"Nach dem Hack ist vor dem Hack..." (ein Zwischenbericht)
Liebe Freunde!
Nachdem sich hier nun "DerSchüler" selbst zu Wort meldet, sollte hier
vielleicht "DerSysAdmin" auch mal etwas zum Besten geben.
Eine Analyse des gehackten Systems ergab:
***1.
Das '/skole/backup'-Verzeichnis mitsamt all seinen Unterverzeichnissen
hatte die Rechte '755'. Dies betraf auch die Archive mit den gelöschten
Usern. Eins davon war nämlich mein altes Verzeichnis, in dem aber noch
die Migrationsdaten mit den alten Passwörtern der damaligen User
steckten! Die waren somit praktisch für jedermann lesbar.
Es war bis jetzt nicht zu klären, wie diese Situation entstanden ist.
Die Sicherheitslücke konnte geschlossen werden, indem das
Backup-Verzeichnis auf '750' gesetzt wurde. Es ist zu hoffen, dass dies
keine negativen Auswirkungen auf den Backup-Mechanismus hat. Das konnte
bis jetzt noch nicht überprüft werden.
***2.
Das '/root'-Verzeichnis war ebenfalls auf '755' gesetzt und enthielt
ähnliche Daten aus der Migrationszeit wie mein gelöschtes Verzeichnis.
Pikanterweise war dort noch eine Konfigurationsdatei für den
Migrationsprozess, die das Rootpasswort enthielt.
Das '/root'-Verzeichnis war aber nicht für den Angriff benutzt worden.
Es ist jetzt wieder auf '750' gesetzt, und die sicherheitskritischen
Dateien sind gelöscht, da sie nicht mehr nötig sind.
Auch hier konnte bis jetzt nicht geklärt werden, wie diese Situation
entstanden war.
***3.
Die Konfigurationsdateien in den home-Verzeichnisse vieler User standen
auf '755' und waren dadurch für jedermann lesbar. Ein Angriff auf die
Firefox-Dateien ist in so einer Situation grundsätzlich denkbar:
Kopieren des '/~/.mozilla-firefox'-Verzeichnisses, Starten des Firefox
mit der kopierten Datei und Auslesen der gespeicherten Passwörter.
Diese Situation wird durch die Unachtsamkeit der User entstanden sein.
Vorläufig behoben ist die Situation dadurch, dass die Home-Verzeichnisse
mitsamt aller Unterverzeichnisse auf '750' gesetzt worden sind. Dadurch
geht zwar der 'public'-Ordner verloren, aber die Zugangsbeschränkungs -
Situation wird für die User durchschaubarer und somit auch pflegbarer,
weil alle Verzeichnisse und Dateien auf '750' stehen müssen. Allerdings
muss der Zustand '750' für die Home-Verzeichnisse regelmäßig überprüft
werden, da nicht auszuschliessen ist, das ein User aus Versehen sein
Verzeichnis wieder aufmacht. Evtl. ist hier an die Einrichtung eines
cron-Jobs zu denken.
***4.
Nachdem sich die Angreifer aus den alten Passwortlisten mein Passwort
gefischt hatten, konnten sie sich bei mir einloggen. Hier liegt auf
meiner Seite ein Verstoß gegen das Gebot des Passwort-Ageing vor, denn
das Passwort war fast ein Jahr alt.
Die Policy für den Umgang mit solchen Migrationsdaten ist mir nicht
bekannt. Nach den Erfahrungen, die ich jetzt gemacht habe, würde ich
sagen: nach vier Wochen wegschmeissen!
Es ist so, dass "dieAngreifer" dann mithilfe der gespeicherten
Passwörter im Firefox das Root-Passwort ermitteln konnten. Dies ist eine
ganz rätselhafte Sache für mich, da ich Passwörter grundsätzlich nicht
abspeichere. Ich erinnere mich auch, dass ich jedesmal, wenn Firefox
meinte fragen zu müssen "Soll das Passwort gespeichert werden?",
angeklickt habe "Nie für diesen Server."
Fest steht aber, dass im Firefox unter "Einstellungen" stand:
"Passwörter speichern". Wie es dazu gekommen ist, läßt sich nicht
rekonstruieren. Ich bin mir jedenfalls keiner Schuld oder Unachtsamkeit
bewußt. Vermutungen - aber bitte dies jetzt wirklich nur als Vermutungen
im objektiven Sinne zu verstehen und nicht als Rechtfertigungen oder
Schuldzuweisungen - legen es nahe, dass es in der Unterrichtshektik
vielleicht zu einer Fehlbedienung des Browsers gekommen ist, womit wir
wieder beim Thema "menschliches Versagen" angekommen wären, oder dass
der Browser bewußt vor dem Angriff in einem unbewachten Moment im
Unterricht präpariert worden ist. Auch dieses kann objektiv nicht
ausgeschlossen werden.
Man muss den Browser in dieser Hinsicht ständig unter Beoabchtung
halten. Ich habe ihn jetzt so eingestellt, dass er alle Sitzungsdaten
beim Beenden löscht. Und das überprüfe ich auch regelmäßig alle ein bis
zwei Wochen.
Desweiteren untersuche ich gerade die Situationen, in denen ich das
Root-Passwort benötige und suche nach Wegen, ohne es auszukommen.
***5.
Die Angreifer hatten dann in 'webmin' -> 'Eigene Kommandos' den Befehl
zum Stoppen des Internet manipuliert, damit er nicht mehr funktioniert.
Dies konnte anhand des syslogs jedoch registriert und rückgängig gemacht
werden.
***6.
Desweiteren hatten sich die Angreifer im sudoers-file mit vollständigen
root-Rechten eingetragen. Dies fiel im Logging auf, weil die beiden
Schüler root-Befehle absetzen konnten, ohne dass es entsprechende
Fehlermeldungen gab. - Der 'sudoers'-File ist von mir natürlich wieder
in den ursprünglichen Zustand versetzt worden.
***7.
Auch verschiedene Kopien der alten Passwortdaten, die sich verschiedene
Benutzer angelegt hatten, sind von mir gelöscht worden. Desweiteren sind
mittlerweile ALLE ALTEN UNBENUTZTEN Accounts komplett gelöscht (inkl.
der Backup-Archive). Außerdem habe ich die Passwörter der restlichen
"alten" Benutzer, die noch mit dem System arbeiten, neu gesetzt. Die
User, die nach der Migration angelegt wurden, werden aufgefordert
werden, ihre Passwörter selbst neu zu setzen und ihren Firefox zu
sichern. Das ist pädagogisch wirksamer, als es einfach per Knopfdruck
und Shellskript zu machen.
***8.
So wie <warcraftiii-projekt@gmx.de> das System beschreibt, war es bis
zum letzten Donnerstag. Danach sind aber die oben beschriebenen
Maßnahmen eingeleitet und gestern abend beendet worden. Seit Donnerstag
abend sind keine Unregelmäßigkeiten mehr zu verzeichnen gewesen. Mehrere
Log-in-Versuche als 'root', die eindeutig nicht von mir stammen, sind
abgewiesen worden.
Das System ist jetzt insgesamt härter. Es neu aufzusetzen, halte ich zum
gegenwärtigen Zeitpunkt für verfrüht. Ein aufmerksames Studium der
Log-Files sollte ausreichen, um Unregelmäßigkeiten auf die Spur zu
kommen. Auf dem System werden keine kritischen Dateien gespeichert, von
daher kann man dieses Experiment wagen.
Dass Passwortdateien durch die Suchfunktion auffindbar sind, halte ich
für ein Gerücht. Entsprechende Versuche meinerseits führten zu keinen
sicherheitsrelevanten Ergebnissen.
***9.
Es ist geplant, das System neu aufzusetzen, wenn es Skolelinux in einer
Etch-Variante gibt. Dabei werde ich gerne die Unterstützung von fähigen
und zuverlässigen Schülern in Anspruch nehmen. Von den Schülern kam
übrigens der Vorschlag, es mal mit Edubuntu zu versuchen. Dem müßten von
meiner Seite erst mal verschiedene Tests vorausgehen. Das macht man
nicht einfach mal eben schnell im Vorbeigehen.
***10.
Noch ein Wort zum Hacken von Systemen:
Normalerweise hackt derjenige, der eine Sicherheitslücke in einem System
entdeckt hat, das System in Anwesenheit des SysAdmins oder mindestens
in Gegenwart von berufenen Zeugen (wie z.B. die Presse im Falle des
Eindringens in einen Wahlcomputer durch den CCC neulich), um die Gefahr
zu vermeiden, in den Verdacht zu geraten, Unfug zu treiben oder gar
Schaden anzurichten. Netterweise macht er dann auch Vorschläge zur
Härtung des Systems.
Ein System zu hacken, dann anderen Unberufenen die Kontrolle über das
System zu überlassen und dann hinterher sich darüber zu beschweren, dass
mit den Passwörtern Schindluder getrieben werden könnte, ist in sich
nicht stimmig. Es vergrößert einen Schaden, der bei korrekter
Vorgehensweise vollständig hätte vermieden werden können.
Wer ein System hackt, übernimmt ab diesem Zeitpunkt die volle
Verantwortung für das System. Tut er das nicht, ist er objektiv - d.h.
dem Wesen seiner Handlung nach, egal, was er sich dabei denkt - nichts
anderes als ein Cracker. Passwortklau ist kein Kavaliersdelikt nach dem
Motto: Selbst Schuld, wenn du dein Passwort abgespeichert hast. Wenn ich
meinen Wohnungsschlüssel verliere, gehe ich ja auch davon aus, dass der
ehrliche Finder ihn mir wieder gibt. Und wenn jemand mit einem
gefundenen Wohnungsschlüssel in meine Wohnung eindringt, kann er auch
nicht sagen: "Och, den habe ich gefunden, da dachte ich, ich darf das."
***11.
Betroffen macht, wie schnell ein System unsicher werden kann, wenn
eigene Ungenauigkeiten, die für sich genommen eher unbedeutend sind,
miteinander in Wechselwirkung treten.
Unklar ist, ob der Backup-Mechanismus bei Skolelinux grundsätzlich in
der beschriebenen Weise angreifbar ist oder ob das hier ein Einzelfall war.
Es sind noch einige andere Fragen offen, was die Sicherheit bzw. die
Angreifbarkeit eines [Skole]Linux-Servers angeht. Die Schüler haben sich
hierzu weitere Szenarien ausgedacht. Gerne würde ich das einmal mit
Interessenten erörtern, vielleicht auch mit einem Testsystem
ausprobieren. Hier in der Liste ist mir dies allerdings etwas zu
öffentlich. Schließlich soll ja niemand durch hypothetische Überlegungen
zur Angreifbarkeit eines Systems verunsichert (oder animiert??) werden.
Den beiden Schülern werde ich anbieten, bei entsprechenden
Sicherheitstests (z.B. im Testzentrum in Gütersloh?) mitzumachen, wenn
von dort aus Interesse an so einer Testsession signalisiert wird.
Grüße
Stefan Padberg
Reply to:
- Follow-Ups:
- blub
- From: DerSchüler <warcraftiii-projekt@gmx.de>