home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Forum of Incident Response & Security Teams
/
Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso
/
teaminfo
/
dfn_cert
/
german2.txt
< prev
Wrap
Text File
|
1994-07-08
|
16KB
|
309 lines
Hilfe bei Sicherheitsfragen
Notfall-Team im DFN
in leicht veraenderter Form erschienen in:
DFN Mitteilungen, Heft 31, Maerz 1993, Seiten 10-12
Gunter Hille und Klaus-Peter Kossakowski
(Fachbereich Informatik der Universitaet Hamburg)
---------
Je selbstverstaendlicher der Umgang mit Computern und elektronischen Kommuni-
kationssystemen wie dem DFN wird, desto eher verdraengt man die Gefahren, die
damit verbunden sind. Nicht jeder Nutzer von Kommunikationsdiensten ist sich
bewusst, dass auch sein System und seine Daten durch unautorisierte Zugriffe
von Hackern oder durch Computer-Viren bedroht sind. Eine solche Bedrohung
kann fuer kein System ausgeschlossen werden, das auf irgendeine Weise fuer
fremde Personen zugaenglich ist, zum Beispiel durch Einbruch oder ueber
Netzwerke. Die moeglichen Folgen reichen von vergleichsweise harmlosen
Beeinflussungen des regulaeren Betriebs bis zu kriminellen Delikten wie
Datenspionage, Datenmanipulation oder Datenzerstoerung.
Fuer die Nutzer des Deutschen Forschungsnetzes wird jetzt eine zentrale
Anlaufstelle eingerichtet, bei der sie kompetente Unterstuetzung zur Abwehr
solcher Gefahren erhalten: Das Computer Emergency Response Team (CERT) soll
in direkter Zusammenarbeit mit den Organisationen vorbeugende Massnahmen
erarbeiten, um die Sicherheit der lokalen Systeme zu steigern. Das Projekt
wird am Rechenzentrum des Fachbereichs Informatik der Universitaet Hamburg
durchgefuehrt. Alle DFN-Mitglieder sind aufgefordert, das Leistungsangebot in
Anspruch zu nehmen sowie konstruktive Kritik und Vorschlaege einzubringen.
Entstehung der CERTs
In den Vereinigten Staaten wurden im November 1988 mehr als 2000 UNIX-Rech-
ner, die an das Internet angeschlossen waren, durch einen sogenannten
Computer-Wurm befallen. Dieser Vorfall verhinderte tagelang eine Benutzung
der in dem Netz angebotenen Dienste. Seine fatale Wirkung konnte der Angriff
nur entfalten, weil elementare Sicherheitsluecken durch die Betreiber der
lokalen Systeme nicht geschlossen worden waren, teils aus Mangel an
Informationen, teils durch fehlendes Sicherheitsbewusstsein.
Der Internet-Wurm zeigt aber auch in aller Deutlichkeit auf, wie wichtig es
ist, sicherheitsrelevante Informationen zentral zu sammeln und an die
Betroffenen zu verteilen. Eine zentrale Stelle haette auch bei der Behebung
der entstandenen Schaeden wirksame Unterstuetzung leisten koennen. Die
Verantwortlichen lernten aus diesem Vorfall und gruendeten noch im selben
Monat an der Carnegie Mellon University, Pittsburgh, das erste "Computer
Emergency Response Team" (CERT).
Diese Gruppe diente als Vorbild fuer den Aufbau weiterer Computer-Notfall-
Teams bei anderen Netzbetreibern und uebernahm im weiteren auch die
Koordinierung der Zusammenarbeit. Um die Effizienz ihrer Arbeit zu ver-
groessern, schlossen sich die amerikanischen CERTs 1990 zu dem Forum of
Incident Response & Security Teams (FIRST) zusammen. Heute gibt es weltweit
mehr als 20 Mitglieder, von denen nur vier aus dem europaeischen Raum kommen.
Diese Gruppen sind zu den wichtigsten Informationsquellen ueber Sicher-
heitsluecken, aktuelle Angriffe und neue Entwicklungen geworden. Darueber
hinaus werden Informationen und Programme bereitgestellt, die die
Verantwortlichen vor Ort unterstuetzen sollen. Die Informationen umfassen
Berichte ueber neue Werkzeuge und Produkte, Erfahrungen mit bestimmten
Programmen und Systemen sowie Erkenntnisse aus der Forschung.
In Deutschland haben sich fuer einige Problemkreise in den letzten Jahren An-
sprechstellen etabliert. Seit 1991 kuemmert sich das Bundesamt fuer Sicher-
heit in der Informationstechnik (BSI) um die staatlichen Stellen. Bei
Computer-Viren und Trojanischen Pferden liefern das Micro-BIT Virus-Center
(Universitaet Karlsruhe) und das Virus-Test-Centrum (Universitaet Hamburg,
Prof. Brunnstein) Benutzern von Personal Computern wichtige Unterstuetzung.
Notfall-Team im DFN
Mit der Ausschreibung des Projekts "CERT im DFN - Aufbau und Betrieb eines
Computer Emergency Response Teams (CERT) fuer das Deutsche Forschungsnetz"
trug der DFN-Verein dem starken Interesse an einer Unterstuetzung bei der
Loesung sicherheitsrelevanter Probleme Rechnung. Im Herbst 1992 schloss der
DFN-Verein einen Vertrag mit der Universitaet Hamburg. Basis war ein Angebot
von Herrn Dr. H.-J. Mueck, dem Leiter des Rechenzentrums des Fachbereichs
Informatik. Die Arbeit des Projektteams, das aus zwei wissenschaftlichen
Mitarbeitern besteht, begann am 1. Januar 1993 und verlaeuft ueber eine Dauer
von 18 Monaten. Fuer unterstuetzende Arbeiten werden zwei Studenten einge-
setzt. Praktische Untersuchungen und Forschungen sollen auch im Rahmen von
Studien- und Diplomarbeiten durchgefuehrt werden. Die Aufgaben des Projekts
sind:
- Zusammenarbeit mit anderen CERTs:
Ziel der angestrebten Zusammenarbeit ist der schnelle und gesicherte
Austausch von Informationen und die Beobachtung der internationalen und
nationalen Entwicklung. Dadurch wird auch eine Fruehwarnung der
Anwender moeglich, wenn neue Sicherheitsluecken oder Angriffe bekannt
werden.
- Untersuchungen und Forschungen:
Durch Untersuchungen von Systemen und Protokollen sollen praktisch um-
setzbare Ergebnisse fuer die Anwender erzielt werden. Diese koennen in
Form von Grundloesungen, Fehlerberichten oder Konzepten erarbeitet
werden. Fuer die Installation und den Einsatz verfuegbarer Programme
werden Merkblaetter entworfen und versandt.
- Betreuung und Unterstuetzung:
Durch die Bereitstellung von Informationen, Programmen und Berichten
sowie der Beantwortung von direkten Anfragen werden die Anwender in die
Lage versetzt, sich ueber aktuelle Angriffe und Schwachstellen der ein-
gesetzten Systeme zu informieren und dadurch bereits vorbeugend ihr
System besser zu sichern.
Abbildung:
F I R S T
Forum of Incident Response & Security Teams
Verwaltung: Hersteller: Forschung: Netz-Betreiber:
- US Dep.of Defense - DEC - NASA INTERNet
- US Dep.of Energy - SUN - SPAN * SURFNet
- US Air Force - Motorola - Penn State MILNet
- US Navy - Unisys University
- UK Governement * - SPRINT - Purdue Univ.
- TRW - MicroBIT Virus
Center *
----
* CERTs im europaeischen Raum
Die Uebersicht des FIRST-Systems zeigt das starke Interesse staatlicher
Organisationen an den Problemen der Rechnersicherheit. Ausserdem wird
das Uebergewicht amerikanischer Gruppen deutlich.
Gefahrenpotentiale
Die traditionellen Anstrengungen im Bereich der Rechnersicherheit sind
typischerweise nicht dazu in der Lage, Angriffe sofort zu erkennen und auf
diese in einer effizienten Art und Weise zu reagieren. Dies liegt an den ver-
alteten oder unvollstaendigen Vorstellungen ueber die Art der Angriffe (z. B.
treten Computer-Viren erst seit 1986 als Bedrohung von Personal Computern in
Erscheinung).
Mit der Weiterentwicklung von Computersystemen und ihrer Einbindung in lokale
und weltweite Netzwerke wurden die alten Organisationsstrukturen
aufgebrochen. Angriffe konnten jetzt auch von weit entfernten Orten
durchgefuehrt werden und neue Angriffsformen traten auf. Das steigende Risiko
boesartiger Vorfaelle ist vor allem auf die folgenden vier Faktoren
zurueckzufuehren:
- Aufbau lokaler und weltweiter Netzwerke,
- staendige Zunahme der Komplexitaet,
- Konzentration auf die Vertraulichkeit von Daten, Vernachlaessigung von
Integritaet und Verfuegbarkeit,
- der Einsatz von unsicheren Personal Computern zusammen mit einer
unzureichenden Schulung der Anwender und Benutzer.
Die Moeglichkeit, Netzwerke zu Spionagezwecken auszunutzen, wurde durch den
sogenannten KGB-Hack offensichtlich. Dieser spektakulaere Angriff zeigt unter
anderem auf, wie Systeme von Universitaeten oder wissenschaftlichen Einrich-
tungen dazu benutzt werden, um in die internationalen Netzwerke einzusteigen.
Dies liegt vielfach an den geringeren Sicherheitsvorkehrungen und einer
starken Einbindung in diese Netzwerke.
Computer-Viren stellen fuer PC-Anwender eine zunehmende Gefaehrdung dar. Erst
1984 durch F. Cohen zum ersten Mal wissenschaftlich definiert, trat 1986 der
erste Computer-Virus fuer IBM-kompatible PCs auf - inzwischen hat sich die
Zahl der hierfuer bekannten Computer-Viren auf ueber 1.500 erhoeht. Dass dies
kein PC-spezifisches Problem ist, zeigen die fuer andere Systeme ebenfalls
bekannten Exemplare, u.a. auch auf den Systemen IBM/MVS, VAX/VMS und UNIX.
Erheblich geringer, aber in den Auswirkungen nicht weniger bedeutend, ist die
Zahl der bekannten Angriffe durch Computer-Wuermer. Neben dem bereits ange-
sprochenen Internet-Wurm traten zwei weitere Computer-Wuermer innerhalb des
SPAN / HEPNet auf. Weitere Angriffe oder Vorfaelle die innerhalb des BITNETs
stattfanden, z.B. das CHRISTMA EXEC, wurden zwar auch als Computer-Wuermer
bezeichnet, sind jedoch als Kettenbriefe einzustufen.
Die angefuehrten Beispiele sind sehr spektakulaer und wurden in der oeffent-
lichen Berichterstattung entsprechend aufbereitet. Die alltaeglichen Probleme
der fuer die Rechnersicherheit verantwortlichen Personen sehen jedoch ganz
anders aus. Ein Grund dafuer ist das oft mangelnde Sicherheitsbewusstsein der
Benutzer. Untersuchungen auf UNIX-Systemen haben gezeigt, dass von den ca.
13.000 Accounts, die als Grundlage der Versuche gesammelt wurden, 24,2
Prozent der Passworte bestimmt werden konnten. Dafuer wurde eine
Rechenleistung von fast zwoelf CPU-Monaten benoetigt. Doch sollte aus der
Hoehe des Aufwands kein falscher Schluss gezogen werden, da die ersten 368
Passworte (2,7%) innerhalb der ersten 15 Minuten bestimmt wurden. Bereits
durch eine sorgfaeltigere Wahl der Passwoerter kann diese Schwachstelle
wesentlich entschaerft werden.
Ein anderes Problem sind die Sicherheitsluecken in den verwendeten
Protokollen und Programmen. Zusammen koennen die so entstehenden Moeglich-
keiten genutzt werden, um Zugang zu einem System zu erlangen. Forschungen bei
AT&T haben gezeigt, dass pro Woche im Durchschnitt ein ernsthafter Ein-
bruchsversuch erfolgt und mehrere primitivere Versuche unternommen werden.
Aufgaben des Projekts
In dieser Situation helfen Computer-Notfall-Teams, indem sie ihr Wissen und
ihre Unterstuetzung den betroffenen Organisationen und Anwendern bereit-
stellen. Natuerlich werden damit die ueblichen Massnahmen zur Rechnersicher-
heit nicht ueberfluessig. Es kommt vielmehr auf die richtige Kombination an.
Bei der Vielfaeltigkeit der heute eingesetzten Systeme ist es fuer die
meisten Organisationen unmoeglich, fuer alle sicherheitsrelevanten Fragen
ueber einen ausgebildeten Experten vor Ort zu verfuegen. Diesem grundsaetz-
lichen Problem wird durch die Zusammenarbeit der verschiedenen CERTs und die
Kooperation mit Forschern und Herstellern begegnet.
Damit das DFN-CERT seine Aufgaben erfolgreich wahrnehmen kann, steht der
Aufbau notwendiger Kooperationen und Verbindungen mit nationalen und inter-
nationalen Gruppen im Mittelpunkt der ersten Monate. Hilfreich ist dabei die
Zusammenarbeit mit der RARE CERT Task Force. Die Projektgruppe der Ver-
einigung der europaeischen Netzorganisationen hat das Ziel, die Mitglieds-
organisationen bei der Gruendung eigener CERTs zu unterstuetzen. Auch der
direkte Anschluss an das amerikanische FIRST-System und die Kooperation mit
Herstellern und nationalen Gruppen ist geplant.
Die Erschliessung und Betreuung von DFN-Mitgliedern und Anwendern des WIN
wird einen grossen Teil der praktischen Taetigkeit des DFN-CERTs ausfuellen.
Dabei sollen die Anwender gezielt angesprochen und zur Mitarbeit aufgefordert
werden. Die Bestimmung ihrer Erwartungen und Wuensche soll helfen, die
Akzeptanz der angebotenen Dienstleistung zu erreichen. Ein Fragebogen, mit
dem das Meinungsbild der DFN-Mitglieder erfragt werden soll, wurde bereits an
die Leiter wissenschaftlicher Rechenzentren versendet. Dabei wurden auch
Fragen zu den lokalen Systemen und bisherigen Erfahrungen mit Rechnersicher-
heitsaspekten gestellt. Von der Auswertung verspricht sich das Projektteam
genauere Informationen ueber die Probleme und Anforderungen der betreuten
Anwenderkreise.
Vorbeugen ist besser
Besonders wichtig sind vorbeugende Massnahmen, um Sicherheitsluecken zu
schliessen und die Schutzmechanismen zu verbessern, bevor ein Angriff erfolgt
oder ein Schaden auftritt. Zu diesen Zweck werden Programme und Informationen
auf einem File-Server bereitgestellt. Um eine gezielte und gefuehrte Suche
nach benoetigten Informationen zu ermoeglichen, wird die Verwendbarkeit von
Textretrievalsystemen - zum Beispiel Wide Area Information System (WAIS),
Gopher und World Wide Web (WWW) - untersucht.
Darueber hinaus koennen konkrete Fragen an die Mitarbeiter des Projekts
gerichtet werden, wobei ihre vertrauliche Behandlung und Bearbeitung
zugesichert wird. Zur Beantwortung wird auf nationale und internationale
Kontakte zurueckgegriffen, falls ein Problem nicht lokal geloest werden kann.
Da alle Informationen ueber Sicherheitsluecken und Angriffstechniken sensitiv
sind, wird nur der Teil der Informationen weitergegeben, der notwendig ist,
um eine Luecke zu schliessen oder einen Angriff zu verhindern. Damit soll ein
Missbrauch durch Cracker oder unerfahrene Benutzer ausgeschlossen werden.
Nur durch eine intensive Beschaeftigung mit den einzelnen Systemen und Proto-
kollen kann das notwendige Know-How ueber deren Sicherheitseigenschaften auf-
gebaut bzw. erweitert werden. Wichtige Ansatzpunkte fuer solche Unter-
suchungen scheinen zunaechst die besonderen Probleme von UNIX-Systemen und
Netzwerk-Anwendungen zu sein.
Im Bereich der UNIX-Systeme gibt es zahlreiche frei verfuegbare Programme,
die von den Verantwortlichen vor Ort eingesetzt werden koennen. Dazu zaehlen
COPS (Programm zur Pruefung auf bekannte Sicherheitsluecken), CRACK (Angriff
auf Passwortdateien durch Abgleich mit Woerterbuechern) sowie TRIPWIRE (Er-
kennung von Dateimanipulationen ueber eine Pruefsummenbildung), um nur einige
zu nennen. Im Bereich der Netzwerk-Anwendungen gewinnen Programme wie PGP
oder PEM an Bedeutung, die die Authentizitaet und Vertraulichkeit von
Nachrichten, z. B. bei Electronic Mail, gewaehrleisten sollen. In Zukunft
werden immer haeufiger sogenannte Firewalls eingesetzt werden, um lokale
Netzwerke gegenueber Angriffen aus angeschlossenen Weitverkehrsnetzen besser
schuetzen zu koennen.
Ausblick und Kontaktadresse
Die aus der Projekt-Taetigkeit gewonnene Erfahrung dient noch einem anderen
Zweck. Zum Abschluss des Projekts sollen dem DFN-Verein Vorschlaege fuer
weitere Aktivitaeten im Bereich der Rechnersicherheit vorgestellt werden.
Dazu koennte auch die Etablierung eines CERTs als staendige Dienstleistung
zaehlen. Ob ein solcher Ansatz allerdings Erfolg verspricht, muss sich
waehrend der naechsten Monate erst einmal zeigen. Die Resonanz der Anwender
wird darueber entscheiden, ob das DFN-CERT erfolgreich ist.
Gelegenheit zu aktiver Diskussion oder Mitarbeit besteht jederzeit. Das
Projekt wird sich auf der 16. Betriebstagung vorstellen und auch im neuen
Arbeitskreis "Security" vertreten sein. Ueber wichtige Entwicklungen und den
Fortgang des Projekts wird auch an dieser Stelle berichtet werden.
Direkte Anfragen an das DFN-CERT sind erwuenscht. Sie erreichen es unter:
DFN-CERT
Universitaet Hamburg / FB Informatik
Vogt-Koelln-Strasse 30
2000 Hamburg 54
oder per Electronic Mail:
X.400: s=dfncert; ou=rz; ou=informatik;
p=uni-hamburg; a=dbp; c=de
RFC822:
dfncert@informatik.uni-hamburg.de