Unsicher by Design
Kürzlich hat Microsoft den zweiten kritischen Patch für den RPC-Dienst herausgebracht -- und es wird wohl kaum der letzte sein. Denn das gundsätzliche Problem geht Microsoft nicht an.
Gestern hat Microsoft den zweiten Patch für den RPC-Dienst herausgebracht - und es wird wohl kaum der letzte sein. Das ist noch nicht so ungewöhnlich - schließlich gibt es auch immer wieder Sicherheitslücken in den Diensten anderer Betriebssystemen, die bereits gepatcht waren. Zur Erinnerung: Der Blaster/Lovsan-Wurm hat auch auf Unix-Systemen den DCE-Dienst zum Absturz gebracht.
Was man Microsoft jedoch nicht durchgehen lassen darf, ist die Mißachtung der einfachsten Regel der IT-Sicherheit, die sich mit dem Blaster-Wurm gerächt hat und die jetzt auch dem aktuellen Patch wieder besondere Bedeutung zukommen lässt. Diese Regel lautet: "Gehe keine unnötigen Risiken ein."
Konkret auf Netzwerke angewandt, bedeutet das: "Biete auf deinem Rechner keine Dienste an, die du nicht brauchst". Microsoft verstösst gegen diesen elementaren Grundsatz seit Jahren immer wieder; Windows bietet in der Default-Konfiguration kritische Dienste auch über Internet-Schnittstellen an. Früher waren bei Windows 98 die "Windows Datei- und Druckdienste" per Default an das DFÜ-Interface gebunden. Mittlerweile ist das nicht mehr der Fall, doch trotzdem hat sich die Situation eher verschlimmert. Auf Rechnern mit Windows NT/2000/XP/2003 sind die Dienste RPC (Port 135) und SMB over TCP (Port 445) auf allen Netzwerkschnittstellen aktiv - und das kann der Anwender nicht einmal ohne weiteres abschalten.
Dabei nutzt der normale Endanwender diese Dienste bestenfalls in lokalen Netzen, im Internet hat er nicht den geringsten Nutzen davon. Für ihn sind die (Internet-)Dienste auf Port 135 und 445 nur ein unnötiges Risiko. Wer tatsächlich seine Laufwerke für den Zugriff übers Internet freigeben will, sollte dies selbst aktivieren müssen.
Dieses Problem ist seit Jahren bekannt und wird seit Jahren von Crackern und Würmern ausgenutzt. Mit den sogenannten Personal Firewalls hat sich sogar eine ganze Software-Gattung darauf spezialisiert, diese Einfallstore notdürftig zu verriegeln. Auch Microsoft hat die Gefahr erkannt und Windows XP die Internetverbindungsfirewall spendiert, die unangeforderte Pakete aus dem Internet verwirft.
Doch vom Sicherheitsstandpunkt ist das die falsche Herangehensweise. Wenn man weiß, dass das Türschloss leicht zu öffnen ist, engagiert man keinen Privatdetektiv, der unerwünschte Gäste abweist, sondern tauscht das Schloss aus. Der Privatdetektiv bedeutet zusätzliche Kosten und irgendwann macht er auch mal Pause. Der Blaster-Wurm konnte sich vor allem deshalb so weit verbreiten, weil viele Anwender die Internetverbindungsfirewall abgeschaltet hatten oder sie mit ihrer T-Online/AOL-Software gar nicht funktionierte.
Mir ist es ein Rätsel, warum Microsoft immer noch auf den Privatdetektiv Personal Firewall setzt, statt das Schloss zu wechseln. Dazu müssten sie nur dafür sorgen, dass bei einer Standard-Windows-Installation an die Internet-Schnittstelle keine Dienste gebunden sind. Vermutlich hat das mal jemand anders implementiert, weil es einfacher war und jetzt ist es zu teuer, den Code so grundlegend zu modifizieren. Doch in Anbetracht der Schäden, die der Blaster-Wurm und seine absehbaren Nachfolger anrichten, darf dieses Argument nicht zählen. Es ist höchste Zeit, endlich das Schloss zu wechseln.
