Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

SATAN kann eine Sicherheitslücke darstellen

Die Übertragung des Passworts in fremde Netze ist möglich

Copyright (C) 05/1995 by Howard Fuhs


Obwohl SATAN (System Administrator Tool for Analyzing Networks) seit einigen Wochen nun im Internet erhältlich ist, sind die Vorhersagen über Einbruchsversuche in andere Computernetze nicht in Erfüllung gegangen. Trotzdem wurde eine Sicherheitslücke entdeckt, wenn SATAN zum Einsatz kommt.

SATAN funktioniert als HTML-Server (HyperText Markup Language), der Requests von HTML-Browsern wie Lynx oder Netscape bearbeitet. Da HTML-Client-Requests nichts anderes als bestimmte Netzwerkmessages sind, können sie von jedem User im Netz versendet werden. Um sich selbst vor einem Request eines nicht authorisierten Users zu schützen, generiert SATAN eine 32-bit Zufallszahl als SessionPasswort (auch Magic Cookie genannt). SATAN legt nun eine HTML-Datei an, in der das Passwort durch einen URL-Link (Uniform Resource Locator) integriert ist. Damit ist der Zugriff auf die HTML-Datei nur auf den Besitzer des laufenden SATAN Prozeßes beschränkt. SATAN verweigert jeden HTML-Request, dessen URL nicht das aktuelle SATAN-Passwort enthält. Dadurch ist das Sicherheitssystem, das in SATAN implementiert ist vom Grundaufbau her das gleiche wie in einem X-Windows System.

Es ist wichtig, dass das gültige SATAN-Passwort geheim bleibt, damit kein nichtauthorisierter Anwender einen Befehl an den SATAN HTML-Server versenden kann, der dort mit den gleichen Privilegien abgearbeitet wird wie der SATAN-Prozeß selbst. Sollten bezüglich der Vertraulichkeit des Passwortes Unklarheiten bestehen, genügt es SATAN neu zu starten. Mit jedem Neustart generiert SATAN ein neues Passwort.

SATAN versendet niemals sein derzeit gültiges Passwort über das Netzwerk. Durch Fehler in der HTML-Client Programmierung oder ungenügende Schutzmaßnahmen der Programmumgebung jedoch, kann aber das Passwort oder Teile davon sichtbar gemacht werden. Dies kann vor allen Dingen dann passieren, wenn aus einer SATAN-Session heraus der Anwender einen anderen HTML-Server auswählt. In diesem Fall werden von einigen HTML-Client Programmen die SATAN URL inklusive dem gültigen Passwort weitergegeben.

Um diesen Fehler zu umgehen kann, man die folgenden Maßnahmen treffen:

Es sollte auf alle Fälle vermieden werden die SATAN Verzeichnisse mit anderen Hosts zu teilen. Andernfalls kann das SATAN Passwort über das Netzwerk abgerufen werden, während die HTML-Software auf die Passwortdatei zugreift.

Vermeiden Sie die Ausgabe von SATAN-Meldungen auf ein Remote Display. In diesem Fall kann das SATAN Passwort über das Netzwerk dargestellt werden, während URL Informationen auf dem Remote Display angezeigt werden. Dies passiert meistens, indem X-Clients sich über das Netzwerk auf das Remote Display schalten und dann die Informationen angezeigt bekommen.

Der Autor von SATAN, Dan Farmer, hat bereits eine neue Version von SATAN im Internet veröffentlicht. Version 1.1 von SATAN macht den User durch einen Warnhinweis darauf aufmerksam, wenn der HTML-Client versucht die SATAN URL weiterzuleiten.

In die neue SATAN Version 1.1 wurden zusätzliche Schutzmechanismen eingebaut, um selbst dann noch einen Schutz zu bieten, wenn das Passwort bereits in fremde Hände gefallen ist.

SATAN warnt den Anwender, wenn dieser versucht, aus einer SATAN Session heraus einen anderen HTML-Server anzuwählen, wenn die HTML-Client Software versucht, das Passwort im URL weiterzuleiten.

SATAN bearbeitet keine Requests, die von einem anderen Host kommen als dem, auf dem SATAN läuft, die von außerhalb des eigenen HTML-Bereichs kommen oder die Daten enthalten, die SATAN nicht unmittelbar verarbeiten kann.

Weiterhin bricht SATAN mit einer Warnmeldung ab, wenn er ein gültiges Passwort in einem illegalen Request findet. In diesem Fall geht SATAN davon aus, dass das Passwort in fremde Hände gefallen ist.

Die Sicherheit von SATAN hängt sehr von den Sicherheitsbedingungen des Rechners und des X-Windows Systems ab. Auch hier können vorbeugende Maßnahmen eingeleitet werden. Es sollte deshalb niemals mit xhost gearbeitet werden. Besser ist es MIT Magic Cookie oder xauth zu verwenden.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 05/1995 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher