Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Bedrohungen II,

Humboldt University

Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de

IT-SicherheitGrundlagen

Grundlagen

Bedrohungen II, Bedrohungsbaum

IT-SicherheitGrundlagenDr. Wolf Müller2

Rootkit

! Besonderes Gefahrenpotenzial. Klasse von Angriffen auf IT-Systeme die:

- schnell,- vollautomatisch,- auch ohne Expertenwissen,- mit hoher Wahrscheinlichkeit erfolgreich unter Nutzung frei

verfügbarer Angriffs-Software durchgeführt werden.

Ziel: Erlangung von Administrator- (Root-) Rechten Volle Systemkontrolle durch den Angreifer Verstecken vor legitimen Benutzer oder Administrator.


Rootkit: Vorbereitung

1. Systematische Schachstellenanalyse auf Basis von Expertenwissen (z.B. aus öffentlichen Datenbanken)– Datenbanken enthalten Infos über gängige Betriebssysteme,

systemnahe Dienste und deren Verwundbarkeiten.– Exploit sucht nach Rechnern mit bekannten Schwachstellen.– Portscans nach offenen Ports FTP, HTTP, maild, inetd und

Portfingerprints.

2a. Abgleich der gefundenen Daten mit Schwachstellendatenbank

2b. Alternativ: Suche nach Schwachstellen in Systemkonfiguration– Kennungen ohne Passworte– Standardpassworte für Standardkennungen (Gast:Gast)


Rootkit: Installation 4, 5

3. Ist Schwachstelle identifiziert: Einschleusen von Angriffscode in das System (häufig über Buffer-Overflow).

4. Verschleierung der Aktivitäten des Rootkits• Säubern von Logfiles.• Manipulation von Dienstprogrammen, die Systemaktivitäten

beschreiben (ps, netstat, lsmod, ls).

5. Nachhaltige Unterwanderung des Zielsystems• Schaffung von Möglichkeiten zur wiederholten unentdeckten

Kontrolle / Übernahme des Systems.• Häufig dynamisches Nachladen von Systemprogrammen,

vorgefertigte Versionen von Standard-Systemdiensten (ls, find, netstat, syslogd, login, ftp).

• Nachladen von Sniffern, um Passworte abzulauschen.


VM-Rootkit

Lab rats @Microsoft Research und der University of Michigan:• Prototype für Rootkit, das auf virtueller Maschine beruht. • Proof-of-concept „SubVirt“ nutzt Schachstellen und etabliert VMM (virtual

machine monitor) unter einer Windows- oder Linux-Installation. • Schwer erkennbar, da Sicherheitssoftware nur im “Gastsystem” läuft.• Heutige Anti-Rootkit-Werkzeuge vergleichen Registy und Filesystem-API

Unstimmigkeiten, um User- oder Kernel-Mode Rootkits zu finden.• Rutowska „Blue Pill“

• Ist die VM völlig transparent, sieht VM exakt aus wie die reale Maschine?

Details: http://www.stanford.edu/~talg/papers/HOTOS07/vmm-detection-hotos07.pdf

NEIN:– Latenz, Laufzeit unterschiede bei privilegierten Befehlen.– Virtuelle Hardware Hardware. – Parallelität (Mehrere Prozessoren, DMA) unterscheidet sich.– Wo werden persistente Daten abgelegt? Ist die Platte noch genauso groß?

Dr. Wolf Müller5

http://www.stanford.edu/~talg/papers/HOTOS07/vmm-detection-hotos07.pdf


W32.Stuxnet

• Verbreitung:

• Rootkit– Schadprogramm für Siemens-SCADA-Systeme.– Ziel: Uranzentifugen-Steuerung

• Weg: – Ausnutzung von teilweise unbekannten Sicherheitslücken von

Windows 2000 … Windows 7.– Rootkit-Installation, unter Nutzung gestohlener Treibersignaturen

Realtek und Jmicron.– Genaue Kenntnisse des Prozessvisualisierungssystems WinCC zur

Überwachung und Steuerung technischer Prozesse mit Simatic S7– Installation eines weiteren Rootkits in der Steuerung einer solchen

PCS-7-Anlage.

Dr. Wolf Müller6

© http://www.symantec.com

© Quelle: Wikipedia

http://www.symantec.com/


Rootkit: Fazit

• Nutzt in der Regel bekannte Systemsoftwarefehler aus.• Schwer zu entdecken, gefährlich.

• Abwehr: Regelmäßige Prüfung der Systemkonfiguration. Neuster Sicherheitsstandard (Patches). Verfolgung von verdächtigen Portscans (IDS). Verschlüsselung, kryptografische Prüfsummen. Differenzierte Zugriffskontrollen (Root nicht zwingend alle Rechte

an allen Dateien). Fremdbooten zur sicheren Erkennung VM-Rootkits.


(Weitere) Angriffsstrategien:

• Social Engineering– Ausnutzung menschlicher Schwachstellen, Manipulation– Ziel:

Preisgabe vertraulicher Informationen Benutzer soll Security-Policies verletzen

– Ansatz: Hilfsbereitschaft, Eitelkeiten, Neugier

• Phishing– Fischen nach persönlichen – Z.B. Verschicken authentisch aussehender E-Mails (massiv)– Falsche Login-Seiten, …

Dr. Wolf Müller8


Angriffsstrategien (2)

• Pharming– „Phishing ohne Köder“– Kein Locken, sondern aktives Umleiten auf

gefälschte Web Seiten (DNS, oder installiertes Schadprogramm) ohne Wissen des Nutzers Vergleichbar mit gefälschten Wegweisern,

um Autofahrer in die Irre zu führen– Umleitung des Anwenders an eine

nachgemachte Website (meist handelt es sich um kopierte Homepages von Banken oder anderen Finanz-Institutionen) um. Reverse Proxy Man-in-the-Middle

– Benutzer gibt Passwörter und andere finanzielle Informationen ein, die an Betrüger weitergeleitet werden.

Dr. Wolf Müller9


Pharming aktuell:http://www.spiegel.de/netzwelt/web/0,1518,829504,00.html

Dr. Wolf Müller10

24.04.2012 BundesgerichtshofKunden haften für Fehler beim Online-Banking

Online-Banking: Wer Tan-Nummern preisgibt, haftet selbstWer beim Online-Banking leichtfertig auf Betrüger hereinfällt, muss selbst für den Schaden haften. Das hat der Bundesgerichtshof entschieden. Im konkreten Fall wurde ein Rentner um 5000 Euro geprellt. Er hatte zehn Tan-Nummern weitergegeben.

Hintergrund: DNS-Spoofing oder Pharming http://heise.de/-1557840

http://www.spiegel.de/netzwelt/web/0,1518,829504,00.html



http://www.spiegel.de/netzwelt/web/bild-829504-343401.html


http://heise.de/-1557840

http://www.spiegel.de/thema/online_banking/



Phishing-Gefahr:65% der Bankwebseiten sind Fälschungen

Online-Kriminelle stellen pro Woche rund 57.000 neue falsche Webseiten ins Netz.

Dr. Wolf Müller11

Quelle: http://pandanews.de/2010/09/20/phishing-gefahr-65-der-bankwebseiten-sind-falschungen/

Authentizität ?

http://pandanews.de/2010/09/20/phishing-gefahr-65-der-bankwebseiten-sind-falschungen/

http://pandanews.de/2010/09/20/phishing-gefahr-65-der-bankwebseiten-sind-falschungen/



• SpywareProgramme, die sich im Verborgenen, ohne Wissen des Computerbenutzers persönliche Informationen sammeln.– Synonym für Adware oder Malware – Verschiedene Techniken:

Aufzeichnen aller Tastendrücke Profiling Diebstahl von Passwörtern Durchsuchen der Festplatte nach

interessanten Daten

Dr. Wolf Müller12



• Vishing

Ausnutzung von VoIP „Voice Phishing“– Erstkontakt meist wieder über E-Mail erfolgt. – Opfer soll bestimmte Telefonnummer der

jeweiligen Bank oder Finanzinstitution anzurufen, um Angaben zur Kreditkarte zu bestätigen oder zu ändern…

– Eingabe persönlicher Daten über Tastatur des Telefons oder verbal

– Problem: angegebene Telefonnummer nicht authentisch.

Dr. Wolf Müller13



• Trashing oder Dumpster DivingKriminelle durchsuchen Abfallbehälter von Büros oder Privathaushalten nach:– Kontoauszügen– Kreditkarten-Abrechnungen– Rechnungen, Quittungen– Durchschriften von

Kreditkarten-Transaktionen– Elektronische Speichermedien

Dr. Wolf Müller14


Rechtslage (1)

• § 202a StGB Ausspähen von DatenWer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.


Rechtslage (2)

• § 202a StGB DatenveränderungWer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.Der Versuch ist strafbar.


• §202a des Strafgesetzbuches verbietet Ausspähen von fremden Daten, wenn diese „gegen unberechtigten Zugang besonders gesichert sind“

• 1.2. 2001 Bundestag: Zugangskontrolldiensteschutzgesetz:– Ziel: Unberechtigte Nutzung kostenpflichtiger Angebote (Rundfunk,

Fernsehen) durch Umgehen technischer Vorsperr- und Verschlüsselungsverfahren zu unterbinden.

– Zugangskontrolldienste: Hardware-Lösungen (Decoder, Smartcard) Software-implementierte Verschlüsselungsmechanismen

– Freiheitsstrafe bis zu einem Jahr, wer Einrichtungen zum Umgehen dieser zu gewerblichen Zwecken einführt, herstellt oder verbreitet.

– Bis zu 50000€ für gewerblichen Besitz, Einrichtung, Wartung, Austausch der Cracker Werkzeuge.

– Fokus: Pay-TV, Video-on-Demand, gewerbsmäßig handelnde Personen– Nicht betroffen: elektronische Signatur, Kopierschutz von Dateien.– Private Nutzung: §265a StGB „Erschleichung von Leistungen“.

• Kein vollständiger Überblick, Entwicklung ist noch im Fluss.

Rechtslage (3)


Computer Forensik (Beweissicherung)

Nachweis und Aufklärung von ggf. strafbaren Handlungen durch Auswertung digitaler Spuren

• Für Gerichtsverwertbarkeit:– Analyse auf Kopie, nicht auf Original– „never touch original“– Ergebnisse neutral, überprüfbar, nachvollziehbar.– Im read only Modus– Originalsysteme möglichst sicher verwahren– Beweismaterial so wenig wie möglich bewegen– Beweismittelkette muss gewahrt werden– Lückenlose Dokumentation

• Maßnahmen– shutdown / boot, kann schon Spuren vernichten (Zeitstempel von Dateien)– Notfall-, Alarmierungsplan nötig– Keine Veränderungen am System– Kein Löschen von Viren, Trojanern, …


Computer Forensik: Tools

• Erstellung eines korrekten 1:1 Abbilds (image) nötig– Moderne Produkte zur Festplattenspiegelung ungeeignet

(wegen Optimierung=Modifikation)Drive Image.

– dd, AccessData FTK Explorer, EnCase (je nach Betriebssystem)– mit dcfldd wird gleichzeitig ein MD5 hash berechnet, der die

Daten authentifiziert. http://sorceforge.net/projects/biatchux

– AIR-Tool ähnlich wie dd, aber komfortabler.

http://air-imager.sorceforge.net/


Computer Forensik: Analyse

• Analyse der Kopie auch read-only Modus, schließt versehentliches Ändern aus.

• Linux: Enhanced Linux Loopback-Tool(Programm zum ro-mounten von dd-Images).ftp://ftp.hq.nasa.gov/pub/ig/ccd/enhanced_loopback/

• Analysetools– grep, stings, find, file, hexedit

mit großen Datenmengen überfordert.– Sleuth Kit + GUI Autopsy

http://www.sleuthkit.org/ http://www.sleuthkit.org/autopsy/ Verwendbar unter UNIX / Linux für DOS-, BDS-, MAC-Partitionen, sowie NTFS,

FAT, FFS, ext2fs, ext3fs Dateisysteme.– Untersuchung aller Dateien zeitaufwändig (Win 2k mehr als 6000

Bilddateien).– US-Regierung betreibt Datenbank mit Hashwerten bekannter Dateien (

http://nsl.nist.gov), diese können dann mit Analyse-Tools schnell aussortiert werden.

– Suche nach bestimmten Dateitypen (Bilder, Filme, Word, Excel) anhand von Header / Footer-Signaturen durch Foremost.http://foremost.sourceforge.net/

ftp://ftp.hq.nasa.gov/pub/ig/ccd/enhanced_loopback/

http://www.sleuthkit.org/

http://www.sleuthkit.org/autopsy/

http://nsl.nist.gov/

http://foremost.sourceforge.net/


Computer Forensik: Analyse 2

• Interessante Festplattenbereiche:– tmp-Dateien, Cache, Logdateien, Registry, gelöschte Bereiche– Zugriffszeiten (Modification, Access, Change)

• Fazit: Gewinnt wegen wachsender Zahl an Delikten an Bedeutung.

• Möglicher Konflikt mit Datenschutz.• Professionelle Hilfe empfehlenswert.• Bundes-Trojaner:

– Wie gerichtsfest sind die übermittelten Daten?– Wurden die Daten durch den Trojaner modifiziert?– Sind die Daten authentisch?


Bedrohungsanalyse

• Systematische Ermittlung der potentiellen organisatorischen, technischen und benutzerbedingten Ursachen für Bedrohungen, die Schäden verursachen können.

• Visualisierung über Bedrohungs-/ Angriffsbäume(attack tree)– Wurzel definiert mögliches Angriffsziel– Zwischenziele zur Erreichung des Gesamtziels geben die nächste

Ebene– Verwendung von UND- und ODER- Knoten, um Bedingungen zu

formulieren, was Erreichen von Zwischenzielen bedeutet.– Äste verknüpfen Zwischenziele mit höheren Zielen– Blätter des Baumes beschreiben einzelnen Angriffsschritt


Bedrohungsmatix

• Zeilen:Gefährdungsbereiche• Spalten: potentieller Auslöser

Programmierer interner Benutzer

externer Benutzer

mobiler Code

ExterneAngriffe

Vandalismus Beobachtung der Passwort-eingabe

Interne Angriffe

Direkter Speicherzugriff

Logische Bomben

Passwort cracken

VirenTrojaner

Verfügbarkeit Speicher belegen

Prozesse erzeugen

Netzlast generieren

Monopolisierung der CPU

Abstreiten Transaktionen Accounting

Rechtemiss-brauch

Manuipulation von Daten

Dr. Wolf Müller23


Bedrohungsbaum für Maskierungsangriff mit PDA

verlorenesGerät

unbeaufsichtigtesGerät

überlassenesGerät

InbesitznahmeKein Tokennotwendig

Tokenfälschen Stehlen Bedrohen

Erpressen

Bedrohen

Erpressen

Fälschen

ohne Mitwirkungdes Besitzers

mit Mitwirkungdes Besitzers ohne Biometrie Biometrie-basiert

Erlangen der AuthentifikationsdatenErlangen der Authentifikationstokens

z.B. Smartcard

Authentifikationerforderlich

Bedrohen

Erpressen

StehlenInbesitznahme

ohneAuthentifikation

korrekter Login Besitz desMobilen Geräts

lokaler Login

AngriffszielMaskierung bei der Ausführung der Authentifikationsprozedur

entfernter Login

UND

UND

AngriffszielEntscheidungsknotenAngriffsschrittnicht technisch abwehrbar



Möglicher Angriffspfad


Inbesitznahmeohne

Authentifikation

korrekter Login Besitz desMobilen Geräts

lokaler Login

AngriffszielMaskierung bei der Ausführung der Authentifikationsprozedur

UND

AngriffszielEntscheidungsknotenAngriffsschrittnicht technisch abwehrbar


Risikoanalyse (risk assessment)

• Risikobewertung anhand der Wahrscheinlichkeiten für das Eintreten der verschiedenen Bedrohungen sowie der potentiellen Schadenshöhe

• Eintretenswahrscheinlichkeit:– Geschätzter Aufwand zur Angriffsdurchführung– Nutzen für den Angreifer– Motive des Angreifers, Angreifertyp

Script Kiddie Hacker Mitarbeiter Wirtschaftsspion

– Ressourcen / Kenntnisse des Angreifers


Attributierung des Prozessbaums

Gegeben sei ein Bedrohungsbaum T mit der Menge K seiner Knoten. A sei die Menge von Attributen. Eine Abbildung f: KA, oder f: K2A heißt Attributierung von T.

• Attribute:- Kosten / Aufwand zur Angriffsdurchführung- Notwendigkeit spezieller Hardware für Angriff

Beispiel:- A={U,M} (U unmöglich, M möglich) - Attributierung f für ODER-Knoten kK:

- Attributierung f für UND-Knoten kK:

Mögliche Angriffe: Pfade von Blättern zur Wurzel die mit M attributiert sind.

ist. Baum im k von Knoten-Nachfolger aller dieMenge

)( wobei, ´)(:)(´)( (2)

und ´)(:)(´)( (1)

ksucUkfksuckUkf

MkfksuckMkf

´)(:)(´)( (2)

und ´)(:)(´)( (1)

UkfksuckUkf

MkfksuckMkf


Risikoberechnung

Zugriff auf gespeicherte

Passwortdaten

Ausspähen der Terminaleingabe

unverschlüsselteÜbertragung über das Netz

Ausspähendes Benutzerpassworts

ODER

Risiko = gering Risiko = hoch

Risiko = sehr hoch

Risiko = sehr hoch

Schlussfolgerung: Auch bei einfachem Angreifermodell sehr hohes Risiko, Passworte sollten nur verschlüsselt übertragen werden!


Penetrationstests

• Abschätzung der Erfolgsaussichten eines vorsätzlichen Angriffs.– Innentäter: whitebox-Ansatz

Angreifer besitzt detaillierte Kenntnisse der internen Struktur, Anwendungen, Dienste

– Außentäter: blackbox-Ansatz

Täter hat nur geringe, über öffentliche Kanäle leicht zugängige Informationen über das System


Penetrationstests: Vorgehensweise

1. Internetrecherche nach Informationen über das System, z.B. Menge der erreichbaren IP-Adressen

2. Portscans, Ermittlung der durch das System angebotenen Dienste, Rückschlüsse, welche Dienste an welche Ports gekoppelt sind.

3. Fingerprinting-Methoden, Informationen über OS, dessen Version, Hardware, installierte Anwendungen– E.g. Webserver

4. Abgleich mit Expertenwissen in Schwachstellendatenbanken, Identifizierung von Schwachstellen der System-, Anwendungssoftware

5. Versuch, identifizierte Schwachstellen auszunutzen, systematisch unberechtigten Zugriff auf das Zielsystem zu erlangen, Vorbereitung weiterer Angriffe


Penetrationstests: rechtlicher Rahmen

• Durchführung nicht unproblematisch• Sicherstellen, dass produktiver Betrieb des Systems nicht

nachhaltig gestört wird, kein irreparable Schaden verursacht wird.

• Nur in (schriftlicher) Absprache mit Betreiber und zuständigem Datenschutzbeauftragten.

• Möglicher Konflikt mit Zugangskontrollschutzgesetz (ZKDSG)

auch Password-geschützte WWW, FTP Server Geldbuße bis 50000€


Modellierung, Entwurf und Betrieb

• Sicherheitsstrategie und –modell– Bedrohungs- und Risikoanalyse beschreiben Ist-Zustand– Vergleich mit Soll-Zustand der Schutzbedarf beschreibt– Ergebnis: Maßnahmen zur Abwehr der Bedrohungen– Klassifizierung der Maßnahmen nach

Wichtigkeit Kosten Aufwand

– Erfassung der erforderlichen Maßnahmen zur Erfüllung des Schutzbedarfs in Sicherheitsstrategie (security policy)

informell oder präzise formalisiert– Klassen von Anwendungen haben ähnliche Schutzbedürfnisse, deshalb

können allgemeine Sicherheitsgrundfunktionen eingesetzt werden.– Kriterienkataloge wie europäische ITSEC oder internationale Common

Criteria definieren Funktionsklassen für dezidierte Anwendungsszenarien.– Anwender sollte klären ob seine Sicherheitsanforderungen bereits von einer

dieser Klassen abgedeckt wird, bzw. welche Kombination von Grundfunktionen er braucht.


Modellierung, Entwurf und Betrieb (2)

• Systemarchitektur, – Architekturgrobentwurf

Identifikation der zu schützenden Komponenten Definition der Sicherheitskomponenten

– Feinentwurf Verfeinerung und detaillierte Spezifikation der Komponenten präziser Rahmen für Implementierung Wahl der nötigen Datenstrukturen, Algorithmen Nutzung von Standardmechanismen

(kryptografische Protokolle, Passwortschutz, ACLs, Protokolle zur Schlüsselverteilung,…)

• Validierung / Evaluierung– Testen

Methodisches Testen des implementierten Systems Wenn möglich: Verifizierung der sicherheitsrelevanten Funktionen Testziele, -pläne, -verfahren festlegen, dokumentieren. Vollständigkeit der Tests Code Review

– Evaluierung durch Dritte


Modellierung, Entwurf und Betrieb (3)

• Aufrechterhaltung im laufenden Betrieb– Prozess des SE endet nicht mit Abschluss der Evaluation und

Installation beim Kunden! – Prüfung während laufenden Betriebs, ob Sicherheitsmaßnahmen

ausreichend sind. Monitoring und Kontrollieren der Systemaktivitäten um insbesondere

auf neue Bedrohungen schnell reagieren zu können. Nutzung von Analysetools Problem für Sysadmins, Sicherheitsbeauftragte: Viele spezielle

Werkzeuge, die konfiguriert werden müssen, kompliziert, aufwendig. Folge: Kontinuierliche Überprüfung des Sicherheitszustandes heutiger

Systeme stark vernachlässigt!


Sicherheitsgrundfunktionen

= Baukasten• Identifikation und Authentifikation

– Objekte / Subjekte müssen eindeutig identifizierbar sein, ihre Identität nachweisen können

– Abwehr von Maskierungsangriffen und von unautorisierten Zugriffen– Sicherheitsanforderungen legen fest, ob und wenn ja, welche

Subjekte zwar zu identifizieren, aber nicht zu authentifizieren sind. Bei OS:

– Authentifikation nur bei Login, Gültigkeit späterer Aktionen beruhen auf Gültigkeit dieser Kontrolle

Internet-Banking – Authentifikation bei jeder relevanten Aktion (TAN)

– Angabe, welche Aktionen zur Abwehr systematischer Angriffsversuche ergriffen werden.

– Protokollieren, Sperrung der Kennung


Sicherheitsgrundfunktionen (2)

• Rechteverwaltung– Basis zur Abwehr von Bedrohung der Integrität und Vertraulichkeit– Sicherheitsanforderungen legen Rechte für zu schützende Objekte

fest– Vergabe (UNIX: owner-Prinzip)– Wahrnehmung

• Rechteprüfung– Zugriffskontrolle– Bei welchen Aktionen muss Rechteprüfung stattfinden?– Vollständigkeitsprinzip: Jeder Zugriff sollte kontrolliert werden

Oft prüfen nur beim öffnen einer Datei Danach Konformitätsprüfung: Wenn lesen, dann weiterlesen. File Handles

– Ausnahmen: Welche Aktionen bei unautorisierten Zugriffen permission denied


Sicherheitsgrundfunktionen (3)

• Beweissicherung– Nichtabstreitbarkeit– Protokollierung– Computer-Forensik

• Wiederaufbereitung– Maßnahmen zur Wiederaufbereitung von gemeinsam aber exklusiv

nutzbaren Betriebsmitteln Prozessor, Register, Cache

• Gewährleistung der Funktionalität– Maßnahmen zur Gewährleistung der Verfügbarkeit– Abwehr von DoS– Priorisierung von Funktionalitäten


Bewertungskriterien

• Kriterienkataloge stellen Bewertungsschema zur Verfügung• Zertifikate• Nationale internationale Kataloge

– Orange Book (US 1980)– Grünbuch (DE)– ITSEC Information Technology Security Evaluation Criteria

(Europa)– Common Criteria (international , 1998)– IT-Grundschutz (BSI)

https://www.bsi.bund.de/ContentBSI/Publikationen/BSI_Standard/it_grundschutzstandards.html



Documents

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Bedrohungen II,