Durch die Sicherheitsschleuse. Update-Prozess für sichere Systeme.

Die terreActive betreibt in den Rechenzentren seiner Kunden Computersysteme für dedizierte Sicherheitsaufgaben, insbesondere für Überwachung, Logging und Firewalls. An diese Systeme werden hohe Sicherheitsanforderungen gestellt, denn durch eine Sicherheitsmassnahme darf keine neue Verwundbarkeit eingeschleppt werden.

Die terreActive setzt deshalb auf eine spezielle Linux-Plattform und einen besonderen Update-Prozess, der in diesem Artikel beschrieben wird. Denn jedes System ist nur so sicher, wie es gepflegt wird.

Die terreActive ist Hersteller der Monitoring-Software tacLOM.Das Know-how der eigenen Entwicklungsabteilung kommt auch jenen terreActive-Kunden zu Gute, die Drittanbieter-Software einsetzen. Ein wichtiges Element von tacLOM ist die PAB3-Plattform, eine auf das Wesentliche reduzierte und gehärtete Variante des bekannten Linux-Betriebssystems Ubuntu.

Sicherheitsrichtlinien verzögern Updates

Als Dienstleister für IT-Abteilungen sahen wir uns oft mit dem Problem konfrontiert, dass Software-Updates zwar zur Verfügung standen, aber nicht zeitnah installiert werden konnten, weil interne Sicherheitsrichtlinien des Kunden dies verzögerten. Nun sind Sicherheitsrichtlinien eine gute Sache und in jedem Falle zu respektieren. Andererseits zählt bei wichtigen Sicherheits-Updates manchmal jede Minute: wer zu spät installiert, den bestraft der Hacker.

Die Lösung

Unsere Antwort auf dieses Dilemma heisst UPD. Dies ist kein Akronym, sondern einfach die Abkürzung für Update und bezeichnet ein Dateiformat, in welchem Software-Updates sehr bequem transportiert und installiert werden können.

Das UPD-Format ist ein verschlüsseltes Dateiarchiv. Es kann im Normalfall nur vom anvisierten Zielsystem entschlüsselt und gelesen werden. Zu diesem Zweck verfügt jedes PAB3-System über einen privaten Schlüssel. Umgekehrt enthält jede UPD-Datei ein Zertifikat, welches den Absender, also die Entwicklungsabteilung von terreActive, zweifelsfrei identifiziert.

Die Sicherheitsschleuse des Kunden entscheidet

Mit diesen beiden Informationen - gesicherter Absender und eindeutiger Empfänger - hat nun die Sicherheitsschleuse des Kunden die Handhabe, um erwünschte von unerwünschten Dateien zu unterscheiden. Zudem lässt sich bei Bedarf jedes Update mittels eindeutiger Kennung bis an die Quelle zurückverfolgen. In der Wahl des Übertragungsweges und -mediums sind wir frei. Dank der kryptographischen Sicherheit der UPD-Pakete dürfen sie bedenkenlos über unsichere Kanäle verschickt werden, zum Beispiel per E-Mail, Internet oder USB-Sticks. Auch ein Upload über gesicherte Administrationszugänge (sogenannte RAS-Verbindungen) ist problemlos möglich, denn UPD-Dateien sind in der Regel nicht sehr gross.

Der Ablauf

Updates sollen keine überflüssigen Informationen enthalten. Deshalb beginnt der reguläre Update-Vorgang damit, dass auf dem Zielsystem festgestellt wird, was bereits vorhanden ist. Ein sogenannter Mini-Fingerprint wird erstellt, eine Liste aller installierter Pakete und ihrer Versionen. Das Mini-Fingerprint-Werkzeug komprimiert diese Liste und gibt sie in einer einfach zu transportierenden Form aus: Im einfachsten Fall per Copy-Paste oder jedes anderen Kommunikationskanals, von E-Mail bis Offline-Speichermedium. Mit Hilfe des Mini-Fingerprints wird festgestellt, welche Software-Pakete ein Update benötigen. Der verantwortliche Security-Engineer stellt daraufhin eine massgeschneiderte UPD-Datei her und schickt sie zurück zum Kundensystem. Dort kann sie je nach Bedarf, z. B. beim nächsten Wartungsfenster, vom Kundenbetreuer installiert werden.

Im Ernstfall muss es schnell gehen

Manchmal muss es jedoch schneller gehen. Unsere Sicherheitsüberwacher haben stets ein Bild der Bedrohungslage, indem sie u. a. die relevanten Newsfeeds lesen. Wenn eine wichtige Bedrohung bekannt wird, informiert er sofort das Security Operations Center, welches die erforderlichen Massnahmen plant. Wird dann von einer Upstream-Quelle (z. B. einem Ubuntu-Security-Kanal) ein sicherheitsrelevantes Software-Update, ein sogenannter Patch, veröffentlicht, kann der Mini-Fingerprint-Update-Zyklus abgekürzt werden. In einem solchen Ernstfall erstellen wir vollautomatisch eine spezielle UPD-Datei, die nur den Patch enthält, und die prinzipiell auf allen PAB3-Systemen installiert werden kann. Die Installation selbst geschieht immer noch von Hand, entweder über RAS oder durch den Kundenbetreuer. Dank der zentralen Koordination und den eingespielten Abläufen kann im Ernstfall eine Sicherheitslücke rechtzeitig geschlossen werden.

Dieser Ernstfall trat erstmals 2014 auf, als im April der Heartbleed-Bug entdeckt wurde und im September darauf Shellshock. Beide Male konnten alle verwundbaren PAB3-Server innert weniger Stunden gepatcht werden. Sie standen somit vollumfänglich zur Verfügung für nachfolgende Sanierung der übrigen Kundensysteme.

Im Moment erzeugt und verschickt der automatische UPD-Generator im Durchschnitt etwa zwei automatische Patches pro Woche. Security-Patches für die terreActive eigene Monitoring-Software tacLOM sind sehr viel seltener und werden während der zweimal jährlich stattfinden Updaterunde aufgespielt.