TechTalk

Ich möchte Euch diesen großartigen Vortrag von Joanna Rutkowska sehr ans Herz legen. Diese Aufnahme des Linux-Magazin stammt aus dem letztjährigen DFN-Workshop "Sicherheit in vernetzten Systemen" zu dem ich mich fast angemeldet hätte, wenn mir die Tagungsgebühren nicht so hoch gewesen wären. Wenn alle Vorträge ähnlich interessant gewesen sind, hätte ich mich wohl nicht geärgert, hätte ich mich angemeldet.

In Ihrem Vortag hält Rutkowska ein sehr überzeugendes Plädoyer für die Bedeutung des Aspektes der Erkennung von kompromittierten Systemen. Sie kritisiert die einseitige Fokussierung auf den Aspekt der Prävention und trifft damit bei mir voll ins Schwarze, da auch in meinem Bewußtsein die Prävention stehts die größte Bedeutung besaß und Erkennung zwar nicht unbedeutend, aber doch nachrangig war. Denn: wer ein integeres System will, der muß den Einbruch verhindern. Erkennung greift erst im Schadensfall.

Genau hier hakt Rutkowska jedoch sehr überzeugend ein. Sie argumentiert, dass die Vergangenheit gezeigt habe, dass Systeme, die man sicher glaubte, nur allzu oft doch kompromittiert werden konnten, weil Sicherheitslücken ausgenutzt wurden. Hat man nun ein System, dass eine Lücke hatte, so hat man mit der Prävention ein Problem. Denn selbst wenn man sofort nach Bekanntwerden der Lücke einen Patch einspielt, so kann man sich nie sicher sein, dass die Lücke in der Vergangenheit nicht ausgenutzt worden ist. Prävention hat also immer eine zeitliche Komponente, eine Geschichte, die sich rückwirkend nicht ändern lässt. Behebe ich eine Lücke jetzt, habe ich sie in der Vergangenheit noch lange nicht behoben. Ich müßte also nach jeder neuen Lücke um die Sicherheit meines Systems fürchten. Daran änderten auch verbesserte präventive Maßnahmen nichts.
Anders die Erkennung. Verbessere ich die Erkennung, greift diese Verbesserung oftmals "zeitlos". Ich erhöhe damit nicht nur die Wahrscheinlichkeit gegenwärtige Einbrüche zu detektieren, sondern ich erhöhe ebenfalls die Wahrscheinlichkeit vergangene Einbrüche aufzuspüren. Systeme zur Prüfung der Systemintegrität sind also im Grunde die andere Medaille sicherer Systeme. Ohne Detektion macht Prävention keinen Sinn. Da Prävention keine Sicherheit bieten kann, müssen wir immer auf der Hut sein, ob präventives Maßnahmen nicht doch versagten. Sie bemüht das passende Bilder des "Yin-Yan der Sicherheit". Die Balance muß stimmen und die Erkennung von Schadsoftware darf nicht als lästiges Stiefkind der Sicherheit betrachtet werden.

Sie definiert im folgenden verschiedenen Typen von Schadsoftware und klammert einen Bereich, nämlich jenen von selbst installierten Programmen, z.B. von selbstinstallierter Schadesoftware, die die üblichen API's für Programme benutzt und nicht irgendwelche Schwächen ausnutzt oder andere Systembestandteile kompromittiert, aus. Ihre Klassifikation überzeugt ebenso wie die skizzierten Lösungsansätze, die im übrigen auch deutlich machen, warum die Installation von handelsüblicher Antiviren-Software keine Lösung, sondern manchmal sogar Teil des Problems ist.

Ich kann jedem, der sich für dieses Thema interessiert (für IT'ler sollte es m.E. Pflichtstoff sein), nur empfehlen sich das Video und die Slides anzugucken. Das sind 90 sinnvoll investierte Minuten. Ich zumindest habe ein paar Aha-Effekte erlebt und bin dem Linux-Magazin für diesen Service schönen Service, der einige andere interessante Vorträge bietet, dankbar.

Heute wurde mir wieder einmal mehr klar, warum ich OpenSuSE zwar auf dem Desktop, nicht aber auf dem Server einsetze. Aktueller Fall: proftpd läuft bei einem Kunden nicht im Standalone-Betrieb. Der Service forked nicht. Warum? Weil die OpenSuSE-Leute den Dienst tatsächlich mit --enable-devel=coredump,nodaemon,nofork übersetzt haben. Skuriler gehts nimmer.

Seit zwei Jahren ärgere ich mich ständig nach einem Kernelupdate mit VMware rum, weil VMware kein Kernelmodul gegen den neuen Kernel baut. Es ist mittlerweile schon lästige Routine geworden nach dem aktuellen, inoffiziellen "Any-Any-Patch" zu suchen, den Petr Vandrovec, ein VMware-Mitarbeiter, erstellt hat, und den VMware-Installer damit zu patchen.

An die Lösung hab ich mich gewöhnt, weswegen ich in der Vergangenheit im wesentlichen doch eher gute Worte für VMware übrig hatte. Denn: VMware läuft sehr stabil und zuverlässig und ich habe damit in den letzten Jahren sehr erfolgreich eine parallele Windows-Installation vermieden. Leider hat sich das seit OpenSuse 11.0 geändert. Für den aktuellen 2.6.25er Kernel gibt es bis dato für VMware Workstation 5.5 keinen Patch und einen fragwürdigen Patch für die 6.0. Besserung ist wohl erst mit 6.5 in Sicht. Das finde ich nicht akzeptabel und man wird auf der Suche nach Lösungen feststellen, dass das Problem Benutzer der meisten aktuellen Distributionen betrifft. Ich würde fast wetten: wäre VMware Open Source gäbe es längst zuverlässige Patches. Am besten aber wäre es die Virtualisierungslösung würde im Kernel gepflegt. Dann gehörten derartige, nervende u.U. stressende Update-Abenteuer endlich der Vergangenheit an.

Mein nächster Rechner wird Hardware-Virtualisierung unterstützen und dann wird VMware wohl endgültig durch Xen abgelöst.

Update (drei Stunden, ein Telefonat, ein Abendessen und ein Code-Audit später): VMware läuft! Geholfen hat mir folgender Artikel von Peter Velichkov. Hab vorher einen kurzen, aber nicht unkritischen Blick auf den Patch geworfen, da ich mit Patches die irgendwo "in the wild" rumfliegen immer etwas ängstlich bin.

Das Update von 10.3 auf OpenSuSE 11.0 war schmerzfrei und ging flott von der Hand. Neben Softwareaktualisierungen viele Verbesserungen im Detail. Bin recht angetan. Aaaber: warum hat es mir schon wieder den Bootsektor zerschossen? Warum musste ich selbst wieder Hand an grub legen?

Update: Man soll den Tag nicht vor dem Abend loben: postfix/master[17716]: fatal: 127.0.0.1:smtps: Servname not supported for ai_socktype Hab den Service erstmal auskommentiert (was eigentich nicht im Sinne des Erfinders ist... Ich benutzte ihn tatsächlich). Hat jemand eine Ahnung woran das liegen könnte?

Update (zehn Minuten später): Problem hat sich geklärt. SuSE hat die /etc/services aktualisiert. Unter 465/tcp steht jetzt urd statt smtps. Den Port beim Service in der master.cf mitzukonfigurieren oder den Eintrag in /etc/services zu ändern hilft.

Ich bin sehr restriktiv im Einsatz von JavaScript. Dies hat drei Gründe:

1. Ein Großteil aller Browser-Sicherheitslücken wird über JavaScript getriggert bzw. liegt in den Fähigkeiten JavaScripts begründet.
2. Mit JavaScript wird allerlei nervige Werbung (Pop-Up's, Layer u.a.) realisiert.
3. JavaScript wird zunehmend für Tracking-Zwecke benutzt.

... auf der PHP Unconference?

B: Instant Messaging wird geblocked.
L: Dann tunnel das doch via ssh.
B: Das geht auch nicht. ssh ist wird auch geblocked.
L: Ja und?

Denn das ist überhaupt gar kein Problem. Mit nur etwas Networking-Know-How und Zugriff auf irgendein vernetztes System kann man nahezu alles tunneln. Meistens geht das sogar sehr einfach. "Die Secure Shell wurde geblocked" heißt in der Regel nur: der Firewall-Administrator hat den Port dicht gemacht. Den verschlüsselten Datenstrom kann eine Firewall naturgemäß nicht inspizieren. Die einfachste Lösung ist also den sshd auf Port 443 (der Standardport für HTTPS) lauschen zu lassen und die Verbindung durch den Proxy aufzubauen. Nichts ist einfacher als das und geht - putty sei Dank - auch auf einem Windozesystem problemlos.