04.09.09 | 17:06 | In eigener Sache | SZ-Plus | 9 Kommentare

Stirnrunzeln bei der Recherche / Frage an die Techniker

Derzeit recherchiere ich für einen Artikel die Frage, ob die Technik, die von den Parteien im Netz eingesetzt wird, eigentlich ihren eigenen Anforderungen an die Netzwelt standhalten würde. Konkret: Wenn der SPD-Wirtschaftsreferent Eckhard Fischer einem Nutzer des Heise-Forums unterstellt, durch den Betrieb eines eigenen DNS-Servers (zur Erklärung dieses Begriffes, siehe Interview hier) Kinderpornographie-Konsumenten zu unterstützen – wieso betreibt dann eigentlich die SPD ebenfalls einen eigenen DNS-Server. Zugegebenermaßen eine provokante Frage, denn eine Organisation von der Größe der Partei kommt um den Betrieb entsprechender Hardware gar nicht herum. Eine für technisch Interessierte aufschlussreiche Recherche, die ich in meinen Artikel wahrscheinlich aufgreifen werde, hat schon vor ein paar Tagen Alexander Noack vom Chaos Computer Club auf dem Blog evildaystar.de veröffentlicht.

Jetzt allerdings bin ich auf eine kleine Herausforderung bei der Recherche gestoßen, und vielleicht können ja diejenigen meiner Leser, die sich mit sowas gut auskennen, bei der Klärung der Frage helfen.

Folgendes ist passiert: Ich habe mehreren Parteien einen knappen Fragekatalog zum Thema Datenschutz und IT-Sicherheit geschickt. Und habe dabei die Pressestelle der Bundes-SPD damit konfrontiert, dass ihr DNS-Server mit einer Software-Version läuft, die äußerst anfällig für Hackerangriffe ist. Weil sie eine längst bekannte Sicherheitslücke aufweist. Auf die Frage, warum das Problem nicht behoben würde, antwortete mit heute die SPD-Pressestelle mit folgender Aussage:

“Diese Sicherheitslücke wurde bereits vor langer Zeit geschlossen. Man  sollte sich nicht durch die angezeigte Versionsnummer blenden lassen, diese ist frei einstellbar.”

Mir ist die Software nicht im Detail bekannt. Daher zunächst mal die Frage: Stimmt das? Aber auch: Ist das so, dass man die Sicherheitslücke schließen kann, ohne die Software vollständig zu updaten? Würde dieses Verfahren Sinn machen? Und: Warum sollte die IT der SPD eine Versionsnummer anders einstellen, als vom Hersteller vorgegeben? Zumal dann, wenn es sich um eine Versionsnummer handelt, die von Hackern mit einer Sicherheitslücke in Verbindung gebracht wird? Ich freue mich über Erklärungen!

9 Kommentare »

  1. Hey,

    also bei den DNS Servern die mir untergekommen sind, ist mir noch nicht die Moeglichkeit aufgefallen, die Versionsnummer anzugeben. Aber ich habe auch nicht darauf geachtet, …

    Von Webservern her kenne ich aber die Moeglichkeit und es ist nicht unbedingt unueblich solche Ausgaben adaptieren zu koennen, schlagwort Security by obscurity.

    Meistens wird die Versionsnummer Ausgabe unterdrueckt und nicht veraendert.

    Warum man eine Fehlerbehaftete Versionnummer ausgeben sollte, hm, naja – der erste Grund der mir einfallen wuerde, waere um Angriffe zu provozieren und dann …? Hm, ja, keine Ahnung, prollen wie viele Angriffe man abgewehrt hat :-)

    Comment by Tobias Wilken — September 4, 2009 @ 5:54 pm

  2. Hi!

    Die Versionsnummer des Bind DNS-Servers kann man auf einen beliebigen String (== Stück Text) setzen:

    —schnipp— (named.conf)
    options {
    version “The Ultimate Question of Life, the Universe and Everything…”;
    }
    —schnapp—

    Warum man das allerdings auf eine Version stellen sollte, die 3 Minor-Versionsschritt älter ist als die aktuelle, erschliesst sich mir nicht. Zumal, wenn man da wirklich ein aktuelles Stück Software hat.

    Dadurch provoziert man im Zweifelsfall nur mehr Angriffe, da Skriptkiddies oder automatisierte Dinge glaube, dass der Server angreifbar ist.

    Sehr interessanter Ansatz.
    Da bliebe dann wohl nur, es anderweitig zu evaluieren, aber da das strafbar ist…

    Viele Grüße
    Max

    Comment by Maximilian Wilhelm — September 4, 2009 @ 7:47 pm

  3. Hi,
    oft wird das Netz von Bots nach Rechnern mit verwundbarer Software durchsucht, um automatisch Hacks vorzunehmen. Diese sind meist dumm und suchen nach einer Version um einen speziellen Hack zu nutzen. Es ist daher sinnvoll eine falsche Versionsnummer anzugeben, um solche Angriffe abzuwehren. Es hilft natürlich nicht gegen menschliche Angreifer, die sich dadurch nicht blenden lassen oder schlauere Bots, die verschiedene Möglichkeiten ausprobieren.
    DerT

    Comment by DerT — September 4, 2009 @ 7:57 pm

  4. Hallo,

    man kann – sofern man Zugriff auf den Quelltext hat – Sicherheitslücken auch schließen ohne die komplette Software upzudaten. Eine neue Softwareversion bringt meistens mehr mit als nur dieses eine benötigte Update. Diese ganzen neuen Änderungen müssen allerdings – optimalerweise – alle überprüft und getestet werden, ob sie sich mit der sonstigen IT vertragen. Sonst läuft erstmal gar nix mehr.

    Gerade bei sehr gefährlichen Lücken wird oftmals so verfahren. Ein komplettes Update – inkl aller Tests auf Kompatibilität – wird bei großen IT-Landschaften nur selten durchgeführt, dafür eben alle sicherheitsrelevanten Updates von Hand nachgepflegt.

    Grüße,
    Nikolas

    Comment by Nikolas — September 4, 2009 @ 8:09 pm

  5. [...] Boie hat, wie er in seinem Blogeintrag schreibt, bei der SPD mal nachgefragt. Die Antwort der Genossen darauf würde wohl Sir Humphrey [...]

    Pingback by Die DNS-Server der SPD (Fortsetzung) « evil daystar — September 4, 2009 @ 11:58 pm

  6. Wir von evildaystar.de vermuten, dass bei einem Update die named.conf.options übernommen wurde und man verbaselt hat eine neue Versionsnummer einzutragen.

    Wie auch immer, es ist reichlich dämlich eine Versionsnummer herauszuposaunen bei der Bots und Skript-Kiddies garantiert anspriengen. Siehe hierzu : http://evildaystar.de/2009/09/die-dns-server-der-spd-fortsetzung/

    Comment by evil daystar — September 5, 2009 @ 12:31 am

  7. @Nikolas, siehe: http://evildaystar.de/2009/09/die-dns-server-der-spd-fortsetzung/comment-page-1/#comment-1407

    Comment by evil daystar — September 6, 2009 @ 5:07 pm

  8. Erstmal sollte die Frage geklärt werden, welchen DNS-Server Sie und der Mensch von der SPD eigentlich meinten. Manchmal hat man in einer Organisation einen Webserver, der die eigenen Domain-Namen für die Welt da draußen hosted (evtl. als Service mit bei einem Provider), und dann einen “inneren” DNS-Server, der als DNS-Cache funktioniert. Kann dieselbe Maschine sein, muss es aber nicht. Wenn sie von verschiedenen Maschinen reden, ist die Diskrepanz erklärt.

    Was das Setzen der Versionsnummer angeht, das ist ja schon geklärt.
    options {
    version “0.1 pre-Alpha”;
    }
    im “named.conf”. Kann man machen, muss man aber nicht. Ein paar Kiddies lassen sich damit verwirren, aber es ist häufig möglich, die Version einer Software aus anderen Quellen zu erfahren (Analyse des Antwortverhaltens z.B.).

    Ich gehe bei der Suche nach der ursache mit “evil daystar” konform – wahrscheinlich hat irgendjemand mal die Versions-Option im named.conf eingetragen (bind ist nicht so einfach, da kann man schon mal Mist konfigurieren), und nach dem Update haben die einfach das alte named.conf (das ja funktionierte und evtl. eine menge Arbeit gekostet hat) mit der alten Versionsnummer wieder eingespielt.

    “Dont’t blame on malice what you can easily explain by incompetence” ;-)

    Comment by Christian — September 6, 2009 @ 9:37 pm

  9. Gerade bei Debian wird die von Nikolas beschriebene Methode häufig verwendet, um Lücken zu schließen, ohne neue Features mitzuinstallieren (die ja wieder neue Lücken enthalten könnten).

    Comment by Chris — September 7, 2009 @ 11:49 am

RSS-Feed für Kommentare zu diesem Beitrag. TrackBack URL

Hinterlasse einen Kommentar