Von epidemisch zu dezentral

In den ersten Jahren nach der Jahrtausendwende schwappten mehrere Malware-Epidemien über die Welt und die ETH. 2003 hat die Schulleitung der ETH Zürich ein Patchinggebot in Kraft gesetzt. Wie haben sich Risiken und Lage in den letzten zehn Jahren entwickelt?

Malware wurde in den neunziger Jahren des letzten Jahrhunderts zum Thema. Vorerst wurde sie über infizierte Disketten übertragen, dann via E-Mail, schliesslich über offene Ports. Zu den ersten Malware Promis gehörte etwa die Spezies ILOVEYOU, die sich im Jahr 2000 mit ihrem üblen Script-Attachment epidemisch verbreitete. Zu dieser Zeit sah die IT Welt noch etwas anders aus als heute.

Die Fehlerhaftigkeit von Code war bekannt. Niemand sah jedoch im Jahr 2000 Ausmass und Bedeutung der Problematik klar voraus. Das änderte sich in den ersten Jahren des neuen Jahrtausends schlagartig. Inzwischen werden jährlich Tausende von Verletzlichkeiten bekannt. Das zieht eine Menge von Kompromittierungen und Patchaufwand nach sich.

Ganz im Gegensatz zu heute traten damals die persönlichen Rechner am Netz wie Server auf. Services wie Folder Sharing wurden über offene Ports im Internet publiziert. Waren solche Services nicht perfekt gepatcht und konfiguriert, hatten Übeltäter jederzeit freien Zuritt. Das hatte zur Folge, dass epidemieartige Verbreitung von Malware möglich war. Innerhalb von Minuten konnten tausende von neuen Maschinen gescannt und infiziert werden.

Rasch wurde klar, dass unter dem wachsenden Angriffsdruck die Arbeitsplatzrechner nicht wie Server betrieben werden konnten. Firewallprodukte wie ZoneAlarm kamen auf. Innerhalb von wenigen Jahren machten die Hersteller persönliche Rechner per Firewall defaultmässig dicht. Bei Windows XP geschah das mit Service Pack 2 im Jahr 2004. Seither stehen bei Arbeitsplatzrechnern andere Infektionsmechanismen im Vordergrund, vor allem das DriveBy an kompromittierten Websites. Weiterhin werden zahlreiche Maschinen kompromittiert – aber nicht mehr in Form von Flächenbränden.

Epidemieförmige Wellen sind momentan deutlich weniger wahrscheinlich als im Jahr 2000, ausgeschlossen aber nicht. Ein richtig hässliches Szenario ist denkbar, wenn eine Deployment-Infrastruktur ausser Kontrolle gerät. Genau genommen wäre das aber keine Epidemie. Es fehlt die typische Ansteckung von Host zu Host.

Offene Ports und Epidemiepotential erklären die Art und Weise, wie 2003 in den „Standards für Verantwortlichkeiten und Systempflege“ die Patching-Problematik geregelt wird. Die Verbreitungsgeschwindigkeit der Malware erscheint als zentrales Kriterium. Patchen innerhalb von 5 Tagen beispielsweise wird im folgenden Szenario gefordert „Die Verletzlichkeit wird aktiv ausgenutzt, aber es gehen noch keine schädlichen Aktivitäten davon aus.“ Für Server bleibt diese Betrachtungsweise auch heute relevant.

Vom situativen zum strukturierten Patchen

Eine situative Haltung „Warten auf die Bedrohung und dann rasch patchen“ funktioniert heute für Arbeitsplatzrechner nicht mehr. Einmal ist ein Monitoring von hunderten von Verletzlichkeiten übers Jahr schlicht unmöglich. Dann braucht gemanagtes Patchen Planbarkeit und Vorlaufzeiten. Wie sieht eine sinnvolle und brauchbare Handhabung der Standards aus?

Erstens müssen in der ziemlich unübersichtlichen Lage Prioritäten gesetzt werden. Die Energie muss auf eine kleine, aber wichtige Gruppe von kritischen Verletzlichkeiten und kritischen Applikationen gelenkt werden. Dazu gehören Betriebssystem, Office-Programme, Browser, Acrobat, Java und Flash. Hier lässt sich mit einem guten Aufwand/Ertragsverhältnis das Risiko auf ein akzeptables Mass reduzieren. Zweitens sollen diese wichtigsten Verletzlichkeiten nach Erscheinen des Patches nur wenige Tage offen bleiben. Die meist vorangekündigte Publikation von Patches bildet einen gut handhabbaren Marker für die Strukturierung von Patchingprozessen.

Eine zeitgemässe Formulierung der wichtigsten Regel für Standardmaschinen lautet ungefähr so: Kritische Verletzlichkeiten kritischer Applikationen müssen innerhalb von fünf Arbeitstagen nach Erscheinen des Patches geschlossen werden.

 

ANHANG

Die Standards für Verantwortlichkeiten und Systempflege

Nach Vorarbeiten der IT-Community mit dem Projekt SecITEK setzte die Schulleitung 2003 die „Standards für Verantwortlichkeiten und Systempflege“ in Kraft. Damit wurden zwei Ziele verfolgt.

Einmal sollte für die am Netz aktiven Maschinen ein lückenloses Netz von Verantwortlichkeiten und Kontaktschnittstellen aufgebaut werden. Maschinen dürfen seither am ETH Netz nur betrieben werden, wenn ein Systemverantwortlicher und auf nächster Ebene ein Netzanschlussverantwortlicher benannt und handlungsfähig sind. Die Kontaktdaten sind in einer Datenbank hinterlegt und wurden seither in mehreren Tausend Fällen verwendet, um die Leute vor Ort über Incidents zu informieren und Massnahmen anzustossen. Das zweite Kernstück der Standards bildet das oben diskutierte Patchinggebot für relevante Verletzlichkeiten.

http://www.rechtssammlung.ethz.ch/pdf/203.23_standards_systempflege.pdf

Wer sich detailliert mit der Patchingproblematik auseinandersetzen möchte, findet hier eine Serie zum Thema:
http://blogs.ethz.ch/scarybits/category/verletzlichkeiten-und-patches/

Posted on
in Mail, Web, News, Support Tags: ,

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.