Wer sich per Modem oder ISDN in die virtuellen Weiten des Internet einwählt, dem ist oft nicht bewußt, daß dies keine Einbahnstraße ist. Freigabedienste öffnen Angreifern in etlichen Computern Tür und Tor zur heimischen Festplatte.
Der Weg ins Internet ist heute sehr einfach - Modem anschließen, Software installieren, läuft. Häufig kommt hierbei das Windows-DFÜ-Netzwerk zum Einsatz. Neben einem fragwürdigen Paßwortschutz (siehe S. 28) birgt dieser Zugang noch eine andere Gefahr, sofern auch der Dienst zur `Datei- und Druckerfreigabe´ benutzt wird, was in kleinen lokalen Netzen häufig, bei Rechnern von Endanwendern aber nur selten der Fall ist.
Ursprünglich war der DFÜ-Zugang dazu gedacht, einen entfernten Rechner ins lokale Netz einzuwählen. Windows 95 und NT aktivieren daher das DFÜ-Netzwerk standardmäßig auch als Verbindung für das `Microsoft-Netzwerk´ (nicht zu verwechseln mit dem Online-Dienst MSN).
Im heute üblichen Einsatz ist `der´ Rechner am DFÜ-Adapter aber das Tor zum Internet, so daß Windows dann die ganze Welt zum `lokalen´ Netz zählt. Damit gelten die Einstellungen der Windows-Freigabedienste aber auch für jeden fremden Rechner im Internet: Sind Laufwerke oder Verzeichnisse `auf Freigabeebene´ zugänglich, darf sie womöglich jeder im Netz lesen oder sogar beschreiben. Erfahrungsgemäß ist der Zugriffsschutz im lokalen Netz eher lax: auf Paßwörter oder zusätzliche Authentifizierung wird häufig zugunsten der einfacheren Bedienung verzichtet.
Viele kleine Provider, Bürgernetzvereine, aber auch große Dienstanbieter wie T-Online, AOL oder CompuServe bieten ihren Kunden den Zugang zum Internet über Einwahlknoten an. Gezielte Angriffe auf einen Rechner, der über Modem und Wählverbindung am weltweiten Netz hängt, scheinen zunächst unmöglich: Der Computer erhält erst beim Verbindungsaufbau eine gültige IP-Adresse und meist auch den dazugehörigen Internet-Namen (Domain Name System, DNS) zugeteilt. Die IP-Nummer stammt üblicherweise aus einen Pool, den die einzelnen Anbieter hierfür reserviert haben, und gilt jeweils nur für die Dauer einer Verbindung (dynamische Adreß- vergabe). Bei der nächsten Einwahl erhält derselbe Rechner zufällig eine gerade freie (vermutlich andere) Kennung. Auch die DNS-Namen haben nur verwaltungstechnischen Charakter und lassen keine Rückschlüsse auf den verbundenen Computer zu.
Obwohl das Ziel an sich zunächst unbekannt bleibt, läßt sich doch die Zielgruppe `Wählverbindungen´ sauber eingrenzen: Bei T-Online folgen die Internet-Namen des Dial-In-Pools beispielsweise dem Schema .dip.t-online.de, ein sogenannter Zone-Dump (host -l dip.t-online.de) liefert problemlos 53 232 DNS-Namen und die zugehörigen IP-Adressen für vermutlich alle T-Online-Einwahlknoten in Deutschland.
Bei AOL und CompuServe ist es nicht ganz so einfach: auf deren DNS-Servern sind Zone-Dumps desaktiviert. Allerdings findet man schnell heraus, daß die DNS-Namen auf einfache Weise aus den zugeordneten IP-Adressen gebildet werden. Beispielsweise gibt es einen Eintrag md42-145.mun.compuserve. com, dessen IP-Adresse auf `.53.145´ endet - md42-146... korrespondiert mit `.53.146´, md40-145... mit `.52.145´ und so weiter. Eine Reihe von Abfragen ergibt dann reichlich gültige Adressen. Eine weitere Methode ist, seine eigenen Verbindungsdaten zu protokollieren, während man selbst über einen Wählknoten ins Netz geht. Ist man mit seinem Provider verbunden, liefern winipcfg (W95) beziehungsweise ipconfig (NT) auf der Kommandozeile die aktuelle IP-Adresse. Im Laufe der Zeit sammeln sich auch so etliche gültige Adressen an.
Ob eine IP-Adresse gerade von einem eingewählten Computer belegt ist, läßt sich mühelos mittels eines einfachen `ping´-Kommandos ermitteln. Nun kann man sich daran machen, Sicherheitslücken zu suchen. Je nach Konfiguration verrät der betroffene Rechner mehr oder weniger freizügig Informationen über seinen Netbios-Namen, seine Windows-Domäne oder -Arbeitsgruppe, die Login-Namen aktuell verbundener Anwender und natürlich Bezeichnungen, Typen und Zugriffsmodalitäten eventuell freigegebener Ressourcen.
Ohne Paßwort freigegebene Ressourcen stehen dem Angreifer nun ohne weiteres über IP-Nummer Freigabename zur Verfügung. Aber auch dort, wo weitere Zugriffsbeschränkungen bestehen, sind diese Hürden häufig leicht zu nehmen: Viele Paßwörter lassen sich erraten, etwa weil der Login-Name als Kennwort dient. Die Anzahl der Rechner ohne weiteren Schutz ist aber bereits so groß, daß man sich mit den anderen gar nicht aufhalten muß, um an interessante Informationen zu gelangen.
Erste Scans von Dial-In-Pools lieferten erstaunliche Ergebnisse. Der Angriff wurde zum Kongreßthema des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V. (BvD) erkoren und, um die tatsächliche Tragweite zu ermitteln, ein Feldversuch durchgeführt: Dieser Test lief während einer vollen Woche rund um die Uhr in einem öffentlichen Einwahlnetz, dessen Betreiber und Verantwortliche ebenso wie der scanseitig benutzte Provider informiert waren. Dabei beschränkte man sich auf die Registrierung von verwundbaren Rechnern, ohne wirklich einzudringen. Das Scan-Programm bearbeitete permanent 30 Einwahlknoten des Zielnetzes, erkannte Verbindungen wurden auf Verzeichnisfreigaben überprüft.
Während des Versuchs wurden über 5800 Verbindungen mit einer durchschnittlichen Verbindungsdauer von circa 30 Minuten gezählt. Auf rund 2,5 Prozent aller geprüften Rechner fanden die Tester (zumindest zum Lesen) zugängliche Ressourcen. Betrachtet man nur diejenigen Rechner, die den Verzeichnisfreigabedienst überhaupt installiert hatten, findet man mehr als 11 Prozent unzulänglich gesicherte Computer.
Um möglichst die Auffälligkeit des Angriffs zu prüfen, wurde von einem leicht identifizierbaren Rechner aus operiert und der Provider angewiesen, eventuell eingehende Beschwerden festzuhalten. Insgesamt war erschreckenderweise nur eine einzige Nachfrage zu verzeichnen, wobei diese ihren Ursprung in einer Unachtsamkeit bei der Versuchsvorbereitung hatte.
Die Namen der betroffenen Rechner und Verzeichnisse waren nicht selten aussagekräftig: Neben Computern von Privatleuten zeigte sich eine überraschend große Zahl von Firmen, Arztpraxen und sogar ein frei zugänglicher Rechner einer Polizeidirektion über das DFÜ-Netzwerk mit dem Internet verbunden.
Weitergehende Recherchen des SDR-Fernsehens bestätigten, daß auch tatsächlich Mißbrauch möglich gewesen wäre: so gelang es ohne Probleme, auf den erwähnten Polizeirechner und andere Computer lesend und teils schreibend zuzugreifen. Der Polizeirechner war sogar mit einem lokalen Netz verbunden - die Betreiber versicherten allerdings, die lokale Verbindung während der Internet-Nutzung unterbrochen zu haben.
Windows-95-Rechner können zwar keine Internetverbindung `durchreichen´ (routen), und auch unter NT ist so etwas nicht einfach. Stehen einem Angreifer die gesamten Informationen der Festplatte und eventuell auch Schreibrechte zur Verfügung, sind aber dennoch Angriffe gegen das interne Netz denkbar.
Jeder Anwender sollte sich auch in einem vermeintlich sicheren LAN (Local Area Network) genau überlegen, welche Freigaben notwendig sind und die Strategie der `minimalen Rechtevergabe´ verfolgen. Selbst in größeren Unternehmen, die durch einen Firewall abgeschottet sind, findet man immer wieder zusätzliche Dial-Up-Verbindungen - unachtsam konfigurierte Arbeitsplatzrechner bergen dabei das Risiko, das ganze Netz bloßzustellen. Insbesondere sollte der IP-Zugang über den DFÜ-Adapter keinen Client für interne Netzwerke bedienen [1]. Ein Online-Check des eigenen Systems ist im WWW zu finden.
Mit den Daten der Freigabedienste läßt sich zudem ein Rechnerprofil erstellen, anhand dessen sich ein Computer später auch unter einer anderen Internet-Adresse wiedererkennen läßt. Damit verfällt auch die vermeintliche Sicherheit eines Dial-Up-Anschlusses gegen gezielte Angriffe - wenngleich der Suchaufwand erheblich sein kann. Neben der hier beschriebenen `Freigabe-Attacke´ können sich Angreifer natürlich auch jegliche andere Sicherheitslücke zunutze machen.
Gerade für Privatanwender könnte der Wunsch nach einer Sperre der Netbios- und Freigabedienste auf Provider-Seite naheliegen - letztlich sind die Nutzer von Dial-In-Zugängen in aller Regel nur `Konsumenten´ und keine Dienstanbieter. Eine solche Sperre wäre allerdings nur gegen Angriffe von außerhalb des Provider-(Teil-)Netzes wirksam; ansonsten müßte der Anbieter zwischen allen Modemzugängen entsprechende Filter vorsehen.
Andererseits besteht an sich keine Notwendigkeit, die einzelnen IP-Adressen von Dial-In-Zugängen öffentlich zugänglich zu halten: Eine geeignete Network Address Translation (NAT) könnte alle Provider-internen Dial-In-Adressen auf eine oder wenige extern sichtbare IP-Nummern abbilden. Die Zuordnung von IP-Paketen zu einem konkreten Rechner erfolgt dann verbindungsorientiert - von außen lassen sich keine neuen Verbindungen aufbauen. Der Dial-In-Pool stellt dann ein ohne NAT unzugängliches `private internet´ (RFC 1597) dar. Die notwendige technische Ausstattung in Form moderner Firewalltechnik sollte bei allen Providern ohnehin vorhanden sein. (nl)
[1] Peter Siering, Selbstschutz, Windows 95 und NT für den Internet-Zugang sichern, c't 6/97, S. 328
[2] RFC 1597
[3] Berufsverband der Datenschutzbeauftragten Deutschlands e.V.
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-286266
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
