Keine Chance gegen Malware: die schlimmsten Einfallstore

Das Beispiel Conficker zeigt, wie wichtig es ist, seine Server auf dem aktuellen Patchlevel zu halten. Der Conficker-Wurm begann im Dezember 2008, sein Unwesen zu treiben. Bis Mitte 2009 wurden immer wieder neue Infektionen bekannt. Dass die französische Luftwaffe ihre Flugzeuge am Boden halten musste, war nur eine der vielen Folgen.

Wenn alle Administratoren ihre Rechner einigermaßen regelmäßig gepatcht hätten, wäre der Angriff erspart geblieben. Bereits im Oktober 2008 warnte Microsoft vor der Sicherheitslücke. An der Tatsache, dass der Hersteller sich zu einem Patch außerhalb des normalen Update-Zyklus entschieden hatte, konnte man erkennen, dass es sich um etwas Ernstes handelt. Die Lücke im RPC-Protokoll war so gravierend, dass eine Hintertür vermutet wurde, die ein Programmierer möglicherweise absichtlich, jedoch ohne Wissen des Programmanagements eingeschleust hatte.

Noch immer messen sich Administratoren daran, wie lange sie einen Server ohne Reboot betreiben können. Dabei werden Windows-Admins von ihren Linux-Kollegen oft belächelt. Wer jedoch einen sicheren Betrieb gewährleisten will, muss sich mit den Besonderheiten eines jeden Betriebssystems abfinden.

Unter Windows lässt sich eine Datei, die in Benutzung ist, nicht austauschen. Da die gegenseitigen Aufrufe von DLLs sehr komplex sind, geht es oft nicht ohne Reboot.

Unter Linux ist hingegen Vorsicht geboten. Zwar lassen sich in Benutzung befindliche Dateien scheinbar austauschen, jedoch greifen Prozesse solange auf die alte, im Dateisystem nicht mehr sichtbare Version zu, bis alle Prozesse die Datei geschlossen haben. Wenn etwa die Shared-Libraries von OpenSSL wegen Sicherheitsproblemen ausgetauscht werden, müssen zumindest alle Prozesse neu gestartet werden, die OpenSSL nutzen. Das bedenken viele Linux-Admins nicht, und ihr scheinbar gepatchtes System ist nach wie vor unsicher.