"Nach dem Hack ist vor dem Hack..." (ein Zwischenbericht)

[Stefan Padberg <epost@stefan-padberg.de>]

Liebe Freunde!

Nachdem sich hier nun "DerSchüler" selbst zu Wort meldet, sollte hier 
vielleicht "DerSysAdmin" auch mal etwas zum Besten geben.

Eine Analyse des gehackten Systems ergab:

***1.
Das '/skole/backup'-Verzeichnis mitsamt all seinen Unterverzeichnissen
hatte die Rechte '755'. Dies betraf auch die Archive mit den gelöschten
Usern. Eins davon war nämlich mein altes Verzeichnis, in dem aber noch 
die Migrationsdaten mit den alten Passwörtern der damaligen User 
steckten! Die waren somit praktisch für jedermann lesbar.

Es war bis jetzt nicht zu klären, wie diese Situation entstanden ist. 
Die Sicherheitslücke konnte geschlossen werden, indem das 
Backup-Verzeichnis auf '750' gesetzt wurde. Es ist zu hoffen, dass dies 
keine negativen Auswirkungen auf den Backup-Mechanismus hat. Das konnte 
bis jetzt noch nicht überprüft werden.


***2.
Das '/root'-Verzeichnis war ebenfalls auf '755' gesetzt und enthielt
ähnliche Daten aus der Migrationszeit wie mein gelöschtes Verzeichnis.
Pikanterweise war dort noch eine Konfigurationsdatei für den
Migrationsprozess, die das Rootpasswort enthielt.

Das '/root'-Verzeichnis war aber nicht für den Angriff benutzt worden. 
Es ist jetzt wieder auf '750' gesetzt, und die sicherheitskritischen 
Dateien sind gelöscht, da sie nicht mehr nötig sind.

Auch hier konnte bis jetzt nicht geklärt werden, wie diese Situation
entstanden war.


***3.
Die Konfigurationsdateien in den home-Verzeichnisse vieler User standen
auf '755' und waren dadurch für jedermann lesbar. Ein Angriff auf die
Firefox-Dateien ist in so einer Situation grundsätzlich denkbar: 
Kopieren des '/~/.mozilla-firefox'-Verzeichnisses, Starten des Firefox 
mit der kopierten Datei und Auslesen der gespeicherten Passwörter.

Diese Situation wird durch die Unachtsamkeit der User entstanden sein.
Vorläufig behoben ist die Situation dadurch, dass die Home-Verzeichnisse
mitsamt aller Unterverzeichnisse auf '750' gesetzt worden sind. Dadurch
geht zwar der 'public'-Ordner verloren, aber die Zugangsbeschränkungs - 
Situation wird für die User durchschaubarer und somit auch pflegbarer, 
weil alle Verzeichnisse und Dateien auf '750' stehen müssen. Allerdings 
muss der Zustand '750' für die Home-Verzeichnisse regelmäßig überprüft 
werden, da nicht auszuschliessen ist, das ein User aus Versehen sein 
Verzeichnis wieder aufmacht. Evtl. ist hier an die Einrichtung eines 
cron-Jobs zu denken.


***4.
Nachdem sich die Angreifer aus den alten Passwortlisten mein Passwort
gefischt hatten, konnten sie sich bei mir einloggen. Hier liegt auf 
meiner Seite ein Verstoß gegen das Gebot des Passwort-Ageing vor, denn 
das Passwort war fast ein Jahr alt.

Die Policy für den Umgang mit solchen Migrationsdaten ist mir nicht 
bekannt. Nach den Erfahrungen, die ich jetzt gemacht habe, würde ich 
sagen: nach vier Wochen wegschmeissen!

Es ist so, dass "dieAngreifer" dann mithilfe der gespeicherten 
Passwörter im Firefox das Root-Passwort ermitteln konnten. Dies ist eine 
ganz rätselhafte Sache für mich, da ich Passwörter grundsätzlich nicht 
abspeichere. Ich erinnere mich auch, dass ich jedesmal, wenn Firefox 
meinte fragen zu müssen "Soll das Passwort gespeichert werden?", 
angeklickt habe "Nie für diesen Server."

Fest steht aber, dass im Firefox unter "Einstellungen" stand: 
"Passwörter speichern". Wie es dazu gekommen ist, läßt sich nicht 
rekonstruieren. Ich bin mir jedenfalls keiner Schuld oder Unachtsamkeit 
bewußt. Vermutungen - aber bitte dies jetzt wirklich nur als Vermutungen 
im objektiven Sinne zu verstehen und nicht als Rechtfertigungen oder 
Schuldzuweisungen - legen es nahe, dass es in der Unterrichtshektik 
vielleicht zu einer Fehlbedienung des Browsers gekommen ist, womit wir 
wieder beim Thema "menschliches Versagen" angekommen wären, oder dass 
der Browser bewußt vor dem Angriff in einem unbewachten Moment im 
Unterricht präpariert worden ist. Auch dieses kann objektiv nicht 
ausgeschlossen werden.

Man muss den Browser in dieser Hinsicht ständig unter Beoabchtung
halten. Ich habe ihn jetzt so eingestellt, dass er alle Sitzungsdaten 
beim Beenden löscht. Und das überprüfe ich auch regelmäßig alle ein bis 
zwei Wochen.

Desweiteren untersuche ich gerade die Situationen, in denen ich das 
Root-Passwort benötige und suche nach Wegen, ohne es auszukommen.


***5.
Die Angreifer hatten dann in 'webmin' -> 'Eigene Kommandos' den Befehl 
zum Stoppen des Internet manipuliert, damit er nicht mehr funktioniert. 
Dies konnte anhand des syslogs jedoch registriert und rückgängig gemacht 
werden.


***6.
Desweiteren hatten sich die Angreifer im sudoers-file mit vollständigen
root-Rechten eingetragen. Dies fiel im Logging auf, weil die beiden 
Schüler root-Befehle absetzen konnten, ohne dass es entsprechende 
Fehlermeldungen gab. - Der 'sudoers'-File ist von mir natürlich wieder 
in den ursprünglichen Zustand versetzt worden.


***7.
Auch verschiedene Kopien der alten Passwortdaten, die sich verschiedene
Benutzer angelegt hatten, sind von mir gelöscht worden. Desweiteren sind
mittlerweile ALLE ALTEN UNBENUTZTEN Accounts komplett gelöscht (inkl. 
der Backup-Archive). Außerdem habe ich die Passwörter der restlichen 
"alten" Benutzer, die noch mit dem System arbeiten, neu gesetzt. Die 
User, die nach der Migration angelegt wurden, werden aufgefordert 
werden, ihre Passwörter selbst neu zu setzen und ihren Firefox zu 
sichern. Das ist pädagogisch wirksamer, als es einfach per Knopfdruck 
und Shellskript zu machen.


***8.
So wie <warcraftiii-projekt@gmx.de> das System beschreibt, war es bis 
zum letzten Donnerstag. Danach sind aber die oben beschriebenen 
Maßnahmen eingeleitet und gestern abend beendet worden. Seit Donnerstag 
abend sind keine Unregelmäßigkeiten mehr zu verzeichnen gewesen. Mehrere 
Log-in-Versuche als 'root', die eindeutig nicht von mir stammen, sind 
abgewiesen worden.

Das System ist jetzt insgesamt härter. Es neu aufzusetzen, halte ich zum 
gegenwärtigen Zeitpunkt für verfrüht. Ein aufmerksames Studium der 
Log-Files sollte ausreichen, um Unregelmäßigkeiten auf die Spur zu 
kommen. Auf dem System werden keine kritischen Dateien gespeichert, von 
daher kann man dieses Experiment wagen.

Dass Passwortdateien durch die Suchfunktion auffindbar sind, halte ich 
für ein Gerücht. Entsprechende Versuche meinerseits führten zu keinen
sicherheitsrelevanten Ergebnissen.


***9.
Es ist geplant, das System neu aufzusetzen, wenn es Skolelinux in einer 
Etch-Variante gibt. Dabei werde ich gerne die Unterstützung von fähigen 
und zuverlässigen Schülern in Anspruch nehmen. Von den Schülern kam 
übrigens der Vorschlag, es mal mit Edubuntu zu versuchen. Dem müßten von 
meiner Seite erst mal verschiedene Tests vorausgehen. Das macht man 
nicht einfach mal eben schnell im Vorbeigehen.


***10.
Noch ein Wort zum Hacken von Systemen:
Normalerweise hackt derjenige, der eine Sicherheitslücke in einem System 
 entdeckt hat, das System in Anwesenheit des SysAdmins oder mindestens 
in Gegenwart von berufenen Zeugen (wie z.B. die Presse im Falle des 
Eindringens in einen Wahlcomputer durch den CCC neulich), um die Gefahr 
zu vermeiden, in den Verdacht zu geraten, Unfug zu treiben oder gar 
Schaden anzurichten. Netterweise macht er dann auch Vorschläge zur 
Härtung des Systems.

Ein System zu hacken, dann anderen Unberufenen die Kontrolle über das 
System zu überlassen und dann hinterher sich darüber zu beschweren, dass 
mit den Passwörtern Schindluder getrieben werden könnte, ist in sich 
nicht stimmig. Es vergrößert einen Schaden, der bei korrekter 
Vorgehensweise vollständig hätte vermieden werden können.

Wer ein System hackt, übernimmt ab diesem Zeitpunkt die volle 
Verantwortung für das System. Tut er das nicht, ist er objektiv - d.h. 
dem Wesen seiner Handlung nach, egal, was er sich dabei denkt - nichts 
anderes als ein Cracker. Passwortklau ist kein Kavaliersdelikt nach dem 
Motto: Selbst Schuld, wenn du dein Passwort abgespeichert hast. Wenn ich 
meinen Wohnungsschlüssel verliere, gehe ich ja auch davon aus, dass der 
ehrliche Finder ihn mir wieder gibt. Und wenn jemand mit einem 
gefundenen Wohnungsschlüssel in meine Wohnung eindringt, kann er auch 
nicht sagen: "Och, den habe ich gefunden, da dachte ich, ich darf das."


***11.
Betroffen macht, wie schnell ein System unsicher werden kann, wenn
eigene Ungenauigkeiten, die für sich genommen eher unbedeutend sind,
miteinander in Wechselwirkung treten.

Unklar ist, ob der Backup-Mechanismus bei Skolelinux grundsätzlich in 
der beschriebenen Weise angreifbar ist oder ob das hier ein Einzelfall war.

Es sind noch einige andere Fragen offen, was die Sicherheit bzw. die
Angreifbarkeit eines [Skole]Linux-Servers angeht. Die Schüler haben sich 
hierzu weitere Szenarien ausgedacht. Gerne würde ich das einmal mit 
Interessenten erörtern, vielleicht auch mit einem Testsystem 
ausprobieren. Hier in der Liste ist mir dies allerdings etwas zu 
öffentlich. Schließlich soll ja niemand durch hypothetische Überlegungen 
zur Angreifbarkeit eines Systems verunsichert (oder animiert??) werden.

Den beiden Schülern werde ich anbieten, bei entsprechenden 
Sicherheitstests (z.B. im Testzentrum in Gütersloh?) mitzumachen, wenn 
von dort aus Interesse an so einer Testsession signalisiert wird.


Grüße
Stefan Padberg