Linux Basics, Security & Hacking
willi moser (2005-12-12)


 

Angriffe beim Booten des Rechners

 

Fall 1 - der direkte Zugriff auf den Rechner

Sicherheitsrelevante Systeme MÜSSEN so versperrt sein daß ein unberechtigter Zugriff vor Ort nicht möglich ist. Versperrter Serverschrank oder Serverraum mit Alarmsystem und/oder Alarmanlage. Wenn ein Angreifer physikalisch Zugang zum Computer erhält ist er drin.

Vorgang
Maschine ausschalten - Linux-CD einlegen und mit dem eigenen System neu starten.
Festplatten einbinden - wenn die CD das nicht automatisch macht
Daten absaugen - am besten über das ohnehin vorhandene Netzwerk an einen anderen Rechner.
Und wenn's die ganze Nacht dauert? - Na und? - CD rausnehmen und auf ein Bier gehen.
Wenn die CD gut ist dann macht das System nachher einen reboot und es fällt nicht mal mehr auf.

Auditing nachher
Glauben Sie, dass dem Auditor oder Administrator wirklich auffällt daß die Maschine neu gestartet wurde? Der sucht eher nach Mitarbeitern die garstige Seiten runtergeladen haben!
Eigentlich ist es offensichtlich und ganz leicht festzustellen - aber wer denkt an so was?

 

Fall 2 - Das Eindringen eines Angreifers beim Bootvorgang

Sie sollten grundsätzlich einen Rechner der direkt im Internet hängt nicht neu starten ohne vorher das Netzwerkkabel abgezogen zu haben.

Warum?
Was passiert beim booten?

  1. der POST wird ausgeführt
  2. die Hardware wird durch das BIOS erkannt und eingebunden - auch die Netzwerkkarte!
  3. das Betriebssystem wird gestartet
  4. das Betriebssystem ladet seinen Kernel - auch Windows die ntoskrnl.exe
  5. die Hardwareerkennung und Speicherinitialisierung beginnt
  6. die Dienste werden geladen incl. TCP-Stack und IP
  7. irgendwann ist dann auch die Firewall mit dabei

aber von Schritt 2 bis 7 ist der Rechner für JEDEN Angriff ungeschützt offen! Während dessen ist der Rechner völlig ungeschützt denn die Netzwerkkarte kann sehr wohl auch ohne TCP/IP Protokoll Signale empfangen. (kompliziert, kommt praktisch nicht vor ist aber möglich) Von Schritt 6 auf 7 befindet sich die Netzwerkkarte im promiscuous mode ud der Weg zur Festplatte ist für den Trojaner oder das root kit frei.

Der Promiscuous Mode
Der Promiscuous Mode ist ein spezieller Modus, in welchem ein Netzwerkinterface nicht nur Pakete empfängt, die an die eigene MAC-Adresse gerichtet sind, sondern alle im Netzwerk verfügbare Daten. Der Modus dient zu Testzwecken und wird hauptsächlich von Netzwerk-Monitorsoftware oder sogenannten "Sniffern" verwendet

 


Linux Basics, Security & Hacking
willi moser (2005-12-12)