Vortrag "Unix-/Linux-Distributionen und fehlende Updates erkennen an Server-Antworten"

Wie, Wann, Wo

• Mittwoch, 13. November 2019
• Von 19:30 - 20:30
• im Rahmen des wöchentlichen Chaostreffs
• https://www.lugs.ch/lugs/termine/#20191113_0_spec

Zusammenfassung

Die meisten Server-Antworten enthalten irgendwo Versionsnummern, nicht
selten sogar die exakte Paket- oder Kernel-Version. Haben wir eine von
beiden, können wir schon oft die verwendete Distribution und das
Distributions-Release herausfinden. Und mit etwas Glück können wir
sogar abschätzen, wie fleissig die Admins beim Einspielen von
Sicherheitsupdates sind.

Der Vortrag zeigt einerseits das generelle Konzept und einige
hilfreiche Fakten: Welche Dienste sind eher gesprächig bzgl.
Versionsnummern? Wie kann man dennoch nur aus der
“Upstream”-Versionsnummer eines Dienstes auf Distribution und
vielleicht auch Patch-Stand schliessen?

Und andererseits zeigt er “dist-detect”, einen auf diesen Konzepten
aufbauenden Proof-of-Concept “Low-Hanging-Fruit
Distributions-Detektor”.

Lange Beschreibung

Motivation

In grossen, heterogenen Organisationen sind meist viele verschiedene
Systemadministratoren am Werk — und nicht alle sind gleich-fleissig
beim Einspielen von Sicherheitsupdates. Aber auch in eigentlich™
homogenen, komplett zentral gemanagten Umfeldern gibt es meist noch
Altlasten, die man irgendwann™ mal ins zentrale
Konfigurationsmanagement übernehmen sollte, aber dann doch keine Zeit
findet und es vielleicht sogar vergisst.

In beiden Fällen will man als Netzwerkverantwortlicher von den weniger
gut gepflegten Rechnern wissen, sodass man im Zweifelsfall
intervenieren kann.

Und manchmal findet man aus anderen Gründen einen internen Server, der
ungepflegt aussieht, und will mehr darüber wissen, bevor man
den Admin kontaktiert. Auch hier kann ein kurzer Blick auf ein paar
Server-Antworten helfen, eine Idee zu bekommen, welches Unix oder
Linux hier läuft und wie gut die Installation gepflegt ist.

Dabei geht es nicht um einzelne, spezifische Sicherheitslücken oder
Anwendungen, sondern um Systeme, bei denen offensichtlich keine
Sicherheitsupdates eingespielt werden und die deshalb generell eine
unnötige Angriffsfläche darstellen.

In all diesen Fällen reicht es sehr oft aus, die angegebenen
Versionsnummern anzuschauen, die man mit einzelnen, wenigen
Server-Antworten auf simple, keine Last erzeugenden Anfragen bekommt.

Inhalt

Der Vortrag zeigt einerseits das generelle Konzept und einige
Beispiele, geht aber auch darauf ein,

• warum Nessus, Nmap, p0f und Co an dieser Stelle nicht die richtigen
  Tools sind,

• welche Dienste sich wie gut als Quelle für solche minimal-invasiven
  Abfragen anbieten,

• dass man manchmal die Ergebnisse verschiedener Dienste kombinieren
  muss, um zum Ziel zu kommen,

• und stellt die Proof-of-Concept-Implementierung “dist-detect” vor,
  die innert 10-15 Sekunden ein ganzes /24-Netzwerk scannt und die
  Server-Antworten analysiert.

Ausserdem gibt der Vortrag einen Ausblick darauf, was man in diesem
Bereich noch alles machen kann.

Link: https://github.com/xtaran/dist-detect