Vortrag "Unix-/Linux-Distributionen und fehlende Updates erkennen an Server-Antworten"

Wie, Wann, Wo

Zusammenfassung

Die meisten Server-Antworten enthalten irgendwo Versionsnummern, nicht selten sogar die exakte Paket- oder Kernel-Version. Haben wir eine von beiden, können wir schon oft die verwendete Distribution und das Distributions-Release herausfinden. Und mit etwas Glück können wir sogar abschätzen, wie fleissig die Admins beim Einspielen von Sicherheitsupdates sind.

Der Vortrag zeigt einerseits das generelle Konzept und einige hilfreiche Fakten: Welche Dienste sind eher gesprächig bzgl. Versionsnummern? Wie kann man dennoch nur aus der "Upstream"-Versionsnummer eines Dienstes auf Distribution und vielleicht auch Patch-Stand schliessen?

Und andererseits zeigt er "dist-detect", einen auf diesen Konzepten aufbauenden Proof-of-Concept "Low-Hanging-Fruit Distributions-Detektor".

Lange Beschreibung

Motivation

In grossen, heterogenen Organisationen sind meist viele verschiedene Systemadministratoren am Werk — und nicht alle sind gleich-fleissig beim Einspielen von Sicherheitsupdates. Aber auch in eigentlich™ homogenen, komplett zentral gemanagten Umfeldern gibt es meist noch Altlasten, die man irgendwann™ mal ins zentrale Konfigurationsmanagement übernehmen sollte, aber dann doch keine Zeit findet und es vielleicht sogar vergisst.

In beiden Fällen will man als Netzwerkverantwortlicher von den weniger gut gepflegten Rechnern wissen, sodass man im Zweifelsfall intervenieren kann.

Und manchmal findet man aus anderen Gründen einen internen Server, der ungepflegt aussieht, und will mehr darüber wissen, bevor man den Admin kontaktiert. Auch hier kann ein kurzer Blick auf ein paar Server-Antworten helfen, eine Idee zu bekommen, welches Unix oder Linux hier läuft und wie gut die Installation gepflegt ist.

Dabei geht es nicht um einzelne, spezifische Sicherheitslücken oder Anwendungen, sondern um Systeme, bei denen offensichtlich keine Sicherheitsupdates eingespielt werden und die deshalb generell eine unnötige Angriffsfläche darstellen.

In all diesen Fällen reicht es sehr oft aus, die angegebenen Versionsnummern anzuschauen, die man mit einzelnen, wenigen Server-Antworten auf simple, keine Last erzeugenden Anfragen bekommt.

Inhalt

Der Vortrag zeigt einerseits das generelle Konzept und einige Beispiele, geht aber auch darauf ein,

  • warum Nessus, Nmap, p0f und Co an dieser Stelle nicht die richtigen Tools sind,

  • welche Dienste sich wie gut als Quelle für solche minimal-invasiven Abfragen anbieten,

  • dass man manchmal die Ergebnisse verschiedener Dienste kombinieren muss, um zum Ziel zu kommen,

  • und stellt die Proof-of-Concept-Implementierung "dist-detect" vor, die innert 10-15 Sekunden ein ganzes /24-Netzwerk scannt und die Server-Antworten analysiert.

Ausserdem gibt der Vortrag einen Ausblick darauf, was man in diesem Bereich noch alles machen kann.

Link: https://github.com/xtaran/dist-detect