| Red Hat Enterprise Linux 4: Sicherheitshandbuch | ||
|---|---|---|
| Zurück | Nach vorne | |
Durch die wachsende Abhängigkeit von leistungsstarken, vernetzten Computern für das Führen von Unternehmen und Aufzeichnen unserer persönlichen Daten haben sich ganze Industriezweige um die Netzwerk- und Computersicherheit herum gebildet. Große Unternehmen haben das Wissen und die Fähigkeiten von Sicherheitsexperten zu Rate gezogen, um Systeme zu prüfen und maßgeschneiderte Lösungen für die Anforderungen des Unternehmens zu erstellen. Dadurch, dass die meisten Unternehmen dynamisch arbeiten, mit Mitarbeitern, die auf IT-Ressourcen der Firma intern und extern zugreifen, wird der Bedarf an sicheren Computing-Umgebungen immer deutlicher.
Leider betrachten viele Unternehmen (sowie auch Einzelbenutzer) die Sicherheit immer erst ganz zum Schluss, ein Prozess, der zu Gunsten erhöhter Leistung, Produktivität und Kostenfaktoren gerne übersehen wird. Angemessene Sicherheitsimplementierung wird oftmals postmortem durchgeführt — erst nachdem ein unberechtigter Zugriff erfolgte. Sicherheitsexperten sind sich einig, dass das Ergreifen richtiger Maßnahmen vor dem Verbinden mit einem unzuverlässigen Netzwerk wie dem Internet ein sicheres Mittel zum Verhindern von unerlaubten Zugriffen ist.
Computersicherheit ist ein höchst allgemeiner Begriff, der einen weitreichenden Bereich an Computing und Informationsverarbeitung umfasst. Industriezweige, die von Computersystemen und Netzwerken hinsichtlich deren täglicher Geschäftstransaktionen und Zugriffe auf wichtige Daten abhängen, betrachten deren Daten als einen wichtigen Teil des Gesamtkapitals. Mehrere Begriffe und Metriken sind in unseren tagtägliches Geschäfts-Vokabular eingeflossen, wie zum Beispiel 'Total Cost of Ownership' (TOC) und 'Quality of Service' (QoS). Anhand dieser Metriken kalkulieren Unternehmen Aspekte wie Datenintegrität und Hochverfügbarkeit als Teil ihrer Planung. Das Erheben von Metriken ist ein anspruchsvoller Prozess im Projektmanagement. In einigen Industriezweigen wie zum Beispiel E-Commerce, ist die Verfügbarkeit und Verlässlichkeit von Daten der entscheidende Faktor zwischen Erfolg und Mißerfolg eines Unternehmens.
Viele Leser erinnern sich vielleicht an den Film "Wargames" mit Matthew Broderick in der Hauptrolle als High-School Schüler, der in den Supercomputer des US-Verteidigungsministeriums (DoD) einbricht und unabsichtlich fast einen Atomkrieg auslöst. In diesem Film verwendet Broderick sein Modem, um sich in den DoD-Computer (mit dem Namen WOPR) einzuwählen und mit der KI (Künstliche Intelligenz) Software, die sämtliche Atomwaffenlager steuert, Spiele zu spielen. Dieser Film wurde 1983 während des "Kalten Krieges" zwischen der ehemaligen Sowjetunion und den USA veröffentlicht und wurde als Erfolg gefeiert. Die Beliebtheit dieses Films inspirierte viele Individuen und Gruppen, einige der Methoden des jungen Protagonisten zum Einbruch in geheime Systeme zu implementieren, einschließlich des war dialing — eine Methode zum Suchen nach Telefonnummern für analoge Modemverbindungen in einem bestimmten Vorwahlbereich und einer Telefonvorwahlkombination.
Mehr als 10 Jahre später, nach einer 4-jährigen, mehrfachen gerichtlichen Verfolgung, bei der sogar das FBI (Federal Bureau of Investigation) und Computerexperten amerika-weit eingeschaltet wurden, wurde der Computer-Cracker Kevin Mitnick verhaftet und für 25 Straftaten durch Computerbetrug angeklagt. Es wurden durch ihn Schäden in der Höhe von über 80 Millionen US $ durch Verlust geistigen Eigentums sowie Quellcode von Nokia, NEC, Sun Microsystems, Novell, Fujitsu und Motorola verursacht. Zu dem Zeitpunkt sah das FBI hierin das größte computer-bezogene Verbrechen in der Geschichte der USA. Kevin Mitnick wurde für schuldig befunden und zu 68 Monaten Gefängnis verurteilt, von denen er 60 Monate absaß, bevor er wegen guter Führung am 21. Januar 2000 entlassen wurde. Desweiteren durfte er keine Computer verwenden oder computer-bezogenes Consulting bis 2003 durchführen. Fahnder bestätigten, dass Mitnick ein Experte auf dem Gebiet des Social Engineering war — er missbrauchte soziale Kontakte, um Zugang zu Passwörtern und Systemen durch gefälschte Unterlagen zu erlangen.
Informationssicherheit hat sich in den letzten Jahren in Anbetracht der wachsenden Abhängigkeit von öffentlichen Netzwerken für persönliche, finanzielle und andere vertrauliche Informationen entwickelt. Die unzähligen Vorfälle, wie die Mitnick oder Vladimir Levin Fälle (weitere Informationen unter Abschnitt 1.1.2), haben Unternehmen aller Industriebereiche dazu veranlasst, deren Methoden zur Informationsübertragung und -Aufbewahrung neu zu überdenken. Die Beliebtheit des Internets war eine der wichtigsten Entwicklungen, die intensivere Bemühungen im Bereich der Datensicherheit mit sich brachte.
Eine immer größer werdende Anzahl von Anwendern verwendet deren persönliche Computer für den Zugriff auf Ressourcen, die das Internet zu bieten hat. Von simplen Nachforschungen und Recherchen bis hin zu E-Mail und Handelstransaktionen wird das Internet als eine der bedeutendsten Entwicklungen des 20. Jahrhunderts angesehen.
Das Internet und seine früheren Protokolle wurden jedoch als ein trust-based (auf Vertrauen basierendes) System entwickelt. Das heißt, dass das Internetprotokoll nicht von vornherein als sicher ausgelegt war. Es sind keine anerkannten Sicherheitsstandards im TCP/IP Kommunikations-Stack integriert, was eine Angriffsfläche für potentiell böswillige Benutzer und Prozesse im gesamten Netzwerk bildet. Moderne Entwicklungen haben die Kommunikation über das Internet sicherer gemacht, wobei es jedoch immer wieder zu Vorfälle kommt, die breites nationales Aufsehen erregen und uns bewusst machen, dass nichts hundertprozentig sicher ist.
Verschiedene Schlüsselmomente trugen zur Geburt und zum Aufstieg von Computersicherheit bei. Im Folgenden werden einige, wichtige Ereignisse genannt, welche die Aufmerksamkeit auf Computer- und Informationssicherheit lenkten und zur deren heutiger Bedeutung beitrugen.
Polnische Kryptografen (Entschlüssler) entwickeln 1918 die Enigma Maschine, eine elektro-mechanische Ziffern-Rotor-Anlage, welche reine Textnachrichten verschlüsselt. Ursprünglich entwickelt, um Kommunikation im Bankensektor abzusichern, wurde das Gerät von der Deutschen Streitmacht im Zweiten Weltkrieg zur sicheren Kommunikation eingesetzt. Ein brillianter Mathematiker namens Alan Turing entwickelt eine Methode, um die Verschlüsselungscodes von Enigma zu knacken, was den Alliierten wiederum ermöglichte Colossus zu entwickeln, eine Maschine, die wie so oft behauptet wird, dazu beigetragen hat, den Krieg ein Jahr früher zu beenden.
Studenten am Massachusetts Institute of Technology (MIT) bilden den Tech Model Railroad Club (TMRC) und beginnen mit der Erforschung und Programmierung des PDP-1 Mainframe Computersystems dieser Universität. Durch diese Gruppe wurde eventuell auch der Begriff "Hacker" im heutzutage bekannten Kontext geprägt.
Das US-Verteidigungsministerium bildet das Advanced Research Projects Agency Network (ARPANet), das in akademischen und Forschungs-Kreisen große Beliebtheit als Kanal für elektronischen Daten- und Informationsaustausch erlangt. Dies ebnet den Weg für die Erschaffung des Trägernetzwerks, das heute als das Internet bekannt ist.
Ken Thompson entwickelt das UNIX Betriebssystem, weitverbreitet gepriesen als das "Hacker-freundlichste" Betriebssystem aufgrund der zugänglichen Entwicklungstools und Compilers und der hilfsbereiten Anwendergemeinschaft. Etwa zur gleichen Zeit entwickelt Dennis Ritchie die Programmiersprache C, die wohl beliebteste Hacker-Sprache in der Geschichte des Computers.
Bolt, Berank und Newman, ein Vertragsunternehmen für Forschung und Entwicklung für die US-Regierung und Industrie, entwickelt das Telnet-Protokoll, eine öffentliche Erweiterung des ARPANets. Dies öffnete das Tor zur öffentlichen Verwendung von Datennetzwerken, einst beschränkt auf Vertragsunternehmen für die Regierung und akademische Forschung. Telnet ist jedoch, laut verschiedenen Sicherheitsexperten, das wohl unsicherste Protokoll für öffentliche Netzwerke.
Steve Jobs und Steve Wozniak gründeten Apple Computer und begannen mit der Vermarktung des Personal Computer (PC). Der PC ist das Sprungbrett für böswillige Anwender zum Erlernen der Kunst, Systeme von außen mittels allgemein erhältlicher PC-Kommunikations-Hardware wie z.B. analoge Modems und War Dialers, zu cracken.
Jim Ellis und Tom Truscott erschaffen USENET, ein Bulletin-Board-artiges System für elektronische Kommunikation zwischen ungleichen Anwendern. USENET wird schnell zu einem der beliebtesten Foren für den Ideenaustausch im Bereich Computing, Netzwerke und natürlich Cracking.
IBM entwickelt und vertreibt PCs basierend auf dem Intel 8086 Mikroprozessor, einer relativ kostengünstigen Architektur, die elektronische Datenverarbeitung vom Büro ins traute Heim brachte. Dies half, den PC zu einem allgemeinen, zugänglichen Tool werden zu lassen, was wiederum zur Verbreitung dieser Hardware in den Haushalten und Büros böswilliger Anwender beitrug.
Das Transmission Control Protocol (TCP), von Vint Cerf entwickelt, ist in zwei Teile unterteilt. Das Internet Protokoll (IP) wurde aus dieser Unterteilung geschaffen, und das TCP/IP Protokoll wird zum Standard jeglicher Kommunikation über das Internet.
Basierend auf den Entwicklungen im Bereich des Phreaking, mit anderen Worten des Auskundschaften und Hacken von Telefonsystemen, wurde das Magazin 2600: The Hacker Quarterly ins Leben gerufen und behandelt Themen wie das Hacken von Computern und Computer-Netzwerken für eine breite Leserschaft.
Die 414-Gang (benannt nach der Vorwahlnummer des Wohnorts) wurde von den Behörden nach einer 9-Tage Cracking-Tour, bei der in Systeme von geheimen Orten wie das Los Alamos National Laboratory, einer Atomwaffen-Forschungseinrichtung, eingebrochen wurde, aufgegriffen.
Die "Legion of Doom" und der "Chaos Computer Club" sind zwei Hacker-Gruppen, die mit der Erforschung von Anfälligkeiten in Computer- und Datennetzwerken beginnen.
Der "Computer Fraud and Abuse Act" des Jahres 1986 (Gesetz gegen Computerbetrug und -missbrauch) wurde vom Kongress als Gesetz erlassen, basierend auf den Taten von Ian Murphy, auch bekannt als Captain Zap, der in Computer des Militärs einbrach, Informationen von Firmendatenbanken stahl und Anrufe über Telefonnummern der Regierung tätigte.
Basierend auf dem "Computer Fraud und Abuse Act" war die Justiz in der Lage, den Studenten Robert Morris zu verurteilen, der den Morris Wurm auf über 6000 anfällige Computer im Internet verbreitet hatte. Der nächste bedeutende Fall im Rahmen dieses Gesetzes war Herbert Zinn, ein Schulabbrecher, der Systeme von AT&T und dem DoD gecrackt und missbraucht hatte.
Basierend auf den Bedenken, dass der Morris-Wurm jederzeit repliziert werden könnte, wird das Computer Emergency Response Team (CERT) gegründet, um Benutzer von Computern vor Netzwerksicherheitsproblemen zu warnen.
Clifford Stoll schreibt das Buch The Cuckoo's Egg (das Kuckucksei), eine Beschreibung der Untersuchung von Crackern, die unberechtigt auf sein System zugegriffen haben.
ARPANet wird stillgelegt. Verkehr über dieses Netzwerk wir ans Internet weitergeleitet.
Linus Torvalds entwickelt den Linux-Kernel für Verwendung mit dem GNU-Betriebssystem; die weitverbreitete Entwicklung und Verwendung von Linux liegt an der Zusammenarbeit der Benutzer und Entwickler, die über das Internet kommunizieren. Durch die Unix-Wurzeln ist Linux am beliebtesten bei Hackern und Administratoren, die Linux nützlich für das Erstellen von sicheren Alternativen zu Legacy-Servern mit proprietären (nicht-veröffentlichter Quellcode) Betriebssystemen fanden.
Der grafische Web-Browser wird entwickelt und entflammt einen exponentiell höheren Bedarf an öffentlichem Internetzugang.
Vladimir Levin und Komplizen knacken illegal die zentrale Datenbank der CitiBank und transferieren 10 Millionen US$ zu verschiedenen Konten. Levin wird von der Interpol verhaftet und fast die gesamte Summe sichergestellt.
Unter Crackern wohl am meisten gefeiert ist Kevin Mitnick, der in verschiedene Systeme von Unternehmen einbrach und alles stahl, von persönlichen Informationen bekannter Persönlichkeiten bis zu mehr als 20 000 Kredikartennummern sowie Quellcode für proprietäre Software. Er wurde verhaftet, auf der Basis von Wire-Fraud angeklagt und verurteilt und verbrachte 5 Jahre in Haft.
Kevin Poulsen und ein unbekannter Komplize manipulieren Telefonsysteme von Radiosendern, um bei Verlosungen Autos und Geldpreise zu gewinnen. Er wird wegen Computerbetrugs angeklagt und zu 5 Jahren Gefängnis verurteilt.
Die Geschichten des Cracking und Phreaking werden zu Legenden und es treffen sich jährlich angehenden Cracker auf der DefCon-Versammlung, um das Cracken zu feiern und Ideen auszutauschen.
Ein 19 Jahre alter israelischer Student wird verhaftet und als Organisator zahlreicher Einbrüche in Systeme der US-Regierung während des ersten Golfkrieges verurteilt. Angestellte des Militärs bezeichnen dies als den "am best-organisiertesten und systematischsten Angriff" auf Regierungssysteme in der Geschichte der USA.
Die US-Generalbundesanwältin Janet Reno gründet als Antwort auf eskalierende Sicherheitsbrüche in Regierungssystemen das National Infrastructure Protection Center.
Britische Kommunikationssatelliten werden von unbekannten Personen übernommen und Lösegeld gefordert. Die Britische Regierung gewinnt letzten Endes die Kontrolle über die Satelliten.
Im Februar 2000 wurde eine Distributed Denial of Service (DDoS) Attacke auf einige der am häufigsten besuchten Internetsites ausgeführt. Durch diese Attacke waren yahoo.com. cnn.com, fbi.gov und einige andere Sites für normale Benutzer unerreichbar, da Router mit stundenlangen riesigen ICMP-Paketübertragungen, auch Ping Flood genannt, überlastet waren. Diese Attacke wurde von unbekannten Angreifern gestartet, die speziell gefertigte, überall erhältliche Programme verwendeten, die verletzliche Netzwerkserver suchen und dann Client-Applikationen, auch Trojaner genannt, auf den Servern installieren und dann eine Attacke starten, bei der die Site des Opfers durch jeden infizierten Server überflutet wird und somit unerreichbar wird. Viele schieben die Schuld auf fundamentale Fehler in der Weise, wie Router und Protokolle strukturiert sind, um alle eingehenden Daten anzunehmen, egal woher oder zu welchem Zweck Pakete gesendet wurden.
Dies bringt uns ins neue Jahrtausend, einer Zeit, in der geschätzte 945 Millionen Menschen weltweit das Internet verwenden oder verwendet haben (Computer Industry Almanac, 2004). Zur gleichen Zeit:
Jeden Tag werden um die 225 schwerwiegenden Fälle von Sicherheitsverletzungen beim CERT Koordinationszentrum der Carnegie Mellon Universität (USA) gemeldet. [1]
Im Jahre 2003 stieg die Anzahl der bei CERT gemeldeten Vorfälle sprunghaft von 82.094 im Jahre 2002 auf 137.529 an (52.658 im Jahre 2001). [2]
Der weltweite wirtschaftliche Schaden, der durch die drei gefährlichsten Internetviren in den letzten zwei Jahren verursacht worden ist, wurde auf ungefähr 13,2 Billionen US-Dollar geschätzt. [Quelle: http://www.newsfactor.com/perl/story/16407.html]
Computersicherheit ist zu einer quantifizierbaren und berechtigten Ausgabe für alle IT-Budgets geworden. Unternehmen, die Datenintegrität und Hochverfügbarkeit benötigen, eruieren die Fähigkeiten von Systemadministratoren, Entwicklern und Ingenieuren, um eine 24/7 Verlässlichkeit ihrer Systeme, Services und Informationen zu garantieren. Opfer von böswilligen Anwendern, Prozessen oder koordinierten Attacken zu werden ist eine direkte Bedrohung in Hinsicht des Geschäftserfolges.
Leider kann System- und Netzwerksicherheit eine gewisse Schwierigkeit darstellen, die ein genaues Verständnis darüber, wie ein Unternehmen Informationen betrachtet, verwendet, manipuliert und überträgt erfordert. Das Verständnis darüber, auf welche Art ein Unternehmen (und dessen Mitarbeiter) Geschäfte betreibt, ist von höchster Bedeutung für die Einführung eines entsprechenden Sicherheitsplans.
Unternehmen in jedem Industriezweig sind auf Richtlinien und Regeln von Standardisierungsorganisationen wie z.B. der American Medical Association (AMA) oder dem Institute of Electrical and Electronics Engineers (IEEE) angewiesen. Die gleichen Ideale gelten für Informationssicherheit. Viele Sicherheitsberater und Hersteller haben sich auf das Standard-Sicherheitsmodell CIA, (Confidentiality, Integrity und Availability; Vertraulichkeit, Integrität und Verfügbarkeit) geeinigt. Dieses 3-Schichten Modell ist eine allgemein anerkannte Komponente für das Einschätzen von Risiken für vertrauliche Informationen und das Einrichten einer Sicherheitspolice. Im folgenden wird das CIA-Modell näher beschrieben:
Vertraulichkeit — Vertrauliche Informationen dürfen nur für im vornherein festgelegte Einzelpersonen verfügbar sein. Unautorisierte Übertragung und Verwendung von Informationen muss eingeschränkt werden. So stellt zum Beispiel die Vertraulichkeit von Informationen sicher, dass persönliche oder finanzielle Details von Kunden nicht von Unbefugten für böswillige Zwecke wie Identitätsraub oder Kreditbetrug missbraucht werden kann.
Integrität — Informationen dürfen nicht dahin gehend verändert werden, so dass sie unvollständig oder falsch werden. Unbefugte dürfen nicht in der Lage sein, vertrauliche Informationen ändern oder zerstören zu können.
Verfügbarkeit — Informationen müssen jederzeit für befugte Personen zugänglich sein. Verfügbarkeit ist die Garantie dafür, dass Informationen mit einer vereinbarten Häufigkeit und rechtzeitig abgerufen werden können. Dies wird häufig in Prozent gemessen und formell in Service Level Vereinbarungen (SLAs), die von Netzwerkservice-Anbietern und deren Geschäftskunden verwendet werden, festgelegt.
| [1] | Quelle: http://www.cert.org |
| [2] | Quelle: http://www.cert.org/stats/ |
| Zurück | Zum Anfang | Nach vorne |
| Eine allgemeine Einleitung in Sicherheit | Nach oben | Sicherheits-Kontrollen |