Zitadellen der Sicherheit

ZITADELLEN DER SICHERHEIT

Es ist eigentlich nicht neu, dass Daten im Netz und in der digitalen Kommunikation ausgespäht werden. Wer erst seit der NSA/BND/Snowden-Affäre ernsthaft auf diese Realität gestoßen wurde, hat bislang sehr blauäugig gehandelt. Larry Ellison sagte im August 2013 bei Charlie Rose in CBS This morning … „Solche Daten seien schon lange vor der NSA aufgezeichnet worden, und zwar von den Kreditkarten-Unternehmen Amexco und Visa“.

Vor zwei Jahren haben wir unsere IT-Infrastruktur einem Einbruchstest unterzogen, den man als Unternehmer selbst nicht mitbekommt, eher nur in einem GAU-Fall, also frühestens während eines Einbruchs in das Intranet, der von einem so vorhanden Logfile protokolliert wird. Meist aber erst Tage später oder wenn es völlig überraschend in der Zeitung steht. Dieser "Penetrationstest" wurde von uns bestellt. Wir haben uns von außen über das Netz angreifen lassen, um die (vermutete) Sicherheit selbst bewerten zu können.

Dann lebt man nicht in einem Iglu aus dünnem Eis, dessen Sicherheit man mangels eigener Netzkompetenz als zu sicher einstuft. Es werden einem die Augen geöffnet, und es ist eine aktive Netzpolitik von innen möglich, die mit Realitäten umgeht und nicht von Scheinzuständen ausgeht.

GENIA-SEC GmbH hat diesen Penetrationstest für uns durchgeführt und eine 30-seitige Bewertung erstellt, die unten im Aufbau und in der Ausführung auch mit dem Ergebnis umschrieben ist.

Dieser Bericht enthält die Ergebnisse des Penetrationstests der aus dem Internet sichtbaren Systeme der Patentanwälte Leonhard, Tal 30, 80331 München. Hierbei werden insbesondere Auswirkungen von Angriffen, die von außen gegen diese Systeme gerichtet sind, betrachtet und die Folgen analysiert.

Obwohl die Tests von kompetentem Personal und mit Hilfe modernster Hilfsmittel durchgeführt wurden, besteht die Möglichkeit, dass ein Angriff zu einem späteren Zeitpunkt dennoch erfolgreich ist. Die Gründe dafür liegen zum einen in einer eventuellen Anpassung der Konfiguration (also eine veränderte Ausgangslage), zum anderen in der Vielzahl von möglichen Angriffen, die gegen Netzwerke und Systeme sowie Applikationen gerichtet werden können. Folglich kann dieser Report nicht die Abwesenheit von Konfigurationsfehlern oder die hundertprozentige Sicherheit einer Systemumgebung bzw. eines Netzwerkübergangs beweisen. Vielmehr dienen die Tests und dieser Bericht einer ständigen Qualitätskontrolle zur Erhöhung der Netzwerksicherheit des geprüften Unternehmens.

Die Firma GENIA-SEC IT-Sicherheitsmanagement GmbH bestätigt hiermit die ordnungsgemäße Durchführung des Penetrationstests, lehnt aber gleichzeitig eine Haftung für Schäden aus Folgen von späteren Computer- bzw. Netzwerkeinbrüchen ab.

Als Werkzeuge wurden verwendet ...

  • Ping-Sweep und Portscanner (nmap)
  • Security-Scanner (kommerziell) (IBM Internet Security Scanner)
  • Security-Scanner (kommerziell) (GFI Languard)
  • Web-Security-Scanner (kommerziell) (N-Stalker Enterprise)
  • Security Scanner (frei plus kommerzielle Plugins) (Nessus)
  • Unterschiedlicher Exploit-Code (vorwiegend durch Metasploit, aber auch durch eigene Skripte)
  • Rapid 7 Metasploit Express und Metasploit Framework
  • Skipfish Web-Security Scanner

Dadurch, dass keines der drei geprüften Systeme Webdienste in irgendeiner Form anbietet, kommt keiner der spezialisierten Web-Security-Scanner zum Einsatz. Als Ersatz kommen dafür weitere kommerzielle Security Scanner (s.o.) zum Einsatz und auch einige von GENIA-SEC GmbH entwickelte Skripte und Werkzeuge.

Das Ergebnis der Tests legte eine technische Problematik und als immer bestehendes Risiko eine menschliche Achillesferse offen.

Bei der betrachteten Infrastruktur handelte es sich um drei Einwahlsysteme (zwei DSL-Router und ein ISDN-Router) mit dynamischer IP-Adress-Zuordnung, die Verbindung zum Internet herstellen und damit für eine große Anzahl von Benutzern erreichbar sind. Trotz massiver Prüfung der drei Router wurden von einer Ausnahme abgesehen keine Schwachstellen aufgedeckt.

Grundsätzlich nehmen alle oben genannten Systeme keine Verbindungen aus dem Internet an und können somit nicht erreicht oder gar manipuliert werden. Dadurch, dass keine Dienste zur Verfügung gestellt werden, konnten auch keine direkten Angriffe auf diese Dienste durchgeführt werden. Insgesamt stellt dies nahezu den Idealzustand dar, denn wo nichts ist (unsichtbare Systeme, keine angebotenen Dienste), kann auch kein Angriff erfolgreich sein.

Das einzig real existierende Bedrohungsszenario stellt sich für das Unternehmen wie folgt dar:

Wird von außen per E-Mail oder durch interne Mitarbeiter, die mit Schadcode bestückte Webserver nutzen, schädlicher Programmcode eingeschleppt, so ist es möglich, dass Verbindungen von innen nach außen aufgebaut werden. Über diese Kanäle könnte ein Angriff dann auch erfolgreich sein.

Solange dieses Szenario aber durch Sensibilisierung der Mitarbeiter und aktuelle Virenscanner vermieden wird, kann man von einer sicheren Internetverbindung ausgehen.

IP-Adresse 93.141.111.193

Das System verhielt sich zunächst unauffällig. Es konnten anfangs keine Verwundbarkeiten festgestellt werden. Indes tauchte bei einem der Scan-Durchläufe eine von außen zu erkennende Voice-over-IP-Verbindung auf, die aber nicht regelmäßig erfasst werden konnte.

Nach Rücksprache mit dem Sysop der Kanzlei wurde dies als ein eigenmächtig installiertes Skype-System auf einem der Arbeitsplätze identifiziert und nach Erkennung von der Kanzlei beseitigt. Eine akute Bedrohung bestand nicht, jedoch ist die Nutzung von Skype in sensiblen Umgebungen kritisch.

Schlussbemerkung

Da die einzig gefundene technische Auffälligkeit (SIP - VoIP per illegal installiertem Skype) sofort beseitigt wurde, verbleiben keine Aufgaben zur Erhöhung der Sicherheit. Derzeit kann von sicheren Internetzugängen des Unternehmens ausgegangen werden.

Stand: 12. August 2013