CERT Jahresbericht 2002
Das Computer Emergency Response Team (CERT) Coordination Center, das sich mit Sicherheitslücken in Computersystemen beschäftigt, hat seinen Jahresbericht 2002 vorgelegt.
CERT ist an der Carnegie Mellon University (CMU) angesiedelt und analysiert in Zusammenarbeit mit den Herstellern Sicherheitsprobleme. Im Jahr 2002 wurden 204,841 Emails und 880 Hotline-Anrufe bearbeitet. 4129 Berichte über Sicherheitslücken wurden empfangen, 82,094 einzelne Vorfälle behandelt.
Die Organisation gab 37 »Advisories« heraus. Diese beschreiben Sicherheitslücken im Detail. Dabei werden allerdings nur jene behandelt, die dem CERT wichtig genug erscheinen, und erst nach einer Frist von mindestens vier Wochen, in denen die Hersteller Patches vorbereiten können.
Die folgende Liste zeigt, welche Ereignisse 2002 CERT eine Meldung wert waren. Die Kategorien wurden von mir hinzugefügt und sind nicht unbedingt der Weisheit letzter Schluß. Es gibt Überschneidungen zwischen den einzelnen Kategorien. Ich habe jede Meldung in die am passendsten erscheinende eingeordnet.
- UNIX: CDE (3), rpc.rwalld, XDR
- Solaris: cachefsd, Solaris Font Service
- Windows, Microsoft: IE, IIS, MSN Chat, SQL, MDAC, Windows Shell
- Windows, nicht Microsoft: AOL ICQ, Yahoo Messenger
- Systemübergreifende Implementierungsfehler in Protokollen: SNMP, RADIUS, SSH
- Freie Software: PHP (2), zlib, DHCP Daemon, BIND (2), Apache, OpenSSH, DNS Resolver, OpenSSL, Kerberos
- Proprietäre Software: Oracle, Macromedia JRun
- Trojaner: OpenSSH, Sendmail, tcpdump
- Würmer: Apache
- Hardware/eingebettet: Alcatel AOS, Sun RaQ
Als unsicherste Applikation müßte nach dieser Liste das proprietäre Desktop-System CDE gelten, doch darf man nicht vergessen, daß die Microsoft-Produkte weit mehr Probleme hatten, als aus den CERT Advisories ersichtlich ist.
Daß bei den Würmern ausgerechnet der Apache Slapper aufgeführt ist, mutet angesichts der Windows-Würmer etwas seltsam an. Immerhin infizierte Slapper lediglich einige tausend Systeme, Code Red dagegen hunderttausende.
Drei weit verbreitete freie Programme wurden in infizierten Versionen in Umlauf gesetzt, wobei das Problem jeweils nach kurzer Zeit entdeckt wurde. Die Ursache lag nicht in den freien Programmen selbst, sondern in Mängeln bei der Verwaltung der Server und Kompromittierung von Paßwörtern.
Die größte Kategorie scheint die der freien Software zu sein. Das dürfte hauptsächlich an der weiten Verbreitung freier Software gerade im Internet-Bereich liegen. Betrachtet man aber einzelne Programme, so wurde Apache genauso wie IIS mit jeweils einer Nennung »bedacht«, Apache hat aber mehr als den doppelten Marktanteil wie IIS.
Es muß noch einmal betont werden, daß die 37 Advisories keinen repräsentativen Querschnitt aller Sicherheitslücken 2002 darstellen. Eine umfassende Statistik des Jahres 2002 ist uns noch nicht bekannt.
