http://www.schneier.com/crypto-gram-0105.html#3>
Zukünftige Geschichte vom Discover-Magazin:
<http://www.discover.com/feb_01/gthere.html?article=featnapster.html>
News über den SSSCA:
<http://www.wired.com/news/politics/0,1283,46655,00.html>
<http://216.110.42.179/docs/hollings.090701.html>
<http://www.wired.com/news/politics/0,1283,46671,00.html>
<http://www.theregister.co.uk/content/4/21830.html>
<http://news.cnet.com/news/0-1005-200-7123464.html>
Meinungen:
<http://www.eff.org/IP/SSSCA/20010926_usacm_hollings_letter.html>
<http://www.linuxplanet.com/linuxplanet/opinions/3813/1/>
<http://www.eff.org/alerts/20010921_eff_sssca_alert.html>
Ich überlegte, darüber überhaupt nicht zu schreiben, weil es hier nur wenig wirkliche "Neuigkeiten" gibt. Nimda ist ein weiterer selbstverbreitender Wurm, entlang der Linien von Code Red. Er infiziert nur Computer mit Windows und einer der Anwendungen Outlook, Outlook Express, Internet Explorer oder IIS. Nimdas Verbreitungsmechanismus nutzt mehrere Sicherheitslücken aus; er kombiniert die Infektionstricks von Code Red und SirCam und bindet einige klevere neue Ideen ein. Und er ist der erste Wurm, der Server- und Workstation-Angriffe kombiniert, was seine Ausrottung sehr schwierig macht.
Seine Entfernung war für viele Unternehmen eine große Sache, verschlimmert durch den allgemeinen Stresspegel, der den terroristischen Angriffen des 11. September folgte. (Nimda wurde exakt eine Woche, nahezu auf die Minute, nach dem Angriff auf das World Trade Center freigesetzt.)
Was ich interessant fand war, dass der am häufigsten vorgeschlagene Wiederherstellungs-Mechanismus nicht immer funktionierte. Die Neuinstallation des Betriebssystems löscht nicht immer alle Dateien, und manchmal kann der Wurm auf der Platte verbleiben und zurück ins Leben kommen. Um wirklich sicher zu sein, dass alle Microsoft-Würmer und -Viren gelöscht wurden, musste man die Festplatte vor dem Zurückspielen des Backups neu formatieren. Dieses Problem zeigt sich jedesmal, wenn ein Windowssystem mit irgend etwas infiziert wird, ist aber mit Nimda besonders akut, weil er so viele Teile des Betriebssystems berührt.
Außer diesen Leckerbissen habe ich nicht viel neues in Nimda gesehen. Wenn es dabei irgendeine Lektion gibt, dann die dass die Leute, die diese Dinge schreiben, von ihren Vorgängern lernen. Auf der Plus-Seite hat die Sicherheits-Community ebenfalls gelernt und schneller auf diese Bedrohung geantwortet. Trotzdem sollte man erwarten, dass der nächste selbstverbreitende Wurm sogar noch garstiger ist.
Counterpanes Sicherheitsalarm, mit detaillierten Instruktionen für die
Entfernung (drei verschiedene Optionen) und Abwehrmöglichkeiten:
<http://www.schneier.com/alert-nimda.html>
News-Artikel:
<http://www.wired.com/news/technology/0,1282,46944,00.html>
<http://news.cnet.com/news/0-1003-200-7228511.html>
<http://news.cnet.com/news/0-1003-200-7239193.html>
<http://news.cnet.com/news/0-1003-200-7250546.html>
Steganography: Truths and Fictions:
<http://www.schneier.com/crypto-gram-9810.html#steganography>
Memo to the Amateur Cipher Designer:
<http://www.schneier.com/crypto-gram-9810.html#cipherdesign>
So, You Want to be a Cryptographer:
<http://www.schneier.com/crypto-gram-9910.html#SoYouWanttobeaCryptographer>
Key Length and Security:
<http://www.schneier.com/crypto-gram-9910.html#KeyLengthandSecurity>
Semantic Attacks:
<http://www.schneier.com/crypto-gram-0010.html#1>
NSA on Security:
<http://www.schneier.com/crypto-gram-0010.html#7>
Die Beseitung jeder Sicherheitslücke des Computers ist unmöglich. Sogar die Erwartung, dass jeder verfügbare Sicherheitspatch installiert wird, ist unangemessen. In Erkenntnis dessen hat SANS letztes Jahr ihre "Top 10"-Liste der Sicherheitslücken herausgebracht. Wenn man nicht alles beseitigen kann, sollte man zumindest diese beseitigen. Auch wenn man plant, alles zu beseitigen, sollten diese zuerst beseitigt werden.
Dies ist eine großartige Sache, und ich bin erfreut, dass SANS vor kurzem die Liste aktualisierte. Jetzt ist es eine "Top 20", unterteilt in allgemeine Lücken, Windows-Lücken und UNIX-Lücken. Ich bitte Systemadministratoren dringend, die Liste zur Prioritätensetzung in ihren Sicherheitsaktivitäten zu benutzen.
Ich weiß, dass dies nicht einfach ist. Die Änderung von Systemkonfigurationen und die Validierung von Softwarepatches ist speziell in den heutigen komplexen Netzwerken und Anwendungsumgebungen ein riskanter und zeitraubender Prozess. Dies ist einer der Gründe, warum so viele Leute, die es "besser wissen", nicht immer ihre Systeme updaten. Aber selbst wenn man nicht alle Patches installiert die man sollte, sollte man bedenken dass Echtzeit-Monitoring sofort die Sicherheit substanziell verbessert. Wenn Counterpane bei Ihnen Monitoring anwendet, können wir Sie benachrichtigen, wenn Angreifer auf der Suche nach diesen Problemstellen sind.
SANS spricht dies in Sicherheitslücke G6 an: "Nichtexistentes oder unvollständiges Logging." Gemäß dem SANS-Dokument: "Jede Woche werden neue Sicherheitslücken entdeckt, und es gibt sehr wenig Wege, sich selbst gegen einen Angreifer zu wehren, der eine neue Lücke ausnutzt.... Man kann keinen Angriff feststellen, wenn man nicht weiß was im Netzwerk vor sich geht. Logs bieten die Details über das was vorgeht, welche Systeme angegriffen werden und welche Systeme kompromittiert worden sind."
Das ist der Punkt von Counterpane. Das SANS-Dokument sagt: "Ohne Logs hat man nur geringe Chancen, die Taten eines Angreifers zu entdecken." Der nächste Schritt ist: Wenn man diese Logs in Echtzeit untersucht, 24 Stunden am Tag und sieben Tage die Woche, wird man herausfinden, was der Hacker JETZT MACHT. Dies ist was Counterpane macht, und warum uns so viele Firmen als integralen Teil ihrer Sicherheit benutzen.
Wenn Sie bereits ein Counterpane Monitoring-Kunde sind, können Sie sich unmittelbar vor einigen der SANS Top 20-Sicherheitslücken schützen, indem Sie die Zahl der von uns überwachten Geräte erhöhen. Zusätzlich zu den Firewalls, Routern und Intrusion Detection Systemen, die Sie bereits durch Counterpane überwachen lassen, sollten Sie es in Betracht ziehen, Authentisierungssysteme (RADIUS, TACACS oder SecurID-Server; Windows Domaincontroller; etc.), Backupserver des Unternehmens, Windows Domaincontroller und Server zur Netzwerküberwachung zu Ihrer Überwachungs-Infrastruktur hinzuzufügen, indem Sie deren Logdaten zur Counterpane Sentry leiten. Je mehr wir überwachen, desto besser können wir unserem Job nachkommen, Eindringlinge aufzuspüren. Und das ohne zusätzliche Kosten.
Wenn Sie Intrusion Detection- und Antiviren-Systeme eingesetzt haben, sollten Sie sicherstellen, dass Ihre Detection-Signaturen auf dem aktuellen Stand und an ihre Umgebung angepasst sind. Wenn Sie individuelle Signaturen für Ihre IDS entwickelt haben, informieren Sie Counterpane darüber, um uns die effektivere Überwachung zu ermöglichen.
Wenn Sie kein Counterpane-Kunde sind, sind Sie auf sich allein gestellt. Tun Sie das Beste was Sie können.
Die SANS Top 20 Liste:
<http://66.129.1.101/top20.htm>
News-Artikel:
<http://www.theregister.co.uk/content/55/22010.html>
<http://cgi.zdnet.com/slink?147862:8469234>
<http://www.wired.com/news/technology/0,1282,47244,00.html>
Echelon:
<http://www.theregister.co.uk/content/55/21680.html>
Firmen haben Furcht vor Cyberterrorismus:
<http://cgi.zdnet.com/slink?140433:8469234>
Ein weiterer semantischer Angriff. Die Yahoo News-Website wurde gehackt und
eine Story geändert.
<http://cnn.com/2001/TECH/internet/09/25/yahoo.hacked.ap/index.html>
<http://www.msnbc.com/news/631231.asp?0dm=T21AT>
<http://news.cnet.com/news/0-1005-200-7238972.html?tag=prntfr>
Einigermaßen cleveres Computer-Sicherheitsprogramm:
<http://hts.dshield.org/LaBrea/>
DSL-Heimbenutzer mit schlechter Sicherheit werden von ihren ISPs abgeschaltet:
<http://www.wired.com/news/business/0,1367,47037,00.html>
Und ein weiterer CD-Kopierschutz, der zum Versagen verdammt ist:
<http://news.cnet.com/news/0-1005-200-7299321.html>
Erinnern Sie sich an die letztes Jahr aus Bletchley Park gestohlene Enigma?
Jemand wurde letztendlich verhaftet, aber es gibt weiterhin keine Informationen
über die vermissten Rotoren.
<http://news.bbc.co.uk/hi/english/uk/england/newsid_1564000/1564878.stm>
Neuseeland denkt an eine DMCA-ähnliche Gesetzgebung:
<http://www.med.govt.nz/buslt/int_prop/digital/>
Als Nachwirkung der terroristischen Angriffe hat die NSA ihr kryptographisches
Museum geschlossen:
<http://www.nsa.gov/museum/map.html>
Eine Untersuchung weist darauf hin, dass über 150.000 unter Microsofts IIS
laufende Websites abgeschaltet worden sind, sehr wahrscheinlich als Ergebnis von
Code Red oder Nimda.
<http://www.vnunet.com/News/1125766>
Es ist kein Wunder, dass Gartner den Leuten geraten hat, Microsofts IIS aufgrund
der Sicherheitsprobleme nicht zu benutzen, bis er komplett neu geschrieben ist:
<http://news.cnet.com/news/0-1003-201-7239473-0.html?tag=nbs>
Das beste Zitat ist die folgende Untertreibung: "...der gesicherte Einsatz
von am Internet hängenden IIS Webservern hat eine hohe Cost of Ownership."
Vermutlich als Reaktion darauf hat Microsoft eine neue Initiative zur
Verbesserung der Sicherheit angekündigt. Das meiste davon klingt wie der übliche
PR-Unsinn, den man von Microsoft erwarten würde: viel Gerede und wenig Action.
Aber wenn sie tatsächlich Produkte mit sicheren Default-Installationen
herausbringen, ist dies ein großer Gewinn.
<http://www.microsoft.com/security/>
<http://news.cnet.com/news/0-1003-200-7396207.html>
<http://www.theregister.co.uk/content/55/22027.html>
Eine andere Meinung schlägt vor, dass Microsoft Outlook verboten werden
sollte.
<http://cgi.zdnet.com/slink?145774:8469234>
Zero Knowledge schließt ihren Anonymisierungs-Service.
<http://slashdot.org/articles/01/10/04/1526256.shtml>
Hat irgendjemand wirklich geglaubt, dass Microsofts Passport sicher ist?
<http://techupdate.zdnet.com/techupdate/stories/main/0,14179,2814881,00.html>
Sogar nachdem Microsoft diese spezifischen Probleme beseitigt hat, glaubt
irgendjemand wirklich daran, das es sicher sein wird?
Makroviren-Schutz in der Microsoft Office Produktlinie (zwei Teile):
<http://www.securityfocus.com/cgi-bin/infocus.pl?id=1468>
<http://www.securityfocus.com/cgi-bin/infocus.pl?id=1484>
Ein Jahr alter Artikel mit zugehörigen Informationen: Understanding Macro Viruses
<http://www.securityfocus.com/cgi-bin/infocus.pl?id=1278>
Einige weitere Details sind im Fall Scarfo aufgetaucht.
<http://www.epic.org/crypto/scarfo/murch_aff.pdf>
Für die die nicht folgen können, Scarfo ist ein mutmaßliches Mafiamitglied, das
zum Schutz seiner Konversationen verschlüsselte E-Mail eingesetzt hat. Das FBI
hat seinen Computer angezapft, um seinen privaten Schlüssel herauszubekommen und
seine verschlüsselten E-Mails lesen zu können. Unter der Anführung aller möglichen
Sicherheitsgründe versuchte das FBI, während des Gerichtsverfahrens die Offenlegung
von Details über die Arbeitsweise ihrer Anzapfung zu vermeiden. Laut dieses neuen
Dokuments ist es wahrscheinlich, dass der Tastatur-Logger ein Stück Software ist
(und nicht Hardware). Und es sieht so aus, als hätten sie über die Title III
Abhörverordnungen nachgedacht und diesen Tastatur-Logger entwickelt, um nicht damit
in Konflikt zu geraten.
Die U.S.A. haben eine neue Dienststelle für Cyberspace-Sicherheit, die an
den Leiter des neu gebildeten Office of Homeland Security berichtet. Richard
Clarke, der über ein Jahrzehnt als Chef der Terrorismusbekämpfung im Weißen Haus
diente, ist der Leiter dieser neuen Dienststelle für Cyberspace-Sicherheit. Aber
weil das Office of Homeland Security keine wirkliche Macht hat, irgendetwas zu
machen, frage ich mich wie effektiv das Office of Cyberspace Security wirklich
sein wird. Bedauernswerterweise, da die U.S.A. mehr Cyberspace-Sicherheit gut
gebrauchen könnten.
<http://www.wired.com/news/conflict/0,2100,47403-2,00.html>
Schneier spricht auf den folgenden Konferenzen:
Open Group Conference in Amsterdam am 22.10.:
<http://www.opengroup.org/conference>
Red Herring NDA 2000 in Dana Point, CA am 29.10.:
<http://events.redherring.com/>
E-CFO Konferenz in San Francisco, CA am 30.10.:
<http://cfoenterprises.com/ecfo/index.shtml>
Red Herring's Portfolio Fairfax in Tyson's Corner, VA am 5.11.:
<http://events.redherring.com/>
ITEC in Kansas City, MO am 7.11.:
<http://www.goitec.com/>
Counterpane veranstaltet Reden mit Schneier in folgenden Städten: Houston, Dallas, Minneapolis und St. Louis. Wenn Sie an einer Teilnahme interessiert sind, kontaktieren Sie bitte Patti Spelman unter<spelman@counterpane.com>.
Gartner hat einen Report über Counterpane verfasst. Normalerweise stehen diese
Reports unter Verschluss und sind nur für zahlende Abonnenten zugänglich. Aber
dieser ist auf der ZDNet-Website publiziert.
<http://cgi.zdnet.com/slink?139338:8469234>
Ein anderer Analyst. "Forrester erwartet: Ein kräftiges
Sicherheitsgeschäft. Jede Organisation wird jetzt damit beginnen, Sicherheit
ernster zu nehmen. Firmen wie IBM, RSA Security und Counterpane Internet
Security werden mehr Geschäfte machen, als sie abwickeln können."
<http://www.forrester.com/ER/Research/Brief/Excerpt/0,1317,13449,FF.html>
Interview mit Bruce Schneier in der PC World:
<http://www.pcworld.com/news/article/0,aid,63806,00.asp>
Artikel über Bruce Schneier's Rede in London:
<http://cgi.zdnet.com/slink?145364:8469234>
Carolyn Turbyfill, Counterpanes Softwareleiterin, wurde von ecomSecurity.com
interviewed:
<http://www.ecomsecurity.com/News_2001-09-18_Counterpane.cfm>
In den Monaten, in denen die neuen selbstverbreitenden Würmer -- Code Red, Nimda, etc. -- über das Netz gereist sind, haben sie unter den Benutzern von Microsofts Internet Information Server Verwüstungen angerichtet. Abgesehen vom Schaden den sie verursacht, hat die Code Red-Gattung ein schädliches Problem aufgezeigt: Die Verwundbarkeit von Embedded Devices mit IP-Adressen, insbesondere von denen mit eingebauten Webservern.
Die Würmer im Stil von Code Red verbreiten sich, indem sie eine selbstgenerierte Liste aus IP-Adressen durchgehen und für jede Adresse den Port 80 (den Standard HTTP-Port) kontaktieren. Wenn ein Server antwortet, sendet Code Red eine HTTP-Anfrage, die auf ungepatchten IIS-Servern einen Buffer Overflow erzwingt und den gesamten Computer kompromittiert. Nimda versucht mehrere gut bekannte Angriffswege, mit ähnlichen Ergebnissen.
Abgesehen von der erfolgreichen Infektion anfälliger Server wirken sich diese Würmer unbeabsichtigt auf andere Geräte aus, die am Port 80 horchen. Cisco hat zugegeben, dass einige ihrer DSL-Router für Denial of Service-Angriffe anfällig sind; wenn die eingebauten Webserver der betroffenen Router von einem dieser Würmer kontaktiert werden, fallen die Router aus. HP Druckserver und 3Com LANmodems scheinen ähnlich betroffen zu sein; andere Hardware der Netzwerk-Infrastruktur dürfte ebenso betroffen sein.
HTTP wurde die Lingua Franca der Computer im Internet. Seit Webbrowser effektiv allgegenwärtig sind, können viele Hardware- und Softwarefirmen nicht widerstehen, ihre Produktfunktionen von jedem Webbrowser aus sichtbar -- und oftmals kontrollierbar -- zu machen. In der Tag weisen die Trends darauf hin, dass alle zukünftigen Geräte am Netz auf Port 80 lauschen werden. Dieses zunehmende Verlassen auf Netzwerk-zugängliche Geräte wird uns noch heimsuchen. Andere Würmer werden mehr Schaden verursachen; Code Red ist nur ein Vorläufer.
Sony kündigte im April geheimnisvoll an, dass sie alle zükunftigen Produkte mit IP-Adressen ausstatten würden; eine technisch unwahrscheinliche Behauptung, aber nichtsdestotrotz eine klare Aussage über die Absichten. Autohersteller experimentieren mit Autos, die über einen Webbrowser kabellos abgefragt und gesteuert werden können. Die Möglichkeiten für nahezu nicht nachvollziehbare Spielereien, die von dem Script Kiddie eine Tür weiter verübt werden, nachdem es das Passwort des Autos herausgefunden hat, sind endlos. Dieses Problem wird auch nicht durch Verschlüsselung der Webverbindung zwischen Auto und Browser gelöst werden.
Der Aufstieg von HTTP zum gemeinsamen Nenner der Kommunikation kommt von der Einfachheit der Benutzung, für Programmierer und Kunden gleichermaßen. Alles was Kunden benötigen ist ein Webbrowser und die IP-Adresse des Geräts, und los geht's. Der Aufbau eines einfachen Servers ist für Entwickler trivial, besonders da sowohl ein- als auch ausgehende HTTP-Daten aus Text bestehen. Und noch attraktiver, HTTP-Verkehr ist meistens durch Firewalls und andere Barrieren für den Netzwerkverkehr hindurch erlaubt. Zahlreiche Nicht-HTTP-Protokolle werden zur Erleichterung ihres Durchgangs über HTTP getunnelt.
HTTP ist nicht der Bösewicht. Das Problem wird durch Firmen erzeugt, die Netzwerk-Server in Produkte einbauen, ohne sie ausreichend robust zu machen. Kugelsicheres Design und Implementierung von Software -- speziell Netzwerk-Software -- in Embedded Devices ist nicht länger ein technischer Luxus. Die Erwartungen der Kunden an die Zuverlässigkeit von schlüsselfertigen Geräten sind höher als an die von PC-basierten Systemen. Die erfolgreiche Infiltrierung durch den Code Red Wurm eine ganze Weile nachdem der Alarm losging ist der Beweis, dass es zwingend geworden ist, es gleich beim ersten Mal richtig hinzubekommen.
In Anbetracht der Einfachheit der Implementierung und der geringen Codegröße eines leichtgewichtigen Webservers ist es besonders beunruhigend, dass solche Software nicht mit erhöhter Sorgfalt entwickelt wird. Geläufige Fehler als Ursache von Sicherheitslücken -- Buffer Overflows, schlechtes Abfangen von unerwarteten Typen und Datenmengen -- sind gut verstanden. Unglücklicherweise scheinen Features von den Herstellern immer noch höher bewertet zu werden als Zuverlässigkeit. Bis sich dies ändert, wird Code Red und seine Art weiterhin ein ernstes Problem darstellen.
Wie Schafe wurden Firmen und Kunden den Weg des geringsten Widerstands entlang geleitet, vom doppelzüngigen Führer genannt Bequemlichkeit. HTTP ist einfach: einfach zu implementieren, einfach zu benutzen und einfach zu kooptieren. Mit etwas Sorgfalt und Voraussicht ist es ebenso einfach zu sichern, so wie andere Wege des Remote Netzwerkzugriffs. HTTP war ursprünglich nicht dazu entworfen, für alle Anwendungen das Mädchen für alles zu sein, aber seine Simplizität hat es zu einem verständlichen Favoriten gemacht. Aber mit dieser Simplizität kommt ebenfalls die Verantwortung auf der Seite seiner Implementierer, sicherzustellen dass es nicht missbraucht wird.
Dieser Artikel wurde mit Stephan Somogyi geschrieben und erschien in einer leicht unterschiedlichen Form in Inside Risks 135, Communications of the ACM, Vol. 44, No. 10.
Und auf ZDNet:
<http://cgi.zdnet.com/slink?147868:8469234>
Code Red beeinträchtigte Cisco-Router:
<http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml>
Sony über die Zuweisung von IP-Addressen an alle Produkte:
<http://www.nikkeibp.asiabiztech.com/wcs/leaf?CID=onair/asabt/news/129248>
<http://www.schneier.com/crypto-gram-0110.html#10>
Crypto-Gram ist ein kostenloser monatlicher Newsletter mit Zusammenfassungen,
Analysen, Einsichten und Kommentaren über Computersicherheit und Kryptographie.
Ältere Ausgaben und die Möglichkeit des Abonnements stehen hier zur
Verfügung:
<http://www.schneier.com/crypto-gram.html>
Die deutschen Übersetzungen stehen hier zur Verfügung:
<http://archiv.galad.com/cg/cg.htm>
Die deutsche Übersetzung von Crypto-Gram darf an interessierte Kollegen und Freunde weiterverteilt werden. Die Erlaubnis zum Nachdruck der deutschen Übersetzung von Crypto-Gram ist gewährt, solange die Wiedergabe als Gesamtheit erfolgt. Die LinkMap kann selbstverständlich entfernt werden.
Bruce Schneier ist der Verfasser von Crypto-Gram. Schneier ist der Gründer und CTO der Counterpane Internet Security Inc., der Autor von "Secrets and Lies" und "Applied Cryptography", und ein Erfinder der Blowfish-, Twofish- und Yarrow-Algorithmen. Er ist ein Mitglied des Beraterboards des Electronic Privacy Information Centers (EPIC). Er ist ein regelmäßiger Autor und Dozent über Computersicherheit und Kryptographie.
Deutsche Übersetzung von Holger Hasselbach, galad.com, mit freundlicher Erlaubnis der Counterpane Internet Security, Inc.
Copyright (c) 2001 by Counterpane Internet Security, Inc.
Copyright (c) dieser deutschen Übersetzung 2001 by galad.com