Server-SicherheitHonigtöpfe zeigen: Linux wird immer sicherer
Server-Sicherheit
Die IT-Security-Experten vom
Honeynet Project verwenden die Honeypot-Servertechnologie, um daraus Aussagen über die
Betriebssicherheit von Serverbetriebssystemen abzuleiten. Als “Honigtopf” bezeichnet man hier einen Server, der ohne weiterführende Sicherheitsmaßnahmen (wie z.B. einer Firewall) mit dem Internet verbunden wird. Damit ist er dem Zugriff von Hackern und Angriffssoftware ausgesetzt. Aus der Zeitdauer bis zur vollendeten feindlichen Übernahme und der dazu verwendeten Mittel lassen sich Rückschlüsse auf die Betriebssicherheit des eingesetzten Systems und auf zukünftige notwendige Vorsichtsmaßnahmen ziehen.
Kein Windows-Linux-Vergleich
Im Unterschied zu früheren Untersuchungen dieser Art ging es den Experten hier nicht um einen Vergleich zwischen Windows und Linux unter Sicherheitsaspekten. Windows-Rechner und -Server ohne perfekten Schutz durch Patches und weitere Security-Maßnahmen haben eine zunehmend kürzere “Überlebensdauer” im Web. Die Zeit von der Verbindung mit dem Internet zur Übernahme durch feindliche Hacker wird immer kürzer, wie auch Symantec oder das Internet Storm Center in eigenen Studien belegt haben. Sie ist mittlerweile in Stunden, im schlechtesten Fall in Minuten zu messen.
Statt dessen entschieden sich die Mitarbeiter des Honeynet-Projekts dafür, verschiedene Linux-Versionen über einen Zeitraum von 24 Monaten zu beobachten. Sie fanden dabei erstaunliches heraus: Während Windows-Systeme ohne perfekten, aufwändigen Schutz weniger als eine Stunde durchhalten, steigerte sich die Standfestigkeit ungepatchter Linux-Systeme von 72 Stunden auf ganze drei Monate. Übliche für Server eingesetzte Distributionen wie RedHat 9.0 oder SuSe 6.2 bleiben also für Monate sicher gegen Hackerangriffe – und das ohne zusätzliche Sicherheitsmaßnahmen.
Die 24 Honigtöpfe
Insgesamt 24 Server mit “-x”-Betriebssystem wurden für den Vergleich aufgestellt, davon 19 mit Linux. Die Standard-Installationen erhielten “unsichere” Passwörter, also Wörter oder Namen, die sich auch in einem Lexikon finden. Alle üblichen Ports und Dienste wie SSH, HTTPS, FTP oder SMB wurden geöffnet. Die Rechner enthielten keine wertvollen Daten und waren nicht über Suchdienste wie Google, sondern nur durch Zufall oder gezielte Internetscans aufzufinden. Von den 24 Maschinen waren nach Ablauf der Testzeit sieben infiziert. Vier (von 19) davon liefen mit Linux, davon zwei durch Wörterbuchattacken und nicht durch etwaige Sicherheitslücken infiziert, und drei (von vier getesteten) mit Solaris-Betriebssystem. Eine Installation mit Free BSD 4.4 blieb uninfiziert.
Schlussfolgerungen
Die Honeynet-Untersuchung ergab, dass neue Linux-Distributionen auch in Standardinstallation sicherer sind als ältere. Durch die immer sicherer werdenden Systeme sind mittlerweile weniger die Maschinen als deren Nutzer Ziel der Hackerattacken: Vorgehensweisen wie “Phishing”, bei welchen der Nutzer durch ähnlich aussehende Webseiten getäuscht und zur Herausgabe von Zugangsdaten verleitet werden.