Einmal Profi sein…

In den letzten beiden Tagen hat es sich mal wieder gezeigt, wie dumm die Menschheit ist. Der Reihe nach.

Am 31. Januar wurde auf BUGTRAQ (einer der bekanntesten Security Mailinglisten) ein Exploit gepostet, mit dem man anscheinend das ein paar Tage vorher publik gewordene Sicherheitsloch in der DNS Server Software „BIND“ (sowohl 4 als auch 8) ausnutzen konnte. Zur allgemeinen Belustigung – hier der HEADER der Mail:

        From Anonymous <nobody@replay.com> Wed Jan 31 18:06:24 2001
        Date: Thu, 31 Jan 2001 18:06:19 -0400
        From: Anonymous <nobody@replay.com>
        To: BUGTRAQ@SECURITYFOCUS.COM
        Subject: Bind8 exploit
        Message-ID: <C5119AD12E92D311928E009027DE4CCA554903@replay.com>
        Mime-Version: 1.0
        Content-Type: text/plain; charset="us-ascii"
        X-Mailer: Internet Mail Service (5.5.2650.21)

Mal ganz im Ernst: wer von den geschätzten Lesern würde allen Ernstes eine Mail von Herrn Anonymous bei „replay.com“ auch nur einen Zentimeter weit trauen? Ich hoffe, die Warnungen der letzten paar Monate bzgl. Mail („man behandle Mails von Leuten die man nicht kenn mit größtmöglicher Vorsicht“ usw.) – „Melissa“ und „I Love You“ lassen grüssen – haben zumindest ein bißchen Wirkung gezeigt.
Aber die „tollen Hacker“, „genialen Cracker“ (oder – wie ich das ausdrücken möchte: „Skript Kiddies“) haben sowas ja nicht nötig: „Auf BUGTRAQ ist ein Sicherheitsloch bekannt geworden? Gleich mal schauen, ob nicht auch ein Exploit dazu publiziert wird. Ah, da hamma doch eines. Mal testen…“
Das dumme ist nur: anscheinend waren es nicht nur Skript Kiddies die auf den Code reingefallen sind. Es ist zwar nicht bekannt wieviele Leute letztdendlich den Code ausgeführt haben. Es müssen aber schon verdammt viele gewesen sein…
Zum Glück (eigentlich – auch wenn’s jetzt böse klingen mag – Schade!) wurde kein Schaden bei den betreffenden Personen angerichtet. Es waer doch echt mal die Mühe wert den ganzen Möchtegern-Hackern ein Stück Code unterzujubeln, welches mindestens die Festplatten neu formatiert…

Aber im Ernst: ich finde, den Vorfall sollte jeder als Warnung nehmen und ganz vorsichtig sein, was er wo ausführt. Auf BUGTRAQ lesen alle möglichen Leute mit – von den WhiteHats bis hin zu den BlackHats, Vendors und „Skript Kiddies“. Ich geh‘ auch nicht in die Bronx und vertraue dem erstbesten der mich anhaut und mir anbietet, er könne mein Geld sinnvoll anlegen…
Warum ist das so schwer, auch den elektronischen Medien gegenueber ein gewisses Maß an Mißtrauen entgegen zu bringen? Mal ehrlich: wer hat nicht schon des öfteren irgendwelche Programme aus dem Netz geholt und dann ohne weiteres Nachdenken auf dem eigenen Rechner ausgefuehrt? Ich rede jetzt nicht nur von Windows Benutzern. Wer hat wirklich den Code, den er aus dem gezogenen Source Files compiliert hat ueberprüft? Oder noch viel Krasser: wer von den vielen Benutzern da draussen hat den Linux Kern mal durchgesehen ob da vielleicht nicht doch eine BackDoor eingebaut ist? Klar, das ist jetzt überspitzt und es hätten irgendwelche Leute bemerkt. Aber worauf ich hinaus will ist klar.

Nun, auf BUGTRAQ haben sich Hacker und Sysadmins gleichermassen blamiert. Ich bin mir sicher, dass beide Seiten gleichermassen in die Falle getappt sind. Vielleicht ist dieser Vorfall aber wirklich mal eine Lehre. Immerhin trudelte etwa 5 Stunden spaeter die erste Meldung auf BUGTRAQ ein, dass der Code ein Trojanisches Pferd beinhaltet. Immerhin.

Hier kurz umrissen, worum es genau ging:
Vor ein paar Tagen wurde ein Sicherheitsloch bekannt, welches die im Netz sehr weit verbreiteten DNS Server ‚bind‘ (4 und 8) angreifbar machen. Das Loch ist aber ziemlich schwierig auszunutzen. Es gab auch soweit mir bekannt ist auch keine exploits. Am 31. Januar dann hat ein Herr „Anonymous“ dann einen exploit gepostet. Der Code besteht zum Teil aus ’shell code‘ und es hat sich heraus- gestellt, dass genau dieser Code den Nameserver von NAI (Network Associates) attackiert.
(hier ein Shell Code snippet:)

        \xa1\x45\x03\x96  ==  161.69.3.150 == dns1.nai.com

Das Teil forkt sich und installiert so gleich mehrere Instanzen die alle diese IP Adresse attackieren.

Wie gesagt, es gab eigentlich keinen Schaden bei den Leuten, die diesen Code ausgefuehrt haben – nur NAI hat in den letzten beiden Tagen etwas mit Problemen zu kaempfen…

Wie dem auch sei: meine Bitte an Euch Sysadmins da draussen: „use the source, Luke“, schau rein, ueberpruefe was das Teil macht und laß das Ganze erst mal in einer SandBox laufen – sofern Du nicht ganz genau weisst, aus welcher Quelle der Code kommt.
Und noch eine Bitte: eignet Euch ein gesundes Mass an Mißtrauen an. Auch diesem Artikel gegenueber… ;-)