Hilfe bei Sicherheitsfragen Notfall-Team im DFN in leicht veraenderter Form erschienen in: DFN Mitteilungen, Heft 31, Maerz 1993, Seiten 10-12 Gunter Hille und Klaus-Peter Kossakowski (Fachbereich Informatik der Universitaet Hamburg) --------- Je selbstverstaendlicher der Umgang mit Computern und elektronischen Kommuni- kationssystemen wie dem DFN wird, desto eher verdraengt man die Gefahren, die damit verbunden sind. Nicht jeder Nutzer von Kommunikationsdiensten ist sich bewusst, dass auch sein System und seine Daten durch unautorisierte Zugriffe von Hackern oder durch Computer-Viren bedroht sind. Eine solche Bedrohung kann fuer kein System ausgeschlossen werden, das auf irgendeine Weise fuer fremde Personen zugaenglich ist, zum Beispiel durch Einbruch oder ueber Netzwerke. Die moeglichen Folgen reichen von vergleichsweise harmlosen Beeinflussungen des regulaeren Betriebs bis zu kriminellen Delikten wie Datenspionage, Datenmanipulation oder Datenzerstoerung. Fuer die Nutzer des Deutschen Forschungsnetzes wird jetzt eine zentrale Anlaufstelle eingerichtet, bei der sie kompetente Unterstuetzung zur Abwehr solcher Gefahren erhalten: Das Computer Emergency Response Team (CERT) soll in direkter Zusammenarbeit mit den Organisationen vorbeugende Massnahmen erarbeiten, um die Sicherheit der lokalen Systeme zu steigern. Das Projekt wird am Rechenzentrum des Fachbereichs Informatik der Universitaet Hamburg durchgefuehrt. Alle DFN-Mitglieder sind aufgefordert, das Leistungsangebot in Anspruch zu nehmen sowie konstruktive Kritik und Vorschlaege einzubringen. Entstehung der CERTs In den Vereinigten Staaten wurden im November 1988 mehr als 2000 UNIX-Rech- ner, die an das Internet angeschlossen waren, durch einen sogenannten Computer-Wurm befallen. Dieser Vorfall verhinderte tagelang eine Benutzung der in dem Netz angebotenen Dienste. Seine fatale Wirkung konnte der Angriff nur entfalten, weil elementare Sicherheitsluecken durch die Betreiber der lokalen Systeme nicht geschlossen worden waren, teils aus Mangel an Informationen, teils durch fehlendes Sicherheitsbewusstsein. Der Internet-Wurm zeigt aber auch in aller Deutlichkeit auf, wie wichtig es ist, sicherheitsrelevante Informationen zentral zu sammeln und an die Betroffenen zu verteilen. Eine zentrale Stelle haette auch bei der Behebung der entstandenen Schaeden wirksame Unterstuetzung leisten koennen. Die Verantwortlichen lernten aus diesem Vorfall und gruendeten noch im selben Monat an der Carnegie Mellon University, Pittsburgh, das erste "Computer Emergency Response Team" (CERT). Diese Gruppe diente als Vorbild fuer den Aufbau weiterer Computer-Notfall- Teams bei anderen Netzbetreibern und uebernahm im weiteren auch die Koordinierung der Zusammenarbeit. Um die Effizienz ihrer Arbeit zu ver- groessern, schlossen sich die amerikanischen CERTs 1990 zu dem Forum of Incident Response & Security Teams (FIRST) zusammen. Heute gibt es weltweit mehr als 20 Mitglieder, von denen nur vier aus dem europaeischen Raum kommen. Diese Gruppen sind zu den wichtigsten Informationsquellen ueber Sicher- heitsluecken, aktuelle Angriffe und neue Entwicklungen geworden. Darueber hinaus werden Informationen und Programme bereitgestellt, die die Verantwortlichen vor Ort unterstuetzen sollen. Die Informationen umfassen Berichte ueber neue Werkzeuge und Produkte, Erfahrungen mit bestimmten Programmen und Systemen sowie Erkenntnisse aus der Forschung. In Deutschland haben sich fuer einige Problemkreise in den letzten Jahren An- sprechstellen etabliert. Seit 1991 kuemmert sich das Bundesamt fuer Sicher- heit in der Informationstechnik (BSI) um die staatlichen Stellen. Bei Computer-Viren und Trojanischen Pferden liefern das Micro-BIT Virus-Center (Universitaet Karlsruhe) und das Virus-Test-Centrum (Universitaet Hamburg, Prof. Brunnstein) Benutzern von Personal Computern wichtige Unterstuetzung. Notfall-Team im DFN Mit der Ausschreibung des Projekts "CERT im DFN - Aufbau und Betrieb eines Computer Emergency Response Teams (CERT) fuer das Deutsche Forschungsnetz" trug der DFN-Verein dem starken Interesse an einer Unterstuetzung bei der Loesung sicherheitsrelevanter Probleme Rechnung. Im Herbst 1992 schloss der DFN-Verein einen Vertrag mit der Universitaet Hamburg. Basis war ein Angebot von Herrn Dr. H.-J. Mueck, dem Leiter des Rechenzentrums des Fachbereichs Informatik. Die Arbeit des Projektteams, das aus zwei wissenschaftlichen Mitarbeitern besteht, begann am 1. Januar 1993 und verlaeuft ueber eine Dauer von 18 Monaten. Fuer unterstuetzende Arbeiten werden zwei Studenten einge- setzt. Praktische Untersuchungen und Forschungen sollen auch im Rahmen von Studien- und Diplomarbeiten durchgefuehrt werden. Die Aufgaben des Projekts sind: - Zusammenarbeit mit anderen CERTs: Ziel der angestrebten Zusammenarbeit ist der schnelle und gesicherte Austausch von Informationen und die Beobachtung der internationalen und nationalen Entwicklung. Dadurch wird auch eine Fruehwarnung der Anwender moeglich, wenn neue Sicherheitsluecken oder Angriffe bekannt werden. - Untersuchungen und Forschungen: Durch Untersuchungen von Systemen und Protokollen sollen praktisch um- setzbare Ergebnisse fuer die Anwender erzielt werden. Diese koennen in Form von Grundloesungen, Fehlerberichten oder Konzepten erarbeitet werden. Fuer die Installation und den Einsatz verfuegbarer Programme werden Merkblaetter entworfen und versandt. - Betreuung und Unterstuetzung: Durch die Bereitstellung von Informationen, Programmen und Berichten sowie der Beantwortung von direkten Anfragen werden die Anwender in die Lage versetzt, sich ueber aktuelle Angriffe und Schwachstellen der ein- gesetzten Systeme zu informieren und dadurch bereits vorbeugend ihr System besser zu sichern. Abbildung: F I R S T Forum of Incident Response & Security Teams Verwaltung: Hersteller: Forschung: Netz-Betreiber: - US Dep.of Defense - DEC - NASA INTERNet - US Dep.of Energy - SUN - SPAN * SURFNet - US Air Force - Motorola - Penn State MILNet - US Navy - Unisys University - UK Governement * - SPRINT - Purdue Univ. - TRW - MicroBIT Virus Center * ---- * CERTs im europaeischen Raum Die Uebersicht des FIRST-Systems zeigt das starke Interesse staatlicher Organisationen an den Problemen der Rechnersicherheit. Ausserdem wird das Uebergewicht amerikanischer Gruppen deutlich. Gefahrenpotentiale Die traditionellen Anstrengungen im Bereich der Rechnersicherheit sind typischerweise nicht dazu in der Lage, Angriffe sofort zu erkennen und auf diese in einer effizienten Art und Weise zu reagieren. Dies liegt an den ver- alteten oder unvollstaendigen Vorstellungen ueber die Art der Angriffe (z. B. treten Computer-Viren erst seit 1986 als Bedrohung von Personal Computern in Erscheinung). Mit der Weiterentwicklung von Computersystemen und ihrer Einbindung in lokale und weltweite Netzwerke wurden die alten Organisationsstrukturen aufgebrochen. Angriffe konnten jetzt auch von weit entfernten Orten durchgefuehrt werden und neue Angriffsformen traten auf. Das steigende Risiko boesartiger Vorfaelle ist vor allem auf die folgenden vier Faktoren zurueckzufuehren: - Aufbau lokaler und weltweiter Netzwerke, - staendige Zunahme der Komplexitaet, - Konzentration auf die Vertraulichkeit von Daten, Vernachlaessigung von Integritaet und Verfuegbarkeit, - der Einsatz von unsicheren Personal Computern zusammen mit einer unzureichenden Schulung der Anwender und Benutzer. Die Moeglichkeit, Netzwerke zu Spionagezwecken auszunutzen, wurde durch den sogenannten KGB-Hack offensichtlich. Dieser spektakulaere Angriff zeigt unter anderem auf, wie Systeme von Universitaeten oder wissenschaftlichen Einrich- tungen dazu benutzt werden, um in die internationalen Netzwerke einzusteigen. Dies liegt vielfach an den geringeren Sicherheitsvorkehrungen und einer starken Einbindung in diese Netzwerke. Computer-Viren stellen fuer PC-Anwender eine zunehmende Gefaehrdung dar. Erst 1984 durch F. Cohen zum ersten Mal wissenschaftlich definiert, trat 1986 der erste Computer-Virus fuer IBM-kompatible PCs auf - inzwischen hat sich die Zahl der hierfuer bekannten Computer-Viren auf ueber 1.500 erhoeht. Dass dies kein PC-spezifisches Problem ist, zeigen die fuer andere Systeme ebenfalls bekannten Exemplare, u.a. auch auf den Systemen IBM/MVS, VAX/VMS und UNIX. Erheblich geringer, aber in den Auswirkungen nicht weniger bedeutend, ist die Zahl der bekannten Angriffe durch Computer-Wuermer. Neben dem bereits ange- sprochenen Internet-Wurm traten zwei weitere Computer-Wuermer innerhalb des SPAN / HEPNet auf. Weitere Angriffe oder Vorfaelle die innerhalb des BITNETs stattfanden, z.B. das CHRISTMA EXEC, wurden zwar auch als Computer-Wuermer bezeichnet, sind jedoch als Kettenbriefe einzustufen. Die angefuehrten Beispiele sind sehr spektakulaer und wurden in der oeffent- lichen Berichterstattung entsprechend aufbereitet. Die alltaeglichen Probleme der fuer die Rechnersicherheit verantwortlichen Personen sehen jedoch ganz anders aus. Ein Grund dafuer ist das oft mangelnde Sicherheitsbewusstsein der Benutzer. Untersuchungen auf UNIX-Systemen haben gezeigt, dass von den ca. 13.000 Accounts, die als Grundlage der Versuche gesammelt wurden, 24,2 Prozent der Passworte bestimmt werden konnten. Dafuer wurde eine Rechenleistung von fast zwoelf CPU-Monaten benoetigt. Doch sollte aus der Hoehe des Aufwands kein falscher Schluss gezogen werden, da die ersten 368 Passworte (2,7%) innerhalb der ersten 15 Minuten bestimmt wurden. Bereits durch eine sorgfaeltigere Wahl der Passwoerter kann diese Schwachstelle wesentlich entschaerft werden. Ein anderes Problem sind die Sicherheitsluecken in den verwendeten Protokollen und Programmen. Zusammen koennen die so entstehenden Moeglich- keiten genutzt werden, um Zugang zu einem System zu erlangen. Forschungen bei AT&T haben gezeigt, dass pro Woche im Durchschnitt ein ernsthafter Ein- bruchsversuch erfolgt und mehrere primitivere Versuche unternommen werden. Aufgaben des Projekts In dieser Situation helfen Computer-Notfall-Teams, indem sie ihr Wissen und ihre Unterstuetzung den betroffenen Organisationen und Anwendern bereit- stellen. Natuerlich werden damit die ueblichen Massnahmen zur Rechnersicher- heit nicht ueberfluessig. Es kommt vielmehr auf die richtige Kombination an. Bei der Vielfaeltigkeit der heute eingesetzten Systeme ist es fuer die meisten Organisationen unmoeglich, fuer alle sicherheitsrelevanten Fragen ueber einen ausgebildeten Experten vor Ort zu verfuegen. Diesem grundsaetz- lichen Problem wird durch die Zusammenarbeit der verschiedenen CERTs und die Kooperation mit Forschern und Herstellern begegnet. Damit das DFN-CERT seine Aufgaben erfolgreich wahrnehmen kann, steht der Aufbau notwendiger Kooperationen und Verbindungen mit nationalen und inter- nationalen Gruppen im Mittelpunkt der ersten Monate. Hilfreich ist dabei die Zusammenarbeit mit der RARE CERT Task Force. Die Projektgruppe der Ver- einigung der europaeischen Netzorganisationen hat das Ziel, die Mitglieds- organisationen bei der Gruendung eigener CERTs zu unterstuetzen. Auch der direkte Anschluss an das amerikanische FIRST-System und die Kooperation mit Herstellern und nationalen Gruppen ist geplant. Die Erschliessung und Betreuung von DFN-Mitgliedern und Anwendern des WIN wird einen grossen Teil der praktischen Taetigkeit des DFN-CERTs ausfuellen. Dabei sollen die Anwender gezielt angesprochen und zur Mitarbeit aufgefordert werden. Die Bestimmung ihrer Erwartungen und Wuensche soll helfen, die Akzeptanz der angebotenen Dienstleistung zu erreichen. Ein Fragebogen, mit dem das Meinungsbild der DFN-Mitglieder erfragt werden soll, wurde bereits an die Leiter wissenschaftlicher Rechenzentren versendet. Dabei wurden auch Fragen zu den lokalen Systemen und bisherigen Erfahrungen mit Rechnersicher- heitsaspekten gestellt. Von der Auswertung verspricht sich das Projektteam genauere Informationen ueber die Probleme und Anforderungen der betreuten Anwenderkreise. Vorbeugen ist besser Besonders wichtig sind vorbeugende Massnahmen, um Sicherheitsluecken zu schliessen und die Schutzmechanismen zu verbessern, bevor ein Angriff erfolgt oder ein Schaden auftritt. Zu diesen Zweck werden Programme und Informationen auf einem File-Server bereitgestellt. Um eine gezielte und gefuehrte Suche nach benoetigten Informationen zu ermoeglichen, wird die Verwendbarkeit von Textretrievalsystemen - zum Beispiel Wide Area Information System (WAIS), Gopher und World Wide Web (WWW) - untersucht. Darueber hinaus koennen konkrete Fragen an die Mitarbeiter des Projekts gerichtet werden, wobei ihre vertrauliche Behandlung und Bearbeitung zugesichert wird. Zur Beantwortung wird auf nationale und internationale Kontakte zurueckgegriffen, falls ein Problem nicht lokal geloest werden kann. Da alle Informationen ueber Sicherheitsluecken und Angriffstechniken sensitiv sind, wird nur der Teil der Informationen weitergegeben, der notwendig ist, um eine Luecke zu schliessen oder einen Angriff zu verhindern. Damit soll ein Missbrauch durch Cracker oder unerfahrene Benutzer ausgeschlossen werden. Nur durch eine intensive Beschaeftigung mit den einzelnen Systemen und Proto- kollen kann das notwendige Know-How ueber deren Sicherheitseigenschaften auf- gebaut bzw. erweitert werden. Wichtige Ansatzpunkte fuer solche Unter- suchungen scheinen zunaechst die besonderen Probleme von UNIX-Systemen und Netzwerk-Anwendungen zu sein. Im Bereich der UNIX-Systeme gibt es zahlreiche frei verfuegbare Programme, die von den Verantwortlichen vor Ort eingesetzt werden koennen. Dazu zaehlen COPS (Programm zur Pruefung auf bekannte Sicherheitsluecken), CRACK (Angriff auf Passwortdateien durch Abgleich mit Woerterbuechern) sowie TRIPWIRE (Er- kennung von Dateimanipulationen ueber eine Pruefsummenbildung), um nur einige zu nennen. Im Bereich der Netzwerk-Anwendungen gewinnen Programme wie PGP oder PEM an Bedeutung, die die Authentizitaet und Vertraulichkeit von Nachrichten, z. B. bei Electronic Mail, gewaehrleisten sollen. In Zukunft werden immer haeufiger sogenannte Firewalls eingesetzt werden, um lokale Netzwerke gegenueber Angriffen aus angeschlossenen Weitverkehrsnetzen besser schuetzen zu koennen. Ausblick und Kontaktadresse Die aus der Projekt-Taetigkeit gewonnene Erfahrung dient noch einem anderen Zweck. Zum Abschluss des Projekts sollen dem DFN-Verein Vorschlaege fuer weitere Aktivitaeten im Bereich der Rechnersicherheit vorgestellt werden. Dazu koennte auch die Etablierung eines CERTs als staendige Dienstleistung zaehlen. Ob ein solcher Ansatz allerdings Erfolg verspricht, muss sich waehrend der naechsten Monate erst einmal zeigen. Die Resonanz der Anwender wird darueber entscheiden, ob das DFN-CERT erfolgreich ist. Gelegenheit zu aktiver Diskussion oder Mitarbeit besteht jederzeit. Das Projekt wird sich auf der 16. Betriebstagung vorstellen und auch im neuen Arbeitskreis "Security" vertreten sein. Ueber wichtige Entwicklungen und den Fortgang des Projekts wird auch an dieser Stelle berichtet werden. Direkte Anfragen an das DFN-CERT sind erwuenscht. Sie erreichen es unter: DFN-CERT Universitaet Hamburg / FB Informatik Vogt-Koelln-Strasse 30 2000 Hamburg 54 oder per Electronic Mail: X.400: s=dfncert; ou=rz; ou=informatik; p=uni-hamburg; a=dbp; c=de RFC822: dfncert@informatik.uni-hamburg.de