Live Hacking von Windows-Plattformen
28. August 2012Live Hacking zeigt Angriffsmethoden und geeignete Schutzmechanismen für Windows-basierte Systeme. Vor allem DMA-fähige Schnittstellen – wie Firewire – bieten auf Windows-Rechnern Angriffsflächen, um die Sicherheitsmechanismen wie den Schutz durch Kennwörter auszuhebeln. Auf dem IT Power Event in Düsseldorf (6. September 2012, Teilnahme kostenlos) demonstrieren Spezialisten des Security-Dienstleisters ERNW wie diese Angriffe funktionieren und welchen Schutz es dagegen gibt.
Das Thema „Live Hacking in Unternehmensnetzwerken“ hat nichts an Aktualität eingebüßt. So findet zum Beispiel am 6. September 2012 in Düsseldorf die IT Power Konferenz des ITP Verlags statt, auf der dieses Thema den Zuhörern (Teilnahme ist kostenlos) gezeigt wird.
Für jeden Sicherheitsspezialisten stellen sich entscheidenden Fragen im Vorfeld einer jeden Sicherheitsplanung: Es gilt zunächst zu klären, was zu schützen ist. Dabei drehen sich die entscheidenden Fragen um die Punkte Verfügbarkeit, Vertraulichkeit und die Integrität der Daten sowie um die Authentizität. Wird nur einer dieser Bereiche kompromittiert, sind die anderen auch recht schnell unter der Kontrolle eines Angreifers.
Eine weitere Vorarbeit ist die Kategorisierung der potenziellen Angreifer. Ist es der klassische Hacker, der sozusagen aus sportlichem Ehrgeiz versucht, in ein Unternehmensnetzwerk einzudringen, oder lediglich ein „Script Kiddy“, der über ein spezielles Tools einen Angriff startet und dabei gar nicht genau kapiert, was geschieht.
Die meisten Angriffe aber werden von Insidern begangen – oftmals ehemalige Mitarbeiter. Aber auch das Thema Industriespionage durch womöglich internationale Wettbewerber ist heutzutage eine ernstzunehmende Bedrohung. Dabei erweist sich der finanzielle Vorteil als eine enorme Triebfeder, aber auch das Thema vermeintliche Gerechtigkeit – etwa bei „unschön“ abgelaufenen Kündigungen – führt unter Umständen zu entsprechenden Angriffsaktionen.
Aus technischer Sicht sind für einen Sicherheitsplan vor allem die Angriffsziele im Unternehmen zu erkennen. Es sind zum einen die Webserver, die angegriffen werden können – etwa über „Denial of Service“-Attacken. Zum anderen geht es auch um die Web-Applikationen, die Zugriff auf die Datenbank-Server haben und die sich somit über Cross-Site-Scripting oder SQL-Injections angreifen lassen. Bei den Absicherungen unterscheidet man dann auch die Netzwerksicherheit – sie bezieht sich auf alle Systeme im Unternehmensnetzwerk.
Typische Sicherungskomponenten sind Firewalls und Intrusion Detection und Prevention Systeme. Als zweite Variante ist noch die Systemsicherheit zu nennen – sie bezieht sich vor allem auf die einzelnen Systeme – wie etwa Antivirus-Software auf einem Server. Doch bei all der logischen Trennung darf der Sicherheitsverantwortliche eines nicht vergessen: Gelingt es einem Angreifer eine Komponente unter seine Kontrolle zu bringen, wird es nicht lange dauern, bis er auch andere Systeme kompromittieren kann.
Hier helfen Unternehmen die sogenannten Penetrations Tests (kurz Pentests). Dabei versucht ein beauftragter Spezialist mit verschiedenen Angriffsmethoden und -Tools in einer bestimmten Zeitspanne einzudringen. Dabei werden bestimmte Angriffsszenarien geprüft, die bei einem Unternehmen auftreten könnten.
Als Ergebnis möchte man einen Bericht bekommen, der alle Verwundbarkeiten der Unternehmens-IT nach bestimmten Kategorien („Muss schnell geändert werden“ oder „das hat noch Zeit“) klassifiziert. Dabei spielt es eine große Rolle, welche Risiken hinter einer Verwundbarkeit stecken. Zusammen mit dem betroffenen Unternehmen ist beispielsweise dabei zu klären, was passieren kann, wenn eine Web-Applikation wie ein Shop-System penetriert werden kann.
In diesem Zusammenhang werden alle bekannten Lücken von Web-Applikationen oder eines Web-Browsers überprüft. Gefährlich ist es vor allem, wenn die einschlägigen Tools sozusagen automatisch Schwachstellen entdecken, die man eigentlich schon seit längerem hätte schließen können. Denn für derartige Szenarien gebe es in den meisten Fällen auch passende Exploits.
Angriff beim physischen Zugang
Da viele Angriffe über Insider erfolgen, kann es durchaus zur folgenden Situation kommen: Angenommen ein Mitarbeiter geht in die Mittagspause und hat auf seinem PC oder Notebook im Unternehmen normal gesperrt. Zudem seien alle Aktualisierungen bei Betriebssystem und Applikationen eingespielt. Auch die Signatur der Antivirus-Lösung ist aktuell und zudem ist der Inhalt der Festplatte verschlüsselt. Das System selbst – ein Windows-7-Notebook – sei sogar noch mittels eines Kensington-Locks mit dem Inventar fest verbunden. Selbst bei einer derart stark abgesicherten Konfiguration kann es zu einem erfolgreichen Angriff kommen.
Ist der physische Zugriff auf das Angriffsziel gegeben, kann der Angreifer seinen „Angriffs-Notebook“ mit einer Firewire-Schnittstelle nehmen und über dieses Interface den Anschluss an das Zielsystem aufbauen. Hat das Zielsystem keine Firewire-Schnittstelle, so besteht die Möglichkeit, über eine PCMCIA- oder Express-Schnittstellenkarte eine Firewire-Schnittstelle einzustecken. Für ein aktuelles Windows-7-Betriebssystem werden dann die nötigen Treiber für Firewire installiert.
Das „Einfallstor“ Firewire funktioniert, weil die Firewire-Schnittstelle Zugriff auf den DMA-Baustein des PCs hat und somit direkt – ohne über den Prozessor gehen zu müssen – auf den Arbeitsspeicher (DRAM) bekommt. Dort muss nur ein Tool (es ist im Internet frei verfügbar) auf dem Angriffs-PC zum Einsatz kommen, das eine DLL (Dynamic Linked Library) des Zielsystems austauscht. Diese DLL ist für die Authentifizierung beim Windows-System zuständig und kommt bei der Überprüfung der Anmeldeinformationen zum Einsatz. Die „neue DLL“ ist dagegen so geschrieben, dass sie keine Eingabe eines Kennworts benötigt.
Nachdem der Angriffs-PC die Verbindung zum Ziel aufgebaut hat, wird dort der Arbeitsspeicher durchsucht und dann die DLL ausgetauscht. Dann kann man ohne die Eingabe eines Kennworts auf das Zielsystem zugreifen. Hier hilft dann auch keine Verschlüsselung der Daten auf der Festplatte mehr, denn nach dem Start des Betriebssystems liegen die Daten ja im Zugriff für den Benutzer offen.
Dieser Angriff funktioniert sowohl auf 32- als auch auf 64-Bit-Systemen. Nur falls das Betriebssystem über mehr Speicher als 4 GByte verfügt, kann es dazu kommen, dass das Angriffs-Tool die DLL nicht erkennt. Doch nach einem – eventuell mehrmaligen – Neustart des Zielsystems wird die DLL dann auch einmal an einer Stelle im Arbeitsspeicher liegen, die vom Tool erkannt wird.
Schnittstellen in den BIOS-Einstellungen deaktivieren
Die einzige Abwehrmethode ist das Deaktivieren der nicht benötigten Schnittstellen – wie eben Firewire – im BIOS des Rechners. Zudem muss man dann aber das BIOS aber auch mit einem Kennwortschutz versehen. Alle anderen Sicherheitsvorkehrungen helfen nicht weiter. Zudem empfehlen Spezialisten, möglichst wenig Daten auf mobilen Systemen abzulegen. Eine entsprechende Richtlinie im Unternehmen kann zum Beispiel vorgeben, dass die kritischen Daten alle auf speziell gesicherten Speichersystemen im Netzwerk liegen.
Rainer Huttenloher
Live Hacking zum Mitmachen
Auf der kostenlosen Konferenz „IT-POWER“ am 6. September 2012 in Düsseldorf wird das Live Hacking in Unternehmensnetzwerken gezeigt. Dabei zeigt der Experte aus dem Haus ERNW auch, wie man sich vor derartigen Angriffen schützen kann. Die Teilnahme an dem Event ist kostenlos. Unter allen Teilnehmern wird am Ende der Veranstaltung ein iPAD verlost.