Anatomie der DNS-Server-Attacke und VM-Sicherheit
Hacker-Stelldichein in Las Vegas
In über 120 Vorträgen wurden auf der weltgrößten Hackerkonferenz, der Defcon, Schwachstellen in Virenscannern oder Virtualisierungsprodukten präsentiert. Das Highlight in diesem Jahr: Dan Kaminski, Entdeckers des DNS-Bugs, sprach über die möglichen Auswirkungen des Fehlers.
Über 8000 Hacker machten sich Anfang August auf nach Las Vegas, um sich ein Wochenende lang unter Gleichgesinnten über die neusten Soft- und Hardware-Hacks auszutauschen. Auch die traditionellen Wettbewerbe wie der TCP/IP-Drinking-Contest durften nicht fehlen. Der Contest ist eine Art "Wer wird Millionär?" für IT-Freaks: Die Fragen stammen aus dem Netzwerkbereich und sind für Normalsterbliche nicht zu beantworten. Für die Teilnehmer jedoch schon, sodass sie pro richtig beantworteter Frage einen Schnaps trinken dürfen - wahlweise auch bei falschen Antworten. Schließlich steht der Spaß der johlenden Menge an oberster Stelle.
Unbestrittenes Highlight war allerdings die lang erwartete Präsentation des amerikanischen IT-Sicherheitsexperten Dan Kaminsky. Über 2000 Zuhörer warteten bis zu 45 Minuten, um dem wie üblich Grimassen schneidenden Kaminsky zu lauschen und zuzusehen, wie er den wohl bedeutendsten Vortrag seines Lebens gleich auf der Bühne mit einigen Dosen Bier begoss. Knapp vier Wochen, nachdem über 70 Soft- und Hardwarehersteller in einer konzertierten Aktion mit einem Patch auf seine Entdeckung reagiert hatten, gab Kaminski - wie versprochen - endlich bekannt, welche Lücke er genau entdeckt hatte. Er bestätigte, dass Angreifer in der Zeit vor den Updates die Transaktions-IDs beliebiger DNS-Abfragen durch Brute-Force-Techniken leicht erraten konnten und so in der Lage waren, anstelle des eigentlich zuständigen DNS-Servers gefälschte Antworten an den anfragenden Client zu schicken. Der Client konnte zu einer vom Angreifer vorgegebenen (Phishing-)Site umgeleitet werden. Dabei spielte es keine Rolle, ob das Opfer sich hinter einer Firewall befand oder nicht.
Das grundsätzliche Problem der betroffenen DNS-Server war die zu geringe Anzahl von Transaktions-IDs (65.536). Nach dem erwähnten Update stehen nun über 160 Millionen beziehungsweise mehr als einige Milliarden IDs zur Verfügung, je nach Auslegung durch den Hersteller. Außerdem wurden die Ports bislang nicht zufällig vergeben, sondern bei gleichem Client und DNS-Server jeweils nur um den Wert Eins erhöht. Auch dieses Problem wurde behoben. Von nun an wählen Client und Server die Ports zufällig aus dem vergrößerten Pool aus.
Kaminsky sagte in seinem Vortrag, ein DNS-Serverhersteller habe sämtliche ausgelieferten und von Internet-Providern betriebenen Server gepatcht. Allein dieses Update schützt nun über 120 Millionen Websurfer. Noch sind aber längst nicht alle Server gepatcht, sodass es immer wieder zu erfolgreichen Attacken kommt.
Webanwendungen in Gefahr
Kaminski ging in seiner Präsentation ausführlich auf die bedrohten Dienste ein. So fragen beispielsweise E-Mail-Server ständig DNS-Server ab, um ihre Aufgaben erledigen zu können. Modifiziert ein Angreifer die DNS-Antworten, kann er sämtlichen E-Mail-Verkehr des Opfers abfangen, verändern und dann weiterleiten oder löschen. Selbst Anhänge oder in den E-Mails enthaltene Links könnten so ausgetauscht werden.
Auch SOA- (Service-Oriented Architecture) und SaaS-Systeme (Software as a Service) sind von der DNS-Attacke betroffen, denn auch sie kommen nicht ohne DNS-Abfragen aus. So ließen sich beispielsweise Backup-Dienste, bei denen die zu sichernden Daten auf den Servern des Anbieters abgelegt werden, angreifen, woraufhin dann sämtliche Backups auf dem Server des Angreifers landen. Kaminsky wies auch auf eventuell in Unternehmen genutzte Finanzabrechnungsdienste hin, die vom Anbieter auf einem Webserver gehostet werden - auch ist es möglich, den Client dazu zu verleiten, die sensiblen Daten an einen unbekannten, vom Angreifer betriebenen Server zu schicken.
Kaminsky erwähnte in seinem Vortrag auch das so genannte "Evilgrade Packet" eines argentinischen Programmierers. Evilgrade gaukelt einer Anwendung wie Adobe Acrobat, Skype oder Webdiensten wie Linkedin vor, der zuständige Update-Server zu sein, und schiebt der Anwendung beim Versuch eines automatischen Updates eine Malware-Datei unter. Evilgrade vermochte seine Gefährlichkeit bisher nicht zu entfalten, da das Opfer nur umständlich zum vermeintlichen Update-Server umgeleitet werden konnte. Mithilfe der DNS-Attacke sei dieses Problem nun gelöst, meinte Kaminsky. Er fügte hinzu: "Außer Windows-Update ist mir kein automatischer Update-Service bekannt, der nicht vom DNS-Problem betroffen ist. Dies ist ein riesiges Problem für uns alle."
Virtualisierung bleibt unsicher
Direkt vor der Defcon fand auch in diesem Jahr die etwas professioneller orientierte Schwesterkonferenz Black Hat statt. Im Rahmen dieser Konferenz erklärt Chris Hoff, Chief Security Architect von Unisys, die aktuell angebotenen Module, mit denen virtuelle Umgebungen gesichert werden sollen, für gänzlich untauglich. Sie seien zu langsam, nicht skalierbar und verursachten Kosten, statt Geld einzusparen. Hoff untersuchte die verfügbaren Softwarelösungen, mit denen durch Vmware ESX virtualisierte Server gegen Attacken von außen abgesichert werden sollen. Sein Ergebnis: Keines der angebotenen Produkte ist auch nur annähernd so praxistauglich wie die vorhandenen Hardwaresysteme.
Hoff teilt die Sicherheitsthematik im Zusammenhang mit Virtualisierung von Servern in drei Kategorien ein: Absicherung von virtualisierten Servern, virtualisierte Sicherheitskomponenten und Absicherung durch Virtualisierung. An allen drei Fronten gibt es laut Hoff noch viel Verbesserungsbedarf. Diskussionen über Malware wie Blue Pill, die den Hypervisor attackiert, seien noch verfrüht: "Erst sollten die Anbieter von Sicherheitsprodukten die aktuellen Probleme lösen. Dann mache ich mir über Blue Pill und Ähnliches Gedanken."
Hoffs Hauptkritikpunkt ist die mangelnde Flexibilität von Virtual-Machine-Appliances. Wer versucht, seine bestehende Sicherheitsinfrastruktur aus Firewalls und IPS/IDS samt ausgeklügeltem Regelwerk in eine virtualisierte Umgebung zu übertragen, der wird laut Hoff scheitern. Seiner Erfahrung nach gibt es keine Software-Appliance, die so leistungsfähig ist wie hardwarebasierende Sicherheitssysteme. Um die gewohnte Funktionalität beizubehalten, müssen die vorhandenen Sicherheitskomponenten also weiter betrieben werden. Hierdurch steigen Kosten und Komplexität.
Auch die Performance sei ein großes Problem: Laut Hoff sind mit den heute vorhandenen VM-Appliances weder Hochverfügbarkeit noch wirklich hohe Leistung zu erzielen. Der Grund: Keines der ihm bekannten Produkte kann im Parallelbetrieb mit anderen VM-Appliances betrieben werden. Es kann jeweils nur genau eine Appliance pro Host laufen. Fällt diese aus, kann kein Ersatz einspringen, sodass sämtliche VMs entweder vom Netz getrennt werden oder - was noch schlimmer ist - schutzlos weiterarbeiten.
Überfordert in jeder Hinsicht
Außerdem hat Hoff die Erfahrung gemacht, dass eine einzelne Appliance niemals den Datenströmen - Messungen von Vmware zeigen Datenraten von bis zu 2,5 GBit/s pro virtueller Maschine - gewachsen ist, die die ihr zugeteilten virtuellen Maschinen erzeugen. Sie wird also zum Flaschenhals und lähmt das Gesamtsystem gleich doppelt: Einerseits kann die Appliance die Datenmengen nicht bewältigen, andererseits läuft sie auf der gleichen physischen Hardware wie die VMs, sodass sie diesen selbst notwendige Ressourcen entzieht.
Hoff vergleicht den Ansatz, alle virtuellen Maschinen von einer einzelnen Appliance sichern zu lassen, mit dem in seinen Augen praxisfremden Konzept von UTM (Unified Threat Management). "Wie soll eine einzige Appliance gleichzeitig die Funktionen von Virenscanner, Firewall, IPS/IDS und anderer Systeme übernehmen? Das klappt schon mit dedizierter Hardware nicht, denn sobald der Virenscanner läuft, steht meist das ganze System. Dieses Konzept in die komplexe Welt der virtuellen Server übertragen zu wollen, ist in meinen Augen weltfremd", so Chris Hoff.
Hoffnungen setzt der Sicherheitsexperte jedoch in das Vmsafe-Konzept von Vmware. Vmsafe ist eine Programmierschnittstelle (API), mit deren Hilfe Softwarehersteller Plug-ins für den Hypervisor ESX schreiben können. Hoff sieht darin die einzige Chance, bereits bewährte Produkte in die Welt der virtualisierten Server zu überführen. Gleichzeitig weist er aber auch darauf hin, dass die Hersteller ihre Systeme eigens an die Anforderungen der Vmsafe-API anpassen müssen, sodass sich die Markteinführung der Plug-ins seiner Meinung nach noch um einige Monate verzögern wird.
Von Verisign signierte Malware
Ebenfalls während der Black Hat demonstrierte der deutsche Sicherheitsexperte Lukas Grunwald, dass ein weit verbreiteter Virenscanner nicht anschlägt, wenn Trojanische Pferde mit einer digitalen Signatur versehen werden. Passende Signaturen gibt es für 200 Euro bei Verisign. Grunwald demonstrierte live, wie man per modifizierter Software-Update-Routine die oft bösartig eingesetzte Fernwartungssoftware Back Orifice auf den PC des Opfers lädt. Auf dem PC war eine Antivirensoftware von Trend Micro aktiv, die Back Orifice an sich als Schädling erkennen muss - in diesem Fall aber tatenlos zusah, wie die Malware erst herunter geladen und dann installiert wurde.
Der Grund: Grunwald signierte Back Orifice mit einem digitalen Zertifikat, das er sich von Verisign ausstellen ließ. Offensichtlich genügt dies für den Virenscanner, um die Datei vollständig zu ignorieren. Es liegt nahe, dass der Scanner versucht, möglichst wenige Dateien zu untersuchen, um die Performance des PCs nicht übermäßig in den Keller zu ziehen. Daher überspringt er Files, die digital signiert wurden. Ob sich Antivirensoftware anderer Hersteller genauso leicht austricksen lässt, müssen weitere Tests zeigen. Symantec-Produkte sind laut Vincent Weafer, Senior Director of Research bei Symantec, nicht betroffen, da der Symantec-Scanner nur eine sehr kleine Anzahl von Signaturen akzeptiert, darunter die von Microsoft.
Lesen Sie mehr zum Thema
