Ist das Internet einsturzgefärdet?
Verfasst: Do 04 Aug, 2005 21:38
So oder so ähnlich könnte man die momentane Stimmung des Internets beschreiben.
Wie allgemein bekannt sein sollte, sind Monokulturen (Monopole) anfälliger für den gleichen Fehler als viele verschiedene Systeme. Microsoft ist nur ein gutes Beispiel für ein solches Monopol mit teilweise extremen, weltumfassenden Sicherheitsproblemen. Weniger bekannt ist jedoch, dass auch das Internet grösstenteils auf Hardware der selben Firma aufbaut. In diesem Fall handelt es sich um Router der Firma Cisco.
Hier erst einmal die Basics der Übertragung von Daten im Internet: (Für Kenner: Ja ich könnte das ganze wirklich kompliziert schreiben. Allerdings möchte ich einem normalen User sachen wie TCP-Windows, IP-Anfragen, DNS-Queries und OSPF Routingsprotokolle ersparen. Falls gewünscht leg ich ne technische Version nach. Dies hier dient nur dem Verstehen des nachfolgenden Artikels, der meiner Meinung nach extrem alarmierend ist)
Als Beispiel soll hier das eröffnen eines neuen Threads im GRDB-Forum dienen.
1. Man drückt auf den Button "Neues Thema schreiben"
2. Man gibt seinen Text ein.
3. Man drückt auf abschicken.
Schon ist man fertig. Aber was passiert eigentlich im Hintergrund? Dieses Wissen ist essentiell, um zu verstehen wie das Internet funktioniert.
Alles was man im Internet tut, ob man einen Download macht, einen Artikel für GRDB schreibt oder ein Video streamt wird über die Internetleitung übertragen.
Da ein 600MB Porno allerdings zu gross ist, um ihn am Stück zu übertragen, wird er in viele kleine Pakete geteilt. Diese werden dann automatisch vom Betriebssystem wieder zusammengesetzt. (Dies ist übrigens auch der Grund, warum abgebrochene Downloads immer Datenmüll darstellen: Die Datei wurde nicht komplett Zusammengesetzt und kann deshalb nicht benutzt werden.)
Ein Paket des Downloads nimmt folgenden Weg:
Paket wird von uns angefordert:
1. Netzwerkkarte -> DSL-Modem (ich geh jetzt mal von DSL aus)
2. DSL-Modem -> ISP (Internet Service Provider, beispielsweise T-Online)
3. ISP -> Router zu fremden Server (der Weg von T-Online zum Zielserver wird über einen sogenannten "Router" angesteuert)
4. Router -> nächster näherer Router
5. Nächster näherer Router -> Zielrechner
6. bis 10. laufen dann einfach umgekehrt, um das Paket zu erhalten...
Wie man sieht geht ohne die sogenannten Router nichts im Internetverkehr. Sie sorgen dafür, dass unsere Daten ihren Weg von uns zum Ziel (grdb.de) finden und umgekehrt, falls wir Pornos runterladen... Und genau darum ist der nachfolgende Text meiner Meinung extrem alarmierend.. Aber seht selbst:
----------
Anmerkungen: Mit IOS ist das Betriebssystem der fehleranfälligen Router gemeint. Diese stammen alle von der Firma Cisco und stellen 70% oder mehr aller Router im Internet. Der Zusammenbruch des Internets wäre darum definitiv möglich. Aber seht selbst...
...................... vorausfolgender Text aus Platzmangel gekürzt ......................
Tatsächlich finden sich auf den Seiten der chinesischen Hackergruppe xfocus unter anderem Informationen, wie man mit dem Debugger gdb IOS-Internas ausforschen kann. Zur Erinnerung: xfocus hat 2003 den ersten funktionierenden Exploit der RPC/DCOM-Lücke in Windows veröffentlicht. Auf dem baute der Blaster-Wurm auf, der wenig später Millionen von Windows-Rechnern infizierte.
Steht uns jetzt ein Router-Wurm bevor, der womöglich das gesamte Internet lahmlegt? Die Parallelen zum Blaster-Wurm sind nicht ganz von der Hand zu weisen und gehen weit über die chinesische Hacker-Site und die Tatsache hinaus, dass Cisco ähnlich wie Microsoft ein Quasi-Monopol inne hat.
Damals war nur ein geringer Teil aller Windows-Systeme mit dem immunisierenden Patch von Microsoft versehen. Fragen Sie doch mal einen befreundeten Netzwerk-Admin bei einem Bier, ob er denn alle aktuellen Security-Patches auf seinen Ciscos eingespielt hat. Er wird Sie wahrscheinlich anschauen, als wären Sie von einem anderen Stern. Einen Cisco-Router oder -Switch behandeln Admins wie unsereins einen Videorekorder: anstöpseln, einrichten und laufen lassen. Der Net-Admin meines Vertrauens schätzt, dass circa 80 Prozent aller Cisco-Geräte noch nie einen Patch gesehen haben. Wenn doch, dann nur, um Funktionsfehler zu beheben. Security-Patches? Eine Cisco knackt doch keiner.
FX und Lynn haben bereits demonstriert, dass dies sehr wohl möglich ist. Lynn zeigte, dass ein Angreifer übers Netz volle interaktive Kontrolle erlangen kann und wies darauf hin, dass dies prinzipiell auch ein Wurm ausnutzen könnte. Die wichtigste Einschränkung dabei: Bisher muss er dazu exakte Adressen im Speicher des Geräts kennen, die jedoch von der Version abhängen.
Auch hier zeigt sich eine beängstigende Parallele zum Blaster-Wurm: Der erste xfocus-Exploit funktionierte sprachabhängig nur auf einigen wenigen Windows-Versionen -- auf den anderen stürzte der verwundbare Windows-Dienst nur ab. Doch innerhalb weniger Wochen wurde der Exploit so weit verfeinert, dass er mit über 48 verschiedenen Windows-Versionen zurecht kam (siehe auch Lehren aus "Einmal Wurm mit Ansagen").
Ganz so schnell und einfach wird es diesmal wohl nicht gehen -- schon weil nicht jeder Möchtegern-Cracker eine Cisco zum Rumspielen zuhause stehen hat. Doch Kriminelle brauchen gar keine Wurmfunktionen, um Exploits für bislang unbekannte Cisco-Lücken gewinnbringend zu nutzen. So weist FX zurecht darauf hin, dass aus deren Sicht ein Router-Wurm geradezu Verschwendung wäre. Man-In-The-Middle-Angriffe -- beispielsweise auf verschlüsselte Verbindungen --, die durch die Kontrolle eines Routers möglich werden, wären ein viel lohnenderes Ziel.
Wie allgemein bekannt sein sollte, sind Monokulturen (Monopole) anfälliger für den gleichen Fehler als viele verschiedene Systeme. Microsoft ist nur ein gutes Beispiel für ein solches Monopol mit teilweise extremen, weltumfassenden Sicherheitsproblemen. Weniger bekannt ist jedoch, dass auch das Internet grösstenteils auf Hardware der selben Firma aufbaut. In diesem Fall handelt es sich um Router der Firma Cisco.
Hier erst einmal die Basics der Übertragung von Daten im Internet: (Für Kenner: Ja ich könnte das ganze wirklich kompliziert schreiben. Allerdings möchte ich einem normalen User sachen wie TCP-Windows, IP-Anfragen, DNS-Queries und OSPF Routingsprotokolle ersparen. Falls gewünscht leg ich ne technische Version nach. Dies hier dient nur dem Verstehen des nachfolgenden Artikels, der meiner Meinung nach extrem alarmierend ist)
Als Beispiel soll hier das eröffnen eines neuen Threads im GRDB-Forum dienen.
1. Man drückt auf den Button "Neues Thema schreiben"
2. Man gibt seinen Text ein.
3. Man drückt auf abschicken.
Schon ist man fertig. Aber was passiert eigentlich im Hintergrund? Dieses Wissen ist essentiell, um zu verstehen wie das Internet funktioniert.
Alles was man im Internet tut, ob man einen Download macht, einen Artikel für GRDB schreibt oder ein Video streamt wird über die Internetleitung übertragen.
Da ein 600MB Porno allerdings zu gross ist, um ihn am Stück zu übertragen, wird er in viele kleine Pakete geteilt. Diese werden dann automatisch vom Betriebssystem wieder zusammengesetzt. (Dies ist übrigens auch der Grund, warum abgebrochene Downloads immer Datenmüll darstellen: Die Datei wurde nicht komplett Zusammengesetzt und kann deshalb nicht benutzt werden.)
Ein Paket des Downloads nimmt folgenden Weg:
Paket wird von uns angefordert:
1. Netzwerkkarte -> DSL-Modem (ich geh jetzt mal von DSL aus)
2. DSL-Modem -> ISP (Internet Service Provider, beispielsweise T-Online)
3. ISP -> Router zu fremden Server (der Weg von T-Online zum Zielserver wird über einen sogenannten "Router" angesteuert)
4. Router -> nächster näherer Router
5. Nächster näherer Router -> Zielrechner
6. bis 10. laufen dann einfach umgekehrt, um das Paket zu erhalten...
Wie man sieht geht ohne die sogenannten Router nichts im Internetverkehr. Sie sorgen dafür, dass unsere Daten ihren Weg von uns zum Ziel (grdb.de) finden und umgekehrt, falls wir Pornos runterladen... Und genau darum ist der nachfolgende Text meiner Meinung extrem alarmierend.. Aber seht selbst:
----------
Anmerkungen: Mit IOS ist das Betriebssystem der fehleranfälligen Router gemeint. Diese stammen alle von der Firma Cisco und stellen 70% oder mehr aller Router im Internet. Der Zusammenbruch des Internets wäre darum definitiv möglich. Aber seht selbst...
...................... vorausfolgender Text aus Platzmangel gekürzt ......................
Tatsächlich finden sich auf den Seiten der chinesischen Hackergruppe xfocus unter anderem Informationen, wie man mit dem Debugger gdb IOS-Internas ausforschen kann. Zur Erinnerung: xfocus hat 2003 den ersten funktionierenden Exploit der RPC/DCOM-Lücke in Windows veröffentlicht. Auf dem baute der Blaster-Wurm auf, der wenig später Millionen von Windows-Rechnern infizierte.
Steht uns jetzt ein Router-Wurm bevor, der womöglich das gesamte Internet lahmlegt? Die Parallelen zum Blaster-Wurm sind nicht ganz von der Hand zu weisen und gehen weit über die chinesische Hacker-Site und die Tatsache hinaus, dass Cisco ähnlich wie Microsoft ein Quasi-Monopol inne hat.
Damals war nur ein geringer Teil aller Windows-Systeme mit dem immunisierenden Patch von Microsoft versehen. Fragen Sie doch mal einen befreundeten Netzwerk-Admin bei einem Bier, ob er denn alle aktuellen Security-Patches auf seinen Ciscos eingespielt hat. Er wird Sie wahrscheinlich anschauen, als wären Sie von einem anderen Stern. Einen Cisco-Router oder -Switch behandeln Admins wie unsereins einen Videorekorder: anstöpseln, einrichten und laufen lassen. Der Net-Admin meines Vertrauens schätzt, dass circa 80 Prozent aller Cisco-Geräte noch nie einen Patch gesehen haben. Wenn doch, dann nur, um Funktionsfehler zu beheben. Security-Patches? Eine Cisco knackt doch keiner.
FX und Lynn haben bereits demonstriert, dass dies sehr wohl möglich ist. Lynn zeigte, dass ein Angreifer übers Netz volle interaktive Kontrolle erlangen kann und wies darauf hin, dass dies prinzipiell auch ein Wurm ausnutzen könnte. Die wichtigste Einschränkung dabei: Bisher muss er dazu exakte Adressen im Speicher des Geräts kennen, die jedoch von der Version abhängen.
Auch hier zeigt sich eine beängstigende Parallele zum Blaster-Wurm: Der erste xfocus-Exploit funktionierte sprachabhängig nur auf einigen wenigen Windows-Versionen -- auf den anderen stürzte der verwundbare Windows-Dienst nur ab. Doch innerhalb weniger Wochen wurde der Exploit so weit verfeinert, dass er mit über 48 verschiedenen Windows-Versionen zurecht kam (siehe auch Lehren aus "Einmal Wurm mit Ansagen").
Ganz so schnell und einfach wird es diesmal wohl nicht gehen -- schon weil nicht jeder Möchtegern-Cracker eine Cisco zum Rumspielen zuhause stehen hat. Doch Kriminelle brauchen gar keine Wurmfunktionen, um Exploits für bislang unbekannte Cisco-Lücken gewinnbringend zu nutzen. So weist FX zurecht darauf hin, dass aus deren Sicht ein Router-Wurm geradezu Verschwendung wäre. Man-In-The-Middle-Angriffe -- beispielsweise auf verschlüsselte Verbindungen --, die durch die Kontrolle eines Routers möglich werden, wären ein viel lohnenderes Ziel.