[Chaos CD]
[Datenschleuder] [51]    SATAN
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

SATAN

Ein neuer Monat, ein neuer Hype: Das Erscheinen des Sicherheits-Scanners SATAN (Security Analysis Tool for Autiding Networks) hat dafuer gesorgt, daß der Autor desselben von SGI gefeuert, von SUN eingestellt und von CNN interviewt wurde. Jede nennenswerte amiländische Zeitung berichtete, sogar die c't sah sich zu einem Artikel veranlasst.
Da können wir natürlich nicht anders.
SATAN (daß sich übrigens bequemerweise mit einem Skript namens repent in SANTA umbenennen lässt ... ) ist in erster Linie eine Sammlung von perl5-Skripts, die bekannte Netzwerksicherheitstücken von innen und aussen erkennen, einem passenden Interface zum WWW-Browser nach Wahl und tonnenweise Dokumentation, was das jeweils gefundene Loch denn nun eigentlich ist und wie man ihn ausnutzen oder je nachdem auch beheben kann, Netzwerk heißt in dem Falle natürlich TCP/IP.
Ein Scan mit SATAN beginnt mit der Auswahl eines Zielhosts. Der geneigte Hacker kann sich zwischen einem Scan auf den Host selbst und dem Subnetz um den Host entscheiden. SATAN nimmt einem die lästige Arbeit des Herumgrabens mit nslookup ab und erstellt eine Liste der Subnet-Hosts.
Jeder einzelne ausgewählte Host wird zuerst auf allgemeine Konfiguration getestet: NFS, NIS, WWW, DNS, X, SMTP, Hosttyp usw. Auch nichts, dass man nicht mit ein wenig Fleissarbeit selber machen könnte.
Interessant ist der nächste Schritt, SATAN testet die Systeme auf altbekannte Sicherheitsluecken: weltweit exportierte Filesysteme (macht man händisch mit 'showmount -e'), unzureichende r-Service-Sicherung (man mache 'rsh -1 root <target>'), ein aktivierter tftp- oder rexec-Daemon (zu testen mit 'tftp' und 'on'), unzureichende X-Absicherung ('xkey <target>:0'), veraltete sendmail-Löcherkäse ('telnet <target> 25'), portmapper und mountd-Bugs (erkennt man am OS, siehe CERT-Reports zu dem Thema) und wahrscheinlich noch ein paar Kleinigkeiten, die mir spontan nicht einfallen.
SATAN checkt nicht auf trojanische Pferde, schlechte Passwörter, falsche Permissions, SUID-Skripts oder ähnliche Quellen der Freude. Dazu gibt es schon seit längerem Tools wie z.B. cops.
Was bringt mir also SATAN? Nun, wenn man ein überarbeiteter, unterbezahlter, gering geschätzter Sysadmin ist, ist das genau das Tool, um die längst überfällige Sicherheitsüberprüfung von Standardlücken zu machen. Selbiger sollte aber nicht glauben, sein System sei sicher, wenn SATAN keine Fehler findet. Der durchschnittliche freiberufliche Sicherheitsberater wird in SATAN vor allem ein Werkzeug finden, um schnell und komfortabel (Hacking at your fingertips ... ) Standardlücken zu finden und Rechnersysterne zu kartographieren. Richtig nützlich wird SATAN, wenn man die Lückentests um eigene Tests erweitert, was nicht allzu schwierig ist, da alle eigentlichen Tests in perl5 geschrieben sind.
Ja, und für den soon-to-be-Hacker sind die umfangreichen Dokumentationen aller Bugs äusserst nützlich,besonders sei hier das 'Admin guide to cracking' erwähnt.
Dem geneigten Leser sei SATAN ans Herz gelegt, so er root auf einem UNIX-Rechner ist und perl5 besitzt, es hält zwar nicht die durch die Medien gepushten Versprechungen, ist aber nichtsdestotrotz ein unverzichtbares Tool.

 

  [Chaos CD]
[Datenschleuder] [51]    SATAN
[Gescannte Version] [ -- ] [ ++ ] [Suchen]