Bei einem Exploit handelt es sich um ein Computerprogramm, das Sicherheitslücken von Software-Produkten aufzeigt und deren Ausnutzung ermöglicht. Sie stellen potente Werkzeuge für Hacker und Cyberkriminelle dar, um in geschützte Computersysteme einzudringen, um Datendiebstahl und ähnliche illegale Aktivitäten zu begehen. Exploits können jedoch auch bei der Beseitigung von Schwachstellen genutzt werden.

Allgemeine Informationen

Exploits stellen systematische Wege dar, um aufgrund von Schwachstellen in Form von Programmierfehlern der Software in Computersysteme und Netzwerke einzudringen. Dabei kann es sich sowohl um rein theoretische Beschreibungen der Sicherheitslücke (Proof of Concept), als auch um ausführbare Programme zur direkten Ausnutzung der jeweiligen Sicherheitslücke handeln. Für Hacker und andere Cyberkriminelle sind sie wichtige Tools, um unbefugten Zugriff auf ein Computersystem zu erlangen und dieses nach persönlichen Wünschen zu manipulieren. Darüber hinaus werden Exploits eingesetzt, um Sicherheitsschwachstellen genau zu dokumentieren und für deren Beseitigung mittels Software-Updates und -Patches zu sorgen. In vielen Fällen machen sich Exploits sogenannte „Pufferüberläufe“ (Buffer Overflow) zunutze. Dabei handelt es sich um Programmierfehler, die es ermöglichen, Programmcode in einem nicht dafür vorgesehenen Bereich des Arbeitsspeichers auszuführen, um beispielsweise Adminrechte oder Zugriff auf geschützte Dateien und Ordner zu erhalten. Viele nutzen zudem schlecht programmierte Schnittstellen aus, mit denen eigene Codefragmente zur Ausführung gebracht werden können.

Bedeutung für Netzwerk- und Systemsicherheit

Durch den Einsatz gängiger Exploits können Computersysteme und Netzwerke auf Schwachstellen geprüft werden. Falls bereits Patches und Updates für bekannte Sicherheitslücken installiert sind, kann mit den entsprechenden Exploits die Wirksamkeit dieser Updates verifiziert werden. Neben einzelnen gibt es auch sogenannte „Exploit-Pakete“, die eine Vielzahl unterschiedlicher Schwachstellen in einem einzelnen Programm sammeln. Ein System lässt sich auf diese Weise auf eine Großzahl verschiedener Lücken prüfen. Für den Cyberkriminellen erhöht sich jedoch durch den Einsatz solcher Pakete die Wahrscheinlichkeit, dass er in ein System eindringt und dieses manipuliert.

Einteilung von Exploits nach Angriffsart und zeitlichen Aspekten

Abhängig von der eingesetzten Angriffsart und den zeitlichen Aspekten lassen sich Exploits in folgende Kategorien einteilen.

Remote-Exploits sind in erster Linie darauf ausgelegt, Schwachstellen in Netzwerksoftware auszunutzen. Sie basieren auf dem Einsatz manipulierter Datenpakete. Ein lokaler Exploit hingegen wird direkt auf dem Computersystem des Opfers ausgeführt. Eine auf den ersten Blick harmlos wirkende Datei kann beispielsweise mit einem bösartigen Codefragment versehen sein, der beim Ausführen der Datei eine Schwachstelle des Systems ausnutzt. Bei Denial-of-Service-Exploits (DoS-Exploits) wird kein eigener Programmcode auf den angegriffenen Computersystemen ausgeführt, sondern ein solcher Exploit verursacht eine Überlastung der Anwendung. Webanwendungen, die SQL-Datenbanken als Datastore verwenden, sind unter Umständen für Injection-Exploits anfällig. Ein Zero-Day-Exploit ist eine Sicherheitslücke, die erst kürzlich entdeckt wurde und die dem Hersteller des Computersystems noch nicht bekannt ist. Diese Art  ist besonders tückisch. Da sie frühestens beim ersten Angriff auf ein System entdeckt werden kann und für die kein entsprechendes Sicherheitsupdate existiert. Da die Hersteller erst einen Patch für den Exploit entwickeln müssen, erhalten die Angreifer mehr Zeit, um eine größere Zahl von Systemen zu infiltrieren und großen Schaden anzurichten.

Exploits als Hacker Tools

Exploits werden in vielen Fällen zusammengepackt, sodass der Hacker ein System auf eine große Zahl von Sicherheitslücken prüfen kann. Sollten eine oder mehrere Sicherheitslücken entdeckt werden, kommen die entsprechenden Exploits zum Einsatz. Solche Pakete verwenden zudem clevere Verschlüsselungsverfahren wie die sogenannte „Code-Obfuskation“, um es Sicherheitsforschern zu erschweren, ihre Funktionsweise nachzuvollziehen. Zu den bekanntesten und meistgenutzten Paketen gehören:

–     Neutrino: Hierbei handelt es sich um ein russisches Kit, das einige für die Java-Plattform enthält.

–     Nuclear Pack: Dieser  befällt seine Opfer mit PDF– und Java-Exploits und infiziert befallene Computer auch mit dem tückischen Bank-Trojaner „Caphaw“.

–     Blackhole Kit: Hierbei handelt es sich um eine der größten Gefahren des Jahres 2012, die ältere Browser-Versionen von Chrome, Firefox, Safari und Internet Explorer  Millionen von Rechnern infiziert hat.

–     Angler: Bei diesem handelt es sich um eines der hoch entwickelsten Kits, die auf dem Underground-Markt erhältlich sind.

Schutzmaßnahmen

Um sich  zu schützen, sollten regelmäßig veröffentlichte Patches und Updates auf das Computersystem installiert werden. So können Sie sicherstellen, dass der Rechner vor bereits bekannten Exploits geschützt ist und dass Sicherheitslücken geschlossen sind. Es können Firewalls, leistungsstarke Virenscanner, oder Intrusion Detection und Intrusion Prevention Systeme eingesetzt werden, die Hacker-Angriffe rechtzeitig erkennen und ungewollten Datenverkehr aus dem Internet automatisch unterbinden. Das Ausnutzen bisher unbekannter Sicherheitsprobleme durch Zero-Day-Exploits lässt sich jedoch kaum verhindern. Diese Hacker-Angriffe lassen sich nur dann abwehren, wenn bei der Programmierung der Anwendungen hohe Qualitätskriterien beachtet wurden. Durch durchdachte Testverfahren und ein hohes Maß an Sorgfalt können Design- und Programmierfehler bereits während der Entwicklungsphase entdeckt und behoben werden.

Die Sicherheit mehr oder weniger jeder SSL– oder TLS-geschützten Verbindung hängt weitgehend von der Auswahl der Cipher Suites durch den Client und den Server ab.
Wenn Sie Dateiübertragungsprotokolle wie HTTPS, FTPS und AS2 verwenden, aber nicht wissen, worum es sich bei Cipher Suites handelt, wird Ihnen dieser Beitrag zu einem besseren Verständnis dieser  elementaren Verschlüsselungstechnik verhelfen.

Grundlagen einer Cipher Suite

Die Definition einer Cipher Suite besteht im Wesentlichen aus einem vollständigen Satz von Algorithmen, die zum Sichern einer Netzwerkverbindung über SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) erforderlich sind. Der Name jeder Cipher Suite ist dabei repräsentativ für die spezifischen Algorithmen, aus denen er besteht.

Bestandteile einer Cipher Suite

Die Algorithmen, die eine typische Cipher Suite bilden, sind die folgenden:

1. Schlüsselaustausch-Algorithmus – bestimmt die Art und Weise, wie symmetrische Schlüssel ausgetauscht werden; Einige Schlüsselaustauschalgorithmen: RSA, DH, ECDH, ECDHE;

2. Authentifizierungs-Algorithmus – legt fest, wie die Serverauthentifizierung und (falls erforderlich) die Clientauthentifizierung durchgeführt werden. Einige Authentifizierungsalgorithmen: RSA, DSA, ECDSA;

3. Massenverschlüsselungs-Algorithmus – legt fest, welcher Algorithmus mit symmetrischem Schlüssel zum Verschlüsseln der tatsächlichen Daten verwendet wird; Einige Massenverschlüsselungsalgorithmen: AES, 3DES, CAMELLIA;

4. MAC-Algorithmus (Message Authentication Code) – Bestimmt die Methode, mit der die Verbindung Datenintegritätsprüfungen durchführt. Einige MAC-Algorithmen: SHA, MD5;

Jede Suite besteht in der Regel aus einem Schlüsselaustausch-, einem Authentifizierungs-, einem Verschlüsselungs und einem MAC-Algorithmus. Bei der Konfiguration einer Cipher Suite wird kurz gesagt festgelegt, wann welche Verschlüsselungs- und Dechiffrierverfahren wie angewendet werden.

Typischerweise könnte eine Cipher Suite also wie folgt aufgebaut sein:

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

Aufgeschlüsselt liest sich diese Sammlung kryptografischer Verfahren folgendermaßen:

TLS zeigt einfach das Protokoll an;
ECDHE bezeichnet den Schlüsselaustauschalgorithmus;
ECDSA bezeichnet den Authentifizierungsalgorithmus.
AES_256_CBC gibt den Massenverschlüsselungsalgorithmus an. SHA384 gibt den MAC-Algorithmus an.

Diese Chiffren arbeiten an verschiedenen Punkten zusammen, um die Authentifizierung, die Schlüsselerzeugung und den Austausch sowie eine Prüfsumme zur Gewährleistung der Integrität durchzuführen. Um zu bestimmen, welche spezifischen Algorithmen verwendet werden sollen, entscheiden sich Client und Server zunächst für eine zu verwendende Suite. Zu Beginn der Verbindung teilen sich dafür beide Parteien eine Liste der unterstützten Cipher Suites und entscheiden sich dann für die sicherste, von beiden Seiten unterstützte Suite.

Verwendung

Cipher Suites werden in Netzwerkverbindungen verwendet, die durch SSL oder TLS gesichert sind. Das heißt, Netzwerkprotokolle wie HTTPS, FTPS, WebDAVS, AS2, POP3, IMAP und SMTP verwenden alle Cipher Suites.

Bevor eine Clientanwendung und ein Server Daten über eine SSL bzw. TLS-Verbindung austauschen können, müssen sich diese beiden Parteien zunächst auf einen gemeinsamen Satz von Algorithmen einigen, um die Verbindung zu sichern. Das sind die Algorithmen, die weiter oben bereits erwähnt wurden. Wenn die beteiligten Parteien keine Einigung erzielen, kann keine Verbindung hergestellt werden.
Dieser „Verhandlungsprozess“ findet während des sogenannten SSL-Handshakes statt. Beim SSL-Handshake teilt der Client dem Server zunächst mit, welche Cipher Suites er unterstützt. Diese sind normalerweise in der Reihenfolge ihrer Sicherheit angeordnet. Die sicherste Methode ist natürlich die erste Wahl.
Der Server vergleicht dann diese Cipher Suites mit den Cipher Suites, die auf seiner Seite aktiviert sind. Sobald es eine Übereinstimmung findet, informiert es den Client und die Algorithmen der gewählten Cipher Suite werden ins Spiel gebracht.

Schwächen

In der Vergangenheit sind mehrere Sicherheitslücken auf Netzwerkebene im Zusammenhang mit Cipher Suites aufgetreten. Darunter befanden sich SSL/TLS-basierte Sicherheitslücken wie Heartbleed und POODLE. Um diese Sicherheitsanfälligkeiten zu verringern, sollten Unternehmen verschiedene Versionen verfügbarer Suites verwenden oder die Akzeptanz anfälliger Suites deaktivieren. Um sich beispielsweise gegen POODLE zu verteidigen, muss SSLv3 deaktiviert werden.

Das Deaktivieren von Cipher Suites kann jedoch manchmal zu Kompatibilitätsproblemen führen. Aber es kann davon ausgegangen werden, dass die allermeisten namenhaften Webbrowser ihre Cipher Suites ohnehin nach Bekanntwerden einer SSL/TLS-basierten Sicherheitsanfälligkeit aktualisieren. Unternehmen sollten Webbenutzern deswegen dazu raten, immer die aktuellsten Software-Patches auf ihren Geräten zu installieren, damit Kompatibilitätsprobleme vermieden werden können.
Der Administrator einer Website kann die Verwendung der bestmöglichen Cipher Suites erzwingen, indem er die Software regelmäßig aktualisiert und die richtige Konfiguration verwendet. Auf diese Weise können Sie die Wahrscheinlichkeit verringern, dass die Besucher Ihrer Webseite mit Kompatibilitätsproblemen konfrontiert werden.

Red Hat, innovative Open-Source-Lösungen, kurz vorgestellt

Wer sich über ein geeignetes Server-Betriebssystem oder über Cloud-Anwendungen Gedanken macht, stößt über kurz oder lang auf Red Hat. Was ist Red Hat und wofür steht der rote Hut als Markenzeichen?

Der Begriff Red Hat kennzeichnet sowohl das amerikanische Software-Unternehmen als auch die gleichnamigen Linux-Distributionen. Der rote Hut symbolisiert das Engagement von Red Hat als Agent im Einsatz für Open Source in der digitalen Welt.

Die Geschichte der Entwicklung von Red Hat

Das weltweit agierende Unternehmen Red Hat wurde im Jahr 1993 gegründet und hat seinen Hauptsitz im nordamerikanischen Raleigh, North Carolina.

Das Unternehmen hat sich mit seinen Produkten dem Dienst an der Entwicklung von Open Source verschrieben. Anders als häufig gemeint, bedeutet Open Source dabei nicht immer kostenlos, sondern quelloffen, d. h. der Quellcode der Software ist für jedermann einsehbar.
Die ursprünglich kostenfreie Distrubution Red Hat Linux (RHL) wurde bereits 1994 vorgestellt und zählt damit zu den ältesten Linux-Distributionen.

2003 wurde die freie, nicht kommerzielle Distribution von Red Hat eingestellt und wird seitdem als eigenes Projekt von der Fedora Community fortgeführt. Das Unternehmen Red Hat konzentriert sich nun auf kommerzielle Open-Source-Lösungen für den Unternehmensbereich, u. a. mit dem Projekt Red Hat Enterprise Linux (RHEL).

RHEL gilt unter den Linux-Distributionen im unternehmsbezogenen Anwendungsbereich als Markt- und Innovationsführer. Sie wird seit vielen Jahren durch eine Vielzahl unabhängiger Software-Hersteller im Unternehmensbereich unterstützt u. a. von SAP und Oracle. RHEL zeichnet sich durch lange und stabile Laufzeitzyklen von rund 10 Jahren pro Version aus und gewährleistet damit unternehmerische Planungssicherheit.

Unter Berücksichtigung der Quelloffenheit des Systems hat das Unternehmen Red Hat zur Betreuung seiner Firmenkunden ein besonderes Lizenzsystem eingeführt. Die Nutzung von RHEL wird mit dem Abschluss verschiedener kostenpflichtige Supportverträge (Subskriptionsmodell) verknüpft.

Seit Ende 2018 gehört das Unternehmen Red Hat zum IBM-Konzern. Mit rund 30 Milliarden Euro gehört dies zu den größten Übernahmen in der Unternehmensgeschichte von IBM.

Red Hat heute

Das Geschäftsfeld von Red Hat konzentriert sich beim IBM-Konzern heute auf zunehmend auf Unternehmensanwendungen im Cloud Computing, hier vor allem im Feld der Hybrid-Cloud-Lösungen.

Unternehmen jeder Branche und Größe wenden sich zunehmend Cloud-Anwendungen zu. Sie benötigen vor allem flexible, hybride Lösungen und Multi-Cloud-Services. Ziel ist es, die eigenen Server mit unterschiedlichsten Cloud-Plattformen sowie Cloud-Services zu verbinden und diese gemeinsam zu nutzen. Open-Source stellt aufgrund der Quelloffenheit oftmals eine sinnvollere Atlernative dar, als proprietäre, d. h. geschlossene Cloud-Lösungen.

Daher ist es auch erklärtes Ziel von IBM, die Unabhängigkeit von Red Hat im Bereich Open-Source zu wahren und fortzuführen. Nicht ohne Grund zählt Red Hat seit Jahren als zu den Innovationführern und Vordenkern im Bereich der Open-Source-Anwendungen.

Das Unternehmen Red Hat bietet im IBM-Konzern ein umfangreiches Produktportfolio an, darunter Lösungen für Hybrid-Cloud-Infrastrukturen und Middleware. Agile Integration sowie cloudnative Anwendungsentwicklung kommen hinzu, ebenso wie Services zum Management und zur Automatisierung. Auch die Entwicklung von Container-Technologien und das Kubernetes-Projektes werden von Red Hat beim Cloud Computing unterstützt.

Red Hat bietet Unternehmen jeder Größe Technologien, die diese im Zeitalter der digitalen Transformation sowie Vernetzung zukunftsfähig machen und ihnen die notwendige Anpassungsfähigkeit ermöglichen.

Für kleinere Unternehmen: CentOS

RHEL ist als kostenpflichtiges Linux-Betriebssystem eher im Hochpreissegment angesiedelt und wird von Red Hat nur in Verbindung mit den zugehörigen Supportverträgen geliefert. Daher kommt es in der Regel auf den Servern großer Unternehmen zum Einsatz.

Kleinere und mittelständische Unternehmen (KMU) haben die Möglichkeit, auf CentOS als Alternative auszuweichen. Das sog. Community Enterprise Operating System gehört zu neben Debian und Ubuntu mittlerweile zu den erfolgreichsten Linux-Distributionen. CentOS legt bei der Entwicklung Wert darauf, möglichst langfristig einsetzbar und stabil zu sein. Dies wiederum führt dazu, dass es häufig auf Servern zur Anwendung kommt.

Engagierte Entwickler

CentOS basiert als Gemeinschaftprojekt freiwilliger Softwareentwickler auf der Red Hat Enterprise Linux-Distribution (RHEL). Möglich ist dies dadurch, dass Red Hat die Quellpakete von RHEL als Open Source im Internet zur Verfügung stellt. Damit konnten engagierte Entwickler im Projekt CentOS eine mit RHEL-kompatible eigene Linux-Distribution schaffen. Aktuell unterstützt Red Hat das Projekt CentOS Stream, ein sog. Rolling Release. CentOS bietet damit eine Beta-Version kommender Versionen von RHEL an.

Die Binärkompatibilität bringt es mit sich, dass Unternehmen die Vorteile von RHEL nebst zugehöriger freier Software nutzen können, ohne sich an entsprechende Supportverträge binden zu müssen. Eine kurze zeitliche Verzögerung, die die um meist zwei bis drei Monate gegenüber RHEL nachgelagerte Entwicklung der jeweils neuesten Version von CentOS mit sich bringt, fällt demgegenüber nicht sehr ins Gewicht.

Digitale Transformation – die richtigen Entscheidungen treffen

Professionelle Systemhäuser unterstützen Sie mit Erfahrung und Sachverstand bei der richtigen Entscheidung für die IT-Landschaft Ihres Unternehmens. Welche IT-Lösungen Sie am Ende für Ihr Unternehmen auch bevorzugen, ob ausschließlich eigene Server, Hybrid- und /oder Multi-Cloud-Modelle: Ziehen Sie frühzeitig qualifizierte IT-Fachleute für Ihr Unternehmen hinzu. So gelingt es Ihnen, den digitalen Wandel zu meistern und Ihr Unternehmen erfolgreich in die Zukunft digitaler Transformation zu führen.

Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework zum Aufspüren von Schwachstellen in Netzwerken. Es gilt als Standardwerkzeug von Penetration Testern. Gleichermaßen nutzen es auch Administratoren zur Überwachung von Netzwerken. Die Software wird kostenfrei unter der GPL-Lizenz angeboten. Sie ist unter Linux und FreeBSD lauffähig. Der Quellcode kann über die Entwicklerplattform GitHub bezogen werden.

Herkunft und Entwicklung von OpenVAS

OpenVAS hat seinen Ursprung im Schwachstellenscanner Nessus. Als dieser im Jahr 2005 nur noch kommerziell vermarktet wurde, bildete sich das OpenVAS-Projekt auf Basis der letzten freien Version von Nessus. Entwickler ist seitdem die Osnabrücker Firma Greenbone. Neben der Entwicklung von OpenVAS, bietet Greenbone mit der Software vorkonfigurierte Server an. Das gesamte Framework wurde 2017 in Greenbone Vulnerability Management (GVM) umbenannt. Seit 2019 ist OpenVAS nur noch die Bezeichnung für den eigentlichen Schwachstellen-Scanner.

Funktionsweise von OpenVAS

OpenVAS läuft in mehreren Server-Diensten auf dem ausführenden Rechner. Daher ist es möglich, das Framework auf einem leistungsfähigen Server arbeiten zu lassen und die Bedienung von einem anderen Rechner im Netz vorzunehmen. Die Software greift auf eine umfangreiche Datenbank zu, in der Merkmale und Schwachstellen von Betriebssystemen sowie Softwareprodukten hinterlegt sind. Diese werden als Feeds bezeichnet. Den größten Anteil machen die Network Vulnerability Tests (NVT) aus. Dies sind vorkonfigurierte Scans, von denen über 50.000 zugreifbar sind. Die Feeds können abonniert werden und der Bestand wird regelmäßig erneuert. Der Schwachstellentest läuft in mehreren Stufen ab. Nach einem Portscan werden erkannte Betriebssysteme und Softwareprodukte auf bekannte Lücken und Konfigurationsfehler hin untersucht. Dies betrifft beispielsweise auf dem untersuchten System laufende Dienste wie SSH oder den Webserver. Nach Abschluss des Scans wird ein Bericht erstellt. Zudem gibt es grafische Darstellungen der Resultate, wie eine Übersicht von Rechnern im gescannten Netzwerk.

Installation von OpenVAS

Vor der Installation müssen einige softwareseitige Voraussetzungen erfüllt werden. Diese betreffen beispielsweise TLS, SSH und die Bibliothek Libpcap, die erforderlich ist, um Netzwerkverkehr im bekannten Format PCAP verarbeiten zu können. Die Software muss für den Rechner, auf dem es zum Einsatz kommen soll, kompiliert werden. Eine detaillierte Anleitung und Hilfe bei der Installation werden sowohl auf Github, als auch im Community-Forum gegeben. Zudem bietet Greenbone kostenfrei virtuelle Maschinen mit der vorinstallierten Software an. Dazu, wie bereits erwähnt, kommerzielle, mit GVM vorkonfigurierte Hardware-Lösungen. Für Distributionen wie CentOS, Fedora/RHEL (Red Hat Enterprise Linux) und Ubuntu werden Installationspakete bereitgestellt. Besonders einfach lässt sich OpenVAS unter KALI-Linux installieren, da die Abhängigkeiten durch die vorinstallierte Software schon nahezu komplett erfüllt sind.

Bedienung und Ablauf eines Scans

Die Bedienoberfläche von OpenVAS kann standardmäßig über den Browser unter der IP-Adresse des ausführenden Rechners und dem Port 9392 aufgerufen werden. Bei Aufruf vom ausführenden Rechner selber, entsprechend über die Loopbackadresse 127.0.0.1.

Die Bedienoberfläche gliedert sich in die folgenden Menüpunkte:

-Dashboard: Ist die Start- und Übersichtsseite. Es werden grafische Übersichten zu vorangegangenen Scans (sog. Tasks), Topologien gescannter Netze und zur Verfügung stehende NVTs angezeigt.

-Scans: In diesem Menüpunkt kann die Scans als Tasks konfigurieren und starten. Dabei kann auf Vorlagen aus den NVTs zurückgegriffen werden. Auch eine zeitgesteuerte Ausführung ist wählbar. Weiterhin finden sich hier Resultate und Berichte vorangegangener Scans.

-Assets: Entsprechend der wörtlichen Übersetzung „Anlagen“ befinden sich dort Informationen über Routing zum gescannten Ziel, sowie festgestellte Betriebssysteme.

-SecInfo: Steht für Security Information. Hier findet man die Übersicht für die NVTs und veröffentlichte Schwachstellen. Eine Quelle ist das Emergency Response Team der Bundesverwaltung (CERT-Bund).

-Configuration: Im Bereich der Konfiguration lassen sich beispielsweise Scans konfigurieren und Formate für die Reporte festlegen.

-Extras: Hierunter befinden sich persönliche Einstellungen und der Status der Feeds.

-Administration: Dieser Menüpunkt ist unter anderem für die Benutzerverwaltung des OpenVAS-Systems gedacht. Hier können auch Gruppen und Rollen festgelegt werden.

-Help: Beinhaltet die ausführliche Hilfe.

Alternativ kann OpenVAS über die Kommandozeile bedient werden. Dies ist vorteilhaft, wenn es zur ständigen Überwachung (Monitoring) im Netz verwendet werden soll. Dann lassen sich die Ergebnisse beispielsweise über Shell-Skripte weiterverarbeiten. Zudem gibt es mit dem OpenVAS-Manager eine Client-Software zur Bedienung. Diese ist in den Repositiories einiger Linux-Distributionen enthalten.

Es können IP-Adressen einzelner Rechner oder ganze IP-Ranges (Bereiche von Adressen in einem Netzwerk) als Ziel gewählt werden. Die Scantiefe ist einstellbar. Sie reicht von einer schnellen, oberflächlichen Prüfung festgestellter Systeme und deren offenen Ports, hin zu einer intensiven Untersuchung einzelner Anwendungen. Eine Stärke von OpenVAS sind die ausführlichen Berichte. Sofern Verwundbarkeiten festgestellt werden, die auf Softwarelücken basieren,  dann erfolgt zum Beispiel eine Zuordnung zur CVE-Nummer (Common Vulnerabilities and Exposures). Hierbei handelt es sich um Nummern, die von Experten gemeldeten Sicherheitslücken („Exploits“) zur eindeutigen Unterscheidbarkeit zugeteilt werden. Dies erleichtert es dem Administrator, konkrete Maßnahmen zur Beseitigung des Sicherheitsproblems zu treffen.

Empfehlung durch das BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt auf seiner Webpräsenz die Nutzung von OpenVAS. Es unterstützt die Entwicklung von Funktionen der Software und von NVTs. Zudem nutzt es die Software zum Einsatz bei Bundesbehörden und bietet diesen Schulungen und Support.

Der Webbrowser „Opera“ ist hierzulande eine Art Randerscheinung. Im Wettbewerb gegen Google Chrome, Mozilla Firefox und dem Microsoft Internet Explorer tut er sich schwer, dabei bietet er zahlreiche innovative Features und punktet mit seinen Multitasking-Fähigkeiten. Die ersten Versionen von Opera (bis Version 4 im Dezember 2000) waren kostenpflichtig. Danach wurde in der kostenlosen Version ein Werbebanner angezeigt. Seit September 2005 ist Opera als Freeware kostenlos erhältlich und frei von Werbung.

Der Werdegang von Opera

Der Webbrowser erschien erstmals im Jahr 1996; entwickelt wurde er vom norwegischen Unternehmen „Opera Software“. Die Geschäfte entwickelten sich nicht wie gewünscht, daher wurde der Browser 2016 an ein chinesisches Konsortium für umgerechnet 1,1 Milliarden Euro verkauft.

Opera begann im April 1994 als Forschungsprojekt des norwegischen Unternehmens Telenor (Branche: Telekommunikation). Ein Jahr später wurde das eigenständige Unternehmen Opera Software ausgegliedert, gefolgt vom Börsengang in Oslo im März 2004.

Bereits seit der ersten Version ist der Browser mit der Funktion „Tabbed Browsing“ ausgestattet. Außerdem führte der Entwickler schon früh die Mausgesten ein. Andere Browser übernahmen später diese beiden Funktionen.

Verfügbarkeit und Funktionsumfang

Die derzeit aktuelle Version 64.0.3417.47 wurde am 8. Oktober 2019 veröffentlicht. Verfügbar ist der Browser in 50 Sprachen für Windows ab Win98, macOS ab 10.4 Intel, iOS, GNU/Linux, Android, FreeBSD, Solaris bis 10.11 und Blackberry. Seit Anfang 2006 liefert Opera Software so genannte Snapshots, die einen Ausblick auf die Version ermöglichen, die sich jeweils aktuell in der Entwicklungsphase befindet. Da es sich in der Regel um vorläufige Versionen handelt, enthalten sie häufig Bugs.

Der Funktionsumfang hat sich ab Version 15 maßgeblich verändert. So wurde Opera Mail als integriertes Programm nicht weiterentwickelt, es steht jedoch als eigenständiges Programm zum Download zur Verfügung. Auch Dragonfly, ein Tool für die Web-Entwicklung, wurde aus dem Browser-Setting entfernt. Hinzugefügt wurden dafür der Chromium-Taskmanager (analog zu dem in Google Chrome) und eine Browserseite mit aktuellen Nachrichten.

Browser-Fähigkeiten

Hinsichtlich der Website-Darstellung erfüllt Opera die aktuellen Standards für HTML und CSS. Seit Version 8.0b3 unterstützt der Browser auch eine Teilmenge des Grafikformats SVG sowie ab Version 9.50 APNG und zahlreiche weitere aktuelle Standards. Im Opera Mini verwendet der Browser die HTML-Rendering-Engine „Presto“. Die neue Engine ermöglicht das Neu-Rendern aufgerufener Seite und deren Teile und unterstützt vollständig das DOM (Document Object Model) des W3C.

Der Zoom in Opera vergrößert Texte und skaliert und glättet Bilder sowie Plug-ins. Dabei erlaubt er Größen-Einstellungen zwischen 20 und 1.000 Prozent. Das barrierefreie Internet wird durch den Benutzermodus gewährleistet. Hier lassen sich beliebige Websites dem Aussehen nach anhand eigener CSS-Dateien anpassen. Bilder lassen sich ausblenden, Farben verändern. Wird mit der Maus über die Tabs navigiert, zeigt Opera eine Miniatur-Vorschau der bereits geladenen Inhalte an.

Für große Auflösungen programmierte Websites können mit der Funktion „an Seitenbreite anpassen“ auch auf kleinen Monitoren gelesen werden. Die Funktion „Small Screen“ ermöglicht das Betrachten von Websiten analog zum Opera-Mini-Mobilbrowser. Für Webdesigner ist dieses Feature äußerst hilfreich, da sie die Kompatibilitätsprüfung erleichtert.

Bedienung in Opera

Dank der Multiple Document Interface-Oberfläche lassen sich innerhalb eines Fensters mehrere Seiten öffnen. Zur Navigation zwischen den Seiten steht eine Leiste zur Verfügung, die der Windows-Taskleiste ähnelt. Spezielle Befehle schließen die aktuelle Seite oder stellen die geschlossene Seite wieder her. Zwischen den Tabs kann per Mausklick, Mausrad und Tastatur navigiert werden.

Seit der Version 8.00 können englische Sprachbefehle via VoiceXML für die Steuerung von Opera genutzt werden. Auch das maschinelle Vorlesen von Website-Inhalten ist möglich, sobald die dafür zusätzlich notwendigen Dateien heruntergeladen wurden.

In der Adressleiste befindet sich eine Suchfunktion. Hier lassen sich Kürzel für unterschiedliche Seiten festlegen. Dies vereinfacht die Suche in einigen Suchmaschinen und auf den Seiten diverser Online-Händler.

Der Passwort-Manager in Opera

Für Seiten, die für die Anmeldung Benutzernamen und Passwort erfordern, bietet Opera Unterstützung durch den Passwort-Manager. Bis zur Version 9.64 wurde dieser Passwort-Manager als „wand“ bezeichnet, abgeleitet von „magic wand“; zu deutsch „Zauberstab“. Die Funktion kann bei Bedarf mit einem internen Master-Passwort geschützt werden.

Das für den Passwort-Manager genutzte Master-Password lässt sich zusätzlich im E-Mail-Programm „Opera Mail“ nutzen.

Die Oberfläche in Opera

Die Benutzer-Oberfläche des Browsers kann in weiten Teilen angepasst werden. Sämtliche Symbolleisten sind veränderbar und können bei Bedarf aus- und eingeblendet werden. Ab der Version 7 bietet Opera so genannte Skins, um das Erscheinungsbild zu verändern. Diese Skins stehen auf der Website von Opera zum Download zur Verfügung.

Ein neuer Suchmaschinen-Editor, der ab Version 9.0 in Erscheinung tritt, ermöglicht das Anpassen von Suchmaschinen im GUI (GUI = graphical user interface, zu deutsch „Grafische Benutzeroberfläche“).

Ad-Blocker

In der Standard-Installation des Browsers ist die Funktion des Pop-up-Blocking bereits aktiviert. Betroffen sind Pop-ups, die von einer Fremddomain, also nicht von der aufgerufenen Website stammen. Damit wird das nutzerfreundliche Surfen deutlich verbessert. Eine einfach strukturierte Initialisierungsdatei liefert den tatsächlichen Inhaltsfilter und Werbeblocker im Browser. Die Datei trägt den Namen urlfilter.ini und hat ihren Platz im Profil-Verzeichnis.

YouTube

By loading the video, you agree to YouTube's privacy policy.
Learn more

Load video

Bei Kali Linux handelt es sich um eine Linux-Distribution, die auf dem frei entwickelten Betriebssystem Debian GNU/Linux basiert. Die Distribution umfasst in erster Linie Anwendungen für die digitale Forensik sowie für Penetrationstests. Dabei richtet sie sich vor allem an professionelle und fortgeschrittene Nutzer.

Der Werdegang von Kali Linux

Entwickelt wurde das Betriebssystem von Devon Kearns und Mati Aharoni, Mitarbeiter des Unternehmens „Offensive Security“. Die Veröffentlichung wurde am 12. Dezember 2012 angekündigt und am 13. März 2013 durchgeführt. Die Entwicklungszeit von Kali Linux betrug etwa ein Jahr; die erste Version erhielt die Versionsnummer 1.0. Seit der Version 2.0 erhalten Sie Kali Linux als Rolling Release. Das bedeutet, dass das Betriebssystem kontinuierlich weiterentwickelt wird. Betriebssystem-Versionen gibt es nicht mehr. Stattdessen handelt es sich um Snapshots, die in der Regel als Installationsmedium dienen.

Offiziell handelt es sich bei Kali Linux um den Nachfolger von BackTrack. Die neue Bezeichnung soll laut Hersteller-Angaben darauf hinweisen, dass die Neuentwicklung deutlich fortgeschritten ist. Kali Linux setzt nicht wie BackTrack auf Ubuntu auf, sondern auf Debian. Das Betriebssystem wurde vollständig neu entwickelt. Die Infrastruktur arbeitet nunmehr mit Git als Verwaltung für die Versionen.

Die Architektur von Kali Linux

Das System wurde so entwickelt, dass es sich für Computer mit unterschiedlich aufgebauten Hauptprozessoren eignet. So ist es sowohl für AMD64 als auch für x86er-Systeme und für die ARM-Architektur verfügbar. Die ARM-Architektur wird vor allem in kleinen Endgeräten wie Tablet-Computern eingesetzt. So kann die ARM-Version von Kali Linux unter anderem auf dem ARM Chromebook der Marke Samsung als auch auf dem Raspberry Pi verwendet werden.

In der Forensik lässt sich Kali Linux – abhängig von der Anwendung – als Live-System ohne Installation booten, zum Beispiel via CD und DVD, USB-Stick oder PXE (Preboot Execution Environment) im Netzwerk. Dabei hinterlässt das Live-System keine Spuren am geprüften System, weder auf der Solid State Drive noch auf den eingebauten Festplatten. Es sind beispielsweise keine Auslagerungsdateien auffindbar. Um einen Rechner für Penetrationstests einzusetzen, kann Kali Linux alternativ fest installiert werden.

Die Programme und Tools von Kali Linux

In der Distribution sind zahlreiche Dokumentationen und mehrere hundert Hilfsmittel integriert, die die Sicherheit eines IT-Systems testen und bewerten. Die unter Kali Linux enthaltenen Programme sind zwar auch einzeln für den Großteil der anderen Linux-Distributionen erhältlich, doch automatische Optimierungen werden nur über Kali Linux zur Verfügung gestellt.

Kali Linux bezieht die Programme vier Mal pro Tag aus dem Debian-Repository. Damit ist sichergestellt, dass die Nutzer jederzeit über aktuelle Software-Pakete und Sicherheitsupdates verfügen. Eine eigene Paketquelle mit der Bezeichnung „Kali bleeding edge“ stellt neueste, noch nicht ausführlich unter Kali geprüfte Versionen zur Verfügung.

Die wichtigsten Werkzeuge

– Aircrack-ng

Bei Aircrack-ng handelt es sich um eine Tool-Sammlung. Die Werkzeuge sind darauf ausgelegt, Schwachstellen im WLAN nicht nur zu analysieren, sondern sie auch auszunutzen.

– Ettercap

Die Software führt Man-in-the-Middle-Angriffe durch. Es unterstützt Echtzeitkontrollen über Verbindungen auch in in geswitchten Netzwerken, das Sniffing auf IP- und ARP-Basis, aktive und passive Analysen einzelner Hosts und vollständiger Netzwerke sowie das inhaltsbezogene Filtering.

– John the Ripper

Diese Software ist in der Lage, verschlüsselte System-Passwörter zu entschlüsseln und auf ihre Sicherheit zu testen. Das Entschlüsseln geschieht per Brute-Force oder durch eine Dictionary-Attack.

– Kismet

Kismet agiert als freier WLAN-Sniffer und spürt Funknetzwerke auf, indem es die versandten Datenpakete mitliest. Dieses Programm eignet sich unter anderem auch dafür, die Sicherheit des eigenen WLANs zu überprüfen und die Signalstärke zu ermitteln.

– Maltego

Dieses Programm wurde entwickelt, um Daten im World Wide Web zu sammeln. Dabei handelt es sich um Daten sowohl einzelner Personen als auch von Unternehmen.

– Nmap

Die Bezeichnung „Nmap“ steht für Network Mapper. Bei diesem Tool handelt es sich um einen Portscanner, der Hosts in einem Rechnernetz scannt und auswertet. Bei Administratoren ist es ebenso beliebt wie bei Hackern, denn es arbeitet außergewöhnlich zuverlässig und effizient.

– RainbowCrack

Zum Knacken von Passwörtern nutzt dieses Programm so genannte Rainbow Tables. Im Vergleich zum Brute Force benötigt diese Methode deutlich weniger Zeit und Versuche, um ein Passwort zu ermitteln.

– SET (Social Engineer Toolkit)

Dieses Toolkit beinhaltet mehrere Anwendungen für unterschiedliche Penetrationstests. Der Schwerpunkt liegt dabei auf dem Social Engineering.

– The Sleuth Kit

Bei diesem Kit handelt es sich um eine forensische Software-Sammlung, die auf die Kommandozeile von IT-Systemen ausgerichtet ist. The Sleuth Kit unterstützt die Dateisysteme ISO 9660, NTFS, FAT, UFS 1 und 2, Ext2 bis Ext4, HFS und YAFFS2.

Die rechtliche Situation von Kali Linux in Deutschland

Die Distribution Kali Linux enthält Tools, die in Teilen gewisse Sicherheitsvorkehrungen umgehen. Sie werden in Deutschland als „Computer-Programme zum Ausspähen von Daten“ aufgefasst. Diese Auffassung basiert auf § 202c StGB, dem „Hacker-Paragrafen“, der Ende Mai 2007 in Kraft getreten ist.

Auf Basis dieser gesetzlichen Lage kann der Besitz oder der Vertrieb von Kali Linux hierzulande strafbar sein, wenn eine Absicht besteht,

– diese Programme rechtswidrig zu nutzen (§ 202a StGB) und/oder

Daten damit abzufangen (§ 202b StGB).