Schwachstellen mit Open VAS aufspüren

Um ihre Netze sauber zu halten, lesen viele Systemverantwortliche die "InSecurity News" oder halten sich über Sicherheitsportale auf dem Laufenden. Wer konsequent Paketverwalter wie Debians Apt oder Open Suses Zypper einsetzt, bekommt die Patches ohnehin frei Haus. Leider kommt dieses Szenario oft einem frommen Wunsch gleich: Da gibt es im Netz Legacy-Systeme oder schlicht Anwender, die sich nicht um regelmäßige Aktualisierungen scheren.

Admins gehen daher mit Tools wie dem Portscanner Nmap auf die Suche nach unbekannten Rechnern oder ungewöhnlichen Ports. Der fahndet zwar neuerdings dank NSE-Erweiterung auch nach Diensten und Versionen, aber nicht explizit nach Lecks. Das tat erstmals der Schwachstellenscanner Nessus als Open-Source-Software. Die Ankündigung der Firma Tenable im Oktober 2005, die Software ab Version 3 künftig als Closed Source weiterzuführen [1], hat jedoch für Unmut gesorgt ([2], [3]), die Version 2 blieb konform zur GPL frei.

Dies nutzten Entwickler, um einen Fork unter dem Namen Open VAS zu starten [4]. Er zog mehr Entwickler als das vormals zentral organisierte Nessus an und kam im Juli 2007 mit einer ersten Version 0.9 heraus. Der Zweig 1.x war in vielen Belangen noch kompatibel zu Nessus, ab der Version 2.0 vom Sommer 2009 änderten die Entwickler jedoch Kommunikationsprotokolle und schrieben viele Komponenten von Grund auf neu.

Aufholjagd

Das Projekt wirbt mit über 13000 Checks auf Schwachstellen, die es Network Vulnerability Tests (NVTs) nennt. Das ist knapp die Hälfte der über 30000 Plugins, die Nessus anbietet. Eine Untersuchung des kroatischen Labors für Signale und Systeme der Universität Zagreb kommt jedoch zum Schluss, dass Open VAS gerade bei neueren Schwachstellen gut mithält, was die Erkennungsrate angeht [5].

Experimentell ist zur Zeit noch der Support der Open Vulnerability and Assessment Language (OVAL) des amerikanischen MITRE, das auch die CVE-Identifier herausgibt [6]. Red Hats Sicherheitsteam veröffentlicht beispielsweise Advisories in diesem XML-Format, die Open VAS dadurch automatisch prüfen kann.

Problemfällen auf der Spur

Um Konfigurationsfehler in einem Netz zu finden, fahndet Open VAS zunächst nach offenen Diensten. Es lassen sich sowohl ein eingebauter Portscanner als auch über Wrapper externe Werkzeuge nutzen, darunter Nmap oder spezialisierte Tools wie IKE-Scan, SNMP-Walk oder Port Bunny [7]. Sie füllen über Funktionsaufrufe eine interne Datenbank. Im nächsten Schritt startet Open VAS jeden NVT und berücksichtigt dabei Abhängigkeiten der Plugins untereinander. Ein Plugin sucht sich passende Ports heraus und prüft dort, ob seine spezifische Schwachstelle vorliegt.

Die meisten in der Spezialsprache NASL geschriebenen Tests gehen dabei vorsichtig vor und ziehen ihre Schlüsse aus Antworten des Dienstes. Einige Schwachstellen lassen sich aber nur nachweisen, indem sie eine gewisse Payload an den Dienst senden und dieser fortan nicht mehr reagiert. Solche Plugins markieren die Entwickler als »unsafe«, der Anwender muss sie gesondert aktivieren.

Die Entwickler schreiben ihre NVTs oft auf Grundlage von Advisories und fußen daher auf deren Angaben. Ein weiteres Problem sind Virtual Hosts auf einem Scannerziel: Gegenwärtig arbeiten die Entwickler erst daran, auch Schwachstellen auf virtuellen Domains aufzuspüren. Es ist aber erkennbar, dass das Projekt vornehmlich darauf zielt, wohlbekannte Schwachstellen wie in einer Checkliste abzuhaken statt nach unbekannten oder ungewöhnlichen Konfigurationen zu suchen. Insofern ist Open VAS eher als Werkzeug des Sicherheitsmanagements als ein Scanner per se zu verstehen.