home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / dfn_cert / german2.txt < prev   
Text File  |  1994-07-08  |  16KB  |  309 lines
  1.                        Hilfe bei Sicherheitsfragen
  2.  
  3.                            Notfall-Team im DFN
  4.  
  5.  
  6.                in leicht veraenderter Form erschienen in:
  7.             DFN Mitteilungen, Heft 31, Maerz 1993, Seiten 10-12
  8.  
  9.  
  10.                 Gunter Hille und Klaus-Peter Kossakowski
  11.             (Fachbereich Informatik der Universitaet Hamburg)
  12.  
  13.                                 ---------
  14.  
  15.  
  16. Je selbstverstaendlicher der Umgang mit Computern und elektronischen Kommuni-
  17. kationssystemen wie dem DFN wird, desto eher verdraengt man die Gefahren, die
  18. damit verbunden sind. Nicht jeder Nutzer von Kommunikationsdiensten ist sich
  19. bewusst, dass auch sein System und seine Daten durch unautorisierte Zugriffe
  20. von Hackern oder durch Computer-Viren bedroht sind. Eine solche Bedrohung
  21. kann fuer kein System ausgeschlossen werden, das auf irgendeine Weise fuer
  22. fremde Personen zugaenglich ist, zum Beispiel durch Einbruch oder ueber
  23. Netzwerke. Die moeglichen Folgen reichen von vergleichsweise harmlosen
  24. Beeinflussungen des regulaeren Betriebs bis zu kriminellen Delikten wie
  25. Datenspionage, Datenmanipulation oder Datenzerstoerung.
  26.  
  27. Fuer die Nutzer des Deutschen Forschungsnetzes wird jetzt eine zentrale
  28. Anlaufstelle eingerichtet, bei der sie kompetente Unterstuetzung zur Abwehr
  29. solcher Gefahren erhalten: Das Computer Emergency Response Team (CERT) soll
  30. in direkter Zusammenarbeit mit den Organisationen vorbeugende Massnahmen
  31. erarbeiten, um die Sicherheit der lokalen Systeme zu steigern. Das Projekt
  32. wird am Rechenzentrum des Fachbereichs Informatik der Universitaet Hamburg
  33. durchgefuehrt. Alle DFN-Mitglieder sind aufgefordert, das Leistungsangebot in
  34. Anspruch zu nehmen sowie konstruktive Kritik und Vorschlaege einzubringen.
  35.  
  36.  
  37. Entstehung der CERTs
  38.  
  39.  
  40. In den Vereinigten Staaten wurden im November 1988 mehr als 2000 UNIX-Rech-
  41. ner, die an das Internet angeschlossen waren, durch einen sogenannten
  42. Computer-Wurm befallen. Dieser Vorfall verhinderte tagelang eine Benutzung
  43. der in dem Netz angebotenen Dienste. Seine fatale Wirkung konnte der Angriff
  44. nur entfalten, weil elementare Sicherheitsluecken durch die Betreiber der
  45. lokalen Systeme nicht geschlossen worden waren, teils aus Mangel an
  46. Informationen, teils durch fehlendes Sicherheitsbewusstsein.
  47.  
  48. Der Internet-Wurm zeigt aber auch in aller Deutlichkeit auf, wie wichtig es
  49. ist, sicherheitsrelevante Informationen zentral zu sammeln und an die
  50. Betroffenen zu verteilen. Eine zentrale Stelle haette auch bei der Behebung
  51. der entstandenen Schaeden wirksame Unterstuetzung leisten koennen. Die
  52. Verantwortlichen lernten aus diesem Vorfall und gruendeten noch im selben
  53. Monat an der Carnegie Mellon University, Pittsburgh, das erste "Computer
  54. Emergency Response Team" (CERT).
  55.  
  56. Diese Gruppe diente als Vorbild fuer den Aufbau weiterer Computer-Notfall-
  57. Teams bei anderen Netzbetreibern und uebernahm im weiteren auch die
  58. Koordinierung der Zusammenarbeit. Um die Effizienz ihrer Arbeit zu ver-
  59. groessern, schlossen sich die amerikanischen CERTs 1990 zu dem Forum of
  60. Incident Response & Security Teams (FIRST) zusammen. Heute gibt es weltweit
  61. mehr als 20 Mitglieder, von denen nur vier aus dem europaeischen Raum kommen.
  62. Diese Gruppen sind zu den wichtigsten Informationsquellen ueber Sicher-
  63. heitsluecken, aktuelle Angriffe und neue Entwicklungen geworden. Darueber
  64. hinaus werden Informationen und Programme bereitgestellt, die die
  65. Verantwortlichen vor Ort unterstuetzen sollen. Die Informationen umfassen
  66. Berichte ueber neue Werkzeuge und Produkte, Erfahrungen mit bestimmten
  67. Programmen und Systemen sowie Erkenntnisse aus der Forschung.
  68.  
  69. In Deutschland haben sich fuer einige Problemkreise in den letzten Jahren An-
  70. sprechstellen etabliert. Seit 1991 kuemmert sich das Bundesamt fuer Sicher-
  71. heit in der Informationstechnik (BSI) um die staatlichen Stellen. Bei
  72. Computer-Viren und Trojanischen Pferden liefern das Micro-BIT Virus-Center
  73. (Universitaet Karlsruhe) und das Virus-Test-Centrum (Universitaet Hamburg,
  74. Prof. Brunnstein) Benutzern von Personal Computern wichtige Unterstuetzung.
  75.  
  76.  
  77. Notfall-Team im DFN
  78.  
  79.  
  80. Mit der Ausschreibung des Projekts "CERT im DFN - Aufbau und Betrieb eines
  81. Computer Emergency Response Teams (CERT) fuer das Deutsche Forschungsnetz"
  82. trug der DFN-Verein dem starken Interesse an einer Unterstuetzung bei der
  83. Loesung sicherheitsrelevanter Probleme Rechnung. Im Herbst 1992 schloss der
  84. DFN-Verein einen Vertrag mit der Universitaet Hamburg. Basis war ein Angebot
  85. von Herrn Dr. H.-J. Mueck, dem Leiter des Rechenzentrums des Fachbereichs
  86. Informatik. Die Arbeit des Projektteams, das aus zwei wissenschaftlichen
  87. Mitarbeitern besteht, begann am 1. Januar 1993 und verlaeuft ueber eine Dauer
  88. von 18 Monaten. Fuer unterstuetzende Arbeiten werden zwei Studenten einge-
  89. setzt. Praktische Untersuchungen und Forschungen sollen auch im Rahmen von
  90. Studien- und Diplomarbeiten durchgefuehrt werden. Die Aufgaben des Projekts
  91. sind:
  92.  
  93. - Zusammenarbeit mit anderen CERTs:
  94.       Ziel der angestrebten Zusammenarbeit ist der schnelle und gesicherte
  95.       Austausch von Informationen und die Beobachtung der internationalen und
  96.       nationalen Entwicklung. Dadurch wird auch eine Fruehwarnung der
  97.       Anwender moeglich, wenn neue Sicherheitsluecken oder Angriffe bekannt
  98.       werden.
  99.  
  100. - Untersuchungen und Forschungen:
  101.       Durch Untersuchungen von Systemen und Protokollen sollen praktisch um-
  102.       setzbare Ergebnisse fuer die Anwender erzielt werden. Diese koennen in
  103.       Form von Grundloesungen, Fehlerberichten oder Konzepten erarbeitet
  104.       werden. Fuer die Installation und den Einsatz verfuegbarer Programme
  105.       werden Merkblaetter entworfen und versandt.
  106.  
  107. - Betreuung und Unterstuetzung:
  108.       Durch die Bereitstellung von Informationen, Programmen und Berichten
  109.       sowie der Beantwortung von direkten Anfragen werden die Anwender in die
  110.       Lage versetzt, sich ueber aktuelle Angriffe und Schwachstellen der ein-
  111.       gesetzten Systeme zu informieren und dadurch bereits vorbeugend ihr
  112.       System besser zu sichern.
  113.  
  114.  
  115.  
  116. Abbildung:
  117.  
  118.  
  119.                                 F I R S T
  120.  
  121.                Forum of Incident Response & Security Teams
  122.  
  123.  
  124. Verwaltung:            Hersteller:      Forschung:        Netz-Betreiber:
  125.  
  126. - US Dep.of Defense    - DEC            - NASA            INTERNet
  127. - US Dep.of Energy     - SUN            - SPAN *          SURFNet
  128. - US Air Force         - Motorola       - Penn State      MILNet
  129. - US Navy              - Unisys           University
  130. - UK Governement *     - SPRINT         - Purdue Univ.
  131.                        - TRW            - MicroBIT Virus
  132.                                           Center *
  133.  
  134.       ----
  135.       * CERTs im europaeischen Raum
  136.  
  137.       Die Uebersicht des FIRST-Systems zeigt das starke Interesse staatlicher
  138.       Organisationen an den Problemen der Rechnersicherheit. Ausserdem wird
  139.       das Uebergewicht amerikanischer Gruppen deutlich.
  140.  
  141.  
  142.  
  143.  
  144. Gefahrenpotentiale
  145.  
  146.  
  147. Die traditionellen Anstrengungen im Bereich der Rechnersicherheit sind
  148. typischerweise nicht dazu in der Lage, Angriffe sofort zu erkennen und auf
  149. diese in einer effizienten Art und Weise zu reagieren. Dies liegt an den ver-
  150. alteten oder unvollstaendigen Vorstellungen ueber die Art der Angriffe (z. B.
  151. treten Computer-Viren erst seit 1986 als Bedrohung von Personal Computern in
  152. Erscheinung).
  153.  
  154. Mit der Weiterentwicklung von Computersystemen und ihrer Einbindung in lokale
  155. und weltweite Netzwerke wurden die alten Organisationsstrukturen
  156. aufgebrochen. Angriffe konnten jetzt auch von weit entfernten Orten
  157. durchgefuehrt werden und neue Angriffsformen traten auf. Das steigende Risiko
  158. boesartiger Vorfaelle ist vor allem auf die folgenden vier Faktoren
  159. zurueckzufuehren:
  160.  
  161. -     Aufbau lokaler und weltweiter Netzwerke,
  162. -     staendige Zunahme der Komplexitaet,
  163. -     Konzentration auf die Vertraulichkeit von Daten, Vernachlaessigung von
  164.       Integritaet und Verfuegbarkeit,
  165. -     der Einsatz von unsicheren Personal Computern zusammen mit einer
  166.       unzureichenden Schulung der Anwender und Benutzer.
  167.  
  168. Die Moeglichkeit, Netzwerke zu Spionagezwecken auszunutzen, wurde durch den
  169. sogenannten KGB-Hack offensichtlich. Dieser spektakulaere Angriff zeigt unter
  170. anderem auf, wie Systeme von Universitaeten oder wissenschaftlichen Einrich-
  171. tungen dazu benutzt werden, um in die internationalen Netzwerke einzusteigen.
  172. Dies liegt vielfach an den geringeren Sicherheitsvorkehrungen und einer
  173. starken Einbindung in diese Netzwerke.
  174.  
  175. Computer-Viren stellen fuer PC-Anwender eine zunehmende Gefaehrdung dar. Erst
  176. 1984 durch F. Cohen zum ersten Mal wissenschaftlich definiert, trat 1986 der
  177. erste Computer-Virus fuer IBM-kompatible PCs auf - inzwischen hat sich die
  178. Zahl der hierfuer bekannten Computer-Viren auf ueber 1.500 erhoeht. Dass dies
  179. kein PC-spezifisches Problem ist, zeigen die fuer andere Systeme ebenfalls
  180. bekannten Exemplare, u.a. auch auf den Systemen IBM/MVS, VAX/VMS und UNIX.
  181. Erheblich geringer, aber in den Auswirkungen nicht weniger bedeutend, ist die
  182. Zahl der bekannten Angriffe durch Computer-Wuermer. Neben dem bereits ange-
  183. sprochenen Internet-Wurm traten zwei weitere Computer-Wuermer innerhalb des
  184. SPAN / HEPNet auf. Weitere Angriffe oder Vorfaelle die innerhalb des BITNETs
  185. stattfanden, z.B. das CHRISTMA EXEC, wurden zwar auch als Computer-Wuermer
  186. bezeichnet, sind jedoch als Kettenbriefe einzustufen.
  187.  
  188. Die angefuehrten Beispiele sind sehr spektakulaer und wurden in der oeffent-
  189. lichen Berichterstattung entsprechend aufbereitet. Die alltaeglichen Probleme
  190. der fuer die Rechnersicherheit verantwortlichen Personen sehen jedoch ganz
  191. anders aus. Ein Grund dafuer ist das oft mangelnde Sicherheitsbewusstsein der
  192. Benutzer. Untersuchungen auf UNIX-Systemen haben gezeigt, dass von den ca.
  193. 13.000 Accounts, die als Grundlage der Versuche gesammelt wurden, 24,2
  194. Prozent der Passworte bestimmt werden konnten. Dafuer wurde eine
  195. Rechenleistung von fast zwoelf CPU-Monaten benoetigt. Doch sollte aus der
  196. Hoehe des Aufwands kein falscher Schluss gezogen werden, da die ersten 368
  197. Passworte (2,7%) innerhalb der ersten 15 Minuten bestimmt wurden. Bereits
  198. durch eine sorgfaeltigere Wahl der Passwoerter kann diese Schwachstelle
  199. wesentlich entschaerft werden.
  200.  
  201. Ein anderes Problem sind die Sicherheitsluecken in den verwendeten
  202. Protokollen und Programmen. Zusammen koennen die so entstehenden Moeglich-
  203. keiten genutzt werden, um Zugang zu einem System zu erlangen. Forschungen bei
  204. AT&T haben gezeigt, dass pro Woche im Durchschnitt ein ernsthafter Ein-
  205. bruchsversuch erfolgt und mehrere primitivere Versuche unternommen werden.
  206.  
  207.  
  208. Aufgaben des Projekts
  209.  
  210.  
  211. In dieser Situation helfen Computer-Notfall-Teams, indem sie ihr Wissen und
  212. ihre Unterstuetzung den betroffenen Organisationen und Anwendern bereit-
  213. stellen. Natuerlich werden damit die ueblichen Massnahmen zur Rechnersicher-
  214. heit nicht ueberfluessig. Es kommt vielmehr auf die richtige Kombination an.
  215. Bei der Vielfaeltigkeit der heute eingesetzten Systeme ist es fuer die
  216. meisten Organisationen unmoeglich, fuer alle sicherheitsrelevanten Fragen
  217. ueber einen ausgebildeten Experten vor Ort zu verfuegen. Diesem grundsaetz-
  218. lichen Problem wird durch die Zusammenarbeit der verschiedenen CERTs und die
  219. Kooperation mit Forschern und Herstellern begegnet.
  220.  
  221. Damit das DFN-CERT seine Aufgaben erfolgreich wahrnehmen kann, steht der
  222. Aufbau notwendiger Kooperationen und Verbindungen mit nationalen und inter-
  223. nationalen Gruppen im Mittelpunkt der ersten Monate. Hilfreich ist dabei die
  224. Zusammenarbeit mit der RARE CERT Task Force. Die Projektgruppe der Ver-
  225. einigung der europaeischen Netzorganisationen hat das Ziel, die Mitglieds-
  226. organisationen bei der Gruendung eigener CERTs zu unterstuetzen. Auch der
  227. direkte Anschluss an das amerikanische FIRST-System und die Kooperation mit
  228. Herstellern und nationalen Gruppen ist geplant.
  229.  
  230. Die Erschliessung und Betreuung von DFN-Mitgliedern und Anwendern des WIN
  231. wird einen grossen Teil der praktischen Taetigkeit des DFN-CERTs ausfuellen.
  232. Dabei sollen die Anwender gezielt angesprochen und zur Mitarbeit aufgefordert
  233. werden. Die Bestimmung ihrer Erwartungen und Wuensche soll helfen, die
  234. Akzeptanz der angebotenen Dienstleistung zu erreichen. Ein Fragebogen, mit
  235. dem das Meinungsbild der DFN-Mitglieder erfragt werden soll, wurde bereits an
  236. die Leiter wissenschaftlicher Rechenzentren versendet. Dabei wurden auch
  237. Fragen zu den lokalen Systemen und bisherigen Erfahrungen mit Rechnersicher-
  238. heitsaspekten gestellt. Von der Auswertung verspricht sich das Projektteam
  239. genauere Informationen ueber die Probleme und Anforderungen der betreuten
  240. Anwenderkreise.
  241.  
  242.  
  243. Vorbeugen ist besser
  244.  
  245.  
  246. Besonders wichtig sind vorbeugende Massnahmen, um Sicherheitsluecken zu
  247. schliessen und die Schutzmechanismen zu verbessern, bevor ein Angriff erfolgt
  248. oder ein Schaden auftritt. Zu diesen Zweck werden Programme und Informationen
  249. auf einem File-Server bereitgestellt. Um eine gezielte und gefuehrte Suche
  250. nach benoetigten Informationen zu ermoeglichen, wird die Verwendbarkeit von
  251. Textretrievalsystemen - zum Beispiel Wide Area Information System (WAIS),
  252. Gopher und World Wide Web (WWW) - untersucht.
  253.  
  254. Darueber hinaus koennen konkrete Fragen an die Mitarbeiter des Projekts
  255. gerichtet werden, wobei ihre vertrauliche Behandlung und Bearbeitung
  256. zugesichert wird. Zur Beantwortung wird auf nationale und internationale
  257. Kontakte zurueckgegriffen, falls ein Problem nicht lokal geloest werden kann.
  258. Da alle Informationen ueber Sicherheitsluecken und Angriffstechniken sensitiv
  259. sind, wird nur der Teil der Informationen weitergegeben, der notwendig ist,
  260. um eine Luecke zu schliessen oder einen Angriff zu verhindern. Damit soll ein
  261. Missbrauch durch Cracker oder unerfahrene Benutzer ausgeschlossen werden.
  262.  
  263. Nur durch eine intensive Beschaeftigung mit den einzelnen Systemen und Proto-
  264. kollen kann das notwendige Know-How ueber deren Sicherheitseigenschaften auf-
  265. gebaut bzw. erweitert werden. Wichtige Ansatzpunkte fuer solche Unter-
  266. suchungen scheinen zunaechst die besonderen Probleme von UNIX-Systemen und
  267. Netzwerk-Anwendungen zu sein.
  268.  
  269. Im Bereich der UNIX-Systeme gibt es zahlreiche frei verfuegbare Programme,
  270. die von den Verantwortlichen vor Ort eingesetzt werden koennen. Dazu zaehlen
  271. COPS (Programm zur Pruefung auf bekannte Sicherheitsluecken), CRACK (Angriff
  272. auf Passwortdateien durch Abgleich mit Woerterbuechern) sowie TRIPWIRE (Er-
  273. kennung von Dateimanipulationen ueber eine Pruefsummenbildung), um nur einige
  274. zu nennen. Im Bereich der Netzwerk-Anwendungen gewinnen Programme wie PGP
  275. oder PEM an Bedeutung, die die Authentizitaet und Vertraulichkeit von
  276. Nachrichten, z. B. bei Electronic Mail, gewaehrleisten sollen. In Zukunft
  277. werden immer haeufiger sogenannte Firewalls eingesetzt werden, um lokale
  278. Netzwerke gegenueber Angriffen aus angeschlossenen Weitverkehrsnetzen besser
  279. schuetzen zu koennen.
  280.  
  281.  
  282. Ausblick und Kontaktadresse
  283.  
  284.  
  285. Die aus der Projekt-Taetigkeit gewonnene Erfahrung dient noch einem anderen
  286. Zweck. Zum Abschluss des Projekts sollen dem DFN-Verein Vorschlaege fuer
  287. weitere Aktivitaeten im Bereich der Rechnersicherheit vorgestellt werden.
  288. Dazu koennte auch die Etablierung eines CERTs als staendige Dienstleistung
  289. zaehlen. Ob ein solcher Ansatz allerdings Erfolg verspricht, muss sich
  290. waehrend der naechsten Monate erst einmal zeigen. Die Resonanz der Anwender
  291. wird darueber entscheiden, ob das DFN-CERT erfolgreich ist.
  292.  
  293. Gelegenheit zu aktiver Diskussion oder Mitarbeit besteht jederzeit. Das
  294. Projekt wird sich auf der 16. Betriebstagung vorstellen und auch im neuen
  295. Arbeitskreis "Security" vertreten sein. Ueber wichtige Entwicklungen und den
  296. Fortgang des Projekts wird auch an dieser Stelle berichtet werden.
  297.  
  298. Direkte Anfragen an das DFN-CERT sind erwuenscht. Sie erreichen es unter:
  299.       DFN-CERT
  300.       Universitaet Hamburg / FB Informatik
  301.       Vogt-Koelln-Strasse 30
  302.       2000 Hamburg 54
  303.  
  304. oder per Electronic Mail:
  305. X.400:      s=dfncert; ou=rz; ou=informatik;
  306.             p=uni-hamburg; a=dbp; c=de
  307. RFC822:
  308.             dfncert@informatik.uni-hamburg.de
  309.