Sind Sie sicher?
Plädoyer gegen den Leichtsinn

von Ulrich Kiermayr & Aron Vrtala (Ausgabe 01/1, März 2001)

 

"Securitymaßnahmen brauche ich nicht, ich habe nichts zu verbergen!" Leider ist diese Reaktion genauso häufig wie falsch: Auch wenn die Daten auf einem Rechner nicht besonders wichtig sind, kann er dennoch leicht zu einer Gefahr für alle werden. Der Mißbrauch von ungeschützten Rechnern durch Hacker und zerstörte Festplatteninhalte durch Computerviren gehören leider zum Alltag - auch an der Uni Wien. Die folgenden Beispiele haben sich tatsächlich ereignet und sollen deutlich machen, wie wichtig ein Minimum an Sicherheitsvorkehrungen für alle (!) Netzwerkteilnehmer ist.

Fall 1:

Im Frühjahr 2000 gelingt es einem oder mehreren Hackern aus Deutschland, in einige Institutsrechner der Uni Wien einzudringen und ein sogenanntes Distributed Denial of Service (DDoS)1) zu starten. Es ist nicht die erste DDoS-Attacke an der Uni Wien, aber die bisher schlimmste: Bei den gehackten Rechnern handelt es sich um leistungsfähige Server an verschiedenen Standorten, die alle mit sehr hoher Bandbreite an das Netzwerk angeschlossen sind und praktisch gleichzeitig zum Angriff übergehen. Im Gebäudekomplex Boltzmanngasse/Strudlhofgasse, in dem sich zwei dieser Rechner befinden, ist das Netzwerk kurz darauf so überlastet, daß ein Verbindungsaufbau - wenn er überhaupt zustande kommt - statt Sekundenbruchteilen nun Minuten dauert. Währenddessen wird das Uni-Datennetz von weiteren gehackten Systemen im Betriebswirtschaftszentrum (Brünner Straße) und im Universitätszentrum Althanstraße mit der gesamten verfügbaren Bandbreite torpediert.

Die Auswirkungen sind dramatisch: Schon nach kurzer Zeit bricht in der Universitätsbibliothek die elektronische Entlehnung zusammen. Zunächst bilden sich lange Warteschlangen, dann müssen die Interessenten unverrichteter Dinge umkehren. Auch die PC- und Kursräume des ZID sind nicht mehr verwendbar; die Studierenden müssen ihre Arbeiten, die Kursleiter ihre Veranstaltungen abbrechen. Eine Kommunikation über eMail ist praktisch nicht mehr möglich, der Webserver kann nicht mehr abgefragt werden, und schlußendlich kommt auch noch das Telefonsystem der Universität, das teilweise über die Datennetz-Infrastruktur betrieben wird, zum Erliegen. Damit ist die Uni Wien - zumindest elektronisch - von der Außenwelt abgeschnitten. Hunderte Universitätsangehörige, die für ihre Arbeit funktionierende EDV-Systeme benötigen, müssen untätig auf ein Ende der Störung warten. Wegen des unbrauchbaren Netzwerks und der stark eingeschränkten Verständigungsmöglichkeiten innerhalb der Uni können die gehackten Rechner erst nach mehreren Stunden von den Mitarbeitern des ZID lokalisiert und vom Netz genommen werden. Wie bereits erwähnt, handelt es sich dabei um größere Systeme, die von den Instituten selbst betrieben und von den Institutsmitarbeitern als Mail- und Fileserver (ähnlich dem Mailbox-Rechner) verwendet werden. Für diese hat die Attacke längere Nachwirkungen: Ihre Daten und eMail-Nachrichten auf den deaktivierten Servern sind erst nach Tagen wieder abrufbar.

Fall 2:

Chemisch-Physikalische Institute, Anfang der 90er Jahre: Ein Student schreibt ein sogenanntes Sniffer-Programm und installiert es auf seinem DOS-Rechner. Das Programm "belauscht" den Datenverkehr im damals recht neuen Medium Internet2) und filtert ihn nach UserIDs und Paßwörtern. Nach kurzer Zeit verfügt der Student über eine ansehnliche Liste von Benutzerkennungen für die damals häufig verwendeten Rechnersysteme. Er könnte mit diesem Wissen großen Schaden anrichten, indem er z.B. Forschungsergebnisse oder Prüfungsdaten ausspioniert; glücklicherweise interessiert er sich aber eher für das Prinzip.

Noch vor wenigen Jahren waren Sniffer-Programme Werkzeuge für Spezialisten - mittlerweile können sie von jedem mit wenigen Mausklicks aus dem Netz geholt und betrieben werden. Die heutige breite Verwendung des Internet birgt eine beträchtliche Gefahr für unverschlüsselte Daten, insbesondere für Benutzerkennungen und "sensitive Daten" wie z.B. Prüfungsfragen. Die heute üblichen Netzwerk- und Rechnergeschwindigkeiten bieten allerdings auch die nötigen Ressourcen für Sicherheitsvorkehrungen: So ist es z.B. mit Hilfe des Netzwerkprotokolls Secure Shell (SSH; siehe Comment 00/3, Seite 23 und 27) leicht möglich, den Datenverkehr zwischen zwei Rechnern verschlüsselt zu übertragen. Beim Arbeiten im WWW sollte nach Möglichkeit das Protokoll Secure HTTP verwendet werden, das ebenfalls die Daten vor der Übertragung verschlüsselt (siehe auch Artikel hotmail@univie.ac.at).

Fall 3:

Mitte Dezember 1998 werden die Linux-Server des Instituts für Theoretische Physik Opfer eines Hackereinbruchs. Der Übeltäter ersetzt nahezu jede Systemsoftware durch Trojanische Pferde3), um seine Spuren zu verschleiern, und installiert einen Paßwort-Sniffer. So erbeutet er nicht nur die lokalen Paßwörter, sondern auch Benutzerkennungen für diejenigen Rechner, die von den Institutsservern aus kontaktiert werden (z.B. Mailbox-Rechner, Unix-Cluster "Merlin"). Als die Systemadministratoren Verdacht schöpfen, ist es schon zu spät: Der Hacker hat bereits so viele Zugangsmöglichkeiten zum System gesammelt, daß jeder Versuch, ihn fernzuhalten, nur von kurzem Erfolg gekrönt ist. In den folgenden zwei Wochen müssen die Systemadministratoren - anstatt Weihnachten zu feiern - unter anderem das ganze System neu installieren. Auch alle Paßwörter (nicht nur die lokalen, sondern auch die Mailbox- und Merlin-Paßwörter) der Institutsangehörigen müssen geändert werden, um den Hacker aus dem System zu drängen. Die Institutsmitarbeiter haben ebenfalls wenig Freude: Ihre Daten und ihre eMail-Nachrichten sind nicht verfügbar, geplante Kurse müssen abgesagt werden.

Fall 4:

Im Mai 2000 zeigt der eMail-Wurm "I love you", wie gefährlich mangelhafte Konfigurationen von eMail-Programmen und fehlender Schutz vor Computerviren und dergleichen sein können (siehe auch Seite 20, 26 und 28). Auch in diesem Bereich ist es nicht schwer, durch sorgloses Verhalten andere Netzteilnehmer zu schädigen: So erhält z.B. ein Institutsmitarbeiter den "Liebesbrief" über den Mailbox-Rechner, noch bevor dort der entsprechende Filter eingebaut wird und der ZID Warnmeldungen veröffentlicht. Da er vorsichtig ist, liest er seine eMail immer direkt unter Unix. Mit dieser Nachricht kann er allerdings nicht viel anfangen; er überträgt sie daher auf einen Arbeitsgruppen-PC, der sich in einer Windows NT-Domäne (ein Verbund aus mehreren Windows-Rechnern) befindet, und startet die beigefügte Datei durch einen Doppelklick. Der Wurm durchsucht in kürzester Zeit die gesamte Domäne und nistet sich ein, wo immer es möglich ist. Nach einigen Stunden ist keiner der Arbeitsgruppen-Rechner mehr verwendbar, und unglücklicherweise fehlt - wie so oft - auch ein brauchbares Backup...

 

1) Ein Denial of Service (DoS) ist der Versuch, einen bestimmten Server oder auch das Netzwerk selbst durch den ununterbrochenen "Beschuß" mit Datenpaketen unbrauchbar zu machen. Bei einem Distributed Denial of Service (DDoS) geht der Angriff von mehreren verteilten Rechnern aus. Hacker mißbrauchen dafür gerne Systeme, die von ihren Besitzern ohne entsprechende Sicherheitsmaßnahmen ans Netzwerk angeschlossen wurden. Wenn - wie im vorliegenden Fall - größere Server mit schneller Internetanbindung eine DDoS-Attacke durchführen, kann es zu mehrstündigen Netzwerk- bzw. Serverausfällen und Schäden in Millionenhöhe kommen.

2) Als das Internet konzipiert wurde, war es ein Netzwerk für wenige Wissenschafter. Die Datenübertragungsgeschwindigkeiten und die Rechnerkapazitäten waren im Vergleich zu heute sehr gering und boten wenig Spielraum für aufwendige Sicherheitsmaßnahmen wie z.B. verschlüsselte Datenübertragung. Die elementaren Netzwerkprotokolle (Telnet, FTP, SMTP, HTTP, POP3, IMAP4) arbeiten daher bis heute normalerweise ohne Verschlüsselung.

3) Als Trojanisches Pferd bezeichnet man ein Programm, das Namen und Aussehen eines bestehenden Programms imitieren kann, aber neben dem "offiziellen" Verwendungszweck im Hintergrund versteckte, schädliche Funktionen ausführt. Ein trojanisches Pferd kann sich - im Gegensatz zu einem Virus oder Wurm - nicht selbst aktivieren, sondern muß vom Benutzer explizit aufgerufen werden. Dies geschieht natürlich meistens in dem Glauben, daß es sich um eine harmlose Software handelt.