Bedrohung nach dem Windows-Code-Leak
Artikel erschienen in Swiss IT Magazine 2004/05
Seit Mitte Februar sorgen 204 Megabyte für besorgte Gesichter bei Windows-Systemadministratoren, denn 204 Megabyte gross ist eine komprimierte Datei, die Teile des Quellcodes von Windows 2000 beziehungsweise NT enthält. Somit ist eingetroffen, wovor Microsoft sich immer fürchtete und deshalb äusserst restriktiv war, wenn es darum ging, den Windows-Code im Rahmen von Partner-Programmen herauszurücken. Der Grund dafür ist simpel: Gerät der Code in die falschen Hände – was relativ schnell passiert, wenn er wie jetzt auf sämtlichen Tauschbörsen zu finden ist –, wird es für Hacker ein leichtes, Lecks im Betriebssystem zu finden und diese auszunutzen.
Dies wird auch von Experten wie Uwe Kissmann, Manager Security Operations Centres bei IBM Schweiz, bestätigt. Es sei denkbar, dass Lücken in Windows schneller entdeckt werden, «da sich das Vorgehen von Hackern von einem Try&Error hin zu einem qualifizierteren und zielgerichteteren Vorgehen entwickeln könnte».
Gernot Hacker, Senior Technical Consultant bei Sophos, versteht die Sorgen der User: «Grundsätzlich herrscht Unbehagen, bedenkt man, dass die Quellen wohl für sämtliche auf NT-basierenden Plattformen genutzt werden – somit auch für Windows 2003 Server und Windows XP.» Er relativiert aber die Folgen des Code-Leaks: «Im Unterschied zu Open Source ist keinerlei Historie zum Code vorhanden. Man muss erst einmal den immensen Aufwand betreiben, sich in diesen undokumentierten Code einzuarbeiten. An Tools zum Auffinden von Lücken hat es bisher auch nicht gemangelt – warum also diesen Aufwand betreiben?» Und auch Helmut Haslbeck, Geschäftsführer von Trend Micro Deutschland, sieht keinen Grund zu Panik, sondern zeigt sich im Gegenteil optimistisch: «Nicht alle Programmierer mit Interesse am Quellcode von Betriebssystemen haben unlautere Absichten. In erster Linie werden wohl die entdeckten Sicherheitslücken an Microsoft berichtet
werden.»
Nichtsdestotrotz dürfte sich wohl der eine oder andere Administrator nach bekannt werden des Lecks Gedanken über seine Windows-Landschaft und darüber, ob er diese überhaupt noch verantworten kann, gemacht haben. Ist es nicht an der Zeit, aus Security-Überlegungen heraus nun auf Linux und Co. zu setzen?
Vor allem für grössere Firmen ist diese Frage nicht so trivial. Klar, eine kleine Firma könne sich dies sicher mit einem Zeithorizont von zwei bis vier Monaten überlegen, so Harry Galli, Country Manager von Check Point. Für grössere Firmen aber stelle sich die Frage anders. «Die Informationen müssen austauschbar bleiben. Mitarbeiter müssen ausgebildet werden, Ressourcen müssen zur Verfügung stehen. Die Mitarbeiter haben auch andere Projekte, die sie zur rechten Zeit abliefern müssen», so Gallis Bedenken. Auch IBM-Security-Spezialist Uwe Kissmann sieht bei solchen Überlegungen allein schon ein logistisches Problem, bemerkt aber, dass die
Situation sicherlich einen willkommenen Anlass darstellt, «die IT-Abteilungen von Unternehmen auf
ihre Fähigkeit zum schnellen
Aufspielen von Patches hin zu überprüfen und allfällige Korrekturmassnahmen schnellstens einzuleiten.» Einen interessanten Aspekt bringt Gernot Hacker von Sophos ein. Er ist der Überzeugung, dass der Code-Leak Gutes bewirken könnte. «In gewisser Weise herrscht jetzt ein Zustand, der massgeblich als Vorteil von Open Source gegenüber Microsoft gesehen wurde. Jetzt können Fehler
direkt angesprochen werden – dies muss man nicht automatisch schlecht bewerten.»
Zudem ist es ja nicht so, dass man in Open-Source-Quellcodes keine Lecks finden würde, und dieser
Code steht schliesslich in vollem Umfang der ganzen Welt offen. Andreas Wisler, Leiter IT-Security der Firma Go Out Production, weiss sogar, dass Linux sehr oft angegriffen wird.
Er belegt seine Behauptung durch eine Studie der britischen
Sicherheitsexperten von mi2g. Diese haben im Januar gut 17’000 erfolgreiche Angriffe gegen Server und Netze verzeichnet. Über 13’600 dieser Angriffe richteten sich dabei gegen Linux-Systeme, nur gut 2000 gegen Windows und rund 550 gegen BSD und Mac OS X. Die Experten geben zwar an, dass dabei auch die installierte Basis ins Verhältnis gesetzt werden müsse, weisen aber darauf hin, dass die Zahl der Linux-Angriffe innerhalb der letzten Monate signifikant zunahmen, während die Angriffe auf Microsoft-Systeme eher rückläufig waren.
Fakt ist jedoch, dass die Lecks in Linux aufgrund der offenen Architektur sehr viel schneller geschlossen werden. Zudem ist das Ganze auch eine Frage des Image. Ein Linux-System zu hacken, gewährleistet keine Publicity und verliert so an Attraktivität. «Das kann sich aber sehr schnell ändern, je mehr Linux eingesetzt wird», warnt Harry Galli.
«Die Tips für Systemadministratoren sind dieselben wie vor der Veröffentlichung des Quellcodes», so Markus Mertes von Panda Software. Die wichtigsten Massnahmen der Security-
Spezialisten seien hier trotzdem noch einmal aufgeführt:
Grundsätzlich gilt: So wenige Ports wie möglich nach aussen hin öffnen.
Mitarbeiter sensibilisieren (interne Security Policy).
Dem Systemadministrator genügend Zeit einräumen, sich permanent zu informieren und Patches und Updates zeitnah einzuspielen.
Starke Passwörter verwenden und diese von Zeit zu Zeit ändern.
Zeitgemässe, zentral verwaltbare Antiviren- und Firewall-Lösungen einsetzen sind Minimal-Anforderung.
Den Security-Officer in die Geschäftsleitung einbinden und ihm die notwendigen Kompetenzen erteilen.
Regelmässige Sicherheits-Audits durchführen und auch einmal den Audit-Partner wechseln, um Routinefehler zu vermeiden.
Schnelle Reaktionszeit auf Würmer und Viren sicherstellen.
Evtl. den Einsatz von Managed Security Services in Betracht ziehen, um wirklich eine Bereitschaft von 7 x 24 Stunden sicherzustellen.
Ausbildungsstand der Security-Mitarbeiter hoch halten und Sicherheitskonzepte regelmässig überprüfen.
Updates in einer Testumgebung auf die Verträglichkeit mit den eigenen Systemen prüfen.
Daten regelmässig sichern.