Das von den Experten identifizierte Problem existiert auf der Verbindungsschicht innerhalb des OSI-Schichtenmodells und betrifft die Art und Weise, wie Netzkarten Daten durch das Netz schicken. Gemäß der Ethernet-Spezifikation des Institute of Electrical and Electronics Engineers (IEEE) werden Informationsströme für den Transport in Frames mit einer Mindestlänge von 46 Bytes unterteilt. Es kann jedoch vorkommen, dass ein Protokoll einer höheren Schicht, beispielsweise das Internet Protocol (IP), Daten in Pakete zerlegt, die kleiner als 46 Bytes sind. In diesem Fall stockt die jeweilige Treibersoftware den entstehenden Leerraum im Frame mit Fülldaten auf, um so die vorgeschriebene Mindestgröße zu erreichen - ein Vorgang, den man "Padding" nennt.
Security-Consultants der US-Firma @stake haben jetzt herausgefunden, dass viele Gerätetreiber dabei möglicherweise kritische Daten als Füllmasse benutzen, die sie auf dem jeweiligen Rechner finden: Die Informationen können laut @stake aus dem Speicherbereich stammen, der dem Treiber zugeordnet ist, aus dem Betriebssystem-Kernel oder dem Buffer der Netzkarte kommen. Nach Aussagen von Ofir Arkin, einem der Spezialisten, die das Problem entdeckt und dokumentiert haben (eine ausführliche Beschreibung findet sich im Internet unter www.atstake.com/research/advisories/2003/atstake_etherleak_report.pdf), unterscheidet es sich von Treiber zu Treiber, woher sie das Füllmaterial nehmen.
Erschreckend ist hierbei die Tatsache, dass die Experten in Tests in der Lage waren, sogar Passwörter und Informationen über Web-Browser-Sessions aus dem abgefangenen Material zu rekonstruieren. "Im Grunde waren wir in der Lage, jegliche Art von Daten herauszufiltern, die mit den Ethernet-Paketen übertragen wurde", erklärt Arkin. Dazu reicht es bereits aus, ein einfaches Ping-Kommando an eine bestimmte IP-Netzadresse zu senden. Die Übertragung muss dann bloß mit einem einfachen Protokollanalyse-Tool, etwa dem frei verfügbaren "Ethereal", mitgeschnitten werden. Die Füllinformationen lassen sich im Anschluss ohne Schwierigkeiten auslesen.
Zwar wäre es für jemanden außerhalb des Unternehmensnetzes nicht möglich, an diese Informationen zu gelangen. Einen erfahrenen Hacker würde es nach Ansicht der Experten jedoch wenig Mühe kosten, die Informationsteile zusammenzusetzen. So könnte der Übeltäter Zugang zu abgesperrten Teilen des Netzwerks oder zu Benutzerkonten bekommen. "Für einen erfahrenen Hacker eine Goldmine", findet Arkin.
Der Bug ist deshalb gravierend, weil er Ethernet-Kontent-Treiber für mehrere Plattformen betrifft. Nicht nur Windows-Systeme sind betroffen, auch in Linux- und Unix-Umgebungen kann das gefährliche Phänomen auftreten. Der @stake-Report listet allein über 40 betroffene Linux-Treiber auf. Und nicht nur Desktop-Rechner sind anfällig: In den Tests zeigte sich sogar, dass eine PCMCIA-Karte von Compaq den Fehler aufwies.
Derzeit lieferbare Treiber von Microsoft sind offenbar nicht betroffen. Der Konzern räumte in einer Stellungnahme gegenüber dem Cert (Computer Emergency Response Team) Coordination Center jedoch ein, dass früher veröffentlichte Spezifikationen und Beispielcode den Fehler aber durchaus enthalten. Dritthersteller könnten darauf aufbauend eigene Software entwickelt haben, die schadhaft sei.
Viele Produkte betroffen
Das Cert CC stuft das Problem als so gravierend ein, dass es prompt eine Vulnerability Note veröffentlicht hat. Diese findet sich unter www.kb.cert.org/vuls/id/412115 und enthält eine Liste von möglicherweise betroffenen Systemen. Der Aufstellung zufolge sind Treiber der Hersteller Apple, Cisco, Clavister, F5 Networks, Hitachi, IBM, Microsoft, Montavista und NEC nicht betroffen.
Für Anwender empfiehlt es sich auf jeden Fall, herauszufinden, welche Treibersoftware im Unternehmen im Einsatz ist. Daraufhin sollten der jeweilige Hersteller auf das Problem angesprochen und - so notwendig und verfügbar - entsprechende Patches eingespielt werden. (ave)