Sicherheitstest des BSI: Friendly Fire für Server und PCs

Bei der Suche nach Sicherheitslücken unterscheiden sich die Guten und die Bösen nur in der Absicht: Die einen wollen ihre Systeme schützen, die anderen wollen Systeme kompromittieren. Die benutzten Hilfsmittel dürften sich ähneln – Vulnerability-Scanner wie Nessus oder Nmap sind bei beiden Fraktionen gleichermaßen beliebt. Strikt zum Einsatz für die Guten ist jedoch eine Live-CD des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestimmt. Mit BOSS, der „BSI OSS Security Suite“, haben Anwender die Chance, ihre PCs und Server mit einem Komplettpaket auf Schwachstellen zu testen. Das CD-Image kann kostenlos von der Website des BSI heruntergeladen und auf CD gebrannt werden.

BOSS baut im Wesentlichen auf dem bewährten Sicherheits-Scanner Nessus auf. Basis ist ein von Knoppix abgeleitetes Live-Linux (Morphix). Zusätzlich sind neben der BOSS-Oberfläche auch ein Security Local Auditing Daemon (SLAD) und eine ganze Reihe hilfreicher Tools Bestandteil der CD. Durch die Integration von SLAD verfügt Nessus über die Möglichkeit, Ziel-Systeme intensiv von Innen auf Schwachstellen oder gar bereits erfolgte Angriffe zu prüfen. Dazu wird das SLAD-Modul auf dem Zielsystem installiert – es steuert dann eigenständig Sicherheitssoftware wie Tiger, John The Ripper, Tripwire, LSOF, Clamav oder Chkrootkit und gibt die Daten wieder an Nessus zur Report-Erstellung zurück.

Das Besondere an Nessus – der Name wurde einem paranoiden Alien in einem Science-Fiction-Buch entlehnt – ist der modulare Aufbau. Ein oder mehrere Nessus-Server führen die eigentlichen Tests durch. Ein oder mehrere Clients steuern, wer und was getestet wird. Der Nessus-Server läuft in der Regel unter Linux. Allerdings gibt es beim Hersteller Tenable Software mittlerweile auch eine Server-Version für Windows. Die Clients waren schon immer für Windows und Linux-Betriebssysteme verfügbar. Auf der BOSS-CD hat das BSI ausschließlich deutschsprachige Menütexte verwendet und viele hilfreiche Kommentare und Arbeitserleichterungen eingebaut.

Mittlerweile ist Nessus auch in einer kommerziellen Version verfügbar. Die Autoren erhoffen sich so größere Akzeptanz im Unternehmensumfeld. Bislang ist das Werkzeug vor allem im Bereich der Linux-Community verbreitet, dort gilt es als der Sicherheitsscanner schlechthin. Allerdings ist Nessus nicht allein auf dem Markt. Eine ganze Reihe von Firmen haben Produkte mit ähnlichen und darüber hinaus gehenden Funktionen im Angebot, darunter GFI mit seinem Languard Network Security Scanner, der Web Vulnerability Scanner von Acunetix oder auch X-Scan vom X-Focus Team. Positiv ist, dass Nessus das CVE-System zur Kennzeichnung der Schwachstellen nutzt. CVE (Common Vulnerabilities und Exposures) ist ein Nummerierungssystem, dass verhindern soll, dass die gleiche Schwachstelle von unterschiedlichen Firmen mit unterschiedlichen Namen bezeichnet wird. CVE wird auch von Microsoft und vielen anderen Herstellern unterstützt.