CMS Journal
Nr. 30
25.06.2008
Service
Metadaten
Hinweise
Weitere Artikel aus dem cms-Journal Nr. 30 finden Sie auf dem edoc-Server der Humboldt-Universität zu Berlin unter http://edoc.hu-berlin.de/cmsj/30
Copyright
Dieser Artikel ist ein Open Access Artikel und steht unter der Creative Commons Lizenz BY (siehe...).

Überwachung von Software-Versionen


Winfried Naumann
w.naumann@cms.hu-berlin.de

Abstract

Wie schafft man es als Benutzer eines Windows-Rechners, die installierten Anwendungsprogramme auf dem aktuellen Stand zu halten, um Sicherheitslücken im System zu vermeiden? Wie erfährt man rechtzeitig, dass in einem Programm eine Schwachstelle gefunden wurde und der Hersteller dafür ein Sicherheits-Update bereitgestellt hat? Mit der hier vorgestellten Software fangen wir an, Administratoren und Benutzern in unserem Netz die Lösung dieser Probleme zu erleichtern.


Im Artikel „Die Gefahren ändern sich…“ einige Seiten vorher habe ich erklärt, wie wichtig es ist, regelmäßig die aktuellen Sicherheits-Updates für das Betriebssystem und die Anwendungen zu installieren, um Sicherheitslücken in der Software zu schließen und damit die Rechner gegen Gefährdungen aus dem Netz abzusichern. Die meisten Benutzer haben mindestens 15 Anwendungen auf ihrem Rechner installiert (Web-Browser, Browser-Erweiterungen, Mail-Client, Media Player, Büro-Software wie Textverarbeitung, Tabellenkalkulation,…, Betrachter [Viewer] für verschiedene Dateiformate usw.). Um keine Sicherheits-Updates zu verpassen, müsste jeder Benutzer die Webseiten der Anbieter dieser Software-Pakete oder ein entsprechendes Nachrichten-Portal wie heise-Security [1] ständig überwachen. Einige Anwendungsprogramme bieten zwar Möglichkeiten, automatisch nach Updates zu suchen und den Benutzer über neue Updates zu informieren (der Browser Firefox z. B.), die meisten Programme haben solche Funktionen leider noch nicht.

Zu diesem Problem passte ein Test-Angebot der Fa. Secunia vor einigen Monaten, das wir genutzt haben. Das dänische Unternehmen ist auf Dienstleistungen im Bereich Software-Sicherheit spezialisiert. Es sammelt, überprüft und analysiert Sicherheitsinformationen aus öffentlichen Mailinglisten, von Hersteller- und Sicherheits-Websites und aus eigener Forschung, informiert darüber und bietet Lösungen zur Beurteilung und zum Management von Sicherheitsbedrohungen an.

Inhaltsverzeichnis

...

Network Software Inspecto...

Personal Software Inspect...

Literatur ...


Network Software Inspector (NSI)

Im Rahmen des von uns mit Secunia abgeschlossenen Vertrages wird für Windows-Clients das Programm Network Software Inspector zur Verfügung gestellt. Die Software scannt Computer nach Software-Paketen und vergleicht die installierten Versionen mit Informationen in der Schwachstellen-Datenbank (Vulnerability Database) von Secunia. Diese Datenbank enthält zurzeit Informationen über ca. 18.000 Software- Pakete und Betriebssysteme, deren Ver- sionen und Sicherheitslücken. Der NSI kann ohne Installation gestartet und mit gewöhnlichen Benutzerrechten ausge- führt werden. Als Ergebnis des Scans wird dem Benutzer eine Übersicht in drei Kategorien präsentiert:

  • unsichere Software-Versionen (Insecure)
  • Software(-Versionen), die vom Hersteller nicht mehr gepflegt werden (End-of-Life)
  • Software-Versionen, zu denen zurzeit keine Schwachstellen bekannt sind (Secure)

Zusätzlich stellt Secunia seinen Kunden ein Portal zur Verfügung, über das die Auswertung der erhaltenen In- formationen, das Management einer großen Anzahl von Clients, die Benachrichtigung über beseitigte und neu auf- getauchte Schwachstellen sehr einfach möglich ist. Das Portal ist vor allem für mittlere und größere Unternehmen ge- dacht, die damit die Sicherheit Ihrer Installationen verbessern wollen. Da die Sicherheit der eigenen Rechner immer gegen die Datenbank von Secunia geprüft wird, entsteht hier auch ein Daten- schutzproblem. Man muss darauf vertrauen, dass die übermittelten Informa- tionen bei Secunia in sicheren Händen sind. Beim Kauf großer Lizenzen besteht die Möglichkeit, die Schwachstellen- Datenbank lokal im eigenen Netz zu installieren, um keine Verbindung zu Secunia-Servern aufnehmen zu müssen.

Nach reiflicher Überlegung haben wir uns aus Kostengründen für die folgende Lösung entschieden: Es wurde nur eine kleine Anzahl von Lizenzen gekauft. Diese Lizenzen werden an die Administratoren interessierter Einrichtungen der HU weitergegeben, die damit vor allem Prototypen für Installationen überwachen können. So kann es Prototypen für Mitarbeiter-, Verwaltungs- und Pool-Rechner geben oder eine Installation, die einfach alle in der Einrichtung genutzten wichtigen Programme enthält.

Ein Beispiel:

Die Administratoren eines Instituts installieren auf einem Rechner (eine virtuelle Maschine ist dafür ausreichend) die auf Mitarbeiter-Rechnern am häufigsten benutzten Web-Browser, Mail-Programme, Plugins, Media Player, den Virenscanner, Office- und andere Programme. Dieser Prototyp wird regelmäßig mit dem Network Software Inspector getestet, um die Aktualität der installierten Software- Versionen zu überwachen. Der Prototyp für die Installation der Mitarbeiter- Rechner kann deshalb als Beispiel dafür dienen, welche Programme auf den Mit- arbeiter-Rechnern aktualisiert werden müssen. Es gibt verschiedene Möglichkeiten, die Ergebnisse der Überwachung durch den NSI allen Benutzern zur Verfügung zu stellen. Die Administratoren können sich per E-Mail über verschiedene Ereignisse informieren lassen: über neu entdeckte Schwachstellen und von den Herstellern bereitgestellte Sicherheitsupdates, über Programmversionen, die vom Hersteller nicht mehr gepflegt werden usw. Mit der von uns gewählten Lösung vermeiden wir das Datenschutz-Problem (überwacht werden nur Prototypen, auf denen keine Benutzer-Daten gespeichert sind). Die Überwachung aller Windows-Clients im HU-Netz wäre nicht finanzierbar. Der NSI prüft immerhin nur einen einzigen Sicherheits-Aspekt: die Aktualität der installierten Programme – er kann z. B. keine Auskunft geben über die sichere Konfiguration dieser Programme.

Inhaltsverzeichnis

...

Network Software Inspecto...

Personal Software Inspect...

Literatur ...


Personal Software Inspector (PSI)

Der PSI kann kostenlos heruntergeladen werden (https://psi.secunia.com/), ist jedoch nur für den privaten Gebrauch kostenlos, d. h. für die Absicherung Ihres Rechners zu Hause, aber nicht für den Arbeitsplatzrechner im HU-Netz. Seit Februar 2008 gibt es eine deutsche Version. Genau wie der kommerzielle NSI scannt er die Software auf dem Computer, um die Aktualität der installierten Versionen zu ermitteln und zeigt das Ergebnis in drei Kategorien (Insecure, End-of-Life, Patched) an. Die Verbindung zwischen dem eigenen System und den Servern von Secunia erfolgt verschlüsselt. Man muss der Fa. Secunia vertrauen, dass die ermittelten Daten vertraulich und nur für anonyme statistische Auswertungen verwendet werden (siehe PSI Privacy Statement).

Dank dieser statistischen Auswertungsmöglichkeiten konnte Secunia z. B. am 7. Februar 2008, als Sicherheitsupdates für 4 häufig genutzte Programme (Adobe Reader, Apple QuickTime, Sun Java und Skype) erschienen, feststellen, dass davon 81% aller Windows-Benutzer betroffen sind [2].

Nicht alle wichtigen Programme sind schon in Secunias Schwachstellen- Datenbank enthalten, aber fast alle. Problematisch ist auch, wie NSI und PSI Software einstufen, die bekannte Sicherheitslücken hat, die vom Hersteller aber noch nicht durch Sicherheits-Updates geschlossen wurden (das ist glücklicher- weise die Ausnahme). Die vorgestellten Programme sind bei weitem keine Wunsch-Lösungen, sie sind aber geeignete Sicherheitswerkzeuge, mit deren Hilfe die Absicherung von Windows-PCs verbessert werden kann. Wünschenswert wäre eine integrierte Update-Lösung für alle Programme unter Windows (und möglichst von Microsoft selbst), die es in dieser Form aber wohl nie geben wird.

Bisher kann Microsoft das nicht einmal für die wichtigsten eigenen Produkte anbieten. Es lohnt sich, auf die großen Linux-Distributionen (openSUSE, RedHat, Debian, Ubuntu,…) zu schauen, die das schon seit Jahren können. Wir denken weiterhin über eine einfache, benutzer- freundliche Update-Lösung für die besonders sicherheitsrelevanten Anwendungen nach. Die Lösung von Secunia ist nur ein erster Schritt dahin.

Inhaltsverzeichnis

...

Network Software Inspecto...

Personal Software Inspect...

Literatur ...

 

Literatur

[2] Secunia „Security Watchdog“ Blog: A rough 24 hours for Windows users - 81.01% affected,http://secunia.com/blog/20/