Literatur - HTW Berlin

Transcription

Literatur
[9-1]
Mitnick, Kevin; Simon, William: Die Kunst der Täuschung. mitp, 2003
[9-2]
Grundschutzhandbuch.
https://www.datenschutzzentrum.de/systemdatenschutz/bibliothek/sb1.htm
oder
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.ht
ml
[9-3]
Pufferüberlauf. http://de.wikipedia.org/wiki/Pufferüberlauf
http://www.online-tutorials.net/security/buffer-overflow-tutorial-teil-1grundlagen/tutorials-t-27-282.html
http://www.youtube.com/watch?v=kZZgNnhxA_4
[9-4]
Computerwurm. http://de.wikipedia.org/wiki/Computerwurm
[9-5]
Firewall. http://de.wikipedia.org/wiki/Firewall
Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I
2
Übersicht
•
•
•
•
•
•
•
•
Begriff der Sicherheit
Cracken von Software
Vorgehensmodell
Viren
Abhören
Trojaner/Hintertüren
Man in the middle
Firewalls
3
Zum Begriff der Sicherheit
• Sicherheit umfasst
– die Verlässlichkeit der zu erbringenden Dienstleistung in der
gewünschten Qualität
– Schutz der Daten gegen unbeabsichtigte Änderung aus Versehen,
mit Absicht oder aufgrund Mängeln der Technik
– Zugang zu den Daten nur für die berechtigten Personen auf
berechtigte Art und Weise
• Datenschutz ergänzt Sicherheit noch durch
– Beschränkungen für Personen mit erlaubten Zugang
– Beschränkungen der Datenerfassung, Abgleich und Weitergabe
Jedoch nur für Daten mit Bezug auf Personen
In diesem Teil werden nur Sicherheitsprobleme betrachtet,
die durch Menschen hervorgerufen werden.
4
Grundbegriffe der IT-Sicherheit
• Vertraulichkeit: Nur Befugte haben Zugriff auf Daten zur
Wahrung der Privatsphäre
• Integrität: Daten können nur auf beabsichtigte Weise geändert
werden
• Verbindlichkeit: Nachweismöglichkeit erfolgter Kommunikation
sowie erfolgreicher Operationen auf Daten
• Identifizierung: Bestimmung der beteiligten Personen (Identität
der Subjekte)
• Authentifikation: Prüfung der Identität des Subjekts
• Autorisierung: Zuordnung von Rechten an Subjekte in Bezug auf
Objekte
• Authentizität: Gegenseitig verifizierbare Identität der Subjekte
5
Cracken von Software
• Bei diesem Cracken von Software geht es darum, den Kopierschutz
durch Ändern des Binärcodes oder anderer Maßnahmen unwirksam
zu machen, Software zur Feststellung und Generierung von
Freigabe-Codes zu erstellen sowie deren Ergebnisse zu verbreiten,
d.h. es geht um den Bruch des Copyrights (Urheberrechts).
• Entsprechendes gilt auch für das "Cracken" von Medien.
• Beispiele:
–
–
–
–
–
Spiele
Teure Software-Pakete mit Dongles
Windows XP - Freigaben im Internet
Kopierschutz von DVD-Videos
Kopierschutz von Audio-CDROMs
6
Cracken des Dongle-Schutzes I
Aufgabe:
Erstellung einer Software-Kopie, die auch ohne Dongle läuft
Siehe z.B. https://de.wikipedia.org/wiki/Dongle
Abbildungen stammen aus:
https://de.wikipedia.org/wiki/Dongle
7
Cracken des Dongle-Schutzes II
•
•
Die Software wird in einen Interpreter, z.B. bochs, geladen.
Es werden Break Points beim Zugriff auf bestimmte
Adressbereiche gesetzt:
1. Stellen, an denen auf den Dongle zugegriffen wird
2. Stellen, an denen auf die Software (Punkt 1) zugegriffen wird (um
Modifikationen zu erkennen)
•
•
•
•
Das Programm wird gestartet und bedient.
Die Zugriffe nach Punkt 1 werden durch NOOPs ersetzt.
Die Routinen nach Punkt 2 werden so modifiziert, dass sie immer
OK liefern.
Die Modifikationen erfolgen in einem Binärcode-Editor. Das
Ergebnis wird auf die Platte geschrieben – fertig.
Alles recht einfach, kostet nur Zeit…
8
Das waren zwei Beispiele…
Wenn diese Informationen konkreter gemacht werden, so
dass auch technisch ungebildete Menschen dies durchführen
können, entstehen Crack-Anleitungen.
Wie ist damit umzugehen?
Hinweis: Jeder, der die Technik kennt, Manuals lesen kann und
viel Zeit hat, kann sich all dies selbst erarbeiten.
10
Umgang mit Sicherheitsproblemen
Position:
– Security by obscurity
Sicherheit entsteht primär dadurch, dass keine
Informationen über Maßnahmen, Algorithmen und Mängel
verbreitet werden.
Typisch für Geheimdienste und viele Software-Firmen
Gegenposition:
– Sicherheit entsteht primär durch Offenlegung, öffentlicher
Prüfung bzw. Kritik
Typisch für Open Source Software-Bewegung
Da beide Seiten sich gleichzeitig irren und Recht haben, ist wohl
der Mittelweg der Beste.
11
Hackersoftware ist "dual use"-Software
• Aus der Geschichte lernen:
– Ohne das ein Problem zeigendes Programm (exploit) wurde öfter
Warnern vor Sicherheitsproblemen nicht geglaubt, z.B. dem Hamburger
CCC.
• Software zum Testen der "Festigkeit" von Sicherheitsmechanismen
• Software zum Einbrechen
Aber:
• Es gibt Gegenargumente gegen die Verbreitung von
– Werkzeugen, z.B. SATAN (Security Administrators Tool for Analyzing
Networks) oder Nessus
– Cracken geht aufgrund einfach zu bedienender Werkzeuge auch für
Inkompetente
– Dokumentationen über Sicherheitslücken
12
Ein Vorgehensmodell für externe Hacker I
• Schritt 1: Auskundschaften
–
–
–
–
–
–
–
Suchmaschinen
News (Beiträge von Personen)
Externe Quellen (Geschäftsberichte, Telefonbuch...)
Befragen von ehemaligen Mitarbeitern oder Bekannten
Analyse des (sozialen) Umfelds (Social Engineering)
Mitarbeiter mit ihren Vorlieben: Analyse deren Web-Sites
Befragen von Mitarbeitern, z. B. per Telefon
• Schritt 2: Analyse des technischen Ziels
– Scannen der Schnittstellen
– Analyse der Server samt Betriebssystemen, z. B. Banner-Grabbing
oder Fingerprinting
– Testen von Zugängen, z. B. ISDN, Einwählnummern etc.
13
Ein Vorgehensmodell für externe Hacker II
• Schritt 3: Angriffe
– Ausnutzen von Lücken
– Denial of Service
• Schritt 4: Übernahme des Systems
–
–
–
–
Installieren von Back doors
Modifizieren der Rechte
Ersetzen vorhandener Software, z.B. durch Rootkits
Löschen aller Spuren
14
Von Draußen oder von Drinnen?
• 2/3 aller ernsthaften Probleme entstehen durch die eigenen
Mitarbeiter/innen.
Gründe:
–
–
–
–
–
–
Rache, "verbrannte Erde" nach Kündigung
Demotivation, innere Kündigung
Schlamperei, Faulheit
Inkompetenz, Fehleinschätzung der Lage
Arbeitsüberlastung
Fehlende Koordination
• Viren kommen eher von außen, Einbrüche eher von Innen.
15
Ursachen
1. Qualitätsmängel in der Herstellung der Software
Beispiel: Bufferoverflow-Probleme
2. Qualitätsmängel bei der Konzeption
3. Bewusst in Kauf genommene Mängel durch das Management
Beispiele: Reduktion des Budgets, Terminverkürzungen
4. Konfigurationsmängel
Beispiele: Kein Einfahren von Aktualisierungen, Beibehalten von
Standard-Passwörtern, Ausschalten von Sicherheitslösungen, z.
B. Virenscanner.
Dies alles wäre vermeidbar, wenn es nicht Geld kosten würde....
16
Viren
•
Virus = Programmstück, das sich an ein anderes Programm anfügt
oder teilweise überschreibt und neben seiner Verbreitung eine
Aktion durchführt.
•
Verbreitung
Suche nach einem nicht infizierten Programm bzw. geeigneten Ort
sowie Anfertigen einer eventuell geänderten Kopie von sich selbst.
Aktionen (Payload) in aufsteigender Gefährdung:
•
1.
2.
3.
4.
5.
Jux
Zerstörung, z. B. Formatieren von Datenträgern
Manipulation von Zugriffssystemen
Nachladen aus dem Internet bzw. Mutieren
Installation fremder Software
17
Viren - Orte
• Dokumente mit aktiven Inhalten
z. B. Word mit VBA, PDF mit JavaScript, E-Mail mit JavaScript
• Bootsektor von Medien, meist Disketten
• Autostartdateien von Medien, meist CDROMs
• Ausführbare Programme:
– Eigenständige Programme, auch versteckt
– Als Teil einer Mail (z. B. als VBA)
– Als ausführbarer Teil von Daten (z. B. selbst auspackende-Archive)
• RAM(!)
Einträge in der Registry (Windows) helfen vielleicht Viren, als Ort
für Viren kommen diese Einträge nicht in Frage.
18
Viren - Entfernung
• Identifizierung mit Mustererkennung (Signaturen) durch
Virenscanner
• Probleme:
– Aktualität der Signaturbibliotheken
Teilweise geht es um Stunden
– Viren werden meist erst dann entdeckt, wenn sie aktiv wurden
"schlafende" Viren sind sehr schwer erkennbar
– Heuristiken für potentielle Viren sind problematisch.
• Beim Verbreitungsschritt können Viren ihr Bitmuster variieren
(mutieren).
Dann sind so viele Signaturen bzw. speziell programmierte
Suchroutinen erforderlich wie Mutationen.
19
Port Scanner zur Analyse von Schnittstellen
• Port Scanner = Prüfprogramm, das meist von Außen den
Zugang, d.h. die Reaktion, eines Ports auf der Transportschicht
und darüber prüft und einen Bericht darüber erstellt
• Verfahren: (teilweiser) Aufbau einer TCP-Verbindung und warten
auf Antwort:
– Auswerten der empfangenen Informationen
– Identifizieren der Dienste: Bestimmung der Version
– Auswerten der Begrüßungstexte (Banner Grabbing)
• Darstellung der Ergebnisse und Speichern in einer Datenbank
• Tarnung:
– Verteilt von mehreren Systemen
– Portnummern in zufälliger Reihenfolge
– Über langen Zeitraum verteilt
20
Trojaner und Back doors
•
•
•
Trojaner = Programm(teil), das neben einer offensichtlichen
eine versteckte Funktion ausführt
Back Doors = Server, die nach Außen Dienste anbieten und
dies möglichst versteckt tun
Varianten in aufsteigender Gefährlichkeit:
1. Ausblenden von verräterischen Informationen
z. B. Weglassen von bestimmten Prozessen beim Kommando zum
Auflisten von Prozessen
2. Datenmanipulationen von Konfigurationen
3. Inaktivieren von Authentifizierungen
4. Änderungen des Kernels (auch zur Laufzeit)
21
Würmer
•
•
•
Würmer = Programme, die von Rechner zu Rechner - auch Plattform
übergreifend – kopiert werden und auf jedem Rechner eine Aktion
ähnlich den von Viren durchführen
Würmer können sich eigenständig verbreiten, z.B. über FTP, oder
passiv durch die Menschen transportiert werden (Mail).
Aktionen:
1.
2.
3.
4.
•
Verbreitung von Viren
Manipulation von Konfigurationen
Zerstörung von Daten
Installation von Hintertüren oder Rootkits
Die Idee zum Begriff des Computer-Wurms stammt aus dem SFRoman "Der Schockwellenreiter" von John Brunner aus dem Jahre
1975:
http://de.wikipedia.org/wiki/Der_Schockwellenreiter_(Roman)
22
Malware, Spyware und Adware
• Viele der heutigen Viren sind Würmer mit Virenaktionen. Deshalb
wird zwischen ihnen nicht differenziert.
• Malware = Schadprogramme = Zusammenfassung von
–
–
–
–
–
Trojanern
Back Doors
Viren
Würmer
Spyware
• Spyware = Software, die Daten über die Benutzung des Rechners
sammelt und an Dritte übermittelt oder durch Identifizierung diese
Sammlung erst ermöglicht
• Adware = Zusatzprogramme, die Reklame für fremde oder eigene
Produkte darstellen – meist mit der Lizenz verknüpft
Siehe: http://de.wikipedia.org/wiki/Schadprogramm
23
Root Kit
• Rootkit = Sammlung von Programmen, die Teile des
Betriebssystems ersetzen, um dann einen leichten Zugang von
außen zu realisieren
• Komponenten, die ersetzt werden können:
–
–
–
–
–
Software, die die Basis darstellt (Systemsoftware)
Booter
Kernel, Kernel-Module auf der Platte
Kernel im Arbeitsspeicher
Das gesamte System durch Virtualisierung
Siehe dazu: http://de.wikipedia.org/wiki/Virtual_Machine_Based_Rootkit
• Modifikationen des Kernels:
– Syscalls open(), read()
– Listen der Prozesstabellen
Siehe dazu: http://de.wikipedia.org/wiki/Rootkit
24
Authentifizierung I
• Passwörter
– Zufällig, mindestens 8, besser 12 Zeichen lang, Ziffern und
Sonderzeichen
– Keine "normalen" Worte oder Muster auf der Tastatur
– Mit Merksätzen oder Schreibfehlern arbeiten:
Re1nB1ttae oder
Mausgrau war das Himmelszeit bei Nacht um 11: MwdHbNu1
• Aber auch: Unterlaufen des Schutzes
Beispiel: Bildschirmschoner-Kennwörter mit CDROM
25
Authentifizierung II
• Chipkarten
Der Inhaber identifiziert sich durch eine (hoffentlich) fälschungssichere
Chipkarte (die er nicht verliert oder verleiht)
– Vorteil: Sicher
– Nachteil: teuer
• Biometrie
–
–
–
–
Fingerabdruck
Spracherkennung
Augenhintergrund
Gesicht
– Nachteil: teuer, unzuverlässig und Datenschutzprobleme
Aber wenn es mal funktioniert, dann die beste Methode
26
Social Engineering
• Social Engineering = Systematisches Auskundschaften des
sozialen Umfelds der Organisation oder der Personen, die
Zugang zum gewünschten System haben, sowie das Ausnutzen
dieser Erkenntnisse
• Beispiele:
– Analyse persönlicher Web-Sites mit Hobbies, um Kennwörter
herauszufinden
– Telefonanruf mit plausibler Geschichte, die dazu führt, dass eine
neue Information mitgeteilt wird, die dem Hacker weiter hilft.
– Organisationsstruktur und Kompetenz der IT-Kräfte anhand von
Unterlagen, News-Beiträgen und offiziellen Web-Sites herausfinden
27
Knacken von Passwörtern
• Brute Force: Einfach alles Durchprobieren
• Probieren mit bekannten Passwort-Mustern, auch Muster auf
der Tastatur
• Alternativen für BIOS-Passwörter
– Akku ausbauen: Nach Spannungsverlust: Standard-Passwort
– Platinen-Reset
• Wörterbuchangriff: Häufig werden Kennwörter nicht zufällig
generiert, z. B. anhand von Wörterbüchern. Das verkürzt die
Probierzeit.
28
Techniken - Abhören
Sniffer = Programm eventuell zusammen mit Hardware zum
Abhören von Kommunikation
Beispiele:
1. LAN: Ethernet-Karte in Promiscous-Mode bringen, alle Frames
kopieren, filtern und ordentlich aufbereitet anzeigen
2. Nach Einbruch in Router/Firewall: dasselbe auf IP-Ebene am
Netzübergang
3. WLAN: Monitoren und Knacken der WEP-Verschlüsselung
4. Messung der Abstrahlung von CRT-Monitoren
TEMPEST (Transient Electromagnetic Pulse Emanation
Standard), unscharfe Schrift lässt sich schwerer abhören
5. Abhören von Lichtwellenleitern
29
Techniken - In der Mülltonne wühlen
• Papierabfälle ansehen,
Interessant sind
–
–
–
–
Kreditkartenquittungen
Kennwortformulare
Ausdrucke von Konfigurationsdateien
Notizen von Administratoren
• Internet-Cache vom Vorgänger am PC ansehen,
z. B. in Internet-Cafes
• Auf externen Platten nach gelöschten Dateien suchen
• Platten von insolventen Firmen durchsuchen(!)
30
Techniken - Aktive Inhalte
• Passive Inhalte = Daten, die nur angezeigt oder kontrolliert
modifiziert werden können
• Aktive Inhalte = Programme als Teile von anderen Daten, die
(unkontrolliert) nach dem Laden gestartet werden
• Beispiele auf der Client-Seite:
–
–
–
–
–
ActiveX (Zertifikate sagen z.Z. nichts über Sicherheit)
Plugins
JavaScript (HTML, PDF)
VBA (Mails), VBScript (web)
Java (wohl das sicherste von allen aufgeführten)
• Dies gilt für Web-Seiten und E-Mails gleichermaßen.
31
Abwehrtechnik - Quarantäne
• Quarantäne = Unklare Software bzw. Daten werden in einen
Bereich gebracht, in dem nur kontrollierte und beobachtbare
Manipulationen durch die unklare Software möglich sind.
• Für Quarantäne eignen sich:
– Besondere Teile in Rechnern
– Eigene Rechner
– Eigene Netze mit eigenen Rechnern
• Beispiele:
– Virtuelle Maschinen wie z.B. die JavaVM
– Simulatoren wie VMware, Virtual PC oder XEN
• In der Quarantäne wird die Software genau getestet und dabei
beobachtet.
32
Techniken - Spoofing
• Spoofing = Verfahren der Simulation einer anderen Person
bzw. Rechners.
Es wird für eine Zeit lang die Rolle einer anderen Person bzw.
eines Rechners übernommen
• Typisch ist IP-Spoofing: Falsche Source-IP-Adresse
• "Man in the middle"-Angriff = Software schaltet sich zwischen
zwei Kommunikationspartnern, hört ab oder greift aktiv ein
(Übernahme einer der beiden Rollen).
Dies wird manchmal Hijacking genannt.
33
Man in the middle I – Ein Beispiel
(4)
(5)
Ihr
Rechner
Böser
Hacker
(7)
Ihre
Bank
(6)
(3)
(2)
(1)
DNS
Server
34
Man in the middle II – Ein Beispiel
(1)
Hacker ändert die IP-Adresse von www.bank.de auf sein System
(2)
Ihr Rechner fragt nach der IP-Adresse von www.bank.de
(3)
Und erhält die gefälschte Adresse
(4)
Aufbau einer Verbindung zum Hacker-System
(5)
Der Hacker holt sich live die aktuellen Daten von der Bank anhand
Ihrer Daten
(6)
Die Daten kommen zum Hacker
(7)
Der Hacker sendet die korrekten(!) aktuellen Daten Ihrem Rechner
Frage: Können Sie das mit den "üblichen" Methoden (TAN, PIN)
verhindern?
Antwort: nein.
35
Denial of Service (DoS)
• Denial of Service-Angriff = DoS-Angriff = Eine Funktion oder
ein ganzes System wird außer Kraft gesetzt oder so gestört,
dass die Dienstleistung nicht erbracht werden kann
• Beispiele:
– ICMP: Mitteilung über die Funktionsunfähigkeit bestimmter Router,
so dass keine IP-Pakete vermittelt werden können
– Aufbau des 3-Wege-Handshake ohne das dritte bestätigende Paket
– Ping of Death
• Anwendungen bei Web-Server oder Mail-Server
36
Distributed Denial of Service (dDoS)
• Verteilte Version des Denial of Service
Ziel: Überlastung durch
– 10-20.000faches gleichzeitiges Generieren scheinbar sinnvoller
Paketsequenzen von mehr als 10.000 Stationen
– "Brief-Bomben"
• Probleme
– Erkennen des dDoS-Angriffs
– Eingrenzen der IP-Adressen der beteiligten Stationen
– Verhindern nach der Erkennung:
hier muss mit den Providern zusammengearbeitet werden
Auch dies ist ein Grund für die Vorratsdatenspeicherung… oder?
37
SPAM und Hoax
• SPAM = Mail mit zweifelhaftem Inhalt, z.B.
–
–
–
–
–
Versuch die Software im Anhang zu starten
Phishing per Mail
Angebote von verbotenen Waren
Aufrufe mit politisch zweifelhaften Inhalt
Blödsinn
• Hoax = Scherzhafte oder böswillige Warnung vor einer fiktiven
(Viren-)Gefahr
Siehe
http://en.wikipedia.org/wiki/Email_spam
http://en.wikipedia.org/wiki/Phishing
http://de.wikipedia.org/wiki/Hoax
38
Firewall
In der DMZ stehen Server mit Schutzfunktionen sowie Server mit
öffentlichen Zugang, z. B. Web-Server (Bastionen).
39
Firewall - Filter und Bastion
• Filtern von Paketen
–
–
–
–
Nach
Nach
Nach
Nach
Herkunft und Ziel
Inhalt
Port/Dienst
Richtung
• Filter werden in Form von Regeln definiert.
• Bastion sind Server innerhalb der DMZ, meist mit speziellen
Schutzfunktionen:
– Virenscanner für Daten oder Mails
– Proxy-Server für spezielle Dienste, z. B. Web, ftp, HBCI etc.
• Daneben sind noch Router erforderlich.
40
Personal Firewall
•
•
•
•
Personal Firewalls = Firewalls auf den Endsystemen
Diese Firewalls sind bei Ende-zu-Ende-Verschlüsselung notwendig.
Leider müssen sie von den Benutzern administriert werden.
Auch kommen häufig Benutzer mit den Meldungen der Firewalls
nicht zurecht (dies trifft auch für den Virenbefall zu).
41
Nach dieser Anstrengung etwas Entspannung....
42

Literatur - HTW Berlin

Transcription

Documents pareils

Erstellung der Einkommensteuer 2009 WORKSHOP zur IT

IT-Sicherheits-Workshops für Steuerberater

Handout

Jenseits von crowding-out und crowding

Besuch der alten Herren

Erfolgsfaktor IT-Sicherheit - Wer will erst aus Schaden klug werden

Jenseits der Gemeinschaft, diesseits der Gesellschaft. Wie der

Cybercrime-Artikel

G DATA Security - Greenwich Beteiligungen AG

Highjacker - IT

IT-Sicherheit im Wintersemester 2009/2010 Übungsblatt 10