Uralte Installation == sicher?
9. Juli 2009 Kategorien:“Ein System muss nur gut abgehangen sein, schon ist es sicher”, sagte ein Kunde zu mir im Scherz, nachdem bei einem Penetrationstest ein System als “keine Schwachstellen über das Netzwerk identifizierbar” erkannt wurde, obwohl z. B. SSH aktiv war (gut, kein Webserver). Bei diesem System handelt es sich um Fedora Core 1. Ein OS, für das es seit dem 27.07.2006 keine Updates mehr gibt. Und das soll keine Schwachstellen haben? Ich habe das Teil runtergeladen, um etwas intensiver testen zu können und in einer VM installiert. Tatsache, sowohl nessus als auch OpenVAS melden keine Schwachstellen.
Natürlich ist die OpenSSH Installation veraltet und man kann mit ein wenig Arbeit die bekannten Exploits umbauen, allerdings ist es schon spannend, dass bei einem so alten System die Scanner nicht meckern. Dies ist wohl darauf zurückzuführen, dass ein vom Hersteller nicht mehr unterstütztes Betriebssystem eben auch von den Researchern nicht mehr “unterstützt” wird und Schwachstellenprüfungen nur für aktuelle Versionen geschrieben werden.
Ein Grund mehr nicht nur ein Vulnerability Assessment durchzuführen (vor Allem nicht nur mit automatischen Methoden), sondern einen Penetrationstest.
/gt