Linux gilt und galt als die kostengünstige und sichere Alternative zu Windows. Doch mit zunehmender Popularität von Linux gilt es, verstärkt auf die Sicherheit zu achten.

Entscheidend bei allen Sicherheitslösungen für Linux-Server ist die Erkennung und Behandlung jeglicher Art von Malware in Echtzeit.

Das offene Betriebssystem Linux galt und gilt seit seiner Einführung im Vergleich zu Windows als sicher. Trotzdem gewinnt der Schutz vor schädlichem Code in Unix/Linux-Umgebungen zunehmend an Bedeutung. Gründe hierfür sind nicht nur die zunehmenden Malware- und Hackeraktivitäten, die durch die starke Zunahme von Unix/Linux-basierten Arbeitsplatz-Systemen indirekt ausgelöst wurden. Vor allem die stetig wachsende Verbreitung von auf Unix/Linux basierten File-, Mail- oder Webservern, die Daten für Windows-basierte Workstations bereitstellen, lassen den Bedarf an Sicherheitslösungen für offene Systeme ansteigen.

Auf Grund seiner weltweit dominierenden Position ist Windows ein viel interessanteres Ziel für Cyber-Schädlinge als das viel geringer genutzte Unix/Linux. Nutzer von Windows-basierten Computersystemen sind daher schon seit langer Zeit mit einer gigantischen Anzahl von Viren, Trojanern, Würmern und ähnlicher Malware konfrontiert. Mehr als 90000 verschiedene schädliche Codes, wie Sasser oder MyDoom, warten nur auf eine Gelegenheit zur Entfaltung ihres Potenzials – und erhalten sie auch oft genug.

Die Anwender von Unix/Linux-basierten Systemen hatten dagegen bislang kaum einen Grund, sich in puncto Malwareschutz Sorgen zu machen. Die spezielle Systemarchitektur von Unix/Linux verhindert in der Regel eine zufällige Aktivierung von Programmen.

Ohne Speicherung auf der Festplatte und Erteilung von so genannten Execute-Rechten wird unter Unix/Linux im Normalfall kein Programm – und damit auch kein schädlicher Code – ausgeführt. Ein Erstnutzer hat bei einem Unix/Linux-System nicht automatisch Administratorenrechte. Mögliche von ihm verursachte Schäden betreffen daher nicht gleich den ganzen Rechner, sondern nur den spezifischen Nutzerbereich. Da es außerdem bis vor kurzem nur eine äußerst geringe Anzahl von spe-ziell für die offenen Betriebssysteme konzipierten Viren gab, galt Unix/Linux als kaum angreifbares System. Dieses Gefühl der Sicherheit hat sich in letzter Zeit als zu optimistisch erwiesen.

Auch Linux-Systeme sind angreifbar

Seit dem ersten Auftauchen eines speziellen Unix/Linux-Virus vor zehn Jahren hat sich die Zahl der speziell für Unix/Linux entwickelten digitalen Schädlinge auf mittlerweile über 100 erhöht. Die zunehmende Verbreitung von Unix/Linux als Workstation-System im privaten und öffentlichen Bereich macht auch die Entwicklung von Malware zunehmend interessanter. Ab einem gewissen Verbreitungsgrad ist es für die kriminelle Energie der Entwickler von Malware interessant, sich neben Windows auch mit anderen Betriebssystemen zu befassen und mit einem spektakulären Angriff auf sich aufmerksam zu machen. Die Unix/Linux-Schädlinge stehen den bislang nur von Windows bekannten herkömmlichen Viren in puncto Wirksamkeit und Schadenspotenzial in nichts mehr nach. Generell gibt es im Augenblick vier Virentypen, die Linux angreifen. Neben Shell-Skript-, Perl-, und Makroviren sind dies vor allem ELF-Viren, also ausführbare Binärdateien. Und auch bei Unix/Linux sind Schwachstellen im System selbst vorhanden. Sowohl Viren als auch Hacker finden daher immer wieder Wege in Rechner in Open-Source-Umgebungen.

Weltweit werden die mit Abstand meisten Viren mittels E-Mail verbreitet. Im Gegensatz zu den hinreichend bekannten Problemen klassischer Windows-Maildienste ist bislang allerdings wenig über die Schwachstellen des Unix/Linux-Dienstes Sendmail bekannt. Dieser bietet Angriffsflächen für schädlichen Code und konnte auch durch die an sich schnellen und effizienten Sicherheitsupdates der Open-Source-Community noch nicht restlos beseitigt werden. Neben der »üblichen« E-Mail-Gefahr durch Viren, Trojaner und Co. ist Unix/Linux auch durch Buffer-Overflow-Attacken gefährdet. Hierbei nutzen Hacker einen Programmierfehler aus. Ist im System für bestimmte Daten weniger Speicher zur Verfügung gestellt, als benötigt wird, so läuft der Datenpuffer im übertragenen Sinne über. Durch das Aufspüren und gezielte Überladen derartiger Speicher gelingt es Angreifern, über diese Schwachstelle ausführbaren Code in das System zu transportieren. Auch im Unix/Linux-Bereich entwickelt sich zunehmend ein Wettlauf zwischen Security-Updates und digitalen Angriffsbemühungen – mit bislang noch offenem Ausgang.

Eine Möglichkeit zum Schutz vor den oben beschriebenen Gefahren bietet ein so genanntes gehärtetes System. Hierbei können versierte Administratoren durch detaillierte, sehr präzise Konfigurationsänderungen ein Unix/Linux-System absichern. Das Problem ist die nötige Fachkompetenz und der hohe Zeitaufwand. Für die allermeisten Anwender kommt diese Lösung also nicht in Frage.

Darüber hinaus sind Unix/Linux-Systeme genauso anfällig wie alle Betriebsysteme für die größte Schwachstelle aller IT-Sicherheitskonzepte, den Nutzer. Offen zugängliche und nicht verschlüsselte Zugangspasswörter, Konfigurationsfehler oder eine fehlerhafte Rechtevergabe innerhalb eines Netzwerks kommen bei Unix/Linux-Nutzern genauso häufig vor wie bei den Anwendern anderer Software und Betriebssysteme. Die Vermeidung dieser Fehler, die Verwendung aktueller Schutzsoftware sowie das regelmäßige Aufspielen von Updates vermindern die Verletzlichkeit von Unix/Linux-basierten Systemen und können sie im großen und ganzen zuverlässig vor Schäden durch Malware schützen. Insgesamt ist die Sicherheitssituation für Unix/Linux-basierte Clients nicht mehr so unbedenklich wie noch vor einigen Jahren, aber, bei entsprechenden Schutzmaßnahmen und Verhaltensweisen, nicht besonders bedrohlich.

Serverschutz ist lebenswichtig

Viel wichtiger wird der Schutz vor Malware bei den verschiedenen Unix/Linux-basierten Web-, File-, oder Mailservern, die meist mit Windows-Workstations verbunden sind. Anbieter wie die H+B EDV Datentechnik offerieren seit Jahren betriebssystemübergreifende Sicherheitslösungen für Unix/Linux-Systeme an. Außerdem entwickeln sie Open-Source-Sicherheitsmodule und unterstützen Programmierer bei der Weiterentwicklung dieser Lösungen. Gernot Hacker, Senior Security Consultant bei H+B EDV, kennt das Gefahrenpotenzial für Windows-Clients ganz genau. »Die Computer eines Unternehmensnetzwerks sind natürlich durch die zahlreich vorhandene Windows-Malware gefährdet. Unix/Linux-Server ohne Malwareschutz würden infizierte Dateien, E-Mails oder andere Software ungefiltert durchlassen. Die potenziellen Schäden wären hierbei verheerend, ihre Vermeidung ist für Unternehmen daher lebenswichtig. Schutz lässt sich hierbei prinzipiell auf zwei Wegen erzielen. Ein Unternehmen kann beispielsweise alle seine Clients mit Windows-spezifischen Produkten und den Server mittels einer Unix/Linux-Sicherheitslösung sichern. Sollte dies aus Kostengründen nicht möglich sein, sollte man sich für den Schutz der Unix/Linux-Server entscheiden und damit das dahinter liegende Netzwerk abschirmen und schützen.«

Kaum ein Unternehmen kommt heutzutage ohne Internet und damit mindestens einen Webserver aus. Die Verbindung eines Rechners mit dem World-Wide-Web ist natürlich nicht ohne Gefahren. Gelangen Daten aus dem Internet direkt in einen Netzwerkrechner, kann dies die Existenz eines Unternehmens bedrohen. Am Point-of-Access ins Internet ist es daher unbedingt notwendig, dass ein zuverlässig geschützter Webserver derartige Gefahren hundertprozentig ausschließt. Hierzu müssen alle ein- und ausgehende Daten geprüft und gefiltert werden. Bei Bedarf muss auch ein Zugriff auf das Internet oder vom Internet auf die Desktops verhindert werden können. Neben klassischem Surfen im Netz müssen auch nicht sofort erkennbare Gefahren vorbeugend ausgeschlossen werden. Neben Downloads gilt dies auch für E-Mails und Attachments, die beispielsweise über einen Webmail-Account abgerufen werden.

Fileserver sind in jedem größeren Netzwerk die zentrale Anlauf-, Speicher- und Verteilstation. Sie sorgen für die permanente Verfügbarkeit von Daten und gewährleisten das problemlose Funktionieren zentraler Abläufe. Unix/Linux-basierte Server transportieren und speichern dabei in der Regel hauptsächlich Dokumente aus Office-Paketen oder E-Mail-Attachments. Deshalb sind Unix/Linux-Server auch stets ein lohnendes Angriffsziel für Malware. Über die Server können die schädlichen Programme auf die Unix/Linux-Clients überspringen, sobald diese auf den Server zugreifen. Schafft es ein Angreifer, über einen solchen Unix/Linux-Client in das anhängende Unternehmensnetzwerk zu gelangen, kann er dort unter Umständen enorme Schäden anrichten. Es ist daher unbedingt notwendig, Malware bereits direkt am Server abzufangen und unschädlich zu machen.

E-Mails und damit E-Mail-Server sind aus der modernen Kommunikation in Unternehmen nicht mehr wegzudenken. Täglich werden weltweit einige hundert Millionen elektronischer Briefe auf die Reise geschickt. Diese intensive Nutzung macht E-Mails zwangsläufig zum bevorzugten Transportmedium für Malware. Schätzungen gehen davon aus, dass mittlerweile nahezu jede zwanzigste E-Mail mit bösartigem Code infiziert ist. Diese Malware wird zwar überwiegend für den Angriff auf Windows-Betriebssysteme entwickelt, ist jedoch auch für Open-Source-Systeme gefährlich. Da E-Mail-Server unter Unix/Linux Windows-Malware ungehindert weiter leiten, bieten sie Angreifern eine willkommene Gelegenheit zum Eindringen in ein Netzwerk. Dabei können die Windows-Clients selbst, aber auch die Rechner von E-Mail-Partnern beschädigt werden.

Verschiedene Malware-Suchverfahren

Bei der Verhinderung von Malware-Angriffen über Server gibt es im Prinzip keine zweite Chance zur Abwehr. Die auf dem Server befindliche Schutzsoftware muss daher alle verfügbaren Technologien einsetzen, um eine möglichst hohe oder sogar vollständige Sicherheit gewährleisten zu können. Die gängigsten Verfahren sind hierbei der Abgleich von Signaturen und Prüfsummen, die Heuristik und Makrovirenheuristik sowie die Negativ-Bootsektor-Qualifizierung und verschiedene, kombinierte Suchverfahren zum Aufspüren poly- und metamorpher Viren.

Bekannte Malware wird in Form ihrer statischen Signaturen, quasi als eine Art digitaler Fingerabdruck, neben den zugehörigen Prüfsummen in einer ständig aktualisierten Virendefinitionsdatei des Schutzprogramms hinterlegt. Dieses vergleicht ständig alle durchlaufenden Dateien mit den Daten bekannter Viren und kann diese somit problemlos identifizieren und unschädlich machen. Eine gute Virendefinitionsdatei enthält auch gleichzeitig alle relevanten Reparaturinformationen, um entdeckte Malware und ihre Spuren im System zu entfernen. Schädlicher Code wird mittels dieses Verfahrens jedoch nur entdeckt, wenn er bereits mindestens einmal aufgetreten ist.

Einen Schritt weiter gehen heuristische und makrovirenheuristische Anwendungen. Sie suchen speziell nach typischen, häufig vorkommenden Merkmalen von digitalen Schädlingen und können auf diese Weise auch neue, noch nicht in einer Virendefinitionsdatei erfasste Malware, mit hoher Präzision erkennen. Bei der Negativ-Bootsektor-Qualifizierung erkennt die Sicherheitsengine durch Abgleich mit einer internen Datenbank saubere Bootsektoren von Disketten und Festplatten. Neue, unbekannte Bootsektoren, die eventuell Viren enthalten, können so problemlos identifiziert werden.

Poly- und metamorphe Viren verändern ständig ihr Aussehen und müssen daher durch eine Kombination verschiedenster Such- und Darstellungsverfahren in nachgeahmten Betriebssystemumgebungen identifiziert werden. Das alles entscheidende Leistungsmerkmal neben der Erkennung ist bei den heutigen Datenmengen und der Geschwindigkeit der Datenströme die Zeit, die eine Schutzlösung für ihre Untersuchungen benötigt.

Echtzeiterkennung ist entscheidendes Element

In vielen Diskussionen um Such- und Schutzverfahren wird ein unbeeinflussbares Kriterium für eine vollständige IT-Security-Lösung oft zu wenig beachtet. »Das entscheidende Element bei allen Sicherheitslösungen für Unix/Linux-Server ist die umfassende Erkennung und Behandlung jeglicher Art von Malware in Echtzeit«, erläutert Hacker. »Nur wenige Firmen auf der Welt haben bislang einen On-Access-Scanner für Unix/Linux-Umgebungen entwickelt. Eine solche Such-Engine muss plattformunabhängig sein und darüber hinaus nicht nur klassische Virendefinitionen erkennen, sondern auch alle gängigen Datei-, Archiv-, E-Mail- und Mailboxformate überprüfen können. Wünschenswert wäre es auch, wenn die Sicherheitslösung multithreadingfähig wäre. Da durch diese Eigenschaft gleichzeitig mehrere Programme, Prozesse oder Threads mit einer einzigen Instanz der Engine durchsucht werden können, werden wertvolle Hauptspeicherressourcen geschont.« Marcus Holland