Der Spion im LAN

Dirk Nolte, CISSP und Senior Security Consultant bei Atos Origin, fasst im folgenden Artikel einige Erfahrungen zusammen, die er im Laufe der Jahre bei zahlreichen Penetrationstests und Sicherheitsüberprüfungen gesammlt hat.

Das Szenario scheint einem Agenten-Krimi entnommen: der Angriff eines Hacker auf das Local Area Network eines Unternehmens. Ein Spion begibt sich in das Gebäude einer Firma. Dabei muss er noch nicht einmal Schlösser knacken.  Mit einem Business-Anzug bekleidet geht er selbstsicher und nett grüßend einfach am Pförtner vorbei und sucht sich in ein leer stehendes Büro.  Dort installiert er heimlich einen WLAN-Access Point an einer freien Netzwerkdose und versteckt ihn irgendwo hinter einem Vorhang. Danach verlässt er das Gebäude, denn nun kann er unbemerkt von der Parkbank seine Angriffe auf das LAN starten nachdem er sich an dem Access-Point angemeldet hat.

Vor hier hat der Angreifer nun vollen Zugriff auf das Netz. Keine Firewall – kein Intrusion Detection – keine Sorge, entdeckt werden zu können. Und die Möglichkeiten sind grenzenlos. Doch wo soll er anfangen? Wie soll er an die geheimen Daten kommen ohne das Wissen von Passwörtern? Die Antwort ist einfach: man suche nach 3 Löchern im LAN.

Beinahe alle Sicherheitslücken im LAN basieren auf diesen drei Problemen. Und durch diese Lücken kann jeder, der Zugriff auf das Netzwerk hat, ohne Kenntnisse von Passwörtern oder anderen Geheimnissen auf Daten und Informationen des Unternehmens zugreifen. Und schon wirkt das Szenario nicht mehr so weit her geholt. Partner oder Kunden , die am lokalen Netz angeschlossen sind, Auslandsbüros, die über VPN-Tunnel mit dem LAN verbunden sind, frustrierte Mitarbeiter – alle sind prinzipiell in der Lage auf Daten zuzugreifen, die unzureichend geschützt sind.

Ich selbst habe schon viele Sicherheitsuntersuchungen bei Kunden durchgeführt und bin immer wieder auf die gleichen Schwachstellen gestoßen.

Schwachstelle 1: Fehlende Sicherheits-Patches

Gerade im LAN ist man oft der Meinung, dass die Betriebssysteme und Anwendungen nicht immer auf dem neuesten Stand sein müssen. „Never touch a running systems“ – oft das Prinzip in überlasteten IT-Abteilungen. In Zeiten automatisierter Patch-Management-Systeme ist man sehr wohl in der Lage, seine Betriebssysteme auf dem aktuellen Stand zu halten. Die Wirkung von Buffer-Overflow-Schwächen und ähnlichen System-Fehlern werden deutlich unterschätzt. Nicht nur Würmer können sich über diese Lücken verbreiten, Tools wie Metasploit sind frei im Internet verfügbar und enthalten Sammlungen von hunderten von Exploits. Ausgestattet mit grafischer Oberfläche kann jedes Script-Kiddie diese Software-Waffen bedienen und damit beliebige Programme auf nicht gepatchten Systeme ausführen oder Dateien herunter laden. Betroffen davon sind alle Dienste, die Kommunikation mit dem Computer erlauben. Dabei ist erwähnenswert, dass nicht nur die Betriebssysteme Lücken enthalten können, sondern in der Praxis oft Datensicherungsprogramme, Datenbanken oder Web-Dienste Lücken enthalten. Daher ist ein funktionierendes Patch-Management das A und O eines sicheren System-Betriebs.

Schwachstelle 2: Passwörter

Dass Passwörter lang sein müssen, aus Zeichen, Zahlen und Sonderzeichen bestehen sollten und regelmäßig gewechselt werden müssen, ist bekannt. Geht man sorgsam mit seinem Passwort um, sind die Daten in der Regel ausreichend geschützt. Was ist aber mit Accounts, die zwar eingerichtet sind, aber kaum genutzt werden? Ein Passwortscanner benötigt nicht lange, um Standard-Passwörter zu raten. In der Regel gibt es zwei Arten von Passwörtern, die innerhalb weniger Sekunden gefunden werden können:

  1. Kein Passwort! Was? Das klingt unrealistisch und kommt in der Praxis nicht vor? Weit gefehlt! Neben Windows-Administrator-Zugängen ohne Passwort finde ich immer wieder Datenbanken wie My-SQL, MS-SQL oder Firebird, bei denen keine root-Passwörter gesetzt sind. Auch bei Remote-Tools wie VNC wird oft vergessen, ein Passwort zu setzen. X -Sessions lassen sich hervorragend ausspionieren, wenn keine Einschränkungen gesetzt sind und ich habe auch schon produktive Linux-Systeme gesehen, die ein „+“ in der /etc/.rhosts Datei  gesetzt hatten (was jedem Benutzer, der root heißt, ein Login ohne Passwort erlaubt).
  2. Standard-Passwörter! „system“, „admin“, „cisco“ und co. helfen jedem Angreifer, schnell an sein Ziel zu kommen. Viele Anwendungen installieren auch Web-Oberflächen zur Administration, ohne dass der Administrator davon etwas weiß. Auch Drucker oder Netzwerkgeräte verfügen oft über mehrere administrative Zugänge, die mit Default-Passwörtern versehen sind. Und wenn man einmal so einen administrativen Zugang gefunden hat, aber das Default-Passwort nicht kennt, bietet das eine oder andere System schon einmal eine Hilfe-Funktion an, in der man es nachlesen kann. SNMP-Communities wie „public“ und „private“ führen dazu, dass Systeminformationen ausgelesen und Konfigurationseinstellungen der Geräte aus der Ferne geändert  werden können.

Ein Administrator sollte seine Systeme und Anwendungen daher sehr genau kennen und regelmäßig prüfen, welche Zugänge ein System anbietet.

Schwachstelle 3: Freigaben

Die einfachste Art Daten zu stehlen ist, sie dort zu entnehmen, wo sie gar nicht geschützt sind. Immer wieder richten Benutzer temporär Windows-Freigaben ein, auf die jedermann zugreifen kann. Oft wird dann auch vergessen, die Freigaben wieder zu entfernen. Administratoren verwenden gern NFS-Server, um auf Installationsprogramme zuzugreifen. Wenn nicht bekannt ist, dass ein Verzeichnis für jeden zugänglich ist, werden dort ggf. vertrauliche Informationen abgelegt.  Auch Austauschverzeichnisse für das Kopieren von einem Bereich zu einem anderen sind oft für jeden freigegeben. Gern wird vergessen, dort abgelegte Daten nach dem Austausch wieder zu löschen. So bin ich einmal auf eine vier Jahre alte Passwortdatei eines Proxies gestoßen, die ein Domänen-Passwort des Backup-Agents enthielt, das immer noch gültig war. Auch FTP-Server, die zum Dateiaustausch dienen, sind oft schwach geschützt und erlauben Anonymous-Zugriff.

Diese drei grundsätzlichen Probleme ermöglichen es, dass im LAN auf Daten zugegriffen werden kann, die eigentlich geschützt sein sollten. Man kann Abhilfe schaffen, indem man sich selbst in die Lage eines Angreifers versetzt und sein Netzwerk mit Hilfe von Security Scannern regelmäßig untersucht. Die dort gefundenen Schwachstellen sollten dann auch zeitnah abgestellt werden.