Hallo zusammen, On Donnerstag 29 Oktober 2009, Heinz Diehl wrote:
Wenn eine Maschine "gehackt" wurde, dann ist sie unter fremder Kontrolle.
Das ist richtig.
Alle genannten Massnahmen sind vergeblich.
Das ist so nicht richtig.
Ich zitiere hier Werner Koch, wenngleich er das Zitierte aus einem ganz anderen Grund und Sachverhalt geschrieben hat, uebertragen passt es doch:
"Please repeat with me: There is no way to avoid or detect backdoors if physical access to the machine has ever been granted."
Nein, das Zitat passt nicht. Zum einen sprechen wir hier _nicht_ über den Hardwarezugriff (physical access), sondern über einen Zugriff via Netz. Hatte ein Angreifer wirklich Zugriff auf die Hardware, dann wird es sehr viel schwerer, einen Angriff zu entdecken. Zum anderen müssten wir alle Server sofort herunterfahren, wenn das tatsächlich so wäre. Natürlich kann ich mit verschiedenen Maßnahmen zumindest den Verdacht erhärten, dass ein Angriff stattgefunden hat bzw. dass etwas auf dem Server nicht stimmt. Wenn ich diesen _Verdacht_ habe, dann allerdings stimmt der Satz wieder. Es bleibt nur die Neuinstallation, da ich mir nie wirklich sicher sein kann, alles gefunden zu haben.
Wenn die Maschine "gehackt" wurde, und der Eindringling Zugriff hat/hatte, dann soltest du dir im Klaren sein, dass er alles manipulieren kann. Du wirst keine Chance haben, das zu entdecken.
Cracker kochen auch nur mit Wasser und müssen sich auch an die Vorgaben des Systems und die Netzwerkspezifikationen halten. Ich kann zwar theoretisch alles manipulieren, manipuliere ich aber z. B. den TCP/IP-Stack zu sehr, dann funktioniert das Netz nicht mehr und mein gekaperter Server wird nutzlos. Manipuliere ich auf Ebene des Ethernets, dann funktioniert das Netz auch nicht mehr richtig. Wenn ich also direkt z. B. die Ethernetpakete mitlese, dann werde ich, sofern ich weiß, wonach ich suchen muss, auch zumindest den Verdacht erhärten können, dass etwas nicht stimmt. Wie gesagt: Der Verdacht reicht, um neu zu installieren. Im Übrigen sind die meisten Cracks relativ leicht mit den genannten Maßnahmen zu entdecken. Sie wollen ja was mit dem Server anstellen. Beispielsweise hat mal jemand erfolgreich versucht, mir eine Filmtauschbörse unterzuschieben. Den Spuk habe ich nach acht Stunden bei der täglichen Routineüberprüfung mit netstat und dem mc entdeckt. Ein Port zu viel offen und Gigabytes Filmdaten in einem Unterverzeichnis von /srv/www/htdocs. Also Server vom Netz nehmen und via serieller Konsole neu installieren. Glücklicherweise war das kein von mir installierter Server und somit kein Garantiefall. ;) Liebe Grüße Erik -- "Wenn Leute sich in einer Sache wie dem Zigarrenrauchen zu echten Kennern entwickeln, dann muß da ein bißchen mehr dran sein als ein bloßer Reiz für Gaumen und Augen. Man kann viel Freude an solchen Dingen haben, wenn man bereit ist, ein bißchen Zeit zu investieren, um sie richtig kennenzulernen, auch wenn es nicht gleich zur Hauptsache im Leben wird." Francis Ford Coppola Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org