computerwoche.de

Archiv

Mit der Versionsnummer steigt nicht notwendig auch die Sicherheit

Keine Chance für Hacker - nach dem nächsten Update

01.02.1991

Ein Betriebssystem, wie Software im allgemeinen, wird nicht erst dann zur Benutzung freigegeben und verkauft, wenn es nachweisbar korrekt funktioniert, sondern bereits dann, wenn die Häufigkeit, mit der neue Fehler beziehungsweise Sicherheitslöcher entdeckt werden, auf ein für die Geschäftsleitung akzeptables Maß gesunken ist. Aber bei den Löchern im Betriebssystem kann es nicht wie sonst heißen: "lt's not a bug - it's a feature."

Jeder veröffentlichte Hack ist für die Entwicklerfirmen ein guter Grund, ein Update herauszubringen, in dem die dabei genutzten Löcher zu, die anderen aber so offen wie zuvor sind. Ganz zu schweigen von den Löchern, die neu dazugekommen sind.

Eine Steigerung der Systemsicherheit analog zur Versionsnummer kann man nicht unbedingt erwarten: Bekannterweise wurde die Version 4.3 des Betriebssystems VMS der Firma Digital Equipment von dem National Computer Security Center (NCSC) der Vereinigten Staaten als sehr sicher eingestuft; in der Version 4.4 war dann allerdings das Loch, durch das der NASA-Hack durchgeführt wurde. Erst in der Version 4.6 war der Fehler wieder behoben.

Schnell von der Herstellerfirma herausgebrachte Patches wurden und werden von den Systembetreibern in der Regel nicht oder nur mit mäßigem Interesse beachtet - verständlich, denn Sicherheit sollte ein Teil der Produktqualität sein und nicht stückchenweise hinterherkommen.

Hat man tatsächlich einmal Zeit und den Willen, sein System außerhalb der Hack-Saison in Sachen Sicherheit auf den neuesten Stand zu bringen und sich das eine oder andere Softwarepaket zuzukaufen, steht man vor vielen guten Dingen - wie zum Beispiel der 1988 vorgestellten VAX-Encryption - die entweder unerschwinglich oder nur im Rahmen von Projekten erhältlich sind. Die Gründe dafür sind vielfältig; 1988 war es unter anderem die Angst vor einem illegalen Technologietransfer in die Ostblockstaaten.

In früheren Jahren wurden sogar Veröffentlichungen über die Entwicklung von "sicheren" Verschlüsselungssystemen nach dem amerikanischen Kriegsgeräte-Kontrollgesetz ("Munition Control Act") zunächst von einer staatlicher Genehmigung abhängig gemacht. Nicht, daß das viel ausgemacht hätte, denn völlig sicher war das Verschlüsselungsverfahren, um das es hier ging, in seiner softwaretechnischen Umsetzung durch die Digital-Ingenieure auch

nicht: Obwohl das geheime Codewort für die Verschlüsselung selbst verschlüsselt in der Process-Table stand - der geübte User konnte es auch im Klartext im Recall-Buffer finden.

Das System kann noch so sicher sein - wenn es eine offene Architektur hat, gibt es immer ein unsicheres System, von dem aus man auf das (fast) geschlossene zugreifen kann. Man kann sich zum Beispiel vor Viren schützen, indem man keine Programme benutzt, die nicht zum Betriebssystem gehören. Aber ein Schutz vor sogenannten Würmern, die sich über Computernetze verbreiten und Programme infiltrieren, die zum Betriebssystem selbst gehören und routinemäßig benutzt werden müssen, um das ordnungsgemäße Arbeiten des Netzes zu gewährleisten, ist dann schon schwieriger.

Die Verbreitung des NATO-Weihnachtsbaums, einem der ersten Computerwürmer, ging praktisch wie folgt vor sich: Der Wurm wurde von einem Account-Inhaber auf einen Netzwerkrechner geladen und dann wurde die Message: "lf you want a picture of a Christmas tree, type in 'Christmas Tree'" über fast das gesamte Netzwerk verbreitet. Mike Bilp, ein Mitentwickler des Wurms: "Die Leute vom Wachpersonal, die vor den Konsolen sitzen mußten, statt mit ihren Frauen Plumpudding zu essen, dachten wohl, daß das eine Art Geschenk des Hauptquartiers sei. Ein oder zwei haben den Befehl eingegeben und auf ihrem Bildschirm erschien das Bild eines Weihnachtsbaumes. Dann wollten ihre Kumpels auch einen Weihnachtsbaum und machten das ebenfalls."

Im Prinzip kann jeder Schlüssel gehackt werden

Als das Wachpersonal anschließend versuchte weitere Befehle einzugeben, geschah nichts mehr. Der Weihnachtsbaum rührte sich nicht vom Fleck. Mehr noch: Er begann zu wachsen und sich zu vervielfältigen. Im August 1989 behauptete Bilp, daß die Bäume immer noch im Nato-Netzwerk seien.

Dieses Wurmprogramm wurde noch durch die Systembetreiber selbst gestartet und seine Verbreitung war damit im Grunde ihr eigener Fehler. Der Wurm hingegen, der sich am 2. November 1987 durch das Arpanet fraß, kopierte sich selbst von System zu System und gebrauchte dabei Sicherheitslöcher - unter anderem im send-mail-Befehl - von Unix. Dieser Wurm war nicht von den Systembetreibern der betroffenen Systeme gestartet worden.

Gerade die Benutzerkontrolle durch Identifikation, Authentifikation, Logon-Verfahren und unterschiedliche Hard- und Softwaremaßnahmen - etwa Chipkarten oder biometrische Identifikationssysteme und die bekannte Rückrufautomatik gegen Hacker - ist in offenen Netzen besonders begrenzt. Und generell gilt immer: Jeder Schlüssel kann gehackt werden, wenn nur genügend Zeit, Geld und Geschick vorhanden ist.

Manchmal ist das auch gar nicht nötig, wie das Beispiel eines Datex-P-Vermittlungsrechners der Bundespost zeigt: Dieser hatte zirka ein Jahr lang (bis November 1989) die angenehme Angewohnheit, einen einloggenden User nicht mit Fragen nach der Zugangskennung (NUI) zu nerven, sondern einfach zu unterstellen, daß dieser berechtigt ist, jeden beliebigen Rechner anzuwählen, der an das Datex-P-Netz angeschlossen ist.

Zugangskontrollen und Sicherungskopien, Datentresore und Personalüberprüfung sind nur einige Bausteine in einem umfassenden Daten- und Systemsicherheitskonzept, das nicht nur auf die Software beschränkt sein darf. Denn gerade auch die Hardware ist angreifbar, und das ist nicht jedem so einfach beizubringen.

Ein trojanisches Pferd ist schön und gut, aber man braucht nicht unbedingt ein Account auf dem Rechner zu haben, und sei es nur ein Gastaccount, um an die gewünschten, Informationen zu kommen. Man nehme einen Fernseher, schraube ein wenig an der Empfangsmechanik herum und staune: Da ist plötzlich nicht mehr das gewohnte Fernsehbild zu sehen, sondern der Bildschirminhalt des Nachbarn, der ein Stockwerk tiefer wohnt. Gut, das Paßwort wird meistens (!) nicht angezeigt, wenn es eingegeben wird, aber der Systemoperator bastelt ja auch schon mal an der Paßwortdatei herum ... So sollte es prinzipiell auch möglich sein, durch induktive Kopplung die Signale, die durch ein Tastaturkabel (seriell) gehen, "abzuhorchen". Von der Möglichkeit, Backup-Bänder oder -Disketten durch Magnete zu zerstören mal ganz zu schweigen. Wer sagt denn, daß man die Daten eines potentiellen (wirtschaftlichen) Gegners ausspähen muß? Im Grunde reicht es doch schon, sie zu zerstören (eine gezielte Veränderung wäre natürlich am schönsten).

Weiter kann man einen Elektromagnetischen Puls (EMP) - wie er normalerweise bei der Zündung einer Atombombe entsteht -, der die Zerstörung, beziehungsweise Lahmlegung von Computern, Telefonanlagen und Netzwerken bewirken kann, im Kleinen relativ leicht nachahmen:

Das Kurzschließen eines etwas größeren Akkus (Autobatterie) läßt jeden nicht ordentlich geerdeten Chip im Umkreis von mehreren hundert Metern durchbrennen.

Die magnetische Induktion in die feinen, engliegenden Schaltkreise läßt den Chip praktisch schmelzen.

Solche Anschläge auf die Hardware, auf welche Art auch immer, können über das Betriebssystem nicht gelöst werden. Man kann aber davon ausgehen, daß diese doch harten Methoden erst dann zum Einsatz kommen werden, wenn die Betriebssysteme tatsächlich sicher sind. Bis dahin steht nur eines wirklich fest - das nächste Update kommt bestimmt.