Test: Secunia Corporate Software Inspector 6
Schwachstellen finden und beseitigen
Programme, die nicht auf dem neusten Stand sind, bieten eine breite Angriffsfläche und sind dadurch eine Gefahr für die gesamte IT. Der dänische Anbieter Secunia liefert mit seiner Software CSI eine Lösung, die sowohl die benötigten Patches bereitstellen als auch Schwachstellen finden kann. LANline hat CSI 6.0 einem Praxistest unterzogen.Die fast schon regelmäßig erscheinenden Meldungen über immer neue Java-Schwachstellen haben es ein weiteres Mal bestätigt: Anwender im professionellen Umfeld sollten ausschließlich Software einsetzen, die von der eigenen IT freigegeben, getestet und auf den aktuellen Stand gebracht wurde. Einige Sicherheitsfirmen implementieren dieses Prinzip des so genannten Application Whitelistings entsprechend streng. Sie nutzen dazu technische Maßnahmen, die eine Ausführung nicht zugelassener Programme wirkungsvoll verhindern. Aber IT-Verantwortliche können ein derart striktes Konzept nicht ohne sehr großen Aufwand auf eine bestehende IT-Landschaft übertragen. Sie benötigen deshalb Lösungen, mit denen sie die im eigenen Netzwerk vorhandene Software überprüfen und zuverlässig auf dem aktuellen Stand halten können. Schwachstellen-Scanner Der dänische Security-Spezialist Secunia bietet mit Corporate Software Inspector (CSI - ein Wortspiel mit dem Krimi-Begriff "Crime Scene Investigation") eine Lösung an, die Administratoren beim Patch-Management und der Suche nach Schwachstellen in ihrem Netzwerk unterstützt. Das Softwarehaus bezeichnet die Lösung als authentifizierten Vulnerability Scanner, der praktisch alle bekannten Windows-Programme auf ihren Sicherheitsstatus hin überprüfen kann. Zudem kann CSI Systeme unter Mac OS X und Red Hat Enterprise Linux (RHEL) untersuchen. Die verschiedenen Anbieter verwenden die Bezeichnung Vulnerability Scanner allerdings unterschiedlich: Während einige darunter Anwendungen subsumieren, die neben dem Programmstatus auch Sicherheitslücken wie offene Netzwerk-Ports oder -Shares aufspürt, konzentriert sich die Secunia-Lösung darauf, die Programme und deren Patch-Stände auf den Systemen zu untersuchen. Secunia CSI bietet eine enge Integration in die Management-Lösungen der Microsoft-Welt: Die Software unterstützt die direkte Einbindung von Microsofts Update-Dienst WSUS (Windows Server Update Service) ebenso wie den Einsatz mit SCCM (System Center Configuration Manager). Zusätzlich bietet der Hersteller die Möglichkeit, Patch-Management-Lösungen von Drittanbietern mit CSI zu kombinieren. Das Programm verwendet dazu eine hauseigene "Advisory & Vulnerability"-Datenbank, um Schwachstellen aufzuspüren, die durch veraltete Softwareversionen auftreten könnten. Viele Lösungen dieser Art untersuchen dazu beispielsweise die in der Windows-Registry gespeicherten Daten, um Diskrepanzen aufzuspüren - eine Vorgehensweise, die voraussetzt, dass wirklich alle Änderungen zum untersuchten Programm dort abgespeichert sind. Secunia wählt hier einen anderen Weg: Die Software gleicht die Informationen aus ihrer Datenbank direkt mit den installierten Programmen ab - der Anbieter verspricht sich davon eine weitaus höhere Erkennungsrate. CSI sammelt und untersucht die Metadaten der .exe-, .dll- und .ocx-Dateien online per Vulnerability-Datenbank. Dabei leitet es die Daten über eine HTTPS-Verbindung weiter. Secunia versichert, dass bei dieser Übertragung keine persönlichen Daten der Anwender mit auf den Server gelangen. Die Daten sind laut Anbieter standardisiert und enthalten zwar den jeweiligen Release-Stand der Programme, aber nie Informationen zur individuellen Konfiguration eines Programms oder des Betriebssystems. Solange der Account des Kunden aktiv ist, hält Secunia diese Informationen auf seinen Hosts vor. Der Kunde kann jedoch auch auf eine sofortige Löschung bestehen, wobei der Hersteller versichert, die Daten in solchen Fällen spätestens nach 30 Tagen entfernt zu haben. Uns stand zum Test die aktuelle Version 6.0.0.6 von CSI zur Verfügung. Der Hersteller bietet auf seiner Website eine kostenlose Testversion an. Da aber alle Scans mit der Online-Datenbank abzugleichen sind, ist es immer notwendig, dass der Tester zunächst von Secunia einen Account mit einem Einmal-Passwort erhält. Installation und Inbetriebnahme Download und Installation der nur etwa 1 MByte großen Datei waren schnell erledigt. Das Programm lässt sich sowohl auf einem Server (wir testeten es auf einem Windows Server 2012) als auch auf Clients wie Windows 7 installieren. Allerdings mussten wir bei unseren Tests feststellen, dass Secunia für den Einsatz auf dem Windows Server 2012 in Kombination mit einem WSUS-Server eine spezielle x64-Version der Software verwendet, die uns zunächst beim Download standardmäßig nicht angeboten wurde. Die x86-Fassung der Software funktionierte zwar im Test, jedoch war keine Verbindung zum ebenfalls installierten WSUS-Server auf dem 2012er-Server möglich. An dieser Stelle sollte der Hersteller dringend seine Produktdokumentation überarbeiten und dem Benutzer diese Unterschiede erläutern. Nach der Installation verlangt das System vom Anwender die Durchführung von drei Schritten für das Setup: Er muss ein Host-System scannen, das vom Anbieter zugewiesene Einmal-Passwort ändern und anschließend Daten für die Wiederherstellung des neuen Passworts hinterlegen. Dazu gehören die Angabe einer E-Mail-Adresse und einer Telefonnummer. Der Hersteller schickt dann auf die E-Mail-Adresse eine Nachricht mit einem Code, während ein zweiter Code mittels SMS auf die angegebene Telefonnummer gelangen soll. Grundsätzlich begrüßen wir diese Vorgehensweise sehr, da der Anbieter durch diese Zwei-Faktor-Authentifizierung die Sicherheit deutlich erhöht. Allerdings zeigte es sich bei unseren Tests, dass dieses System in der Praxis zu wünschen übrig lässt: So hatten wir zunächst eine Nummer aus dem deutschen E-Plus-Netz verwendet, die das Programm auch klaglos annahm, aber keine Reaktion in Form einer SMS zeigte. Auch Versuche mit einer Nummer aus dem Vodafone-Netz zeigte das gleiche Ergebnis, während ein Versuch mit einer O2-Nummer uns zwar eine SMS bescherte, deren Code dann aber nicht funktionierte. Erst als wir eine Nummer aus dem Mobilfunknetz der Deutschen Telekom wählten, klappte es endlich und wir erhielten den richtigen Code. Laut Aussagen des Herstellers scheint es so zu sein, dass einige deutsche Mobilfunknetze den Empfang der Nachrichten vom Provider des dänischen Herstellers nicht erlauben. Darüber erhält der Anwender aber keinerlei Benachrichtigung und kann somit nur raten, was schiefgelaufen ist. Nachdem wir diese Hürde überwunden hatten, stand aber dann dem Einsatz der Software nichts mehr im Wege. Praxistest mit Windows- und Mac-Rechnern Die Testumgebung bestand aus verschiedenen typischen Client-Systemen. Dazu gehörten eine produktiv genutzte Workstation unter Windows 7 x64, zwei virtualisierte Windows-Clients, ein Rechner mit dem aktuellen Windows 7 in der x86-Ausprägung und ein weiterer mit einer Windows-XP-SP3-Installation. Für den Apple-Test nutzten einen Client mit Mac OS X 10.7 (Lion). Auch den Windows Server 2012 selbst untersuchten wir mit einem Scan. Damit CSI funktioniert, muss der Computer mit der aktiven Konsole über HTTPS auf die Webseite von Secunia zugreifen - ist diese Voraussetzung nicht erfüllt, kann die Software nicht arbeiten. CSI nutzt verschiedene Methoden, um die Untersuchung des Dateisystems durchzuführen. Die klassische Vorgehensweise ist die Verteilung eines Software-Agenten. Dies unterstützt die Software ab Windows XP SP3 beziehungsweise OS X 10.5. Ein Remote-Scan, manuell auf einen einzelnen Computer oder einen IP-Bereich von der Konsole aus angestoßen, ist ausschließlich für Windows-Systeme verfügbar. Der PC, von dem der Benutzer den Remote-Scan aktiviert, muss über die entsprechenden Zugriffsrechte auf den Clients verfügen. Als dritte Methode bleibt die Möglichkeit, eine Überprüfung der Systeme in Zusammenarbeit mit der Lösung Personal Software Inspector (PSI) durchzuführen, die Secunia als freie Lösung zur Untersuchung lokaler PC-Systeme anbietet. Bei all diesen Aufgaben muss der Administrator zu keinem Zeitpunkt die Daten für einen Benutzer-Account innerhalb der Secunia-Software eingegeben. Während ein Anwender für Windows-Scans keinen weiteren administrativen Aufwand betreiben muss, ist die Einbindung unter Mac OS etwas komplizierter: Er muss dazu auf dem Mac-System über die Konsole den Root-Account aktivieren. Zudem muss der Benutzer oder Prozess, der den Scan lokal anstößt, über das "Excecute"-Recht verfügen. Im Test benötigten wir rund zehn Minuten, um danach eine Auswertung über den Zustand unserer Rechner zu erhalten. Während des Tests entdeckte Secunia CSI auf unseren Testsystemen verschiedenste Programme, die auf diesen Maschinen nicht mehr aktuell waren: Darunter listete die Software Firefox, VLC, Adobe Acrobat, Flash Player, Google Talk, die Java-Runtime und alle Microsoft-Produkte auf. Dass der Adobe Flash Player mitunter mehrfach erschien, konnte uns dabei kaum verwundern, da für die unterschiedlichen Browser, die jeweils auch noch in den x64/x86-Ausprägungen installiert waren, auch unterschiedliche Plug-ins existierten. Ansehnliche Ergebnisse Die Software präsentiert das Untersuchungsergebnis übersichtlich in Form von Tortengrafiken oder Tabellen. Sie bietet dem Benutzer zudem das obligatorische Dashboard mit der Zusammenfassung der jüngsten Aktivitäten und Ergebnisse an. Wer dann liest, dass auf dem eigenen PC bereits sieben Programme nicht mehr dem aktuellen Stand entsprechen, bekommt schon ein etwas mulmiges Gefühl. CSI liefert das Ergebnis auch als "Score" - ein Prozentwert, der sich aus der Summe der Schwachstellen in Programmen, aktuellen Patches und abgekündigten Programmen ergibt. Zu jedem erkannten Sicherheitsproblem gibt das Programm eine "Secunia Advisory ID" mit weiteren Informationen auf Deutsch und Englisch aus. Je nachdem, als wie kritisch Secunia den Einsatz einer veralteten Software einschätzt, kommt es zu unterschiedlich hoher Einstufung. So bescheinigte das Programm im Test den veralteten Flash-Playern gemäß der Auswertung ein besonders hohes Risiko. Über so genannte "Smart Groups" definiert der Administrator für bestimmte Rechner oder Programmgruppen eigene Regelwerke: So kann er beispielsweise festlegen, dass der "Business Impact" (Einfluss auf das Geschäft) automatisch auf "Critical" (kritisch) steht, sofern das Tool eine für das Unternehmen entscheidende Software nicht in der gewünschten Version vorfindet. Ebenso kann der Benutzer einzelne Programme als solche markieren, die kein Sicherheitsrisiko mehr darstellen. In der Standardeinstellung ist CSI so konfiguriert, dass diese "Nichtbeachtung" nach vierzehn Tagen automatisch verfällt. Der Administrator kann eine "End of Lifecycle"-Software jedoch auch als "grundsätzlich OK" deklarieren. Wer noch näher an die Daten möchte, kann über die "Local Database Console" auch direkt SQL-Kommandos wie "Select", "Delete" oder "Insert" absetzen. Anschließend kann der Administrator Symantec-Altiris-, SCCM-, SPS- (Secunia Package System) oder WSUS-Pakete zur Aktualisierung der veralteten Versionen auf den Weg bringen. Über SPS lädt die Software automatisch die passenden Update-Pakete herunter, beispielsweise für Adobe Flash, Sun JRE oder VLC Media. Wir hätten uns gern die Funktion im Zusammenspiel mit WSUS näher angeschaut, jedoch verweigerte die Software im Test stets die Freigabe durch den Befehl "Approve" - wir konnten diesen zwar anklicken, er reagierte jedoch trotz aller Versuche nicht wie erwartet. Wir haben es während der Testphase als etwas störend empfunden, wie lange das Programm mitunter brauchte, bis es sich einloggt und die Datenbank über das Internet abgeglichen hatte. Dieser Vorgang dauerte mitunter mehrere Minuten, trotz einer zeitgemäßen DSL-Verbindung mit 10 MBit/s. In manchen Fällen neigte die Software zumindest auf dem Windows Server 2012 zudem zu Darstellungsfehlern bei den Grafiken. Dieses Problem konnten wir dann nur durch einen Neustart der Konsole lösen. Es bleibt wohl auch ein Geheimnis des Herstellers, warum die Programmoberfläche der professionellen CSI-Lösung nicht auf Deutsch verfügbar ist, während die freie Variante PSI lokalisiert zur Verfügung steht. Preislich startet die CSI-Software für "Small Business" mit maximal 100 Host-Rechnern bei 2.975 Euro. Fazit: Schnelle und bequeme Übersicht Grundsätzlich gefielen uns Konzept und Umsetzung bei Secunia CSI 6 gut: Die Datenbank mit den Untersuchungsdaten ist "in der Cloud" gespeichert, der IT-Verantwortliche kann so von jedem Ort aus auf die benötigten Informationen zugreifen. Da die Lösung keinerlei Login-Informationen für Domänen oder Client-Rechner abspeichert, sinkt auch die Sorge der IT-Mannschaft im Hinblick auf die Betriebssicherheit. Das Ergebnis der Analyse ist beeindruckend, da sie eine sehr große Anzahl von Programmen und deren Patch-Stände auswerten kann. Leider konnten wir die ebenfalls sehr sinnvolle Möglichkeit zur Verteilung der Patches im Zusammenspiel mit WSUS aufgrund des beschriebenen Funktionsfehlers in unserer Testumgebung nicht ausprobieren. Der Autor auf LANline.de: BÄR????????????? Der Autor auf LANline.de: Frank-Michael Schlede Info: SecuniaTel.: 0045/70205144Web: www.secunia.com
Lesen Sie mehr zum Thema
