Swiss Vulnerability Report 2015 - Pascal Mittner CEO Paulo Steiner CTO - First Security Technology AG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Swiss Vulnerability Report 2015 Pascal Mittner CEO Paulo Steiner CTO Chur, 9. Juni 2015
Gestaltung: Hü7 Design AG, www.hue7.ch Titelbild: Schloss Spiez, Schweiz «Spiez am Thunersee, historisches Schloss Spiez mit Steg» © bill_17 – Fotolia
Swiss Vulnerability Report 2015 Pascal Mittner CEO Paulo Steiner CTO Chur, 9. Juni 2015
Pascal Mittner CEO, Paulo Steiner CTO Swiss Vulnerability Report 2015 © First Security Technology www.first-security.com 4
Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Inhaltsverzeichnis
1. Management Summary 6
2. Vorwort 7
3. Einführung 8
3.1 Einleitung 8
3.2 Technische Details zur Prüfung 9
3.3 Rechtliches 9
4. Inventarisierung 10
4.1 Hersteller von Betriebssystemen 10
4.2 Windows Versionen 11
4.3 Ports und Dienste 12
5. Schwachstellen 15
5.1 Angreifbare Betriebssysteme 16
5.2 Ports mit Schwachstellen 19
5.3 Branchen 22
6. Aktuelle Schwachstellen 25
6.1 Poodle 25
6.2 Logjam 27
7. Fazit 28
7.1 Vulnerability Management 28
7.2 Software-Updates 29
7.3 Firewall richtig konfigurieren 29
7.4 Verschlüsselung und Passwörter 29
8. Glossary 30
9. Disclaimer 33
© First Security Technology
www.first-security.com
5Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
1. Management Summary
Zum dritten Mal veröffentlicht die First Security Technology Dieses Jahr häuften sich die meisten Schwachstellen auf
AG (FST) den Swiss Vulnerability Report (SVR). Der jährliche dem HTTPS Port 443. Ausgerechnet ein Dienst, der mit
Report, um mehr über die Sicherheit der Schweizer Internet- Verschlüsselung Sicherheit verspricht. Der Microsoft IIS
Landschaft zu erfahren. Die Visualisierung der verwende- Webserver hat einiges dazu beigetragen, weil sich dessen
ten Systeme, potenzielle IT-Schwachstellen und der Trend Schwachstellen innert einem Jahr verdreifachten. Dazu
durch den Vergleich der Resultate der letzten Jahre hilft kommen Schwachstellen wie Poodle. Über 122’000 Dienste
eine bessere Wahrnehmung für das Virtuelle, sowie das sind 7 Monate nach der Veröffentlichung der Schwach-
Bewusstsein für das reale Risiko zu erlangen. stelle noch verwundbar, dies entspricht 45 %. Bei Logjam
Auch dieses Jahr unterzogen wir das Schweizer sind es mit über 73’000 angreifbaren Diensten 28 %. Viele
Internet, welches aus über 19 Millionen IP-Adressen be- weitere Statistiken und Aussagen finden sich in diesem
steht, der Untersuchung auf sichtbare Systeme und Diens- Swiss Vulnerability Report (SVR).
te. Wir nennen dies die Inventarisierung des Schweizer Dieses Jahr erschien zudem der erste Austrian
Internets. Diese Informationen statistisch aufbereitet, zeigen Vulnerability Report (AVR), der ebenfalls von FST erstellt
die Einsatzhäufigkeit und wiederspiegeln den Trend: Was und von österreichischen Behörden mitgetragen wurde.
ist neu, was nimmt ab oder zu. Die Inventarisierung gibt Dieser zeigte nicht nur die Situation in Österreich, sondern
uns Auskunft über: ist auch sehr spannend mit dem SVR zu vergleichen. Die
Schweiz und Österreich beschäftigen die ähnlichen Heraus-
• Anzahl aktiver Systeme und Dienste forderungen. Sehr vieles ist gleich, es gibt aber auch einige
• Anzahl der eingesetzten Betriebssysteme nach Unterschiede. Z.B. haben gewisse Produkte in Österreich im
Hersteller und Versionen Vergleich zur Schweiz einen sehr hohen Erfolg.
• Anzahl der verwendeten Ports, Server-Dienste Der Swiss Vulnerability Report liefert 2015 erneut
und deren Version bemerkenswerte Einblicke in die Schweizer IT-Landschaft
und bietet neu Auswertung über Poodle und Logjam.
Durch die Inventarisierung identifizierten wir über 9’800 Möchten auch Sie wissen, welche Systeme, Dienste und
verschiedene eingesetzte Produkte. Die Anzahl der direkt er- die darauf befindlichen IT-Schwachstellen ein Risiko für
reichbaren IoT (Internet of Things) Geräte hat sich zum letzten Ihre Unternehmung darstellen? Sie wünschen sich ein Re-
Jahr verringert. Die nicht mehr unterstützten Windows Ver- porting für Management und operative IT, um die richtigen
sionen haben sich um die Hälfte auf 1’500 Geräte reduziert. Entscheidungen zu treffen? Ohne grossen Ressourcenauf-
Erreichbare Remote Zugänge wie SSH und RDP haben sich wand und durch Automatisation tagesaktuell? Sprechen
ebenfalls verringert. Im Gegenzug haben sich Web Remote Sie uns an, wir helfen Ihnen Ressourcen zu sparen und die
Zugänge von Firewalls und Routern, speziell im Segment der IT Sicherheit zu verbessern.
Privaten und Kleinstunternehmungen, stark erhöht.
Über die Inventarisierung gewonnenen Informati-
onen ermitteln wir mit einem Abgleich der Schwachstellen
Datenbank das Potenzial der Schwachstellen der im Internet
erreichbaren Systemen und Dienste wie:
• die Anzahl Schwachstellen bezogen auf
Hersteller, Produkte und Versionen sowie im
Verhältnis zur Anzahl Hosts
• die Anzahl Schwachstellen bezogen auf die
Ports
• die Zahl der Schwachstellen in verschiedenen
Branchen
• die Zahl der Schwachstellen pro Host in ver-
schiedenen Branchen
• die Anzahl Poodle und Logjam Schwachstellen
© First Security Technology
www.first-security.com
6Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
2. Vorwort
David Bader
Head of Network & Security Services
Axpo Informatik AG
Liebe Leserinnen, liebe Leser MELANI hat kürzlich wieder informiert, dass sich DDoS
Attacken weiter häufen, aktuell vor allem in Kombination
Das dynamische Marktumfeld und der starke Trend zur mit Erpressungsversuchen. Firmen nutzen Cloud Services
weiteren Digitalisierung beschleunigen die Entwicklung von typischerweise über das Internet, dadurch ist bei DDoS
ICT Lösungen, welche mit erhöhter Flexibilität, Elastizität Attacken nicht mehr nur der Webauftritt einer Firma,
und Skalierbarkeit aufwarten und den Unternehmen bei sondern die gesamte Cloud bezogene IT Infrastruktur und
cleverem Einsatz Wettbewerbsvorteile ermöglichen. je nach Hybridmodell auch die damit verbundene lokale
Es liegt auf der Hand, dass die grossen Cloudan- Infrastruktur betroffen, was eine Firma existenziell bedro-
bieter hochstandardisierte Lösungen durch Skaleneffekte, hen kann. Zudem kann es schnell sehr teuer werden, wenn
durchgehende Automatisierung und Ressourcen-Pooling Services, welche nach deren Nutzung (CPU Cycles oder
effizienter produzieren können, als dies ein traditioneller IT Diskspace) abgerechnet werden, durch DDoS Angriffe stark
Infrastrukturanbieter kann. Agilität durch Elastizität, kurze belastet werden.
Time to Market sowie bedarfsgerechte Verrechnung werden Um diesen durch den «Shift» in die Cloud verän-
in den nächsten Jahren zusätzlich die Verlagerung von derten Risiken im Security Umfeld möglichst gut entgegen-
vielen Services in die Cloud vorantreiben. Dieser Markt zuwirken und sich bestmöglich zu schützen, müssen alle
wird von wenigen, dafür grossen Anbietern wie Amazon, verfügbaren Mittel und Quellen genutzt werden. Basis bildet
Microsoft und Google, etc. dominiert. zweifelsohne eine enge Zusammenarbeit und ein reger
Die Kehrseite der Medaille ist eine erhöhte Risi- Austausch von Sicherheitsrelevanten Informationen inner-
koexposition in Form eines interessanten Angriffsziels oder halb und ausserhalb der Firma, unter Security Spezialisten,
einer Quelle für Angriffe aus der Cloud. Die vollständige Herstellern und unabhängigen Organisationen. Bei Axpo
Kontrolle über die eigenen Daten in der Cloud ist nicht mehr Informatik integrieren wir diese neuen Anforderungen zum
möglich. In der praxisnahen Kombination von konventionel- Schutz von uns selbst und unseren Kunden konsequent
len On-Premise Services und Clouddiensten in einem Hyb- in unser Sicherheitsmanagement-System, welches nach ISO
ridmodell, wie es die Axpo Informatik erfolgreich betreibt, 27001:2013 zertifiziert ist.
entstehen ganz neue Konstellationen. Der vorliegende Security Report gibt Einblick in
Diese Verlagerung im Deliverymodell weg von der eine weitere Informationsquelle, welche mit wichtigen
lokalen Infrastruktur und hin zu globalen Cloud Services Erkenntnissen dazu beiträgt, eine gesamtheitliche Risiko-
bedingt nebst der sorgfältigen Auswahl des Cloud Anbieters beurteilung vorzunehmen.
auch eine Überarbeitung der Risikobeurteilung in Bezug In diesem Sinne wünsche ich Ihnen viele für Sie
auf Security und Datenhaltung sowie eine Anpassung der wertvolle Informationen aus dem Swiss Vulnerability Report
Sicherheitsrichtlinie. Eine zentrale Rolle im Bereich der 2015 – vervollständigen Sie damit Ihre Security Beurteilung.
Cloud Security kommt dem Security Monitoring des Cloud
Anbieters zu. Mit welchen Vorkehrungen stellt er ein optima-
les Ressource-Pooling sicher, ohne dass eine gegenseitige
Beeinflussung der Cloud Nutzer möglich ist? Wie wird eine
sichere Verlängerung der eigenen Umgebung in der Cloud
bei einem hybriden Ansatz sichergestellt?
© First Security Technology
www.first-security.com
7Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
3. Einführung
3.1 Die First Security Technology AG (FST) gehört seit Jahren zu den führenden Herstellern
Einleitung von Schwachstellenanalyse-Software im deutschsprachigen Raum. Zu unseren Kunden
zählen kleine, mittlere und grosse Unternehmen in der ganzen Schweiz und im grenznahen
Ausland. Auf der Grundlage dieser ausgewiesenen Kompetenz entstand unsere Idee,
einen Swiss Vulnerability Report (SVR) zu erstellen.
Die FST hilft Ihnen Schwachstellen in der IT-Infrastruktur zu finden, visualisiert
diese in adressatengerechten Reports für Management, Revision und operative Technik.
Bildet mit dem Vulnerability Management Prozess die Basis um die Effizienz und Effek-
tivität der Schwachstellenbehebung und Sicherstellung der IT Sicherheit nachhaltig zu
verbessern.
Mit der Schweiz assoziiert man unter anderem Qualität. Verfügbarkeit, Vertraulich-
keit und Integrität bilden die Eckpfeiler der IT-Sicherheit. Unsere Mission ist es, die Qualität
der IT-Infrastruktur in Bezug auf diese Eckpfeiler zu verbessern. Die Sicherheit der Schweiz,
ihrer Firmen und der Bevölkerung liegt uns am Herzen. Cybercrime, Malware und Überwa-
chung wecken aktuell vielerorts Ängste. Wir erachten es als unabdingbar, sichere IT-Syste-
me zu verwenden, um Menschen und Daten nachhaltig zu schützen.
Der SVR zeigt in Zahlen die Schwachstellen von Systemen auf, die im Schweizer
1-2
Definition im Glossar Internet 1 erreichbar sind. Wir fokussieren uns auf die 49 am meisten verwendeten Dienste 2.
Indem wir einen aktiven Port identifizieren, erhalten wir oft auch Informationen zum verwen-
deten Betriebssystem, zu der Applikation und dessen Version. Diese Informationen ver-
gleichen wir mit der CVE Schwachstellendatenbank, wodurch wir Aussagen zu möglichen
Schwachstellen machen können. Wir nennen das Erkennen aktiver Systeme im Netzwerk
«Inventarisieren». Die potenziellen Gefährdungen zeigt unsere Schwachstellenvorhersage
(Vulnerability Forecast) auf, indem sie einen Zusammenhang zwischen den Schwachstellen
und den erkannten Versionen von Betriebssystem und Applikationen herstellt.
A s s e s s m e nt
nt a r i s i e r u n g
Inve
S c a n n i ng
B e h e e di at
in g
(R e m
or t
b u io
ng
ep
n) R
Vu
ln e
ra bi a st
lit y Fore c
© First Security Technology
www.first-security.com
8Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
1
www.sans.org / Die Inventarisierung von autorisierter und nicht autorisierter Hard- und Software belegt die
critical-security-controls / beiden Spitzenplätze derjenigen Themen, die IT-Verantwortliche am meisten beschäftigen
(SANS Top 20 Critical Security Controls 1 ). Auch im Vulnerability-Management-Prozess
spielt die Inventarisierung eine zentrale Rolle. Um die Systeme im eigenen Netzwerk einer
tiefgehenden Security-Prüfung zu unterziehen, ist eine Identifizierung entscheidend. Aus-
wertungen des Einsatzes von Betriebssystemen, Netzwerkgeräten, Applikationen und ihren
verschiedenen Versionen bis hin zu Geräten wie Druckern widerspiegeln den Istzustand
des Netzwerks. Die FST hilft ihren Kunden, den Zustand der Systeme in ihrem Netzwerk zu
kennen und zu erfahren, welche Systeme von aussen erreichbar sind. Diese Inventarisie-
rung inklusive Vulnerability Forecast führen wir mit der Lösung VulnWatcher einfach, schnell
und lizenzunabhängig durch.
3.2 Eine verteilte Scan-Node-Architektur führt eine Inventarisierung, bewusst über mehrere
Technische Details Tage verteilt, bei über 19 Millionen IP-Adressen durch. Diese IP-Adressen sind gemäss
zur Prüfung Who-is-Abfragen auf Schweizer Postadressen eingetragen. Wir untersuchten pro Tag
nur einen Port. Der Grund: Unsere Verbindungsversuche können erkannt und gesperrt
werden. Eine solche Sperrung im grösseren Ausmass würde die Resultate verfälschen.
Bei einer Verbindung zu einem aktiven Port werden oftmals Informationen
über die Applikation und ihre Version mitgeliefert. Zudem können Rückschlüsse auf das
Betriebssystem gezogen werden. Die mitgelieferten Informationen zu einer Applikation
können aber auch absichtlich verändert worden sein. Bei den Betriebssystemen lassen
sich oft verschiedenste Versionen erkennen.
Die so gewonnenen Informationen verglichen wir mit der CVE-Datenbank (Com-
mon Vulnerabilities and Exposures), um sie auf mögliche Schwachstellen zu prüfen. Der
Bericht fasst diese Informationen zusammen und reichert sie mit interessanten Erkenntnis-
sen an, die sich daraus gewinnen liessen. Die Herausforderung unserer Aufgabe lag darin,
die Resultate korrekt auszuwerten und darzustellen.
Die hier aufgedeckten Schwachstellen stellen potenzielle Gefahren dar, die aus-
schliesslich auf Fehlern der Software beruhen. Andere Risiken und Falschkonfigurationen
wie zum Beispiel die Verwendung von Standardpasswörtern, werden bei dieser Studie
nicht berücksichtigt.
Verfälschungen der Resultate können verschiedene Ursachen haben: Zum einen
ist es einfach, die Banner der Systeme zu manipulieren und damit das tatsächliche Sys-
tem zu verschleiern. Dies ist eine gängige Praxis von Intrusion-Prävention-Systemen (IPS/
IDS). Zudem patchen einzelne Linux-Distributoren die Applikationen in ihren Repositories
oft selbst, was dazu führen kann, dass es für diese Produktversion keine Schwachstel-
len mehr gibt. Aus diesen und weiteren Gründen sprechen wir stets von «potenziellen»
Schwachstellen.
3.3 Aus rechtlichen Gründen darf ein aktiver Security Scan, der relativ tief in ein IT-System
Rechtliches vordringt, nicht ohne Einwilligung der Besitzer und Betreiber durchgeführt werden. Wir
haben die rechtlich unproblematische Methode angewendet: Wir werteten die öffentlichen
Informationen zu Systemen und Versionen aus, die sich ohne Hacking-Techniken erhalten
lassen, und inventarisierten sie. Ebenso unproblematisch ist der anschliessende Vergleich
mit einer Schwachstellendatenbank.
© First Security Technology
www.first-security.com
9Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
4. Inventarisierung
446’721
Hosts gefunden
1: Aktive Hosts Die Prüfung, wie sie in der Einleitung beschrieben wurde, fand bei über 446’000 IP-Adressen
mindestens einen aktiven Dienst. Dies sind 2,3 % der registrierten Schweizer IP-Adressen.
2014 wurden über 949’000 aktive IP-Adressen identifiziert. Dies ist eine Abnahme von
503’000, mehr als die Hälfte. Wir machten im Report von 2013 und 2014 darauf aufmerk-
sam, dass ein Schweizer ISP auf seinen 500'000 Breitbandroutern Remote Access offen
hat. Nun reagierte er und deaktivierte den Remote Zugang seiner Router aus dem öffentli-
chen Internet. Dies hat die grosse Abnahme an aktiven Host zur Folge.
Einfachster Weg um Schwachstellen zu minimieren, ist das Einschränken des Zu-
griffs. Was nicht erreichbar ist, kann nicht oder nur erschwert ausgenutzt werden. Aus diesem
Grund bieten wir die Inventarisierung, wie sie hier im Swiss Vulnerability Report Verwendung
findet, auf Ihre Perimeter Infrastruktur ab sofort kostenlos an. Nehmen Sie mit uns Kontakt auf,
wenn es Sie interessiert, welche Services Sie extern anbieten und was diese für ein Potenzial
an Schwachstellen bieten.
2,3%
3% Mind. 1 aktiver Dienst
446’721 IPs
Kein aktiver Dienst
19’185’863
97,7%
97 7%
%
2: IP-Adressen mit aktiven Diensten in der Schweiz
4.1 Die Reihenfolge auf den ersten beiden Plätzen blieben seit dem Swiss Vulnerability Report
Hersteller von (SVR) 2014 unverändert. Deutlich zurückgegangen sind die erreichbaren Systeme von
Betriebssystemen ZyXEL. Die Neuzusteiger in die Top Ten sind: Western Digital und Juniper. Wind River ist
spezialisiert auf eingebettete Systeme (Embedded Devices) mit Fokus auf das Internet der
Dinge (IoT). Der Rückgang von direkt aus dem Internet erreichbaren IoT Systemen zeigt
auf, dass Security in diesem Themengebiet angekommen ist und die IoT Devices besser
von externem Zugriff geschützt sind. Zu diesem Schluss kommen wir, da wir nicht davon
ausgehen, dass es weniger IoT Systeme in der Schweiz gibt.
© First Security Technology
www.first-security.com
10Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Linux
Hersteller
Microsoft
FreeBSD
ZyXEL
Cisco
OpenBSD
Juniper
Linksys
Western Digital
Apple
0 20’000 40’000 60’000 80’000 100’000 120’000
Hosts
3: Anzahl der Betriebssysteme in der Schweiz mit Anbindung ans Internet, aufgeteilt nach Herstellern
( Linux / BSD sind keine Hersteller, werden in diesem Report aber so behandelt)
Internet der Dinge (IoT) wahrscheinlich besser geschützt:
Weniger IoT Systeme direkt aus dem Internet erreichbar.
4.2 Insgesamt wurden über 29’000 Betriebssysteme von Microsoft identifiziert. Den grössten
Windows Versionen Anteil der Serverversionen machen Windows 2008 und 2003 aus. Zudem bieten knapp
5’000 Desktop-Betriebssysteme der Versionen Windows 7, XP, Vista oder 2000 Services
direkt im Internet an. Dies ist fast eine Halbierung im Vergleich zu 2014. Aktuell sind aber
immer noch knapp 1’000 Windows XP Systeme direkt aus dem Internet erreichbar. Er-
kennbar ist auch die Ablösung von 2003 zu 2008. Es gibt rund 3’500 Windows 2003 Ser-
ver weniger. Im Gegenzug hat Windows 2008 um fast 6’000 Installationen zugenommen.
Nur 1’500 Windows-Systeme, die aus dem Internet erreichbar
sind, sind nicht mehr vom Hersteller unterstützt.
Halb so viel wie vor einem Jahr.
© First Security Technology
www.first-security.com
11Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Windows Version
2008
2003
7
XP
Vista
2000
2008 r2
Phone
PocketPC/CE
98
0 2’500 5’000 7’500 10’000 12’500 15’000 17’500 20’000 22’500
Hosts
4: Aufteilung der Windows-Versionen
4.3 Die fast 20 Millionen IP-Adressen in der Schweiz wurden auf die 49 Dienste [siehe Liste
Ports und Dienste 8.4 im Anhang], die am häufigsten verwendet werden, überprüft. Gegenüber 2014 haben
wir diese Liste um 21 Ports erweitert. Mit neu aufkommenden Diensten wie z.B. Elastic-
search, MongoDB und Hadoop erweiterten wir unsere Überprüfung. Dabei entdeckten wir
über 1,1 Millionen aktive Dienste. 53 % dieser Dienste gaben das Produkt und die Version
der Applikation preis.
Identifiziert 606’645
Nicht Identifiziert 527’442
47%
47%
47
53%
53%
5: Verhältnis von identifizierten zu nicht identifizierten Produkten der aktiven Dienste
© First Security Technology
www.first-security.com
12Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Abbildung 6 zeigt die Verteilung der aktiven Ports. Weitaus am meisten kommt HTTP und
HTTPS zum Einsatz. Im Vergleich zu 2014 verzeichnen wir hier ein grosses Wachstum. Bei
HTTP beträgt dies 30 % und bei HTTPS 20 %. 8080, SMTP und FTP sind ebenfalls gut ver-
treten. Negativ auffällig sind die über 16’000 Telnet Dienste. Unverschlüsselte Verbindungen
zu Firewalls, Routern, Switches, Printern, Webcams beherbergen ein sehr grosses Risiko für
das Mithören der Login Details. Über 20’000 Microsoft Terminal Services (RDP), dies sind
etwa gleich viel wie 2014, und 8’000 VNC Dienste, ein Plus von 30 % gegenüber dem Vor-
jahr, sind direkt aus dem Internet ansprechbar. Nach Möglichkeit sollten Remotezugriffe nur
über VPN oder anderweitig geschützten Verbindungen erlaubt sein. Bei Datenbanken stellt
sich auch die Frage, inwieweit diese aus dem Internet direkt erreichbar sein sollten. Über
26’000 MySQL, MSSQL, Oracle und Mongo Datenbanken sind sichtbar und lediglich durch
Benutzernamen und Passwort vor Datenzugriffen geschützt. Sind Ihre Daten sicher?
Aktive Ports
225’000
200’000
175’000
150’000
125’000
100’000
75’000
50’000
25’000
0
21
22
23
25
50
51
80
53
110
137
139
143
161
389
443
465
515
547
989
993
995
1433
1521
1701
1723
2082
2483
2484
3306
3389
5000
5222
5900
8443
9200
8080
27017
27018
27019
28017
50030
50060
50070
50075
50090
50105
5223 TCP Ports
6: Häufigkeit der aktiven Ports
Vergleichen wir die Abbildung 7 mit der vom SVR 2014 sieht es auf den ersten Blick fast
unverändert aus. Bei genauerem Vergleich hat Apache um 17’000 Server zugenommen und
führt weiterhin mit Abstand die Rangliste der meist verwendeten Services an. Im Vergleich
dazu: Die Anzahl der IIS HTTP Server von Microsoft ist unverändert geblieben. OpenSSH
Zugänge haben um 6’000 abgenommen. Haben die prominenten Schwachstellen Heart-
bleed und Shellshock dazu geführt, dass weniger SSH Dienste öffentlich zugänglich sind?
Die Zahl der Reduktion von OpenSSH deckt sich auch mit dem allgemeinen Rückgang von
erreichbaren SSH Diensten von knapp 6’000.
Auch die sichtbaren Microsoft Terminal Services haben sich um 3’000 Zugänge
verringert. Sind Administratoren mit Remotezugängen vorsichtiger geworden und verwen-
den diese vermehrt über VPN?
Der lighttpd-Webserver legte in den letzten Jahren stark zu. Sein Anteil im 2013
von 6’500 stieg im 2014 auf 10’000 und ist nun bei über 12’000 Systemen angekommen;
der lighttpd-Webserver wird oft in Embedded Devices eingesetzt.
Neu in die Rangliste hat es die Fritzbox http Config mit knapp 14’000 Remote
Administrationszugängen geschafft und verdrängte MySQL aus den Top 8. Ein Zeichen, dass
KMU und Private noch zu wenig sensibel auf IT Sicherheit sind oder es einfach noch zu wenig
verstehen. Router und Firewall Zugriff sind im Visier von Cyber Crime und Geheimdiensten.
Bei der Übernahme dieser zentralen Netzwerkgeräte ist es möglich, den ganzen, auch ver-
schlüsselten, Verkehr mitzuhören und umzuleiten, ohne, dass der Benutzer dies bemerkt.
© First Security Technology
www.first-security.com
13Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Die Sensibilisierung für Remotezugänge bei SSH und RDP
steigt. Nicht aber bei Router und Firewall Konfigurationszugrif-
fen von Kleinstunternehmungen und Privaten.
Produkte
Apache httpd
Microsoft IIS
httpd
OpenSSH
ProFTPD
Microsoft
Terminal Service
FRITZ!Box
http config
lighttpd
nginx
0 20’000 40’000 60’000 80’000 100’000 120’000 140’000 160’000
Aktive Ports
7: Häufigkeit der eingesetzten Produkte
© First Security Technology
www.first-security.com
14Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
5. Schwachstellenvorhersage (Vulnerability Forecast)
6,2 Mio Max CVSS
Schwachstellen in Services 10.0
11,3 Mio
OS-Schwachstellen/IP: 25.3
Schwachstellen in OS Produkte-Schwachstellen/Port: 5.5
Sind die Betriebssysteme, Dienste und ihre Versionen identifiziert, lassen sich durch einen
1
Definition im Glossar Vergleich mit der CVE-Datenbank 1 die potenziellen Schwachstellen ermitteln. Eine solche
Vorhersage zeigt mögliche Schwachstellen auf. Diese müssen nicht zwingend tatsächlich
vorhanden sein und sich ausnutzen lassen. Über die effektive Bedrohung gäben erst Secu-
rity Scans Auskunft; solche wurden aber für diesen Bericht aus rechtlichen Gründen nicht
durchgeführt.
Mit der Schwachstellenvorhersage decken wir ein Potenzial von über 17 Millionen
Schwachstellen auf. Übertragen auf die identifizierten Systeme bedeutet dies: Im Durch-
schnitt gibt es im Schweizer Internet über 25 OS-Schwachstellen pro aktives System und
5.5 pro aktiven Dienst. Die Bedeutung der Schwachstellen kann von klein bis hin zu kritisch
2
Definition im Glossar reichen. Kritische Schwachstellen entsprechen dem CVSS-Wert 2 von 10. Dies ist der maxi-
mal mögliche und bei unseren Untersuchungen auch sehr oft entdeckte Wert.
Wir stellen fest, dass in den letzten Jahren die Schwachstellen in den Betriebssysteme ab-
nehmend und bei den Produkten zunehmend sind.
3
Es handelt sich um potenzielle Unsere Inventarisierung ermittelte über 9’800 verschiedene Produkte, die über
Schwachstellen und nicht effektive. IP-Adressen ansprechbar sind. Diese verglichen wir mit der CVE-Datenbank, die über
Patches können Schwachstellen
beheben und dabei die Versionen 65’000 Schwachstellen kennt.
nicht Verändern. Dies führt zu Abbildung 8 zeigt die Top-10-Betriebssystemhersteller mit den meisten Schwach-
einer gewissen Ungenauigkeit der stellen. Der Schweregrad der Schwachstellen ist in fünf Kategorien unterteilt: vernachläs-
Resultate. Details unter Punkt 3.2
sigbar, klein, mittel, hoch und sehr hoch.
Hersteller
Linux
Microsoft
Cisco
Apple
Sun
Roku
FreeBSD
Linksys
VMware
OpenBSD
0 2’000 4’000 6’000 8’000 10’000 12’000 14’000
Summe aller Schwachstellen
Vernachlässigbar Klein Mittel Hoch Sehr Hoch
8 3 : Die zehn Hersteller mit den meisten Schwachstellen und ihr Schweregrad
© First Security Technology
www.first-security.com
15Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Abbildung 9 zeigt die zehn Produkte mit den meisten Schwachstellen. Der Schweregrad
der Schwachstellen ist in fünf Kategorien unterteilt: vernachlässigbar, klein, mittel, hoch und
sehr hoch.
Produkte
IMail NT-ESMTP
Apache httpd
OpenSSH
Indy httpd
FileZilla ftpd
Alt-N MDaemon mail server
WS ftpd
MySQL
Alt-N MDaemon imapd
MDaemonmail pop3d
0 2’000 4’000 6’000 8’000 10’000 12’000 14’000 16’000
Summe aller Schwachstellen
Vernachlässigbar Klein Mittel Hoch Sehr Hoch
9 1 : Die zehn Produkte mit den meisten Schwachstellen
5.1 Die Schwachstellen bei den Betriebssystemen sind in den letzten Jahren stark abnehmend,
Angreifbare doch gibt es immer noch genügend. Die Herausforderung Linux besteht gleich wie in den
Betriebssysteme letzten Jahren. 26 % der Systeme sind verantwortlich für 86 % der potenziellen Schwach-
stellen. Die Herausforderung sind die Embedded Devices und nicht grundsätzlich Linux
als Server System im klassischen Verständnis. Embedded Devices wie Router, Modem,
Multimedia Geräte etc. erhalten meist nach der ersten Konfiguration keine Pflege mehr.
Auch wenn man Updates gerne einspielen möchte, viele Hersteller von billigen Systemen
bieten oft keine Updates an.
1-2
Es handelt sich um potenzielle
Schwachstellen und nicht effektive.
Patches können Schwachstellen 14
4%
14% Andere Schwachstellen
beheben und dabei die Versionen 1’531’578
nicht Verändern. Dies führt zu
einer gewissen Ungenauigkeit der Linux Schwachstellen
Resultate. Details unter Punkt 3.2 26%
% 9’774’035
Andere Hosts
332’145
Linux Hosts
114’576
74%
86
6%
86%
10 2 : Linux-Systeme und ihr Anteil an allen Schwachstellen
© First Security Technology
www.first-security.com
16Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Abbildung 11 zeigt die Anzahl Hosts und die Anzahl Schwachstellen der Hersteller. In dieser
Grafik ist der Anführer der Rangliste Linux nicht aufgeführt, um die anderen Hersteller besser
zu visualisieren.
Die Akteure sind bis auf Linksys und Cisco die gleichen wie letztes Jahr. In der
Summe weist Microsoft unverändert am zweitmeisten Schwachstellen auf, gefolgt von
FreeBSD. Cisco ist neu in den Top Ten und steigt gerade mit über 5’500 Schwachstellen ein.
Anzahl Hosts
0 5’000 10’000 15’000 20’000 25’000 30’000 35’000
Hersteller
Microsoft
FreeBSD
Cisco
Apple
Sun
OpenBSD
NetBSD
Roku
VMware
Linksys
0 200’000 400’000 600’000 800’000 1’000’000 1’200’000
Anzahl Schwachstellen
1
Es handelt sich um potenzielle 11 1 : Anzahl Schwachstellen und aktive Hosts nach Hersteller ohne Linux
Schwachstellen und nicht effektive.
Patches können Schwachstellen
beheben und dabei die Versionen
nicht Verändern. Dies führt zu
einer gewissen Ungenauigkeit der Um nicht nur die Summe aller Schwachstellen darzustellen, sondern auch die Frage zu
Resultate. Details unter Punkt 3.2
beantworten, welche Hersteller die meisten Schwachstellen im Durchschnitt besitzen, gibt
die Abbildung 12 die Antwort dazu.
Roku erscheint nun und ist, wie in den vergangenen 2 Jahren, der Hersteller mit
den meisten Schwachstellen pro System. Falls Sie ein solches System einsetzen, schauen
Sie bitte, dass es nicht direkt aus dem Internet erreichbar und entsprechend geschützt
ist. Interessant ist, dass Apple dieses Jahr im Durschnitt mehr Angriffsfläche als Microsoft
bietet.
© First Security Technology
www.first-security.com
17Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Hersteller
Roku
Sun
Linux
Apple
Microsoft
Cisco
FreeBSD
VMware
NetBSD
OpenBSD
0 50 100 150 200 250
Schwachstellen/Host
12 1 : Durchschnittliche Anzahl Schwachstellen pro Host nach Hersteller
5.1.1 Da Microsoft Systeme über 32’000 Mal zum Einsatz kommen, schauen wir uns diese
Microsoft etwas genauer an. Windows 2003 bietet das höchste Angriffspotenzial mit knapp 650’000
Schwachstellen. Gefolgt wird dieses, wie im Vorjahr, von Windows XP mit noch knapp
310’000. Das häufigste im Einsatz stehende Betriebssystem, Windows 2008, bietet 125’000
Schwachstellen.
Anzahl Hosts
0 5’000 10’000 15’000 20’000 25’000
Windows Versionen
2003
XP
2008
7
2000
Vista
Phone
2008 r2
PocketPC/CE
98
0 100’000 200’000 300’000 400’000 500’000 600’000 700’000
Anzahl Schwachstellen
1-2
Es handelt sich um potenzielle 13 2 : Anzahl Schwachstellen und Anzahl aktive Hosts von Microsoft OS
Schwachstellen und nicht effektive.
Patches können Schwachstellen
beheben und dabei die Versionen
nicht Verändern. Dies führt zu
einer gewissen Ungenauigkeit der
Resultate. Details unter Punkt 3.2
© First Security Technology
www.first-security.com
18Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
1-2
Es handelt sich um potenzielle Microsoft hat den Support für Windows XP im April 2014 eingestellt. Die Anzahl von
Schwachstellen und nicht effektive. XP Systemen im Schweizer Internet reduzierte sich im letzten Jahr um über 60 %. Die
Patches können Schwachstellen
beheben und dabei die Versionen Schwachstellen hingegen lediglich um 50 %. Dies führt zu einer Erhöhung der durch-
nicht Verändern. Dies führt zu schnittlichen Schwachstellen von XP auf knapp 310 pro System. Nehmen wir mal an,
einer gewissen Ungenauigkeit der dass 5 % effektiv über das Internet ausnutzbar sind, dann bestehen 15 Schwachstellen.
Resultate. Details unter Punkt 3.2
Wenn XP noch eingesetzt wird, dann sollte es nur in einer entsprechend geschützten
Umgebung Verwendung finden. Weitere in Bezug auf Schwachstellen nicht zu empfeh-
lende Versionen sind 2000 und 2003.
Windows Versionen
XP
2003
2000
Phone
Vista
2008 r2
2008
7
PocketPC/CE
98
0 50 100 150 200 250 300 350
Schwachstellen/Host
14 1 : Durchschnittliche Schwachstellen pro aktive Hosts nach Microsoft-OS-Versionen
5.2 Die Zusammenfassung der Schwachstellen für die einzelnen Ports sieht optisch sehr
Ports mit Schwachstellen ähnlich aus wie vor einem Jahr. Veränderung findet sich in der Anzahl der Schwachstellen,
welche fast überall zugenommen hat, am stärksten bei Port 80 und 443. Bemerkenswert
ist, dass auf Port 443, meist für HTTPS verwendet, mehr Schwachstellen als Port 80
aufweist. Obwohl Port 80 etwas mehr eingesetzt wird als Port 443. Heartbleed hat letztes
Jahr beeindruckend gezeigt, dass Sicherheitstechnologien Schwachstellen aufweisen
und verheerende Auswirkungen haben können.
Schwachstellen
3’000’000
2’500’000
2’000’000
1’500’000
1’000’000
500’000
0
21
22
23
25
50
51
80
53
110
137
139
143
161
389
443
465
515
547
989
993
995
1433
1521
1701
1723
2082
2483
2484
3306
8443
3389
5000
5222
5900
9200
8080
27017
27018
27019
28017
50030
50060
50070
50075
50090
50105
5223
TCP Ports
15 2 : Anzahl Schwachstellen auf den einzelnen Ports
© First Security Technology
www.first-security.com
19Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
HTTPS (Port 443/tcp) weist am meisten Schwachstellen bei
den Services auf. Heartbleed, Poodle und Co. hinterlassen
hier ihre Spuren.
Bei den Produkten hat die Anzahl der Hosts mit Apache httpd um 15 % zugenommen und
deren Schwachstellen um 17 % im Vergleich zu 2014. Bei Microsoft IIS httpd ist die Anzahl
der Hosts konstant geblieben. Die Anzahl der Schwachstellen verdreifachten sich innerhalb
eines Jahres! Das Gleiche zeichnet sich bei Microsoft Exchange smtpd ab. Bei gleichblei-
benden Hosts vermehrten sich die Schwachstellen um das 3.8-fache. VNC verdrängt dieses
Jahr MySQL aus den Top Ten und bietet auf 2’200 Hosts 66’000 Schwachstellen.
Anzahl Hosts
0 20’000 40’000 60’000 80’000 100’000 120’000 140’000 160’000
Produkte
Apache httpd
Microsoft IIS httpd
Microsoft Exghange
smtpd
OpenSSH
Microsoft HTTPAPI
httpd
Microsoft ftpd
Microsoft IIS
FileZilla ftpd
Dropbear sshd
Apple remote
desktop vnc
0 500’000 1’000’000 1’500’000 2’000’000 2’500’000 3’000’000
Anzahl Schwachstellen
1
Es handelt sich um potenzielle 16 1 : Anzahl Schwachstellen nach Produkt
Schwachstellen und nicht effektive.
Patches können Schwachstellen
beheben und dabei die Versionen
nicht Verändern. Dies führt zu
einer gewissen Ungenauigkeit der
Resultate. Details unter Punkt 3.2
Microsoft Produkte bieten ein Mehrfaches an Schwachstellen
als vor einem Jahr.
© First Security Technology
www.first-security.com
20Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Bei den durchschnittlichen Schwachstellen pro Host führen wenig überraschend Microsoft
Produkte, was bereits die vorherige Grafik vermuten liess. Apache httpd ist in etwa kons-
tant geblieben und rutscht vom Anführer auf die hinteren Plätze. Ein klassisches Beispiel,
wie man ohne sich zu verbessern, besser dasteht. Das Sprichwort vom Regen in die Traufe
passt hier ganz gut.
Microsoft
Produkte
HTTPAPI httpd
Microsoft ftpd
FileZilla ftpd
Microsoft IIS
Microsoft Exghange
smtpd
Microsoft IIS httpd
Apple remote
desktop vnc
Apache httpd
Dropbear sshd
OpenSSH
0 5 10 15 20 25 30 35
Schwachstellen/Host
17 1 : Durchschnittliche Anzahl Schwachstellen pro Host bezogen auf das Produkt
5.2.1 Wie bereits die letzten beiden Jahre weist unverändert die Version 2.2.3 am meisten
Apache Schwachstellen auf.
Anzahl Anzahl
Schwachstellen Hosts
160’000 12’000
140’000
10’000
120’000
8’000
100’000
80’000 6’000
60’000
4’000
40’000
2’000
20’000
0 0
2.2.12 2.0.52 2.2.8 2.4.7 2.2.14 2.2.9 2.2.16 2.2.22 2.2.15 2.2.3
Apache Versionen
1-2
Es handelt sich um potenzielle 18 2 : Schwachstellen von Apache nach Versionen
Schwachstellen und nicht effektive.
Patches können Schwachstellen
beheben und dabei die Versionen
nicht Verändern. Dies führt zu
einer gewissen Ungenauigkeit der
Resultate. Details unter Punkt 3.2
© First Security Technology
www.first-security.com
21Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
5.3 Spannend ist der jährliche Vergleich der Anzahl Schwachstellen innerhalb der verschiedenen
Branchen Branchen. Welche Branchen haben sich verbessert, welche weisen mehr Schwachstellen
auf? Für diesen Vergleich teilten wir die IP-Adressen in 16 Branchen ein. Ein Teil der aktiven
IP-Adressen wird via Internet Service Provider (ISP) dynamisch für den Internetzugang von
Privatpersonen und Kleinstunternehmen vergeben und weisen keinen weiteren spezifischen
Besitzer aus. Dieser Bereich besitzt am zweitmeisten aktive Hosts und führt die Rangliste
mit den meisten Schwachstellen an. Wo viel Angriffsfläche in Form von aktiven Systemen
vorhanden ist, bestehen auch viele Schwachstellen. Dies zeigt die Abbildung 19 deutlich.
Lediglich der Dienstleistungssektor sticht heraus. Und zwar positiv. Wie bereits die letzten
Jahre verfügt der Dienstleistungssektor über eine hohe Anzahl an aktiven Systemen und im
Verhältnis zu den anderen Branchen über relativ wenige Schwachstellen.
Anzahl Hosts
Branchen
0 20’000 40’000 60’000 80’000 100’000 120’000 140’000 160’000
ISP
Kommunikation
IT
Dienstleistungen
Wissenschaft
Versicherungen
Industrie
Energie
Behörden
Banken
Gesundheitswesen
Baugewerbe
Pharmaindustrie
Private
Landwirtschaft
Tourismus
0 1’250’000 2’500’000 3’750’000 5’200’000 6’250’000
Anzahl Schwachstellen
1
Es handelt sich um potenzielle 19 1 : Anzahl Schwachstellen und aktive Hosts nach Branchen
Schwachstellen und nicht effektive.
Patches können Schwachstellen
beheben und dabei die Versionen
nicht Verändern. Dies führt zu
einer gewissen Ungenauigkeit der
Resultate. Details unter Punkt 3.2
© First Security Technology
www.first-security.com
22Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Der Dienstleistungssektor ist bereits aufgefallen und im Vergleich durchschnittlicher
Schwachstellen pro Host schneidet er mit knapp 15 Schwachstellen am besten von allen
Branchen ab. Letztes Jahr war die beste Branche die Pharmaindustrie und besass durch-
schnittlich über 22 Schwachstellen. Gesamthaft gesehen sind weniger Schwachstellen
vorhanden als im 2014. Dies ist einerseits positiv, zeigt aber auch, dass sich die Sicherheit
der IT noch verbessern kann. Sucht man die Branche mit der höchsten Anzahl Schwach-
stellen pro System, findet man den letztjährigen Spitzenreiter, die Landwirtschaft, immer
noch ganz vorne. Die Anzahl reduzierte sich um mehr als die Hälfte, um der Situation
doch noch was Positives abzugewinnen.
Branchen
Landwirtschaft
IT
Wissenschaft
ISP
Private
Gesundheitswesen
Versicherungen
Industrie
Behörden
Kommunikation
Baugewerbe
Energie
Banken
Tourismus
Pharmaindustrie
Dienstleistungen
0 10 20 30 40 50 60 70 80
Schwachstellen/Host
1
Es handelt sich um potenzielle 20 1 : Durchschnittliche Anzahl Schwachstellen pro antwortende IP-Adresse nach Branche
Schwachstellen und nicht effektive.
Patches können Schwachstellen
beheben und dabei die Versionen
nicht Verändern. Dies führt zu
einer gewissen Ungenauigkeit der
Resultate. Details unter Punkt 3.2
© First Security Technology
www.first-security.com
23Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
Der Vergleich der einzelnen Branchen von 2014 mit 2015 zeigt links ausschlagende Balken
als Verbesserung und rechts ausschlagende Balken als Verschlechterung. Zu der erfreu-
lichsten Aussage dieses Berichts: Fast alle Branchen weisen gegenüber dem letzten Jahr
weniger Schwachstellen aus. Ausser Versicherungen, welche mit Vier Prozent fast gleich
geblieben sind und Private, die 16 % mehr Schwachstellen als vor einem Jahr aufweisen.
Branchen
Dienstleistungen
Gesundheitswesen
Tourismus
Energie
Pharmaindustrie
Landwirtschaft
Banken
Industrie
Kommunikation
ISP
Wissenschaft
Behörden
Baugewerbe
IT
Versicherungen
Private
-80 -60 -40 -20 0 20 40 60
Veränderung zu 2014 in %
21: Veränderung der potenziellen Schwachstellen gemäss der aktuellen Erhebung gegenüber SVR 2014
© First Security Technology
www.first-security.com
24Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
6. Aktuelle Schwachstellen in SSL und TLS
Wegen den vielen neuen Schwachstellen in Verschlüsselungstechniken wie SSL und TLS,
welche für die verschlüsselte Verbindung von Webseiten, E-Mail-Transfer (SMTPS, POP3S,
IMAPS), Filetransfer per FTP (FTPS), Datenbanken wie Oracle und auch VPN (SSL VPN)
Verwendung finden, haben wir unsere Prüfungen mit den Statistiken von Poodle und Logjam
erweitert.
6.1 Die Poodle («Padding Oracle On Downgraded Legacy Encryption») ist eine «man in the
Poodle middle» (MITM) Schwachstelle. Poodle wurde am 14. Oktober 2014 publiziert. Am 13.
Februar 2015, vier Monate später, prüften wir die Schweiz auf diese Schwachstellen.
Über 131’000, dies entspricht 67 % der HTTPS Verbindungen auf Port tcp 443, waren zu
diesem Zeitpunkt anfällig. Am 27. Mai 2015, mehr als 7 Monate nach der Veröffentlichung,
sind immer noch 50 % der HTTPS Server angreifbar. Der HTTPS Admin Port weist mit
über 6’100 im Februar und 5’400 im Mai eine grössere Anzahl angreifbarer Systeme auf.
Vor allem mit dem Wissen, dass dieser Port meist für die Administration Verwendung
findet. Interessant ist, dass die verschiedenen E-Mail Protokolle unterschiedliche Anfäl-
ligkeiten aufweisen. SMTPS ist im Vergleich zu IMAPS und POP3S nicht wesentlich von
Poodle behaftet.
200’000
Hosts
150’000
100’000
50’000
0
443 465 989 993 995 2484 5223 8443
HTTPS SMTPS FTPS IMAPS POP3S OracleS XMPPS HTTPS
Admin
Anfällige Hosts Anzahl Hosts TCP Port
22: Server anfällig auf POODLE am 13. Februar 2015
© First Security Technology
www.first-security.com
25Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
200’000
Hosts
150’000
100’000
50’000
0
443 465 989 993 995 2484 5223 8443
HTTPS SMTPS FTPS IMAPS POP3S OracleS XMPPS HTTPS
Admin
Anfällige Hosts Anzahl Hosts TCP Port
23: Server anfällig auf POODLE am 27. Mai 2015
Der prozentuale Vergleich von allen zur Verfügung stehenden Hosts und den Poodle anfälligen
an den beiden Messtagen zeigt einen leichten Rückgang. Trotzdem sind nach 7 Monaten
gesamthaft gesehen immer noch 45 % der anfälligen Dienste von Poodle behaftet. FTPS
und OracleS zeigen eine vernachlässigbare Anzahl auf. Spannend ist ebenfalls, dass
XMPPS zugenommen hat. XMPPS, früher als Jabber bekannt, ist ein Internetstandard für
XML-Routing und wird hauptsächlich für Instant Messaging verwendet.
Vergleich POODLE Februar und Mai 2015
70%
Hosts
60%
50%
40%
30%
20%
10%
0%
443 465 989 993 995 2484 5223 8443 Total
HTTPS SMTPS FTPS IMAPS POP3S OracleS XMPPS HTTPS
Admin
13.02.2015 27.05.2015 TCP Port
24: Vergleich der anfälligen Systeme in % im Februar und Mai 2015
© First Security Technology
www.first-security.com
26Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
6.2 1
Logjam ist eine Angriffsmethode gegen das Diffie-Hellman Schlüsselaustausch Protokoll
Logjam verwendet bei TLS. Es ermöglicht eine «man in the middle» (MITM) Attacke indem es ein
Herabstufen (downgrade) auf 512-bit export-grade Verschlüsselung erlaubt. Dies erlaubt
dem Angreifer Daten der verschlüsselten Verbindung zu lesen und zu modifizieren. 8.4 %
1
Quelle: der Top 1 Million HTTPS Webseiten der Welt sind auf diese Schwachstelle anfällig (Stand
https://www.schneier.com / 21.5.15). Passives Mithören der Verbindung bei HTTPS ist nach Bruce Schneier auf 18 % der
blog /archives /2015/ 05/
the_logjam_and_.html HTTPS Server möglich. Bei SSH sind es 26 % und bei VPN sogar 66 %. Übrigens verwendet
die NSA, sehr wahrscheinlich auch andere Geheimdienste, unter anderem diese Methode
um mitzuhören und Angriffe durchzuführen.
In der Schweiz sind 29 % der HTTPS Webseiten (Port 443 tcp), dies entspricht
über 57’000 Server, per Ende Mai 15 anfällig auf diese Angriffsmethode. Die E-Mail Proto-
kolle zeigen folgendes Bild: SMTPS mit 4’600 (28 %), IMAPS mit 5’100 (29 %) und POP3S
mit 3’200 (23 %) verwundbaren Services. FTPS zeigt praktisch keine Logjam Verwundbar-
keiten auf. HTTPS Admin ist mit 23 % oder 3’100 Services mit den anderen untersuchten
Diensten vergleichbar.
200’000
Hosts
150’000
100’000
50’000
0
443 465 989 993 995 8443
HTTPS SMTPS FTPS IMAPS POP3S HTTPS
Admin
Anfällige Hosts Anzahl Hosts TCP Port
25: Server anfällig auf Logjam am 27. Mai 2015
Auch hier empfiehlt es sich die Systeme zu aktualisieren. Client und Server seitig. Möchten
Sie wissen ob Sie auf diese und weitere Schwachstellen anfällig sind? Genau hier helfen
wir Ihnen mit unserer in der Schweiz entwickelten Lösung weiter. Ohne grossen Aufwand Ih-
rerseits untersucht unser System Ihre IT Infrastruktur automatisch auf Schwachstellen. Dies
nicht nur einmal, um nur eine Zeitaufnahme zu gewinnen. Wir bieten IT Sicherheitsprüfungen
in regelmässigen Abständen von täglich bis zu monatlichen Intervallen, vollautomatisiert,
um IT Schwachstellen für Sie sichtbar zu machen und die Effizienz und Effektivität Ihrer IT
Sicherheit zu steigern. Gerne zeigen wir Ihnen unsere Lösung im Detail.
© First Security Technology
www.first-security.com
27Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
7. Fazit
Wir werden immer wieder gefragt: Und nun, was sollen wir tun?
Viele Unternehmungen haben immer noch keine klare IT Strategie oder die IT
Projekte und IT Infrastruktur sind nicht mehr überschaubar: Historisches Wachstum führte
zu einem Wildwuchs, die Dokumentation litt stark darunter, die Komplexität wuchs in den
letzten Jahren und niemand weiss mehr genau, was alles in der IT vorhanden und wie es
miteinander verknüpft ist. Eine Überprüfung der IT Infrastruktur hilft hier weiter. Viele Firmen
neigen dazu, zuerst die bekannten Probleme zu lösen, bevor sie sich an eine Prüfung
heran wagen. Der effizientere Weg ist, zuerst eine Prüfung durchzuführen und anhand der
gewonnen, effektiven Informationen die richtigen Entscheidungen effizient treffen zu können.
Genau hier hilft die FST mit ihrer Lösung um sich, mit geringerem Aufwand, einfach und
schnell eine Übersicht (Inventar und Zustand) zu verschaffen. Im Zeitalter von Cyber Krimi-
nalität und Spionage ist es essentiell eine sichere IT zu betreiben um im Markt erfolgreich
zu sein und zu bleiben.
7.1 Um die effektiven Schwachstellen in Ihrem Netzwerk zu identifizieren und möglichst rasch
Vulnerability Management zu beheben, empfiehlt sich eine regelmässige Prüfung. Dieser Prozess inklusive Behebung
von Schwachstellen nennt sich Vulnerability Management. Dabei wird in einem ersten
Schritt die Infrastruktur inventarisiert – genau so, wie wir es für diesen Bericht gemacht
haben. So können die aktiven Systeme identifiziert werden. Als Ergebnis erhalten Sie eine
Schwachstellenvorhersage. Die tiefe Sicherheitsuntersuchung wiederum deckt die real
existierenden Schwachstellen auf. Diese werden in stufengerechten Reports aufbereitet
und priorisiert. Eine klare Anleitung unterstützt Sie anschliessend darin, die Schwachstellen
korrekt und effizient zu beheben. Auf diese Weise steigern Sie die Effizienz und Effektivität
Ihrer IT und erhöhen die IT-Sicherheit markant. So vermindern Sie IT-Risiken und sparen
mittel- und langfristig viel Geld.
A s s e s s m e nt
nt a r i s i e r u n g
Inve
S c a n n i ng
B e h e e di at
in g
(R e m
or t
b u io
ng
ep
n) R
Vu
ln e
ra bi a st
lit y Fore c
26: Vulnerability-Management-Prozess
© First Security Technology
www.first-security.com
28Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
7.2 Regelmässige Updates des Betriebssystems, der Services und der Applikationen sind
Software-Updates zwingend notwendig, um Angriffe auf bereits behobene Schwachstellen abzuwenden.
Softwareverteilungslösungen und Patch Management dienen als wertvolle Werkzeuge für
solche Updates.
7.3 Eine Firewall verringert die Angriffsfläche massgeblich. Nicht benötigte Dienste sollten gar
Firewall richtig nicht erst vom Internet ansprechbar sein. Wir stellen aber immer wieder fest, dass Firewalls
konfigurieren nicht optimal konfiguriert oder Systeme direkt ohne Firewall an öffentliche Netzwerke ange-
schlossen sind. Betreiber sollten ihre IP-Adressen im Internet regelmässig prüfen – so, wie
sie Backups regelmässig durchführen oder Antivirussysteme aktualisieren. Der Inventarisie-
rungs-Dienst der First Security Technology führt solche Überprüfungen für ihre Kunden sehr
einfach in kurzer Zeit durch.
7.4 Passwörter und sensitive Informationen dürfen nie unverschlüsselt übermittelt werden.
Verschlüsselung und Unsere Erfahrung zeigt, dass noch immer viele Remote- und Administrationszugänge
Passwörter nicht oder nur schlecht verschlüsselt sind. Aber auch via E-Mail wird oft nicht verschlüs-
selt kommuniziert. Wir meinen damit nicht nur unverschlüsselte E-Mails, sondern auch
die unverschlüsselte Authentifizierung beim Empfangen und Versenden von E-Mails. Pass-
wörter für den E-Mail-Zugang, die in Klartext übermittelt werden, lassen sich sehr einfach
abfangen – entsprechend häufig wird dies ausgenutzt.
© First Security Technology
www.first-security.com
29Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
8. Glossary
8.1 Das Common Vulnerability Scoring System (wörtlich übersetzt: «Gebräuchliches Verwund-
CVSS barkeitsbewertungssystem»), abgekürzt CVSS, ist ein Industriestandard zur Beschreibung
des Schweregrades von Sicherheitslücken in Computer-Systemen. Im CVSS werden Sicher-
Quelle: heitslücken nach verschiedenen Kriterien, sogenannten Metrics, bewertet und miteinander
http://de.wikipedia.org /wiki /CVSS verglichen, so dass eine Prioritätenliste für Gegenmassnahmen erstellt werden kann.
CVSS ist selbst kein System zur Warnung vor Sicherheitslücken sondern ein Standard, um
verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein
verständlich zu machen.
Dabei bedeutet 0 kein Risiko und 10 ist der maximale Wert und stellt eine bedrohli-
che Schwachstelle dar.
8.2 Common Vulnerabilities and Exposures (CVE) ist ein Industriestandard, dessen Ziel
CVE Datenbank die Einführung einer einheitlichen Namenskonvention für Sicherheitslücken und andere
Schwachstellen in Computersystemen ist. Mehrfachbenennung gleicher Gefahren durch
Quelle: verschiedene Unternehmen und Institutionen werden um eine laufende Nummer (z. B.
http://de.wikipedia.org /wiki / CVE-2006-3086) ergänzt, um eine eindeutige Identifizierung der Schwachstelle zu ge-
Common_Vulnerabilities_
and_Exposures währleisten. Dadurch ist ein reibungsloser Informationsaustausch zwischen den verschie-
denen Datenbanken einzelner Hersteller möglich.
Die Liste der Common Vulnerabilities and Exposures wird von der MITRE Corporation
in Zusammenarbeit mit Sicherheitsexperten, Bildungseinrichtungen, Behörden und Herstel-
lern von Sicherheitssoftware (wie z. B. Antivirenprogramme) verwaltet.
10’000
Schwachstellen
9’000
8’000
7’000
6’000
5’000
4’000
3’000
2’000
1’000
0
1996
1997
1998
1999
2000
2012
2013
2014
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
Vernachlässigbar Klein Mittel Hoch Sehr Hoch Jahr
27: neue Schwachstellen pro Jahr in der CVE-Datenbank mit Schweregrad
8.3 Das Betriebssystem ist die Schnittstelle zwischen dem Computer und dem Anwender.
Betriebssystem
© First Security Technology
www.first-security.com
30Pascal Mittner CEO, Paulo Steiner CTO
Swiss Vulnerability Report 2015
8.4 Auf einem Port können Verbindungen hergestellt werden, er ist sozusagen die Tür zum
Port Server. Während dem Swiss Vulnerability Scan wurden folgende Ports geprüft:
(Liste mit am meisten Port Protokoll Name
verwendeten Dienste) 21 TCP FTP
22 TCP SSH
23 TCP TELNET
25 TCP SMTP
50 TCP IKE (VPN)
51 TCP IMP
53 TCP DNS
80 TCP HTTP
110 TCP POP3
137 TCP NETBIOS
139 TCP NETBIOS
143 TCP IMAP
161 TCP SNMP
389 TCP LDAP
443 TCP HTTPS
465 TCP SMTPS
515 TCP LPD
547 TCP DHCP
989 TCP FTPS
993 TCP IMAPS
995 TCP POP3S
1433 TCP MSSQL
1521 TCP ORACLE
1701 TCP VPN
1723 TCP PPTP
2082 TCP CPANEL
2483 TCP ORACLE
2484 TCP ORACLES
3306 TCP MYSQL
3389 TCP RDP
5000 TCP UPNP
5222 TCP XMPP
5223 TCP XMPPS
5900 TCP VNC
8080 TCP HTTP ADMIN
8443 TCP HTTPS ADMIN
9200 TCP ELASTICSEARCH
27017 TCP MONGODB
27018 TCP MONGODB (SHARDSVR)
27019 TCP MONGODB (CONFIGSVR)
28017 TCP MONGODB [WEB STATUS PAGE]
28018 TCP MONGODB (SHARDSVR) [WEB STATUS PAGE]
28019 TCP MONGODB (CONFIGSVR) [WEB STATUS PAGE]
50030 TCP HADOOP (JOBRACKER)
50060 TCP HADOOP (TASKTRACKERS)
50070 TCP HADOOP (NAMENODE)
50075 TCP HADOOP (DATANODES)
50090 TCP HADOOP (SECONDARYNAMENODE)
50105 TCP HADOOP (BACKUP/CHECKPOINT NODE)
Die Namen der Ports sind durch den Standard gegeben. Es können auf den TCP Ports
auch andere Services aktiv sein. Die Auswertungen auf den Produkten basieren auf den
Bannern und nicht auf den TCP Ports.
© First Security Technology
www.first-security.com
31Sie können auch lesen
