Freie Fahrt für Hacker im WWW?

"Die Formulierung 'Ernstes Problem' wäre eine Untertreibung" Zu diesem Fazit sieht sich Dan Farmer nach einer exemplarischen Studie über die Sicherheit von WWW-Servern gezwungen (http://www.trouble.org/survey). Der Mitautor des Netzwerk-Sicherheitstools SATAN (Security Administrator Tool for Analyzing Networks) hat in den USA bis Mitte Dezember rund 1700 Websites von Banken, Regierungsstellen, Printmedien und "Sex-Sites" über das Internet ungefragt auf Sicherheitslücken abgeklopft. Bei fast zwei Dritteln dieser Server fand Farmer deutliche Anzeichen von Sicherheitsmängeln; jeweils über 38 Prozent der untersuchten Informationssysteme von Regierung und Printmedien wiesen drastische Sicherheitlöcher auf. Rund 500 zufällig gewählte WWW-Adressen waren hingegen doppelt so gut geschützt wie die profilträchtigen Seiten der überprüften Anbieter.

Die Angriffsmöglichkeiten, die SATAN (http://www.trouble.org/~zen/satan/satan.html) kennt, sind zudem nur einfache, altbekannte Fälle, die jeder Hacker ohne langjährige Erfahrung mit sogenannten Exploit-Skripten ausnutzen kann. Es steht zu befürchten, daß ambitionierten Angreifern noch erheblich mehr Server offenstehen. Wolfgang Ley vom Notfallteam des Deutschen Forschungsnetzes (DFN CERT, http://www.cert.dfn.de) kritisiert die Administration vieler WWW-Sites: "80-90 Prozent der von SATAN erkannten Probleme wären durch das bloße Aufspielen der jeweils neuesten Security-Patches zu beheben." Auch die Aufmerksamkeit gegenüber Angriffen läßt zu wünschen übrig. Die SATAN-Checks hinterlassen relativ unauffällige aber dennoch erkennbare Spuren. Von den über 2000 attackierten Hosts bemerkten offenbar nur drei, was da vor sich ging -- zumindest hielten es nur drei für wichtig genug, um sich per Mail zu äußern. "Das deckt sich mit den Erfahrungen des US-Militärs, das im Jahre 1995 Angriffe auf eigene Rechner veranstaltete: Nur etwa 1 Prozent der Vorfälle wurden bemerkt und davon wiederum nur 5 Prozent auch gemeldet." unterstreicht Ley die Schläfrigkeit der meisten Systembetreuer -- auch in Bereichen, wo Sicherheit eigentlich kein Fremdwort sein sollte.

Farmers Ergebnis besagt nun nicht, daß die geheimen Daten von Banken und US-Regierung offenliegen -- diese lagern in anderen, stärker gesicherten Rechnernetzen. Es stellt sich aber die Frage, wieviel Vertrauen man in die Online-Informationen solcher Stellen setzen darf, wo es so leicht ist, die Inhalte und Angebote zu manipulieren. Zudem sei hier an den jüngst beschriebenen Angriff des "Web-Spoofings" erinnert (http://www.heise.de/newsticker/data/nl-13.12.96-001), der Abgreifen von Benutzerinformationen durch umgeleitete URLs ermöglicht: hierzu benötigt ein Angreifer einerseits gutbesuchte WWW-Seiten und zum anderen einen leistungsfähigen WWW-Server (der nicht sein eigener ist). Beides scheint reichhaltig und im Sonderangebot verfügbar zu sein. (nl)