Sicherheitstests: Security-Check mit Metasploit 3, Meterpreter

Hacken ist schon lange keine Glückssache mehr. Mit Baukasten-Systemen wie Metasploit 3 konstruiert man Cracker-Tools systematisch und menügesteuert.

Wie bekomme ich Macht über fremde Computer? -- Das ist eine zentrale Frage aller Cracker. Exploits sind die Antwort: Mit ihnen bringen Cracker einen Computer dazu, das zu tun, was sie wollen. So fasst es die Computersicherheitsseite Learn Security Online www.learnsecurityonline.com zusammen.

Etwas nüchterner formuliert sind Exploits (vom englischen to exploit:„ausnutzen“) Computertricks, mit denen Angreifer Schwächen eines Systems für ihre Zwecke benutzen. Das Ziel der Tricks ist es stets, eine vom Cracker gewünschte Software auf dem betroffenen System auszuführen oder Daten zu lesen.

Exploits zu finden und Programme zu schreiben, die Systemschwächen ausnutzen, ist nicht nur etwas für Experten. Mittlerweile gibt es im Web komfortable und kostenlose Tools, die mit wenigen Mausklicks Exploits erzeugen. Ein solches Tool ist Metasploit (www.metasploit.com), das es seit Anfang dieses Jahres in der Version 3 gibt.

Werkzeug oder Bombe?

Baukästen wie Metasploit sind so leicht zu benutzen, dass man schon mit Grundkenntnissen in Netzwerktechnik und Programmierung schnell zu Ergebnissen kommt. Das ist Segen für Sicherheitsexperten und gleichzeitig Fluch für Normalanwender. Fluch deshalb, weil mit diesen Tools auch unerfahrene Jugendliche, verächtlich Script Kiddies genannt, gefährliche Cyber-Angriffe starten können. Das funktioniert nach dem Motto: „Lass uns doch einmal probieren, ob wir in den Rechner XY hineinkommen.“ Damit sind nicht nur große Firmen oder das Verteidigungsministerium potenzielle Ziele, sondern jeder Anwender. Die Existenz von Metasploit ist also eine Mahnung, die im Kasten „So schützen Sie sich“ gezeigten Maßnahmen ernst zu nehmen.

Wer ungebeten in ein fremdes Computersystem eindringt, macht sich strafbar. Mit dem im Mai 2007 eingeführten Paragrafen 202c des Strafgesetzbuches bewegt man sich schon beim Herumspielen mit Tools wie Metasploit in einer juristischen Nebelbank.

202c stellt sogar das „Sich-Verschaffen“ eines Hackprogramms unter Strafe. Der Paragraf soll zwar nur dann greifen, wenn der Anwender eine Straftat vorbereitet. Wer kann aber genau sagen, wie so eine Vorbereitung aussieht? Juristen können es nicht. Denn die Anwendung von 202c ist noch nicht durch einschlägige Gerichtsentscheidungen geklärt.

Anwender, die sich nicht mit IT-Sicherheit befassen, lassen also am besten die Finger von Metasploit und ähnlichen Tools. Juristischer Ärger droht.

Was sollen aber Sicherheitsfachleute tun, die sich mit solchen Programmen beschäftigen müssen? Rechtsexperte Dennis Jlussi (www.jlussi.eu/wp-content/uploads/2007/ 10/jlussi_leitfaden_web.pdf) empfiehlt folgende Sicherheitsmaßnahmen:

Sorgfalt: Hacktools sollten nur in einer von anderen Netzen und PCs abgeschotteten Umgebung ausprobiert werden. Der Tester muss dafür sorgen, dass niemand außer ihm und seinen Kollegen Zugang zu den Tools hat.

Dokumentation: Der Zweck der Experimente, deren Verlauf und die Ergebnisse sind festzuhalten.

Einwilligung: Falls fremde Rechner betroffen sind, sollten sich Tester im Vorfeld eine schriftliche Genehmigung der Eigentümer besorgen.

Experten führen Metasploit-Experimente außerdem nicht auf einem Rechner durch, den man für die tägliche Arbeit benutzt, denn Exploits lassen Programme oder System-Prozesse abstürzen, sie geraten auch in Konflikt mit Virenscannern, Firewalls und anderen Sicherheits- Tools. Für einen Penetration-Test, also einen Test auf Sicherheitslücken, eignet sich am besten ein virtueller PC. So einen virtuellen PC setzt man unter Windows zum Beispiel mit dem kostenlosen Microsoft Virtual PC 2007 (www.microsoft.de, Download hier) oder mit VMware Workstation (www.vmware.com) für rund 140 Euro auf.

Genügend Systemspeicher (4 GByte und mehr) und Rechenleistung vorausgesetzt, betreibt man mit diesen Programmen sogar mehrere virtuelle PCs parallel in einem virtuellen Netzwerk. So simuliert man zum Beispiel einen Web-Angriff auf ein „Opferlamm“, einen Rechner ohne Sicherheits-Patches und ohne Sicherheits-Software.

Das Metasploit-Paket selbst hat einen eigenen Webserver, der komplett ungeschützt ist. Er ist also selbst fast eine schriftliche Einladung an Cracker, den jeweiligen PC anzugreifen. In der Standardeinstellung nimmt Metasploit zwar nur Verbindungen vom lokalen System entgegen. Diese Einstellung muss man für Netzwerk- Experimente jedoch gelegentlich ändern. Schon aus diesem Grund ist es nicht klug, das jeweilige Testsystem direkt mit dem Web zu verbinden. Am besten ist es hinter einer Firewall aufgehoben. Aber Vorsicht! Auch virtuelle PCs sind nicht immer sicher und die Virtualisierungs-Software sollte regelmäßig aktualisiert werden.

Metasploit gibt es in einer Version für Windows und in einer etwas leistungsfähigeren Linux-Version. Diese Version funktioniert unter jeder Linux-Distribution, die Metasploit- Macher empfehlen aber ein für Sicherheitstests optimiertes Linux mit Namen BackTrack (www.remote-exploit.org/backtrack.htm), das auf der Slackware-Distribution (www.slackware.com) basiert.