Sicherheitsverwaltung – Juli 2004 Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? Teil II

Jesper M. Johansson, Ph.D., CISSP, MCSE, MCP+I
Sicherheitsprogramm-Manager, Microsoft Corporation

Weitere Security Management-Kolumnen (englischsprachig)

Auf dieser Seite

Datensicherheit bedeutet mehr als nur Virenschutz

Datenrettung ohne Datensicherungen

Wiederherstellen nach einem Angriff – hilfreiche Tools

Schlussbemerkung

Die vergangenen Wochen waren außerordentlich interessant. Eine Menge Leute haben den vorhergehenden Artikel gelesen, und ich habe den Eindruck, dass mir fast jeder einen Kommentar hierzu geschrieben hat. Darüber hinaus haben mich auch Leute aus verschiedenen internen Teams von Microsoft hierzu kontaktiert, und es gab sogar eine Diskussion über den Artikel in der Mailingliste "Full Disclosure" (fei übersetzt: "In aller Offenheit"), die allerdings, wie in dieser Liste so üblich, schnell in eine Diskussion zum Thema "Warum ich Microsoft nicht leiden kann" ausartete.

Aber die Reaktionen waren überwältigend. Ich habe tatsächlich so viele Zuschriften erhalten, dass ich mich entschlossen habe, eine Fortsetzung des Artikels zu schreiben, um auf einige Punkte näher einzugehen. Die Kommentare lassen sich im Großen und Ganzen in drei Kategorien untergliedern, die sich, etwas verallgemeinert, wie folgt darstellen:

• Endlich sagt mal jemand die Wahrheit: es gibt auf der Welt Wichtigeres zu bekämpfen als Viren.
• Das ist doch lächerlich: wir haben einfach nicht genügend Datensicherungen, um Systeme komplett neu aufzusetzen, die einem Hackerangriff zum Opfer gefallen sind.
• Wir bieten ein Produkt, das helfen kann (hauptsächlich von den verschiedenen Produktteams hier bei Microsoft).

Jede dieser Kategorien verdient ohne Zweifel eine etwas ausführlichere Auseinandersetzung, und das ist auch der Zweck des vorliegenden Artikels. Hierbei sind die Antworten auf die erste Kategorie der Kommentare am einfachsten und gleichzeitig auch am interessantesten: In unserer Welt gibt es wahrlich Wichtigeres zu bekämpfen als mittelmäßig programmierte E-Mail-Viren.

Datensicherheit bedeutet mehr als nur Virenschutz

Wenn Sie den vorhergehenden Artikel gelesen haben, wissen Sie wahrscheinlich schon, dass ich nicht glaube, dass ein System jemals allumfassend gesichert werden kann – zumindest dann nicht, wenn Sie es tatsächlich nutzen möchten. Eine weitere grundlegende Annahme, die ich vorbehaltlos akzeptiere, ist, dass sich die Datensicherheit mit weit mehr auseinander zu setzen hat als mit Würmern und Viren. (Nebenbei bemerkt, es gibt zwar Unterschiede zwischen Würmern und Viren, und die Fachleute in diesem Bereich sind sich nach wie vor nicht ganz einig, worin diese Unterschiede liegen, aber wir haben es hier generell mit böswilligem Code zu tun, daher werde ich Würmer und Viren im weiteren Verlauf als eine Angriffsart behandeln und sie kollektiv als "Würmer" bezeichnen.) Trotzdem neigen wir dazu, uns in erster Linie auf die Würmer zu konzentrieren, und das hat sicher seinen Grund. Sasser, Blaster, Lion, Trino, Ramen, Slapper und andere Würmer sind äußerst destruktiv, und es kostet Unsummen, sie wieder loszuwerden. Mit einige wenigen Ausnahmen (wie der Linux-Wurm Ramen und Code Red) ist ein Wurm als solcher nicht destruktiv. Ich will damit nicht sagen, dass Würmer nicht destruktiv sein können, aber wenn Sie es "nur" mit einem Wurm zu tun haben, wissen Sie im Wesentlichen wenigstens, was Sie sich da eingefangen haben. In der Regel haben in einem solchen Fall eine Menge Leute den gleichen Wurm, und hierunter gibt es immer zumindest einige, die wissen, wie man ihn analysiert, und nehmen Ihnen damit das Problem ab.

Einige dieser Würmer installieren allerdings Hintertüren (so genannte Backdoors) im System – Hintertüren, die von den echten Bösewichten dann genutzt werden können, um in Ihrem System weit Schlimmeres anzurichten, als der Wurm das je gekonnt hätte. Nimda war so ein Wurm. Und auch Slapper (ein weiterer Linux-Wurm) gehört in diese Kategorie. Nachdem der Wurm in Ihrem System eine Hintertür eingerichtet hat, kann das System von bösen Buben über das Internet ganz nach deren Gutdünken gesteuert werden. Nebenbei bemerkt, von diesen Würmer verewigt sich natürlich keiner in irgendeiner Art von Protokolldatei, der Sie dann entnehmen könnten, was durch die Hintertür alles geschehen ist. Wenn das System von einem dieser Würmer befallen ist, können Sie keinem Bit hierauf mehr trauen. Die Tatsache, dass der Wurm es geschafft hat, in das System zu gelangen, sollte unbedingt als Symptom dafür angesehen werden, dass das gesamte System nun nicht mehr vertrauenswürdig ist. Es ist nämlich gut möglich, dass der gleiche Vektor (d. h. die gleiche Angriffsmethode) schon einmal für einen anderen Angriff verwendet worden ist, und hierbei kann bereits sehr viel mehr Schaden angerichtet worden sein, als der Wurm selbst verursachen kann. Der Kernpunkt ist, dass wir uns nicht mehr ausschließlich auf Würmer konzentrieren dürfen, sondern uns mehr um die eigentlichen Schwachstellen kümmern müssen, die der Wurm genutzt hat.

Das Problem mit den E-Mail-Würmer ist ein wenig anders gelagert, denn sie sind im Wesentlichen ein Problem von Schicht 8 – ein Problem also, das die Gutgläubigkeit der Benutzer ausnutzt und nicht eine Schwachstelle der Technologie. Dies bedeutet, dass mit E-Mail-Würmern anders umgegangen werden muss, denn würden die Benutzer nicht mehr blindwütig auf jeden E-Mail-Anhang doppelklicken, der in ihr Postfach flattert, wäre dieses Problem längst Schnee von gestern. Und im Umkehrschluss gilt, würde das Management uns gestatten, sämtliche E-Mail-Anhänge einfach zu blockieren – zumindest für die Benutzer, die nicht begreifen wollen, dass man auf verdächtige Anhänge nicht einfach doppelklickt – würde sich das Problem ebenfalls von selbst erledigen. Dies lässt sich übrigens mit jeder relativ neuen Version von Microsoft Exchange und Outlook im Handumdrehen bewerkstelligen. Und natürlich würde auch jeder dieser Benutzer arglos auf einen böswilligen Trojaner doppelklicken, aber das ist eher ein orthogonales Problem. Die einfache Tatsache, dass ein E-Mail-Wurm in das System gelangen konnte, ist noch kein schlagender Beweis dafür, dass das System von einem aktiven Angreifer auf die gleiche Weise kompromittiert wird, wie dies bei einem Netzwerkwurm wie Sasser der Fall ist.

Unter dem Strich bereiten mir aktive Angreifer wesentlich mehr Sorgen als Würmer – und aktive Angreifer können eine Menge findiger Methoden nutzen, um in Ihr System und Ihr Netzwerk einzudringen. Dem Wurmproblem kann hingegen mit relativ einfachen Schritten begegnet werden (die hier nur aufgelistet werden und nicht notwendigerweise alle unternommen werden müssen):

• Sorgen Sie dafür, dass alle sicherheitsrelevanten Patches sofort nach ihrer Veröffentlichung implementiert werden.
• Arbeiten Sie mit einer Firewall.
• Arbeiten Sie mit einer Antivirensoftware.
• Machen Sie den Benutzern eindringlich klar, dass sie keinesfalls auf unverlangt eingegangene E-Mail-Anhänge doppelklicken dürfen, ohne vorher zu prüfen, ob diese einwandfrei sind, oder blockieren Sie solche Anhänge schon im Vorfeld.

Das Eindringen eines aktiven und entschlossenen Angreifers in das System zu verhindern, gestaltet sich nicht immer so einfach. Darüber hinaus verfügen wir, wie einige Leser betonten, auch nicht immer über ausreichend Datensicherungen, um ein System auf zuverlässige Weise wiederherstellen zu können. Daher wird es immer wichtiger, erkennen zu können, ob ein System kompromittiert wurde und, falls ja, welcher Schaden angerichtet wurde. Hierfür stehen durchaus einige Möglichkeiten offen.

Zum Seitenanfang

Datenrettung ohne Datensicherungen

Was mir schlaflose Nächte bereiten (neben Kindergeschrei und dem Turbinenlärm des Flugzeugs, in dem ich sitze), ist nicht die Möglichkeit, dass die Barbaren vor den Toren stehen, sondern die, dass sie die Tore bereits überwunden haben könnten und wir nur noch nichts davon wissen. Wir alle sind uns bewusst, dass es da draußen jede Menge krimineller Elemente gibt. Während der letzten Tech-Ed-Konferenz von Microsoft setzte eine kriminelle Bande beispielsweise eine "Belohnung" in Höhe von 50.000 $ für denjenigen aus, der in der Lage wäre, das Netzwerk der Konferenz lahm zu legen. Wie können wir also feststellen, ob diese Leute schon in das System eingedrungen sind? Wenn sie nicht wirklich gut sind, hinterlassen sie unweigerlich Spuren wie neue Konten, merkwürdige Dateien und potenziell instabile Systeme. Die Mehrheit der heutigen Angreifer dürfte in diese Kategorie fallen – so hoffe ich jedenfalls – aber dann gibt es noch die, die sich wirklich auskennen. Das sind diejenigen, die sofort im Betriebssystem abtauchen, sobald sie sich Zugriff auf ein System verschafft haben. Sie installieren ein Rootkit, welches dafür sorgt, dass das System nicht länger vertrauenswürdig ist. Windows Explorer und Befehlszeile zeigen nicht mehr die Dateien an, die sich tatsächlich auf dem System befinden, der Registrierungseditor wird zum Lügner abgestempelt, Kontenverwaltungstools zeigen nicht alle Benutzer an. In diesem Stadium eines Eindringens können Sie sich nicht mehr darauf verlassen, dass das System reale Fakten über sich selbst mitteilt. Das ist der Punkt, an dem nur noch ein Weg offen steht: Festplatte formatieren und System neu aufsetzen (es soll Leute geben, die diesen Vorgang als "Nuke and Pave" [übertragen etwa: "Hochjagen und Plattwalzen", A. d. Ü.] bezeichnen). Das System ist damit vollständig kompromittiert. Wie können Sie feststellen, dass dies geschehen ist und was genau passiert ist?

Es gibt ein paar Tricks, um diese Art des Eindringens zu erkennen. Einer besteht darin, ein netzwerkbasiertes System zur Eindringungserkennung (Intrusion Detection System – IDS) zu verwenden, mit dem der gesamte Verkehr in und aus dem Netzwerk überwacht wird. Ein netzwerkbasiertes IDS ist neutral und kann, sofern es nicht ebenfalls kompromittiert wurde, eine gute Vorstellung davon vermitteln, was aus einem verdächtigen System herausgeht und was hereinkommt. Eine eingehende Besprechung von IDS würde den Rahmen dieses Artikels sprengen, und für die meisten von uns liegt ein IDS sowieso jenseits der unmittelbaren Bedürfnisse. Und in vielen Fällen wäre es zudem sinnvoller, die Zeit in die eigentliche Sicherung des Netzwerkes anstatt in die Implementierung eines IDS zu investieren. Den meisten unserer Netzwerke würden zusätzliche Bemühungen im Sicherheitsbereich durchaus zustatten kommen, und wenn wir das nicht zuerst erledigen, stellen wir lediglich sicher, dass wir eine Menge interessanter IDS-Protokolle zu lesen bekommen.

Sie können auch erkennen, dass ein System erfolgreich angegriffen wurde, indem Sie das System selbst analysieren, was jedoch einige tief greifende forensische Maßnahmen erfordert. Beispielsweise müssen Sie, da Sie dem System selbst nicht mehr trauen können, von einem neutralen, vorzugsweise schreibgeschützten Medium booten. Eine Möglichkeit besteht darin, Windows PE zu starten, eine von CD bootfähige Version von Windows XP oder Windows Server 2003, die nur im Befehlszeilenmodus arbeitet. Windows PE ist allerdings nicht allgemein verfügbar. Eine weitere Möglichkeit eröffnet sich mit den Tools Winternals ERD Commander oder System Restore. Beide Tools setzen auf WinPE auf. Bei ERD Commander handelt es sich im Wesentlichen um eine GUI, die auf WinPE aufsetzt und mit der eine großartige Sammlung an Tools bereitsteht, um ein zerstörtes System wieder aufleben zu lassen. Da es sich um eine neutrale Installation handelt, können Sie darauf vertrauen, dass Ihnen die Befehle auf diesem Datenträger wahrheitsgemäß Auskunft darüber geben, was auf dem verdächtigen Computer wirklich vorgeht. System Restore ist quasi eine Erweiterung von ERD Commander, die zudem die Fähigkeit umfasst, ein System anhand einer Basislinie zu prüfen. Gehen wir beispielsweise davon aus, dass Sie einen Webserver aufsetzen möchten. Nach Abschluss der Installation erstellen Sie eine Basislinie, die definiert, wie das System aufgebaut ist. Zu irgendeinem Zeitpunkt nach der offiziellen Inbetriebnahme des Systems erhärtet sich der Verdacht, dass Hacker in das System eingedrungen sind. Möglicherweise entdecken Sie merkwürdigen Netzwerkverkehr, der vom System ausgeht, und beschließen daher, das System zu analysieren. Sie können das System nun offline schalten, es von einer Wiederherstellungs-CD booten und einen Vergleich mit dem neuesten Snapshot durchführen. Auf diese Weise erfahren Sie exakt, was sich geändert hat. Ob diese Änderungen nun tatsächlich auf einen Eindringling zurückzuführen sind, ist damit natürlich nicht geklärt, aber Sie dürfen das keinesfalls auf die leichte Schulter nehmen.

Ein abschließender Hinweis zu forensischen Untersuchungen: Wenn Sie wirklich glauben, dass ein Angriff stattgefunden hat und rechtliche Schritte einleiten möchten, empfiehlt es sich, die forensischen Untersuchungen nicht selbst vorzunehmen. Nehmen Sie das System aus dem Netz, um eine weitere Ausbreitung des Schadens zu verhindern, aber ziehen Sie anschließend einen forensischen Experten zu Rate. Das Risiko, dass Beweise zerstört und damit vor Gericht nicht mehr anerkannt werden, ist einfach zu groß. Wenn Sie also die Notwendigkeit zum Sichern von Beweisen sehen, ziehen Sie unbedingt einen Experten hinzu.

Zum Seitenanfang

Wiederherstellen nach einem Angriff – hilfreiche Tools

Und schließlich die wichtigste Frage: Angreifer sind in ein System eingedrungen, wie können die hierauf befindlichen Dienste wieder zugänglich gemacht werden? Die Antwort ist vom Systemtyp abhängig. Zunächst einmal sei gesagt, dass ich Datensicherungen von Clients für Zeitverschwendung halte. Clients in einem Netzwerk sollten die Daten auf Servern speichern, von denen dann die Datensicherungen erstellt werden. Für den Fall, dass der Client zum Opfer eines Angriffs wird, kann er problemlos neu aufgesetzt werden. Eine Datensicherung der Server ist kompliziert genug, wir müssen es nicht noch komplizierter gestalten, indem wir die Clients in die Datensicherungsstrategie aufnehmen.

Dies gilt natürlich nicht für Netzwerke in der heimischen Umgebung oder für sehr kleine Netzwerke. In solchen Umgebungen verwende ich einige der integrierten Betriebssystemtools, um minimale Datensicherungen zu erstellen (die nicht die eigentlichen Anwendungen umfassen). Windows XP und Windows 2000 verfügen über ein akzeptables, integriertes Tool für die Datensicherung. Hiermit können Datensicherungen des Systems auf beliebigen Medien erstellt werden. Eine noch einfachere Möglichkeit besteht meiner Meinung nach in der Verwendung des Assistenten zum Übertragen von Dateien und Einstellungen. Alle paar Wochen erstelle ich mit dem Assistenten zum Übertragen von Dateien und Einstellungen unter Windows XP eine Kopie aller meiner Daten und meines gesamten Profils. Diese Datensicherung wird dann auf eine CD gebrannt oder auf eine andere Festplatte kopiert. Wenn das System nun ausfallen sollte, dauert es nur wenige Stunden, um es neu aufzusetzen und alle Patches wieder zu installieren. Anschließend können die Daten und das Profil mit dem Assistenten zum Übertragen von Dateien und Einstellungen wiederhergestellt werden. Als zusätzliche Sicherheitsmaßnahme habe ich die Heimsysteme auch mit "servergespeicherten Profilen" konfiguriert. Das Profil ist zwar nicht auf einem Server, sondern nur auf einer anderen Festplatte im gleichen System gespeichert, aber damit bin ich zumindest für den Fall eines Festplattenausfalls gerüstet.

In größeren Netzwerken werden natürlich Datensicherungen vom Server benötigt. Die Erörterung einer umfassenden Strategie zur Datensicherung würde den Rahmen dieses Artikels sprengen. Allerdings ist es unerheblich, wie wir unsere Datensicherungen planen. Wie auch aus den Kommentaren zum vorherigen Artikel hervorging, verfügen wir häufig nicht über genügend Datensicherungen und müssen daher versuchen, die Daten des kompromittierten Systems zu rekonstruieren. Es gibt einige Tricks, wie Sie dies bewerkstelligen können. Zunächst einmal muss die letzte definitiv vertrauenswürdige Datensicherung gefunden und auf einem isolierten Ersatzsystem wiederhergestellt werden. Anschließend werden die Daten des kompromittierten Systems auf das isolierte Ersatzsystem kopiert. Im Anschluss wird ein Differenzierungstool wie Windiff verwendet, um die Datensicherung mit den Daten zu vergleichen, die sich auf dem kompromittierten System befunden haben. Denken Sie daran, dass das kompromittierte System hierfür wie im Vorfeld erläutert unbedingt von einem neutralen Speichermedium gestartet worden sein muss; andernfalls gehen Sie das Risiko ein, dass die Datensicherung ebenfalls kompromittiert wird. Identifizieren Sie für jedes Element, das geändert wurde, den Datenbesitzer. Anschließend soll jeder Datenbesitzer die Unterschiede bestätigen. Werden die Unterschiede akzeptiert, integrieren Sie sie in die vertrauenswürdige Datensicherung. Dieser zugegebenermaßen komplizierte und zeitraubende Prozess bietet mithin die einzige Möglichkeit, um sicherzustellen, dass Sie das erhalten, was auf dem neuen System wiederhergestellt werden soll, und dass Sie nicht einfach kompromittierte Daten auf einem neuen System wiederherstellen. Wenn Sie lediglich die Daten aus einer kompromittierten Datensicherung wiederherstellen, erhalten Sie bestenfalls nicht vertrauenswürdige Daten. Schlimmstenfalls haben Sie soeben ein weiteres kompromittiertes System aufgesetzt.

Zum Seitenanfang

Schlussbemerkung

Das vorstehend aufgeführte Verfahren ist sicherlich mühsam. Ohne Zweifel. Das Einzige, was ich dazu sagen kann, ist: "Erschlagt nicht den Boten". Dies ist der Grund, warum wir so viel Mühe darauf verwenden aufzuzeigen, wie verhindert werden kann, dass unsere Systeme Hackern zum Opfer fallen. Die Dienstbereitschaft wiederherzustellen, ist einfach mühsam. Im Vergleich ist es auf lange Sicht sicher weniger mühsam zu verhindern, dass Angreifer in das System eindringen, und nebenbei erübrigt sich damit auch die Neuauflage Ihrer Bewerbungsunterlagen. In zukünftigen Artikeln möchten wir uns zudem wieder vermehrt mit instruktiven Leitfäden zu Wort melden, die Ihnen dabei helfen sollen, die Abhängigkeit von der Datenwiederherstellung zu minimieren.

Aber wie immer stehen hier zunächst einmal Ihre Wünsche im Vordergrund. Lassen Sie es uns wissen, wenn es etwas gibt, was Sie an dieser Stelle erörtert sehen möchten, oder wenn Sie eine bessere Möglichkeit sehen, wie wir Ihnen helfen können, Ihre Systeme zu schützen. Klicken Sie einfach auf den nachstehend Link "Kommentare", und teilen Sie uns Ihre Meinung mit.

Zum Seitenanfang

| Home | Technische Artikel | Community