GloomY
2004-08-30, 17:12:57
Mit Hilfe von RAW-Sockets kann man in einem Netzwerk einzelne Datenpakete verschicken oder manipulieren, auf die man sonst keinerlei Zugriff hat. Normalerweise stellen unter Windows bestimmte API-Funktionen die Netzwerkmöglichkeiten bereit, um z.B. eine TCP/IP-Verbindung zu einem anderen Rechner aufzubauen. Die dafür nötigen TCP Pakete kann man aber - ohne RAW Sockets - nicht selbst beeinflussen, denn das Verschicken selbiger übernimmt das Betriebssystem - genauer gesagt dessen TCP/IP Implementierung (auch "TCP/IP Stack" genannt).
Die Möglichkeit einzelne low-level Pakete zu verschicken oder z.B. einzelne Bits in den Headern zu verändern, birgt eine gewisse Gefahr, denn viele Angriffsarten in Netzwerken (IP-Spoofing, SYN-Flood, redirected distributed DOS usw.) haben als Vorraussetzung die Manipulation einzelner Pakete bzw. das Senden vieler gleichartiger Pakete.
Für eine Applikation, die einfach nur Daten über das Netzwerk austauschen möchte, ist dies komplett uninteressant, denn es gibt schlichtweg keinerlei Notwendigkeit dafür. Man kann ALLES für eine Applikation notwendige ohne RAW Sockets erledigen. Einzig für Netzwerkadministratoren, die zu Testzwecken einzelne Pakete mit genau festgelegten Inhalten verschicken wollen, ergibt sich ein Nutzen aus den Möglichkeiten, welche RAW Sockets zur Verfügung stellen. Für den Homeuser ist das aber komplett irrelevant.
Insofern schien es ziemlich komisch, als Microsoft in Windows 2000 einen RAW Socket implementierte und dies bei Windows XP fortsetzte. Ein Consumer-Betriebssystem für den Heimanwender mit den mächtigen Fähigkeiten, die man sonst nur von professionellen Betriebssystemen wie Linux oder Unix kannte, wurde daraufhin millionenfach in der Welt verbreitet. Ein "WinXP Home" oder ein "Win2k Proffessional", das vorrangig vielleicht zum Schreiben von Briefen oder zum Spielen verwendet wird, hatte auf einmal RAW Socket Unterstützung.
Profis, die wirklich tief in ein Netzwerk und dessen verschiedene Protokoll-Ebenen eintauchen und dafür RAW Sockets benötigen, sind meist eh mit irgendwelchen Unixen vertraut, welche seit eh und je diese Möglichkeiten bieten. Ich persönlich weiss bis zum heutigen Tage nicht, welchen Nutzen ein RAW Socket für einen Windows Rechner haben soll. Die paar Netzwerkadministratoren, die von den fehlenden RAW Sockets betroffen sind, können z.B. auch mal eben ein Knoppix booten und von dort ihre Testpakete losschicken. Man braucht RAW Sockets wie erwähnt nicht im alltäglichen Gebrauch sondern nur zu Testzwecken.
Die Unterstützung von RAW Sockets stieß bei einigen Leuten auf Missfallen, denn die RAW Sockets bieten wie oben erwähnt auch viele Möglichkeiten für Missbrauch und Angriffe. Einer von ihnen - Steve Gibson - hat Microsoft mehrfach darauf hingewiesen, wie auf seiner Homepage grc.com (http://grc.com/dos/winxp.htm) nachzulesen ist. Ich distanzieren mich jedoch von der meiner Meinung nach (und die vieler anderer Leute) sensationsgeilen Art und Weise wie Steve Gibson hier vorgegangen ist. Es gibt sogar eine Anti-Gibson Seite (grcsucks.com (http://grcsucks.com/)), die viele Dinge bei Gibsons Darstellung bemängelt. Die prinzipielle Sorge der Gefahr, die von RAW Sockets für ein Consumer Betriebssystem ausgeht, teile ich jedoch grundsätzlich. Ein gehackter Windows-Rechner stellte auf einmal eine deutlich höhere Bedrohung für andere Netzwerkteilnehmer als auch für das gesammte Netz (sowohl LAN als auch das Internet) da, wenn die WinAPI RAW Sockets zur Verfügung stellt.
Nachdem sich Microsoft lange gegen die Kritik gewehrt hat und nach Win2k sogar noch ein zweites Consumer Betriebssystem (WinXP) mit RAW Sockets herausgebracht hat, werden diese seit Service Pack 2 für WindowsXP nicht mehr unterstützt. Was hat Microsoft dazu bewegt, erst in Win2k RAW Sockets zu unterstützen und diese dann mit SP2 für XP wieder zu verbannen? War es vielleicht doch der nicht vorhande Nutzen, aber die gleichzeitige Geilheit auf Features, welche andere Betriebssysteme auch boten? Oder die DDOS Attacken, die gegen Yahoo, Google und andere große Firmen gestartet wurden - mutmaßlich vornehmlich von gehackten Windows-Rechnern? Muss erst großer Schaden entstehen, bis Microsoft bereit ist einzulenken?
Ich möchte hier nicht blind MS bashen, sondern deren Argumentation analysieren: Worauf Gibson u.a. auch nicht eingeht, ist die Feststellung von MS, dass mit den NDIS Treibern, die die meisten Netzwerkkarten zur Verfügung stellen, selbst ohne RAW Sockets Pakete manipulierbar sind (also z.B. auch unter Win98). Das ist korrekt, trotzdem ist es weitaus komplizierter dies über den NDIS Treiber zu programmieren, als über eine WinAPI Funktion, die jederzeit zur Verfügung steht. Wenn z.B. die Netzwerkkarte selbst kein NDIS Support bereitstellt, weil der Treiber diesen nicht mitbringt, dann ist es ohne RAW Sockets unmöglich, einzelne Pakete zu fälschen oder zu verändern.
Das Programmieren mit Hilfe der WinAPI sollte aber trotzdem deutlich leichter zu implementieren sein. Ich kenne mich nicht mit der NDIS Schnittstelle aus, aber ich könnte mir vorstellen, dass z.B. für verschiedene Netzwerkkarten unterschiedliche Programmierung notwendig ist, so dass das Verteilen eines Angriffsprogramms auf viele Rechner (z.B. für DDOS) nicht funktioniert, da diese alle ein angepasstes Programm für die jeweilige Hardware der Netzwerkkarte benötigen. Mit der WinAPI geht das alles deutlich einfacher, denn über diese kann man unabhängig von der verwendeten Hardware die Pakete losschicken.
Unterschiedliche Netzzugänge (z.B. Modem oder ISDN) bieten teilweise auch keine NDIS Treiber, da dies ein Feature von Netzwerkkarten ist. Von einem Rechner mit ISDN kann man mit Hilfe der RAW Sockets gefälschte Pakete verschicken, während dies ohne RAW Sockets wahrscheinlich gar nicht möglich wäre.
Die WinAPI mit RAW Socket Support macht die Programmierung nicht nur einfacher sondern auch einheitlich. Die Sache mit den NDIS Treibern ist ein Einwand von MS, der aber meiner Meinung nach keine Relevanz hat. Es ist einfach deutlich schwieriger diese zu nutzen und eben auch nicht einheitlich für jede Plattform das gleiche. Ein Missbrauch wird durch die Vorraussetzung guter Netzwerk- und Programmier-Kenntnis und die Vielseitigkeit der Plattformen verhindert. MS hat es sich IMHO zu leicht gemacht, das zeigt ja jetzt auch der Rückzug mit SP2. MS hat es anscheinend für sinnvoll erachtet, RAW Sockets wieder abzuschaffen. Warum denn eigentlich nicht gleich?
Great power means great responsibility (Zitat aus Spiderman)RAW Sockets sind ein mächtiges Feature und wer anderen Leuten mächtige Werkzeuge in die Hand gibt, muss auch dafür sorgen, dass diese vernünftig damit umgehen. Einem Kleinkind gibt man ja schliesslich auch keine laufende Kettensäge in die Hand.
Das in der Überschrift angesprochene "Sicherheitsverständnis" von Microsoft ist meiner Meinung nach katastrophal. MS ist genügend oft gewarnt worden, hat RAW Sockets trotzdem eingeführt und nun nach schlechten Erfahrungen diese wieder abgeschafft. Es muss wirklich erst etwas passieren (wie die DDOS Angriffe) bis MS reagiert, das natürlich viel zu spät, denn es gibt bereits Millionen von Windows-Rechnern, die über RAW Socket Support verfügen. Das wird sich erst in einigen Jahren reduziert haben, wenn die Leute von Win2k und XP auf irgendein kommendes Windows umsteigen, welches hoffentlich keine RAW Sockets mehr bietet.
Meinungen?
Die Möglichkeit einzelne low-level Pakete zu verschicken oder z.B. einzelne Bits in den Headern zu verändern, birgt eine gewisse Gefahr, denn viele Angriffsarten in Netzwerken (IP-Spoofing, SYN-Flood, redirected distributed DOS usw.) haben als Vorraussetzung die Manipulation einzelner Pakete bzw. das Senden vieler gleichartiger Pakete.
Für eine Applikation, die einfach nur Daten über das Netzwerk austauschen möchte, ist dies komplett uninteressant, denn es gibt schlichtweg keinerlei Notwendigkeit dafür. Man kann ALLES für eine Applikation notwendige ohne RAW Sockets erledigen. Einzig für Netzwerkadministratoren, die zu Testzwecken einzelne Pakete mit genau festgelegten Inhalten verschicken wollen, ergibt sich ein Nutzen aus den Möglichkeiten, welche RAW Sockets zur Verfügung stellen. Für den Homeuser ist das aber komplett irrelevant.
Insofern schien es ziemlich komisch, als Microsoft in Windows 2000 einen RAW Socket implementierte und dies bei Windows XP fortsetzte. Ein Consumer-Betriebssystem für den Heimanwender mit den mächtigen Fähigkeiten, die man sonst nur von professionellen Betriebssystemen wie Linux oder Unix kannte, wurde daraufhin millionenfach in der Welt verbreitet. Ein "WinXP Home" oder ein "Win2k Proffessional", das vorrangig vielleicht zum Schreiben von Briefen oder zum Spielen verwendet wird, hatte auf einmal RAW Socket Unterstützung.
Profis, die wirklich tief in ein Netzwerk und dessen verschiedene Protokoll-Ebenen eintauchen und dafür RAW Sockets benötigen, sind meist eh mit irgendwelchen Unixen vertraut, welche seit eh und je diese Möglichkeiten bieten. Ich persönlich weiss bis zum heutigen Tage nicht, welchen Nutzen ein RAW Socket für einen Windows Rechner haben soll. Die paar Netzwerkadministratoren, die von den fehlenden RAW Sockets betroffen sind, können z.B. auch mal eben ein Knoppix booten und von dort ihre Testpakete losschicken. Man braucht RAW Sockets wie erwähnt nicht im alltäglichen Gebrauch sondern nur zu Testzwecken.
Die Unterstützung von RAW Sockets stieß bei einigen Leuten auf Missfallen, denn die RAW Sockets bieten wie oben erwähnt auch viele Möglichkeiten für Missbrauch und Angriffe. Einer von ihnen - Steve Gibson - hat Microsoft mehrfach darauf hingewiesen, wie auf seiner Homepage grc.com (http://grc.com/dos/winxp.htm) nachzulesen ist. Ich distanzieren mich jedoch von der meiner Meinung nach (und die vieler anderer Leute) sensationsgeilen Art und Weise wie Steve Gibson hier vorgegangen ist. Es gibt sogar eine Anti-Gibson Seite (grcsucks.com (http://grcsucks.com/)), die viele Dinge bei Gibsons Darstellung bemängelt. Die prinzipielle Sorge der Gefahr, die von RAW Sockets für ein Consumer Betriebssystem ausgeht, teile ich jedoch grundsätzlich. Ein gehackter Windows-Rechner stellte auf einmal eine deutlich höhere Bedrohung für andere Netzwerkteilnehmer als auch für das gesammte Netz (sowohl LAN als auch das Internet) da, wenn die WinAPI RAW Sockets zur Verfügung stellt.
Nachdem sich Microsoft lange gegen die Kritik gewehrt hat und nach Win2k sogar noch ein zweites Consumer Betriebssystem (WinXP) mit RAW Sockets herausgebracht hat, werden diese seit Service Pack 2 für WindowsXP nicht mehr unterstützt. Was hat Microsoft dazu bewegt, erst in Win2k RAW Sockets zu unterstützen und diese dann mit SP2 für XP wieder zu verbannen? War es vielleicht doch der nicht vorhande Nutzen, aber die gleichzeitige Geilheit auf Features, welche andere Betriebssysteme auch boten? Oder die DDOS Attacken, die gegen Yahoo, Google und andere große Firmen gestartet wurden - mutmaßlich vornehmlich von gehackten Windows-Rechnern? Muss erst großer Schaden entstehen, bis Microsoft bereit ist einzulenken?
Ich möchte hier nicht blind MS bashen, sondern deren Argumentation analysieren: Worauf Gibson u.a. auch nicht eingeht, ist die Feststellung von MS, dass mit den NDIS Treibern, die die meisten Netzwerkkarten zur Verfügung stellen, selbst ohne RAW Sockets Pakete manipulierbar sind (also z.B. auch unter Win98). Das ist korrekt, trotzdem ist es weitaus komplizierter dies über den NDIS Treiber zu programmieren, als über eine WinAPI Funktion, die jederzeit zur Verfügung steht. Wenn z.B. die Netzwerkkarte selbst kein NDIS Support bereitstellt, weil der Treiber diesen nicht mitbringt, dann ist es ohne RAW Sockets unmöglich, einzelne Pakete zu fälschen oder zu verändern.
Das Programmieren mit Hilfe der WinAPI sollte aber trotzdem deutlich leichter zu implementieren sein. Ich kenne mich nicht mit der NDIS Schnittstelle aus, aber ich könnte mir vorstellen, dass z.B. für verschiedene Netzwerkkarten unterschiedliche Programmierung notwendig ist, so dass das Verteilen eines Angriffsprogramms auf viele Rechner (z.B. für DDOS) nicht funktioniert, da diese alle ein angepasstes Programm für die jeweilige Hardware der Netzwerkkarte benötigen. Mit der WinAPI geht das alles deutlich einfacher, denn über diese kann man unabhängig von der verwendeten Hardware die Pakete losschicken.
Unterschiedliche Netzzugänge (z.B. Modem oder ISDN) bieten teilweise auch keine NDIS Treiber, da dies ein Feature von Netzwerkkarten ist. Von einem Rechner mit ISDN kann man mit Hilfe der RAW Sockets gefälschte Pakete verschicken, während dies ohne RAW Sockets wahrscheinlich gar nicht möglich wäre.
Die WinAPI mit RAW Socket Support macht die Programmierung nicht nur einfacher sondern auch einheitlich. Die Sache mit den NDIS Treibern ist ein Einwand von MS, der aber meiner Meinung nach keine Relevanz hat. Es ist einfach deutlich schwieriger diese zu nutzen und eben auch nicht einheitlich für jede Plattform das gleiche. Ein Missbrauch wird durch die Vorraussetzung guter Netzwerk- und Programmier-Kenntnis und die Vielseitigkeit der Plattformen verhindert. MS hat es sich IMHO zu leicht gemacht, das zeigt ja jetzt auch der Rückzug mit SP2. MS hat es anscheinend für sinnvoll erachtet, RAW Sockets wieder abzuschaffen. Warum denn eigentlich nicht gleich?
Great power means great responsibility (Zitat aus Spiderman)RAW Sockets sind ein mächtiges Feature und wer anderen Leuten mächtige Werkzeuge in die Hand gibt, muss auch dafür sorgen, dass diese vernünftig damit umgehen. Einem Kleinkind gibt man ja schliesslich auch keine laufende Kettensäge in die Hand.
Das in der Überschrift angesprochene "Sicherheitsverständnis" von Microsoft ist meiner Meinung nach katastrophal. MS ist genügend oft gewarnt worden, hat RAW Sockets trotzdem eingeführt und nun nach schlechten Erfahrungen diese wieder abgeschafft. Es muss wirklich erst etwas passieren (wie die DDOS Angriffe) bis MS reagiert, das natürlich viel zu spät, denn es gibt bereits Millionen von Windows-Rechnern, die über RAW Socket Support verfügen. Das wird sich erst in einigen Jahren reduziert haben, wenn die Leute von Win2k und XP auf irgendein kommendes Windows umsteigen, welches hoffentlich keine RAW Sockets mehr bietet.
Meinungen?