Beispiele und Beschreibungen verschiedener häufiger Schwachstellen
Microsoft Windows, das am häufigsten verwendete Betriebssystem auf Anlagen, die mit dem Internet verbunden sind, enthält mehrere schwerwiegende Schwachstellen. Die am meisten ausgenutzten befinden sich im IIS, MS-SQL, Internet Explorer, und in der Dateizugriffssteuerung und Nachrichtenverarbeitung des Betriebssystems selbst.
Eine Schwachstelle in IIS, die im Microsoft Security Bulletin MS01-033 genau dargestellt wird, ist eine der am meisten ausgebeuteten Windows-Schwachstellen überhaupt. Im Laufe der Jahre sind jede Menge Netzwerk-Würmer geschrieben worden, um diese Schwachstelle auszunutzen, unter anderem auch 'CodeRed'. CodeRed wurde am 17. Juli 2001 zum ersten Mal entdeckt und soll über 300.000 Ziele infiziert haben. Er führte bei sehr vielen Unternehmen zu einem Zusammenbruch und verursachte gewaltige finanzielle Verluste auf der ganzen Welt. Obwohl Microsoft zusammen mit dem Sicherheitsbulletin MS01-033 eine Direktkorrektur für die Schwachstelle herausgegeben hat, verbreiten sich einige Versionen des Wurms CodeRed noch immer im gesamten Internet.
Der Netz-Wurm Spida, der fast ein Jahr nach dem Auftauchen von CodeRed entdeckt wurde, nutzte für seine Verbreitung eine Sicherheitslücke in der MS-SQL Server-Software aus. Einige Standard-Installationen des MS-SQL Servers hatten für den 'SA' System-Account kein Passwort. Dadurch konnte jeder, der Netzzugang zum System hatte, beliebige Befehle ausführen. Beim Eindringen durch diese Sicherheitslücke konfiguriert der Wurm den 'Gast'-Account so, dass Datei-Mehrfachnutzung zugelassen wird und lädt sich dann selbst auf das Zielsystem. Danach benutzt es den selben Zugang über den passwortlosen MS-SQL 'SA' Account, um eine Kopie von sich selbst zu starten, und so die Infektion zu verbreiten.
Der Netz-Wurm Slammer, der Ende Januar 2003 entdeckt wurde, benutzte eine noch direktere Methode, um Windows-Systeme zu infizieren, die mit dem MS-SQL Server arbeiten: eine Schwachstelle mit einem Pufferüberlauf in einem der UDP-Paket-Unterprogramme. Da Slammer relativ klein war - 376 Bytes - und UDP benutzte, ein Kommunikationsprotokoll, das für die schnelle Übertragung von Daten entwickelt wurde, breitete er sich mit beinahe unglaublicher Geschwindigkeit aus. Manche schätzen, dass Slammer es in sage und schreibe 15 Minuten schaffte, sich in der ganzen Welt auszubreiten und ungefähr 75.000 Hauptrechner zu infizieren.
Diese drei berüchtigten Würmer benutzten Schwachstellen und Sicherheitslücken in Software, die mit verschiedenen Versionen von Microsoft Windows betrieben wird. Jedoch der Wurm Lovesan, der am 11. August 2003 entdeckt wurde, benutze für seine Verbreitung einen viel schwerwiegenderen Pufferüberlauf in einer Grundkomponente von Windows selbst. Diese Schwachstelle wird im Microsoft Microsoft Security Bulletin MS03-026 genau beschrieben.
Sasser, der Anfang Mai 2003 zum ersten Mal auftrat, nutzte eine andere Schwachstelle in einer Grundkomponente aus, und zwar dieses Mal im Local Security Authority Subsystem Service (LSASS). Informationen über die Schwachstelle wurden im Microsoft Security Bulletin MS04-011 veröffentlicht. Sasser breitete sich schnell aus und infizierte weltweit Millionen von Computern, mit enormen Kosten für die Wirtschaft. Viele Unternehmen und Institutionen waren auf Grund des Netzzusammenbruchs, den der Wurm verursachte, dazu gezwungen, ihren Betrieb zeitweilig einzustellen.
Es ist unvermeidlich, dass alle Betriebssysteme Schwachstellen und Sicherheitslücken enthalten, auf die Hacker und Virusschreiber abzielen können. Obwohl die Schwachstellen von Windows wegen der Anzahl der mit Windows laufenden Geräte die größte öffentliche Aufmerksamkeit erhalten, hat auch Unix seine schwachen Punkte.
Seit Jahren gehört die Dienstfunktion 'Finger' zu den beliebtesten Sicherheitslücken in der Welt von Unix. Dieser Dienst läßt jemanden außerhalb des Netzes sehen, welche User an einem bestimmten Gerät eingeloggt sind oder von wo aus Anwender auf den Computer zugreifen. Die Dienstfunktion 'Finger' ist zwar nützlich, aber sie legt auch eine Menge Informationen ungeschützt offen, die von Hackern genutzt werden können.
Hier eine Probe, so sieht ein fern abgefragter 'Finger'- Bericht aus:
Login Name Tty Idle Login Time Office Office Phone
xenon pts/7 22:34 May 12 16:00 (chrome.chiba)
polly pts/3 4d May 8 14:21
cracker DarkHacker pts/6 2d May 10 11:58
Dies zeigt, dass wir aus dem Finger Server einige interessante Dinge über das ferne Gerät erfahren können: es sind drei User eingeloggt, aber zwei sind schon seit über zwei Tagen inaktiv, während der andere den Computer seit 22 Minuten verlassen hat. Die im Finger angezeigten Log-in-Namen kann man benutzen, um Kombinationen von Login/Passwort auszuprobieren. Das kann schnell zu einer Gefährdung des Systems führen, besonders wenn Anwender ihr Passwort auf der Grundlage ihres User-Namens aufgebaut haben, was eine relative übliche Praxis ist.
Die Dienstfunktion Finger legt nicht nur wichtige Informationen über den Server offen, auf dem sie läuft, sie ist auch schon das Ziel vieler Exploits gewesen, unter anderem des berühmten Netzwerk-Wurms, der von Robert Morris Jr geschrieben wurde, und der am 2. November 1988 ausgelöst wurde. Im modernen Unix-Vertrieb ist dieser Dienst deshalb meistens gesperrt.
Das Programm 'Sendmail', das ursprünglich von Eric Allman geschrieben wurde, ist ebenfalls ein weiteres beliebtes Ziel für Hacker. 'Sendmail' wurde für die Übertragung von E-Mail über das Internet entwickelt. Durch die große Anzahl von Betriebssystemen und Hardwarekonfigurationen, wuchs 'Sendmail' zu einem ziemlich komplexen Programm an, mit einer langen und berüchtigten Geschichte von schwerwiegenden Schwachstellen. Der Wurm von Morris nutzte für seine Verbreitung ein 'Sendmail'- Exploit aus sowie die 'Finger'- Schwachstelle.
Es gibt noch viele andere beliebte Exploits in der Unix-Welt, die Softwarepakete angreifen, wie zum Beispiel SSH, Apache, WU-FTPD, BIND, IMAP/POP3, verschiedene Teile der Kernroutinen, etc.
Die oben aufgeführten Exploits, Schwachstellen und Vorfälle heben eine wichtige Tatsache hervor. Während die Anzahl der Systeme, die mit IIS, MS-SQL oder sonstigen spezifischen Softwarepaketen laufen, sich in der Größenordnung von Hunderttausenden bewegt, liegt die Gesamtzahl der Systeme, die mit Windows laufen wahrscheinlich nahe an mehreren Hundert Millionen. Wenn all diese Geräte von einem Wurm oder von Hackern mit einem automatisierten Hacker-Tool angegriffen würden, so wäre das eine extrem schwere Bedrohung für die interne Struktur und Stabilität des Internets.