Literatur - HTW Berlin
Transcription
Literatur - HTW Berlin
Literatur [9-1] Mitnick, Kevin; Simon, William: Die Kunst der Täuschung. mitp, 2003 [9-2] Grundschutzhandbuch. https://www.datenschutzzentrum.de/systemdatenschutz/bibliothek/sb1.htm oder https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.ht ml [9-3] Pufferüberlauf. http://de.wikipedia.org/wiki/Pufferüberlauf http://www.online-tutorials.net/security/buffer-overflow-tutorial-teil-1grundlagen/tutorials-t-27-282.html http://www.youtube.com/watch?v=kZZgNnhxA_4 [9-4] Computerwurm. http://de.wikipedia.org/wiki/Computerwurm [9-5] Firewall. http://de.wikipedia.org/wiki/Firewall Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 2 Übersicht • • • • • • • • Begriff der Sicherheit Cracken von Software Vorgehensmodell Viren Abhören Trojaner/Hintertüren Man in the middle Firewalls Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 3 Zum Begriff der Sicherheit • Sicherheit umfasst – die Verlässlichkeit der zu erbringenden Dienstleistung in der gewünschten Qualität – Schutz der Daten gegen unbeabsichtigte Änderung aus Versehen, mit Absicht oder aufgrund Mängeln der Technik – Zugang zu den Daten nur für die berechtigten Personen auf berechtigte Art und Weise • Datenschutz ergänzt Sicherheit noch durch – Beschränkungen für Personen mit erlaubten Zugang – Beschränkungen der Datenerfassung, Abgleich und Weitergabe Jedoch nur für Daten mit Bezug auf Personen In diesem Teil werden nur Sicherheitsprobleme betrachtet, die durch Menschen hervorgerufen werden. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 4 Grundbegriffe der IT-Sicherheit • Vertraulichkeit: Nur Befugte haben Zugriff auf Daten zur Wahrung der Privatsphäre • Integrität: Daten können nur auf beabsichtigte Weise geändert werden • Verbindlichkeit: Nachweismöglichkeit erfolgter Kommunikation sowie erfolgreicher Operationen auf Daten • Identifizierung: Bestimmung der beteiligten Personen (Identität der Subjekte) • Authentifikation: Prüfung der Identität des Subjekts • Autorisierung: Zuordnung von Rechten an Subjekte in Bezug auf Objekte • Authentizität: Gegenseitig verifizierbare Identität der Subjekte Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 5 Cracken von Software • Bei diesem Cracken von Software geht es darum, den Kopierschutz durch Ändern des Binärcodes oder anderer Maßnahmen unwirksam zu machen, Software zur Feststellung und Generierung von Freigabe-Codes zu erstellen sowie deren Ergebnisse zu verbreiten, d.h. es geht um den Bruch des Copyrights (Urheberrechts). • Entsprechendes gilt auch für das "Cracken" von Medien. • Beispiele: – – – – – Spiele Teure Software-Pakete mit Dongles Windows XP - Freigaben im Internet Kopierschutz von DVD-Videos Kopierschutz von Audio-CDROMs Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 6 Cracken des Dongle-Schutzes I Aufgabe: Erstellung einer Software-Kopie, die auch ohne Dongle läuft Siehe z.B. https://de.wikipedia.org/wiki/Dongle Abbildungen stammen aus: https://de.wikipedia.org/wiki/Dongle Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 7 Cracken des Dongle-Schutzes II • • Die Software wird in einen Interpreter, z.B. bochs, geladen. Es werden Break Points beim Zugriff auf bestimmte Adressbereiche gesetzt: 1. Stellen, an denen auf den Dongle zugegriffen wird 2. Stellen, an denen auf die Software (Punkt 1) zugegriffen wird (um Modifikationen zu erkennen) • • • • Das Programm wird gestartet und bedient. Die Zugriffe nach Punkt 1 werden durch NOOPs ersetzt. Die Routinen nach Punkt 2 werden so modifiziert, dass sie immer OK liefern. Die Modifikationen erfolgen in einem Binärcode-Editor. Das Ergebnis wird auf die Platte geschrieben – fertig. Alles recht einfach, kostet nur Zeit… Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 8 Das waren zwei Beispiele… Wenn diese Informationen konkreter gemacht werden, so dass auch technisch ungebildete Menschen dies durchführen können, entstehen Crack-Anleitungen. Wie ist damit umzugehen? Hinweis: Jeder, der die Technik kennt, Manuals lesen kann und viel Zeit hat, kann sich all dies selbst erarbeiten. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 10 Umgang mit Sicherheitsproblemen Position: – Security by obscurity Sicherheit entsteht primär dadurch, dass keine Informationen über Maßnahmen, Algorithmen und Mängel verbreitet werden. Typisch für Geheimdienste und viele Software-Firmen Gegenposition: – Sicherheit entsteht primär durch Offenlegung, öffentlicher Prüfung bzw. Kritik Typisch für Open Source Software-Bewegung Da beide Seiten sich gleichzeitig irren und Recht haben, ist wohl der Mittelweg der Beste. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 11 Hackersoftware ist "dual use"-Software • Aus der Geschichte lernen: – Ohne das ein Problem zeigendes Programm (exploit) wurde öfter Warnern vor Sicherheitsproblemen nicht geglaubt, z.B. dem Hamburger CCC. • Software zum Testen der "Festigkeit" von Sicherheitsmechanismen • Software zum Einbrechen Aber: • Es gibt Gegenargumente gegen die Verbreitung von – Werkzeugen, z.B. SATAN (Security Administrators Tool for Analyzing Networks) oder Nessus – Cracken geht aufgrund einfach zu bedienender Werkzeuge auch für Inkompetente – Dokumentationen über Sicherheitslücken Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 12 Ein Vorgehensmodell für externe Hacker I • Schritt 1: Auskundschaften – – – – – – – Suchmaschinen News (Beiträge von Personen) Externe Quellen (Geschäftsberichte, Telefonbuch...) Befragen von ehemaligen Mitarbeitern oder Bekannten Analyse des (sozialen) Umfelds (Social Engineering) Mitarbeiter mit ihren Vorlieben: Analyse deren Web-Sites Befragen von Mitarbeitern, z. B. per Telefon • Schritt 2: Analyse des technischen Ziels – Scannen der Schnittstellen – Analyse der Server samt Betriebssystemen, z. B. Banner-Grabbing oder Fingerprinting – Testen von Zugängen, z. B. ISDN, Einwählnummern etc. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 13 Ein Vorgehensmodell für externe Hacker II • Schritt 3: Angriffe – Ausnutzen von Lücken – Denial of Service • Schritt 4: Übernahme des Systems – – – – Installieren von Back doors Modifizieren der Rechte Ersetzen vorhandener Software, z.B. durch Rootkits Löschen aller Spuren Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 14 Von Draußen oder von Drinnen? • 2/3 aller ernsthaften Probleme entstehen durch die eigenen Mitarbeiter/innen. Gründe: – – – – – – Rache, "verbrannte Erde" nach Kündigung Demotivation, innere Kündigung Schlamperei, Faulheit Inkompetenz, Fehleinschätzung der Lage Arbeitsüberlastung Fehlende Koordination • Viren kommen eher von außen, Einbrüche eher von Innen. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 15 Ursachen 1. Qualitätsmängel in der Herstellung der Software Beispiel: Bufferoverflow-Probleme 2. Qualitätsmängel bei der Konzeption 3. Bewusst in Kauf genommene Mängel durch das Management Beispiele: Reduktion des Budgets, Terminverkürzungen 4. Konfigurationsmängel Beispiele: Kein Einfahren von Aktualisierungen, Beibehalten von Standard-Passwörtern, Ausschalten von Sicherheitslösungen, z. B. Virenscanner. Dies alles wäre vermeidbar, wenn es nicht Geld kosten würde.... Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 16 Viren • Virus = Programmstück, das sich an ein anderes Programm anfügt oder teilweise überschreibt und neben seiner Verbreitung eine Aktion durchführt. • Verbreitung Suche nach einem nicht infizierten Programm bzw. geeigneten Ort sowie Anfertigen einer eventuell geänderten Kopie von sich selbst. Aktionen (Payload) in aufsteigender Gefährdung: • 1. 2. 3. 4. 5. Jux Zerstörung, z. B. Formatieren von Datenträgern Manipulation von Zugriffssystemen Nachladen aus dem Internet bzw. Mutieren Installation fremder Software Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 17 Viren - Orte • Dokumente mit aktiven Inhalten z. B. Word mit VBA, PDF mit JavaScript, E-Mail mit JavaScript • Bootsektor von Medien, meist Disketten • Autostartdateien von Medien, meist CDROMs • Ausführbare Programme: – Eigenständige Programme, auch versteckt – Als Teil einer Mail (z. B. als VBA) – Als ausführbarer Teil von Daten (z. B. selbst auspackende-Archive) • RAM(!) Einträge in der Registry (Windows) helfen vielleicht Viren, als Ort für Viren kommen diese Einträge nicht in Frage. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 18 Viren - Entfernung • Identifizierung mit Mustererkennung (Signaturen) durch Virenscanner • Probleme: – Aktualität der Signaturbibliotheken Teilweise geht es um Stunden – Viren werden meist erst dann entdeckt, wenn sie aktiv wurden "schlafende" Viren sind sehr schwer erkennbar – Heuristiken für potentielle Viren sind problematisch. • Beim Verbreitungsschritt können Viren ihr Bitmuster variieren (mutieren). Dann sind so viele Signaturen bzw. speziell programmierte Suchroutinen erforderlich wie Mutationen. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 19 Port Scanner zur Analyse von Schnittstellen • Port Scanner = Prüfprogramm, das meist von Außen den Zugang, d.h. die Reaktion, eines Ports auf der Transportschicht und darüber prüft und einen Bericht darüber erstellt • Verfahren: (teilweiser) Aufbau einer TCP-Verbindung und warten auf Antwort: – Auswerten der empfangenen Informationen – Identifizieren der Dienste: Bestimmung der Version – Auswerten der Begrüßungstexte (Banner Grabbing) • Darstellung der Ergebnisse und Speichern in einer Datenbank • Tarnung: – Verteilt von mehreren Systemen – Portnummern in zufälliger Reihenfolge – Über langen Zeitraum verteilt Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 20 Trojaner und Back doors • • • Trojaner = Programm(teil), das neben einer offensichtlichen eine versteckte Funktion ausführt Back Doors = Server, die nach Außen Dienste anbieten und dies möglichst versteckt tun Varianten in aufsteigender Gefährlichkeit: 1. Ausblenden von verräterischen Informationen z. B. Weglassen von bestimmten Prozessen beim Kommando zum Auflisten von Prozessen 2. Datenmanipulationen von Konfigurationen 3. Inaktivieren von Authentifizierungen 4. Änderungen des Kernels (auch zur Laufzeit) Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 21 Würmer • • • Würmer = Programme, die von Rechner zu Rechner - auch Plattform übergreifend – kopiert werden und auf jedem Rechner eine Aktion ähnlich den von Viren durchführen Würmer können sich eigenständig verbreiten, z.B. über FTP, oder passiv durch die Menschen transportiert werden (Mail). Aktionen: 1. 2. 3. 4. • Verbreitung von Viren Manipulation von Konfigurationen Zerstörung von Daten Installation von Hintertüren oder Rootkits Die Idee zum Begriff des Computer-Wurms stammt aus dem SFRoman "Der Schockwellenreiter" von John Brunner aus dem Jahre 1975: http://de.wikipedia.org/wiki/Der_Schockwellenreiter_(Roman) Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 22 Malware, Spyware und Adware • Viele der heutigen Viren sind Würmer mit Virenaktionen. Deshalb wird zwischen ihnen nicht differenziert. • Malware = Schadprogramme = Zusammenfassung von – – – – – Trojanern Back Doors Viren Würmer Spyware • Spyware = Software, die Daten über die Benutzung des Rechners sammelt und an Dritte übermittelt oder durch Identifizierung diese Sammlung erst ermöglicht • Adware = Zusatzprogramme, die Reklame für fremde oder eigene Produkte darstellen – meist mit der Lizenz verknüpft Siehe: http://de.wikipedia.org/wiki/Schadprogramm Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 23 Root Kit • Rootkit = Sammlung von Programmen, die Teile des Betriebssystems ersetzen, um dann einen leichten Zugang von außen zu realisieren • Komponenten, die ersetzt werden können: – – – – – Software, die die Basis darstellt (Systemsoftware) Booter Kernel, Kernel-Module auf der Platte Kernel im Arbeitsspeicher Das gesamte System durch Virtualisierung Siehe dazu: http://de.wikipedia.org/wiki/Virtual_Machine_Based_Rootkit • Modifikationen des Kernels: – Syscalls open(), read() – Listen der Prozesstabellen Siehe dazu: http://de.wikipedia.org/wiki/Rootkit Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 24 Authentifizierung I • Passwörter – Zufällig, mindestens 8, besser 12 Zeichen lang, Ziffern und Sonderzeichen – Keine "normalen" Worte oder Muster auf der Tastatur – Mit Merksätzen oder Schreibfehlern arbeiten: Re1nB1ttae oder Mausgrau war das Himmelszeit bei Nacht um 11: MwdHbNu1 • Aber auch: Unterlaufen des Schutzes Beispiel: Bildschirmschoner-Kennwörter mit CDROM Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 25 Authentifizierung II • Chipkarten Der Inhaber identifiziert sich durch eine (hoffentlich) fälschungssichere Chipkarte (die er nicht verliert oder verleiht) – Vorteil: Sicher – Nachteil: teuer • Biometrie – – – – Fingerabdruck Spracherkennung Augenhintergrund Gesicht – Nachteil: teuer, unzuverlässig und Datenschutzprobleme Aber wenn es mal funktioniert, dann die beste Methode Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 26 Social Engineering • Social Engineering = Systematisches Auskundschaften des sozialen Umfelds der Organisation oder der Personen, die Zugang zum gewünschten System haben, sowie das Ausnutzen dieser Erkenntnisse • Beispiele: – Analyse persönlicher Web-Sites mit Hobbies, um Kennwörter herauszufinden – Telefonanruf mit plausibler Geschichte, die dazu führt, dass eine neue Information mitgeteilt wird, die dem Hacker weiter hilft. – Organisationsstruktur und Kompetenz der IT-Kräfte anhand von Unterlagen, News-Beiträgen und offiziellen Web-Sites herausfinden Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 27 Knacken von Passwörtern • Brute Force: Einfach alles Durchprobieren • Probieren mit bekannten Passwort-Mustern, auch Muster auf der Tastatur • Alternativen für BIOS-Passwörter – Akku ausbauen: Nach Spannungsverlust: Standard-Passwort – Platinen-Reset • Wörterbuchangriff: Häufig werden Kennwörter nicht zufällig generiert, z. B. anhand von Wörterbüchern. Das verkürzt die Probierzeit. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 28 Techniken - Abhören Sniffer = Programm eventuell zusammen mit Hardware zum Abhören von Kommunikation Beispiele: 1. LAN: Ethernet-Karte in Promiscous-Mode bringen, alle Frames kopieren, filtern und ordentlich aufbereitet anzeigen 2. Nach Einbruch in Router/Firewall: dasselbe auf IP-Ebene am Netzübergang 3. WLAN: Monitoren und Knacken der WEP-Verschlüsselung 4. Messung der Abstrahlung von CRT-Monitoren TEMPEST (Transient Electromagnetic Pulse Emanation Standard), unscharfe Schrift lässt sich schwerer abhören 5. Abhören von Lichtwellenleitern Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 29 Techniken - In der Mülltonne wühlen • Papierabfälle ansehen, Interessant sind – – – – Kreditkartenquittungen Kennwortformulare Ausdrucke von Konfigurationsdateien Notizen von Administratoren • Internet-Cache vom Vorgänger am PC ansehen, z. B. in Internet-Cafes • Auf externen Platten nach gelöschten Dateien suchen • Platten von insolventen Firmen durchsuchen(!) Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 30 Techniken - Aktive Inhalte • Passive Inhalte = Daten, die nur angezeigt oder kontrolliert modifiziert werden können • Aktive Inhalte = Programme als Teile von anderen Daten, die (unkontrolliert) nach dem Laden gestartet werden • Beispiele auf der Client-Seite: – – – – – ActiveX (Zertifikate sagen z.Z. nichts über Sicherheit) Plugins JavaScript (HTML, PDF) VBA (Mails), VBScript (web) Java (wohl das sicherste von allen aufgeführten) • Dies gilt für Web-Seiten und E-Mails gleichermaßen. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 31 Abwehrtechnik - Quarantäne • Quarantäne = Unklare Software bzw. Daten werden in einen Bereich gebracht, in dem nur kontrollierte und beobachtbare Manipulationen durch die unklare Software möglich sind. • Für Quarantäne eignen sich: – Besondere Teile in Rechnern – Eigene Rechner – Eigene Netze mit eigenen Rechnern • Beispiele: – Virtuelle Maschinen wie z.B. die JavaVM – Simulatoren wie VMware, Virtual PC oder XEN • In der Quarantäne wird die Software genau getestet und dabei beobachtet. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 32 Techniken - Spoofing • Spoofing = Verfahren der Simulation einer anderen Person bzw. Rechners. Es wird für eine Zeit lang die Rolle einer anderen Person bzw. eines Rechners übernommen • Typisch ist IP-Spoofing: Falsche Source-IP-Adresse • "Man in the middle"-Angriff = Software schaltet sich zwischen zwei Kommunikationspartnern, hört ab oder greift aktiv ein (Übernahme einer der beiden Rollen). Dies wird manchmal Hijacking genannt. 33 Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I Man in the middle I – Ein Beispiel (4) (5) Ihr Rechner Böser Hacker (7) Ihre Bank (6) (3) (2) (1) DNS Server Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 34 Man in the middle II – Ein Beispiel (1) Hacker ändert die IP-Adresse von www.bank.de auf sein System (2) Ihr Rechner fragt nach der IP-Adresse von www.bank.de (3) Und erhält die gefälschte Adresse (4) Aufbau einer Verbindung zum Hacker-System (5) Der Hacker holt sich live die aktuellen Daten von der Bank anhand Ihrer Daten (6) Die Daten kommen zum Hacker (7) Der Hacker sendet die korrekten(!) aktuellen Daten Ihrem Rechner Frage: Können Sie das mit den "üblichen" Methoden (TAN, PIN) verhindern? Antwort: nein. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 35 Denial of Service (DoS) • Denial of Service-Angriff = DoS-Angriff = Eine Funktion oder ein ganzes System wird außer Kraft gesetzt oder so gestört, dass die Dienstleistung nicht erbracht werden kann • Beispiele: – ICMP: Mitteilung über die Funktionsunfähigkeit bestimmter Router, so dass keine IP-Pakete vermittelt werden können – Aufbau des 3-Wege-Handshake ohne das dritte bestätigende Paket – Ping of Death • Anwendungen bei Web-Server oder Mail-Server Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 36 Distributed Denial of Service (dDoS) • Verteilte Version des Denial of Service Ziel: Überlastung durch – 10-20.000faches gleichzeitiges Generieren scheinbar sinnvoller Paketsequenzen von mehr als 10.000 Stationen – "Brief-Bomben" • Probleme – Erkennen des dDoS-Angriffs – Eingrenzen der IP-Adressen der beteiligten Stationen – Verhindern nach der Erkennung: hier muss mit den Providern zusammengearbeitet werden Auch dies ist ein Grund für die Vorratsdatenspeicherung… oder? Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 37 SPAM und Hoax • SPAM = Mail mit zweifelhaftem Inhalt, z.B. – – – – – Versuch die Software im Anhang zu starten Phishing per Mail Angebote von verbotenen Waren Aufrufe mit politisch zweifelhaften Inhalt Blödsinn • Hoax = Scherzhafte oder böswillige Warnung vor einer fiktiven (Viren-)Gefahr Siehe http://en.wikipedia.org/wiki/Email_spam http://en.wikipedia.org/wiki/Phishing http://de.wikipedia.org/wiki/Hoax Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 38 Firewall In der DMZ stehen Server mit Schutzfunktionen sowie Server mit öffentlichen Zugang, z. B. Web-Server (Bastionen). Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 39 Firewall - Filter und Bastion • Filtern von Paketen – – – – Nach Nach Nach Nach Herkunft und Ziel Inhalt Port/Dienst Richtung • Filter werden in Form von Regeln definiert. • Bastion sind Server innerhalb der DMZ, meist mit speziellen Schutzfunktionen: – Virenscanner für Daten oder Mails – Proxy-Server für spezielle Dienste, z. B. Web, ftp, HBCI etc. • Daneben sind noch Router erforderlich. Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 40 Personal Firewall • • • • Personal Firewalls = Firewalls auf den Endsystemen Diese Firewalls sind bei Ende-zu-Ende-Verschlüsselung notwendig. Leider müssen sie von den Benutzern administriert werden. Auch kommen häufig Benutzer mit den Meldungen der Firewalls nicht zurecht (dies trifft auch für den Virenbefall zu). Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 41 Nach dieser Anstrengung etwas Entspannung.... Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 42