IT Security, ein Praxisbericht

Ingmar Jaitner, Irmgard Husinsky¹

Zur Aufrechterhaltung der IT-Sicherheit im TUNET und zur Unterstützung bei Schadensfällen existiert am ZID seit 1999 ein eigener Arbeitsbereich, der seit 2002 in die Abteilung Standardsoftware eingegliedert ist. Vordringlich muss der störungsfreie Betrieb innerhalb des TUNET sichergestellt sein. Dieser Artikel berichtet aus der täglichen Arbeit des Autors.

Einleitung

War in der Anfangszeit der Computer der Schutz vor einem Ausfall der Hardware wichtig, wurde dieser Aspekt durch die Verbesserung der Systeme in den Hintergrund gedrängt, dafür gab es vermehrt Störungen durch Softwarefehler sowie Sicherheitsprobleme im Softwarebereich aufgrund der höheren Komplexität gegenüber frühen Systemen.

Vor allem durch die Vernetzung der Systeme (Intranet und Internet) nahmen die Sicherheitsprobleme rasch zu. Bei Inselsystemen konnten Schadprogramme anfangs nur durch Datenaustausch, meist über Floppy Disks (z.B. Bootsektorviren), verbreitet werden. Mit Computern, die bis zu 24 Stunden pro Tag mit einem Netzwerk verbunden sind, steigt die Wahrscheinlichkeit, auf Sicherheitslücken untersucht und gegebenenfalls infiziert zu werden.

War es anfangs so, dass Einzelpersonen ausloten wollten, was alles möglich ist („ethical hackers“), teils aber auch Schaden anrichten wollten („crackers“), so rücken heute mehr und mehr kommerzielle Interessen in den Vordergrund. Dabei wird genau ausgeforscht, welche Infizierungspotentiale ein Rechner hat und welchen Aufwand es bedeutet, den Rechner unter Kontrolle zu bringen.

Schaden entsteht einerseits durch die Traffic-Belastung (Kosten für Bandbreite, Betriebsbeeinträchtigung), anderseits durch Datenverlust und den Aufwand zur Beseitigung von Infektionen (Datenmigration, Neuinstallation des Betriebssystems). Auch die Verschleierung der Identität wird versucht z. B. Botnetze², die einerseits kommerzielle Spammails oder Phishingmails (Mails, die die Gutgläubigkeit von Usern ausnutzen und Passwörter, PINs und TANs ausspionieren) versenden und DDOS (Distributed Denial of Service) Attacken (hunderte ferngesteuerte Botnetzrechner zusammen können ganze Webseiten lahm legen) durchführen.

Situation an der TU Wien

Die Security Policy der TU Wien regelt den Umgang mit Computern, die am Netz betrieben werden. Ferner sind die Betriebs- und Benutzungsordnung des ZID die TUNET-Benutzungsregelungen maßgeblich. Siehe http://www.zid.tuwien.ac.at/security/policy.php

Für Anfragen und für Meldungen von Security-Problemen wurde gemäß RFC 2142 die E-Mail-Adresse security@tuwien.ac.at eingerichtet.

Die tägliche Arbeit im Security-Bereich am ZID umfasst:

Beobachtung des Netzwerk-Traffics und der Firewall-Statistiken,
Nachgehen von Hinweisen und Security Alerts,
Zusammenarbeit mit den Systemadministratoren an den Instituten.

Während an einigen Instituten exzellentes Know-how vorhanden ist, benötigen andere Institute vermehrt Unterstützung durch den ZID. Hier gilt es vor allem, Sicherheitsbewusstsein zu bilden, in ständiger Zusammenarbeit mit den Systemadministratoren und Schulung derselben, vor allem bedingt durch die personelle Fluktuation.

Generell werden momentan Logfiles analysiert, auch die Systemadministratoren der Institute melden Vorkommnisse. Firewallstatistiken werden regelmäßig ausgewertet und helfen zur Entdeckung von Rechnern mit Securityproblemen. Auch die Geschwindigkeit der Entdeckung eines Sicherheitsvorfalls spielt eine Rolle.

Im Folgenden sollen einige Arten von Vorkommnissen angeführt werden, die uns in letzter Zeit beschäftigten:

Spam-Mail-Versand, Botnetze
(Viren, Würmer und Trojaner):
Hinweise erhält man über diverse Spam-Überwachungs- organisationen (z.B. Spamcop, jedoch ist die Trefferquote nur etwa 50%), weiters durch Analyse des Netzwerktraffics und von Logfiles.
Bei Untersuchung des befallenen Rechners ergibt sich zumeist eine Infizierung des Rechners mit Viren, Würmern, Trojanern und Rootkits (Botnetzteilnehmer). Vor allem bei Multiinfektionen wird empfohlen, das Betriebssystem neu zu installieren, da bei Entfernung einzelner Viren ein Restrisiko bleibt, eine Lücke nicht geschlossen zu haben. Anschließend Kontrolle des Rechners durch ZID.
Von Instituten werden Spam-Mails gemeldet, die explizit Viren enthalten, die nicht vom Spam-Filter markiert und bewertet wurden und wo Absenderadressen gesperrt wurden.

Anzahl der abgefangenen Viren am zentralen Virenscanner
Rechner mit illegalen Diensten (die dem Administrator nicht bekannt sind, z.B. FTP-Server mit Raubkopien oder Filmen, Spieleserver, IRC Server):
Solche Fälle werde durch Analyse des Netztraffics auffällig oder es langen Hinweise von außen ein.
Verständigung des Administrators, Entfernung und Kontrolle ähnlich wie bei Spam-Mail (Botnetz) Fällen.
Unangemeldete Rechner mit Securityproblemen (besonders unangenehm, da Verursacher schwer greifbar):
Der Administrator des Subnetzes wird verständigt, ev. erfolgt eine Sperre. Damit die Services des TUNET in Anpruch genommen werden können, müssen alle Endgeräte angemeldet werden (TUNET Benutzerordnung, TUNET Datenbank).
Die Ursachen sind hier versäumte Meldungen neu aufgesetzter Rechner, die zudem oft noch ohne Patches ins Netz gehen, sowie ganz bewusstes Herausgreifen von freien IP-Adressen von Usern, die z. B. ein (privates) Notebook anhängen wollen.
DDOS Attacken von Botnetzteilnehmern (gehackten Rechnern) aus:
Diese werden vom IDS (Intrusion Detection System) des Backbonebetreibers ACONet an uns gemeldet oder fallen über Netztraffic oder an Institutsfirewalls auf, sind allerdings dank der DDOS Prevention seitens ACONet seltener geworden, sowohl was die Angriffe als auch die an Botnetzattacken teilnehmenden Rechner betrifft.
In den letzten 12 Monaten gab es keine aktiven Attacken.
Auffälligkeiten bzgl. Netztraffic, Firewall, Logs ohne Störungen (auch gemeldete Angriffe von außen ohne Erfolg, aber z.B. mit Mitteilung an Betreiber):
Typische Fälle sind hier Passwort Scanning, Portscanning und automatisierte Skripts, die über ganze IP- Adress-Ranges laufen.
Phishing Attacken gewinnen an Bedeutung:
Derzeit waren alle Fälle ohne gemeldeten finanziellen Schaden. Abhilfe bietet hier die Sperre der Absender und eine Spam-Markierungs-Gewichtung und die Aufmerksamkeit der Benutzer.
Netcrawler Probleme (neu):
verwässern die Firewall-Statistiken über die Anzahl der Connections pro 24 Stunden pro IP-Adresse. Da die Netcrawler Experimente vorwiegend von Informatikinstituten durchgeführt werden, haben wir mit den betroffenen Instituten vereinbart, dass Starts solcher Experimente an uns gemeldet werden.
Securityprobleme mit Anwendungsprogrammen:
Dies ist eine gefährliche und steigende Klasse von Securityproblemen, da sie oft unentdeckt bleiben.
Aktives Cracking, von der TU ausgehend, "gewollt" oder "probiert" (war in den vergangenen Jahren stärker):
Dies wird meist von Informatikstudenten ausgeführt, die dann sagen "Ich habe nicht gewusst, dass ich das nicht machen darf". Nach Cracking aussehende Experimente.
Copyrightfälle:
Probleme gibt es bei unbeaufsichtigten Serverräumen und bei neuen Benutzern, die noch nicht mit der TUNET Policy vertraut sind. Entsprechende Maßnahmen werden gesetzt.
Sonstige Anfragen und Probleme:
Anfragen bzgl. Verstoß der Netiquette, TUNET Benutzerordnung und Security Policy, Rechtsprobleme, allgemeine Security Anfragen (z. B. Bitte um Sicherheits- scans) usw.
Die Problematik von Skype Supernodes wird in einem eigenen Artikel behandelt.

Wiederkehrende Ereignisse sind nicht nur der berühmte "Weihnachtshack", auch Ende August/Anfang September gibt es eine Häufung von Securityereignissen, da über die Sommerferien viele Administratoren auf Urlaub sind und generell weniger Sicherheitsupdates eingespielt werden. Wenn zum Beispiel ein Client Mails von zwei bis drei Wochen abholt, ohne dass sichergestellt wurde, dass vorher Sicherheitsupdates installiert wurden, kann der Rechner infiziert werden.

Im Allgemeinen sind die Securityereignisse auf der TU Wien jedoch zurückgegangen. Dies ist vor allem auf Folgendes zurückzuführen:

Großflächiger Einsatz von Firewalls an den Instituten.
Regelmäßige Kontrolle auf den Firewalls.
Die Systemadministratoren an den Instituten werden von der ZID Security laufend bei Fällen geschult (von angelernten Kräften bis absoluten Profis ist alles vorhanden) und haben ein hohes Maß an Problembewusstsein entwickelt (es erfolgt auch aktive Weitermeldung von verdächtigen Log-Einträgen).
ACONET hat spezielle Detektierungstools, vor allem für DDOS und Botnetze und meldet verdächtige Rechner an uns weiter.
Der ZID hat einen Windows Update Server installiert, wo Updates automatisch heruntergeladen, nach Prioritäten geordnet und auf Campuslizenzen verteilt und installiert werden, was unerfahrene User unterstützt und gestresste Administratoren entlastet.
Nicht zuletzt haben auch die meisten Benutzer von Arbeitsplatz-Rechnern Sicherheitsproblembewusstsein entwickelt, da sie zum Teil auch schon unangenehme Erfahrungen beruflich oder privat machen mussten.

Von Sicherheitsproblemen betroffene Rechner werden rasch abgeschaltet, untersucht und in immer stärkerem Maß komplett neu aufgesetzt, da bei Multiinfektionen bei Entfernung mit Tools, wie es vor ein paar Jahren Standard war, die Wahrscheinlichkeit steigt, trotzdem eine Lücke nicht geschlossen zu haben und dann weiterer Schadcode nachgeladen und der Rechner wieder infiziert wird. Beim infizierten Rechner und nach Behebung wird ein Sicherheitsscan durchgeführt, um den Status zu prüfen. Die Kontrolle erfolgt netzwerkseitig von außen (Nessus) und von innen (z. B. mit alternativ bootbaren Betriebssystemen). Bei Wartungsverträgen erfolgt beides vom ZID, bei allen anderen nur die Kontrolle von außen vom ZID und die telefonische Beratung mit dem jeweiligen Administrator, der dann die Kontrolle von innen vornimmt.

Security wird immer komplexer. Nicht nur ist aus tausenden Security Alerts pro Jahr das Relevante und Wichtige herauszufiltern, insbesondere ist bei Universitäten das "innere" und "äußere" Netzwerk nicht sauber trennbar. In diesem Zusammenhang ist die Problematik der Notebooks und externen ADSL/VPN-Anschlüsse zu nennen, wo die Security wesentlich schwieriger als bei festen Institutsrechnern aufrechtzuerhalten ist, weil unerfahrene User die System administrieren und sich (bei Notebooks) in mehrere Netze einloggen. Auch PDAs und Handys werden zunehmend eingesetzt, wo Securityprobleme aber ebenfalls prinzipiell möglich sind (z. B. Java und offenes Bluetooth am Handy (ähnlich wie WLAN)), wo dann andere unter Umständen teure Telefongespräche führen können.

Anzahl der Rechner, die den WSUS Update Server in Anspruch genommen haben. Anmerkung: Hier sieht man trotz generell steigendem Aufkommen die Abschwächung in den Monaten Juli/August, was - wie im Artikel beschrieben - vermehrte Sicherheitsprobleme Ende August/ Anfang September nach sich zieht.

Die zuverlässige Erkennung von Securityereignissen wird mittelfristig eine große Rolle spielen, da zunehmend versucht wird, unauffälliger zu agieren. Maßnahmen wie ein Honeynet oder Intrusion Detection Systeme (IDS) sind zu prüfen. Vieles ist hier noch in Entwicklung. Gleichzeitig mit dem Einsatz solcher Maßnahmen sind der Datenschutz und die Verhältnismäßigkeit zu beachten.

Im Rahmen der vom ZID angebotenen Systempflege für Arbeitsplatzrechner an der TU (Wartungsvertrag) kann Unterstützung zur Prävention von Sicherheitsrisiken (und natürlich auch zur Schadensbehebung) angefordert werden. Weitere Informationen: http://sts.tuwien.ac.at/pss/.

2 Botnet oder Bot-Netz (Kurzform von Roboter-Netzwerk): fernsteuerbares Netzwerk (im Internet) von PCs, welches aus untereinander kommunizierenden Bots (robot Programme) besteht. (Quelle: Wikipedia)