Prüf-Tools zur
IT-Sicherheit
Um prüfen zu können, ob Ihre
Systeme "sicher" konfiguriert
sind, müssen Sie selber in die Rolle eines Angreifers
schlüpfen und deren
Werkzeuge benutzen.
Eine
Liste der Top 100 Security Tools finden Sie unter
http://www.insecure.org/tools.html
Setzen
Sie diese Tools NIEMALS gegen andere Firmen/Personen ein, ohne vorher
deren
Zustimmung einzuholen - näheres zu rechtlichen Situation weiter
unten.
Hier ist mein persönlicher Handwerkskasten - sortiert
nach Nutzungshäufigkeit:
- LANguard
Network Security Scanner – gewerbliches Produkt, dass PC's und Server
auf Schwachstellen hin untersucht und sehr gute Berichte generiert.
Besonders gefällt mir, dass es auf installierte Microsoft Updates
prüft. Schwach bei der Prüfung von anderen Betriebssystemen.
Wirklich gut in kleinen Netzen bis zu 256 Hosts. Leider nicht gut
skalierbar, da es nur mit 3 parallelen Threats arbeitet. Ergebnisse
werden in einer Datenbank (MS-Access oder MS-SQL Server) gespeichert
und sind so gut auszuwerten. Die kostenfreie Version mit
eingeschränktem Funktionsumfang ist auch schon recht hilfreich,
die Investition in die Vollversion ist aber sinnvoll.
- GMER
ein kostenloser
OpenSource Rootkit Scanner - spürt Rootkits auf, die die meisten
Antivirenprogramm gar nicht erkennen können.
- SNORT
- eine Intrusion
Detection System unter Linux und Windows. Spürt
"verdächtigen" Netzwerkverkehr auf. Die Linux Version ist
wesentlich leistungsfähiger und stabiler - Open Source und
kostenlos.
- Angry
Scanner - ein
einfacher PortScanner mit hervorragender Benutzeroberfläche. Ich
verwende ihn für schnelle Übersichten und zum Aufspüren
von Computern, die bestimmte Port offen haben. Sehr schnell - 64
parallele Threats ! Open Source und kostenlos.
- NTOP
-
Netzwerküberwachung vom Feinsten; läuft unter Linux. Zeigt
alle Rechner in Netz und deren Kommunikationsverhalten. Ganz
hervorragend, um zu verstehen, was eigentlich im LAN passiert. Open
Source und kostenlos. Es gibt auch eine Windows Version - die kostet
aber Geld.
- Wireshark
- kostenfreier
Netzwerk Sniffer, um Datenpakete zu analysieren. Open Source und
kostenlos.
- Security
Baseline Analyzer – ein ganz hervorragendes, kostenloses
Tools von
Microsoft, um Ihre Rechner nach
fehlenden Security Updates zu durchsuchen.
Juristisches
Die Benutzung dieser Werkzeuge kann sehr schnell
illegal sein. In der Regel sind diese Werkzeuge ja Hacker-Tools. Um
nämlich
Sicherheitslücken finden zu können, müssen Sie sich
verhalten wie ein Hacker.
Da „hacken“ aber strafbar ist, gehen Sie auf ganz dünnem Eis.
Machen
Sie sich auf jeden Fall mit den Paragraphen
202a 202b 202c
303a 303b
StGB vertraut.
Seit 11.8.2007 in Kraft ist insbesondere folgender
Passus:
§ 202c Vorbereiten des
Ausspähens und Abfangens von Daten
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem
er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu
Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen
überlässt, verbreitet oder sonst zugänglich macht, wird
mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Lange wurde debattiert, wie dies auszulegen
sei, wenn
man mit Genehmigung des "Opfers" dessen Rechner angreift, um
Schwachstellen aufzuspüren - sogenannte Penetration Tests.
Man
kann das Gesetz tatsächlich sehr unterschiedlich lesen. Hier zwei
Kostproben:
der
Pessimist liest so:
Wer
eine
Straftat .... vorbereitet,
indem er
Passwörter
....... herstellt ..........wird ..........
bestraft.
Demnach
sind wir alle Verbrecher, weil wir alle ein Passwort "herstellen".
Oder
man liest so:
Wer eine
Straftat ....
vorbereitet, indem er <was auch immer
tut> .......
wird
..........
bestraft.
Meine Handlungen müssen also originär zur Vorbereitung
einer Straftat dienen - das wird bei einem verantwortungsbewussten
Sysadmin wohl
kaum der Fall sein.
Das Bundesverfassungsgericht hat am 18.5.2009 Klarheit geschaffen (
Az:
2 BvR 2233/07, 1151/08 u. 1524/08) -
Pressemitteilung. Es
stellt klar, dass ausdrücklich nur Software zu erfassen ist, die
für
einen kriminellen "Zweck" hergestellt worden sind. Sogenannte "Dual
Use"-Produkte, die im Dienste der Computersicherheit genutzt werden,
aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht
davon
erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle
jedem, der solche Programme zu erlaubten Tätigkeiten nutze, der
für
eine Strafbarkeit notwendige Vorsatz.
In diesem Zusammenhang ist auch die
Bundestags
Drucksache. 16/3656 Anlage 3 von Interesse. Der Kernsatz
liest sich
wie folgt:
Die Befürchtung,
dass
auch der gutwillige Umgang mit Softwareprogrammen zur
Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E
erfasst werden könnte, ist nicht begründet.
Die Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur
Sicherheitsüberprüfung von IT-Systemen wird bereits auf
Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale
abgesichert. Einerseits muss es sich objektiv um ein Computerprogramm
handeln, dessen Zweck die Begehung einer Computerstraftat ist, und
andererseits muss die Tathandlung – also das Herstellen, Verschaffen,
Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen
–
zur Vorbereitung einer Computerstraftat erfolgen.
Meine Empfehlung: Lassen Sie sich SCHRIFTLICH vom "Opfer"
Ihrer Tests bestätigen, dass Sie die diversen Werkzeuge mit seiner
Genehmigung
einsetzen. Seien Sie spezifisch - also listen Sie auf, welche
"Angriff" sie fahren werden - z.B.
- Port-Scan
- Password
Tests
- Netzwerk Sniffer
- Test auf fehlende Sicherheitsupdates
Als
angestellter
Systemadministrator sollten Sie sich
dies ebenfalls von Ihrem Arbeitgeber bestätigen lassen.
©
2001-2013
Hanns J. Proenen, Lohmar. Der
Text ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die
Verwendung
der Texte und Bilder - auch auszugsweise - ohne vorherige schriftliche
Genehmigung von Hanns J. Proenen ist strafbar. Das gilt insbesondere
für die
Vervielfältigung, Verwendung in Kursunterlagen oder elektronischen
Systemen.
Stand: 11. Juli 2013