BOSS


BSI Open Source Software Security Suite

Die elektronische Datenverarbeitung birgt zahlreiche Sicherheitslücken, damit sind Behörden, jedes Unternehmen aber auch privaten Anwender mit verschiedenen Gefahren konfrontiert. Bei der Entwicklung einer Sicherheitslösung erweist sich das Open Source Konzept als besonders zweckmässig. Es gibt zahlreiche "Schaffer" einschlägiger Viren, Trojaer und sonstiger Schadsoftware die zudem verteilt "sitzen" und damit nicht zu überwachen sind. Dem gegenüber steht im Open Source Projekt auch ein Vielzahl von Mitmachern.

Es gilt dennoch: die absolute Sicherheit gibt es nicht. Es gibt jedoch Freie Software Produkte, die bei der Identifikation von Sicherheitsproblemen und deren Lösung helfen können. Die Open Source Software BOSS (BSI OSS Security Suite) baut im wesentlichen auf dem bewährten Sicherheits-Scanner Nessus auf. Hinzugekommen ist neben der BOSS-Oberfläche der Security Local Auditing Daemon (SLAD) der die Steuerung der angebundenen lokalen Sicherheitssoftware übernimmt. Die Benutzerfreundlichkeit wurde durch die BOSS-Oberfläche wesentlich erweitert. Durch den entwickelten SLAD verfügt Nessus jetzt über die Möglichkeit Ziel-Systeme auch intensiv von innen her auf Schwachstellen oder gar bereits erfolgreiche Angriffe zu prüfen. Die zentrale, vereinfachte Steuerung und Auswertung vereinfacht damit das organisationsweite Aufspüren von Sicherheitsproblemen in der behörden- bzw. der unternehmensweiten IT.

Für den OSS-Nessus-Server existieren derzeit ca. 12.000 Plugins, die es ermöglichen auf verschiedenste Sicherheitslücken aller relevanten betriebssysteme und Netzwerk-Produkte zu prüfen. Täglich kommen neue Plugins hinzu. Der SLAD steuert wichtige Sicherheitssoftware wie TIGER, John-The-Ripper, Tripwire, LSOF, ClamAV oder Chkrootkit.


Aktualität

Das aktuelle BOSS Download-Image zum Erstellen einer Live-CD basiert auf Morphix und beinhaltet ausschließlich Freie Software. Dies betrifft ebenso die enthaltenen Plugins.
Da kontinuierlich neue Sicherheitslücken veröffentlicht bzw. bekannt wurden, die auf der BOSS-Live-CD bisher nicht aktualisiert werden konnten, sollten daher die Plugins beim Einsatz von BOSS möglichst häufig aktualisieren.
Auch die nicht unter Freier Software-Lizenz stehenden Plugins können gegen Registrierung kostenfrei von der Nessus Homepage herunter geladen und unter BOSS verwendet werden.

Quellen
[1] Nessus http://www.nessus.org/
[2] Checkrootkit http://www.chkrootkit.org/
[3] Tripwire http://www.tripwire.com/ Das Open Source Projekt ist kommerzialisiert
[4] ClamAV http://www.clamav.net/
[5] John the Ripper http://www.openwall.com/john/
[6] Tiger http://savannah.nongnu.org/projects/tiger/
[7] SLAD http://slad.dn-systems.de/
[8] Intevation GmbH http://www.intevation.de/
[9] KNOPPIX Projekt Live GNU/Linux ffis e. V. http://live-gnu-linux.ffis.de/
[10] Bundesamt für Sicherheit in der Informationstechnik http://www.bsi.de/
[11] Morphix Projekt http://www.morphix.org/