IT-Sicherheit und Penetrationstests Teil 2: Schwachstellen in Servern aufdecken

26. März 2012 von Marcell Dietl

Industrie- und Wirtschaftsspionage gegen Unternehmen und Staaten ist längst keine Randerscheinung mehr, sondern eine alltägliche Bedrohung. Fast schon wöchentlich gibt es neue Meldungen über Angriffe auf komplexe IT-Systeme, die immer spektakulärer zu werden scheinen. Oft sind es aber die kleinen Fehler, die übersehen oder vergessen werden und einen Einbruch erst möglich machen. In diesem Teil unserer Artikelreihe über Penetrationstests zeigen wir auf, wie unsere Experten von //SEIBERT/MEDIA/SYSTEMS Server testen, um kleine und große Fehler aufzudecken.

Nachdem man sich im ersten Teil des Penetrationstests ausführlich mit den Formalitäten, die jeder seriösen Sicherheitsüberprüfung vorausgehen sollten, beschäftigt und in öffentlichen Quellen nach Daten recherchiert hat, um durch das “Lesen der Fußspuren” (Footprinting) einen ersten Eindruck von den Systemen zu gewinnen, beginnt nun die aktive Suche nach Sicherheitslücken in Sachen Server. (Mit der ebenfalls eminent wichtigen Datenbanksicherheit befassen wir uns demnächst ausführlich in einem separaten Artikel.)

Um zunächst herauszufinden, welche Server welche Software in welcher Version nutzen, ist ein klassischer Portscan sinnvoll.

Der Portscan: Serverdienste finden und Versionen identifizieren

Es gibt vermutlich kaum einen Penetrationstest, bei dem nicht zu irgendeinem Zeitpunkt der von Gordon “Fyodor” Lyon entwickelte Portscanner Nmap zum Einsatz kommt. Mehrere grafische Frontends, Portierungen auf alle gängigen Systeme und eine eigene kleine Scripting Engine – NSE genannt – sind nur einige der Vorzüge von Nmap und das Ergebnis einer fleißigen Community.

Es ist kein Geheimnis, dass auch die Experten von //SEIBERT/MEDIA eben jenes Tool für diverse Überprüfungen einsetzen – und insbesondere für die Suche nach offenen Ports bzw. Diensten, die von außen erreichbar sind.

Aber was genau bringt uns dieses Wissen? Vor allem die Erkenntnis, welche Server welche Dienste anbieten und somit auch potenziell angreifbar sind. Darüber hinaus erlangt man eine ungefähre Ahnung, welche Rolle den jeweiligen Systemen zugedacht ist: Handelt es sich um einen Mail-, Datei- oder Web-Server? Oder läuft gar alles auf einer einzigen Maschine?

Von diesen (noch eher schwammigen) Informationen ausgehend, folgt eine intensive Betrachtung der gefundenen Dienste. Lässt sich ermitteln, welche Software hinter den Portnummern steckt? Und in welcher Version sie betrieben wird? Solche Informationen können für einen Angreifer sehr wertvoll sein. Je “gesprächiger” die Dienste sind, desto gezielter können Angriffe vorbereitet werden.

Das Worst-Case-Szenario aus Sicht des angegriffenen Unternehmens (und zugleich das optimale Umfeld für den Hacker) sähe in etwa so aus: Eine Software, die nicht mehr auf dem neuesten Stand ist und für die bereits Exploits im Internet kursieren, läuft mit weitreichenden Rechten, ist von außen erreichbar und teilt jedem, der es wissen will, ihre exakte Versionsnummer mit. Ein Einbrecher kann nun in aller Ruhe den Exploit raussuchen, der zu dieser Version passt und das System mit nur wenigen Klicks kompromittieren.

Dieses Schreckensszenario ist keineswegs so selten, wie man annehmen möchte, und aus diesem Grund darf ein ausführlicher Portscan in keinem Penetrationstest fehlen.

Kritische Dateien und Verzeichnisse des Servers aufspüren

Ist der Experte beim Portscan in die Rolle eines Angreifers geschlüpft, der bei Null anfangen muss, geht er anschließend einen großen Schritt weiter: Der Kunde gibt ihm (eingeschränkten) Zugriff auf seine Systeme, damit der Fachmann sicherheitsrelevante Lücken aufdecken kann.

Was soll damit simuliert werden? Hat ein Angreifer nicht schon längst gewonnen, wenn er erst einmal im System ist? Eine berechtigte Frage, aber die Antwort ist ein klares Nein. Stellen wir uns zur Verdeutlichung das folgende Szenario vor:

Einem Einbrecher ist es “nur” gelungen, eingeschränkte Rechte zu erhalten, etwa durch den Diebstahl eines User-Passworts. Nun hängt das Wohl des Systems am seidenen Faden der Konfiguration. Ist sie lückenhaft, kann der Angreifer seine Rechte ausweiten und maximalen Schaden anrichten. Ist sie penibel durchdacht, wird ihn diese Hürde in vielen Fällen abschrecken und aufgeben lassen.

Solche Situationen, in denen ein Einbruch zwar gelingt, der Schaden aber mit den richtigen Vorkehrungen deutlich begrenzt werden könnte, sind keine Seltenheit. Und genau deshalb ist die Suche nach folgenden Schwachstellen im System von großer Bedeutung:

  • Veraltete Systempakete, die dringend aktualisiert werden müssen
  • SUID-Dateien, die sich mit erweiterten Rechten ausführen lassen
  • Dateien und Verzeichnisse, die für jedermann schreibbar sind
  • Kritische Dateien und Verzeichnisse, die für jedermann lesbar sind

In einem letzten Schritt konzentriert sich der Experte noch einmal auf den Webserver, also den Dienst, der auf fast jedem Server läuft und bei dem auch nahezu jeder Angreifer ansetzen wird.

Angriffe auf den Webserver durchführen

Nachdem die Server mit Portscans auf Lücken untersucht wurden und eine Suche auf den Systemen mit eingeschränkten Rechten stattgefunden hat, folgt noch ein letzter Test, der etwas aus der Reihe zu fallen scheint: die Überprüfung des Webservers auf Konfigurationsfehler und Sicherheitslücken.

Warum sollte gerade dieser Dienst besondere Beachtung genießen? Vor allem deshalb, weil er auf Zig Millionen Rechnern weltweit läuft und damit für Angreifer von besonderem Interesse ist, denn diese sitzen häufig gar nicht mehr selbst am Rechner, sondern lassen Skripte die Fleißarbeit, also die Suche nach verwundbaren Maschinen, verrichten. Und bei dieser Taktik zählt nur eines: Masse!

Der zweite Grund besteht darin, dass ein Webserver für viele heutige Unternehmen eine zentrale Rolle spielt. Vom Online-Shop bis zum sozialen Netzwerk steht ohne Webserver steht das Geschäft still. Genau diese Abhängigkeit machen sich “moderne” Erpresser zu Nutze, um ihren Forderungen Nachdruck zu verleihen. Zahlt ein Unternehmen nicht, folgt ein (D)DoS-Angriff auf die (Web-)Server.

Einen solchen Angriff führt der Experte im Rahmen des Penetrationstests in kontrollierter Form (und natürlich nur auf ausdrücklichen Wunsch hin) ebenfalls durch. Die Ergebnisse verschaffen dem Kunden einen sehr genauen Eindruck von der Standfestigkeit seiner Systeme.

Darüber sind einige manuelle Untersuchungen empfehlenswert, um unter anderem die folgenden Fragen zu klären:

  • Wie “gesprächig” ist der Webserver? Verrät er seine Version, geladene Module und ähnliches?
  • Welche HTTP-Methoden sind aktiviert? Nur die, die gebraucht werden oder unnötig viele?
  • Werden Anfragen protokolliert? Sind die kritischen Informationen in den Log-Dateien verschleiert?

Die Antworten auf diese und weitere Fragen bieten sehr detaillierte Erkenntnisse über die Beschaffenheit des Webservers und bilden einen guten Leitfaden, um Konfigurationsfehler systematisch abzuarbeiten.

Fazit und Ausblick auf Teil 3

Das Internet im Allgemeinen und das World Wide Web im Speziellen sind unverzichtbarer Bestandteil unseres Lebens geworden. Die Daten, die wir dabei stets hinterlassen, sind aber leider auch für Cyber-Kriminelle interessant – und so wächst mit dem Netz auch dieser Schattenmarkt rasant.

Dreh- und Angelpunkte sind letztlich Server: Mail-Server, auf denen vertrauliche E-Mails liegen, Datei-Server, auf denen sensible Daten gespeichert werden, und auch Webserver, deren Ausfall für Firmen existenzbedrohend sein kann.

Es ist also sehr empfehlenswert, bei Penetrationstests den Servern von außen (Black-Box-Hacking) und innen (White-Box-Hacking) so viel Aufmerksamkeit zukommen zu lassen, wie nötig ist, um versteckte und vergessene Lücken zu identifizieren.

Im dritten und letzten Teil unserer Artikelreihe zu Penetrationstests von //SEIBERT/MEDIA widmen wir uns abschließend noch einem Risikofaktor, der leider allzu gerne unterschätzt wird, nämlich löchrigen Webanwendungen, die einem Einbrecher Tür und Tor zu Daten und Servern öffnen können.

Weiterführende Informationen

Haben Sie Fragen zum Thema IT-Sicherheit? Möchten Sie Risiken minimieren und Sicherheitslücken in Ihrem Unternehmen identifizieren und stopfen? Die erfahrenen IT-Experten von //SEIBERT/MEDIA/SYSTEMS beraten Sie gerne – bitte sprechen Sie uns unverbindlich an! Ausführliche Informationen finden Sie auch auf unserer speziellen Seite zum Thema Internet-Security-Beratung.

Offizielles Buch zum Sicherheitstool Nmap von Gordon “Fydor” Lyon
Umstrittenes Archiv von weltweiten Server-Einbrüchen und Defacements
Der internationale Norton Cybercrime Report von Symantec

Weitere Informationen zu Internet Security Beratung

2 Reaktionen zu diesem Beitrag

  1. IT-Sicherheit und Penetrationstests Teil 1: Informationen sammeln und bewerten - //SEIBERT/MEDIA Weblog

    [...] zweiten Teil unserer Artikelreihe zu Penetrationstests von //SEIBERT/MEDIA zeigen wir auf, welche Gefahren ein schlecht konfiguriertes Serversystem in sich birgt und wie [...]


  2. IT-Sicherheit und Penetrationstests Teil 3: Lücken in Web-Anwendungen aufdecken - //SEIBERT/MEDIA Weblog

    [...] und Informationsbeschaffung. Auf den gesammelten Erkenntnissen aufbauend hat ein Experte dann die Server im Allgemeinen und die Web-Server im Speziellen untersucht, um Schwachstellen in den Systemen ans Licht zu [...]


Eine Antwort hinterlassen





//SEIBERT/MEDIA besteht aus den vier Kompetenzfeldern Consulting, Design, Technologies und Systems und gehört zu den erfahrenen und professionellen Multimedia-Agenturen in Deutschland. Wir entwickeln seit 1996 mit heute über 65 Mitarbeitern Intranets, Extranet-Systeme, Web-Portale aber auch klassische Internet-Seiten. Seit 2005 konzipiert unsere Designabteilung hochwertige Unternehmensauftritte und kommunikative Konzepte. Beratungen im Bereich Online-Marketing und Usability runden das Leistungsportfolio ab.

Zu unseren teils weltweit agierenden Kunden gehören u.a. Accor, Allianz, Atlas MTT, BAD, Deutsche Klinik für Diagnostik, Deutsche Post, Hitachi, Honda Motor, Hotel InterContinental, Institut Fresenius, Kabel Deutschland, Lufthansa, SAP, SGS AG, STA Travel, StepStone sowie viele andere große und kleine interessante Unternehmen.