Netzwerke Teil 9: IT-Sicherheit - Grundlagenwi.f4.htw-berlin.de/.../Folien/Netze-09/09-Security-1.pdf · 2013. 10. 31. · Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 4 Zum

Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 31.10.13 1

Netzwerke

Teil 9: IT-Sicherheit - Grundlagen

Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 2

Literatur

[9-1] Mitnick, Kevin; Simon, William: Die Kunst der Täuschung. mitp, 2003

[9-2] Grundschutzhandbuch. https://www.datenschutzzentrum.de/systemdatenschutz/bibliothek/sb1.htm oder https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html

[9-3] Pufferüberlauf. http://de.wikipedia.org/wiki/Pufferüberlauf

http://www.online-tutorials.net/security/buffer-overflow-tutorial-teil-1-grundlagen/tutorials-t-27-282.html

http://www.youtube.com/watch?v=kZZgNnhxA_4

[9-4] Computerwurm. http://de.wikipedia.org/wiki/Computerwurm

[9-5] Firewall. http://de.wikipedia.org/wiki/Firewall


Übersicht

• Begriff der Sicherheit

• Cracken von Software

• Vorgehensmodell

• Viren

• Abhören

• Trojaner/Hintertüren

• Man in the middle

• Firewalls


Zum Begriff der Sicherheit

• Sicherheit umfasst– die Verlässlichkeit der zu erbringenden Dienstleistung in der

gewünschten Qualität

– Schutz der Daten gegen unbeabsichtigte Änderung aus Versehen, mit Absicht oder aufgrund Mängeln der Technik

– Zugang zu den Daten nur für die berechtigten Personen auf berechtigte Art und Weise

• Datenschutz ergänzt Sicherheit noch durch– Beschränkungen für Personen mit erlaubten Zugang

– Beschränkungen der Datenerfassung, Abgleich und Weitergabe

Jedoch nur für Daten mit Bezug auf Personen

In diesem Teil werden nur Sicherheitsprobleme betrachtet,die durch Menschen hervorgerufen werden.


Grundbegriffe der IT-Sicherheit

• Vertraulichkeit: Nur Befugte haben Zugriff auf Daten zur Wahrung der Privatsphäre

• Integrität: Daten können nur auf beabsichtigte Weise geändert werden

• Verbindlichkeit: Nachweismöglichkeit erfolgter Kommunikation sowie erfolgreicher Operationen auf Daten

• Identifizierung: Bestimmung der beteiligten Personen (Identität der Subjekte)

• Authentifikation: Prüfung der Identität des Subjekts

• Autorisierung: Zuordnung von Rechten an Subjekte in Bezug auf Objekte

• Authentizität: Gegenseitig verifizierbare Identität der Subjekte


Cracken von Software

• Bei diesem Cracken von Software geht es darum, den Kopierschutz durch Ändern des Binärcodes oder anderer Maßnahmen unwirksam zu machen, Software zur Feststellung und Generierung von Freigabe-Codes zu erstellen sowie deren Ergebnisse zu verbreiten, d.h. es geht um den Bruch des Copyrights (Urheberrechts).

• Entsprechendes gilt auch für das "Cracken" von Medien.

• Beispiele:– Spiele

– Teure Software-Pakete mit Dongles

– Windows XP - Freigaben im Internet

– Kopierschutz von DVD-Videos

– Kopierschutz von Audio-CDROMs


Cracken des Dongle-Schutzes I

Aufgabe:Erstellung einer Software-Kopie, die auch ohne Dongle läuft

Siehe z.B. https://de.wikipedia.org/wiki/Dongle

Abbildungen stammen aus:https://de.wikipedia.org/wiki/Dongle


Cracken des Dongle-Schutzes II

• Die Software wird in einen Interpreter, z.B. bochs, geladen.

• Es werden Break Points beim Zugriff auf bestimmte Adressbereiche gesetzt:1. Stellen, an denen auf den Dongle zugegriffen wird

2. Stellen, an denen auf die Software (Punkt 1) zugegriffen wird (um Modifikationen zu erkennen)

• Das Programm wird gestartet und bedient.

• Die Zugriffe nach Punkt 1 werden durch NOOPs ersetzt.

• Die Routinen nach Punkt 2 werden so modifiziert, dass sie immer OK liefern.

• Die Modifikationen erfolgen in einem Binärcode-Editor. Das Ergebnis wird auf die Platte geschrieben – fertig.

Alles recht einfach, kostet nur Zeit…


Aushebeln des Regional Codes von DVDs

• Patchen der Software vom Laufwerk

• Binärcodes mit der Region 0 (Welt) gibt es im Internet.

• Es ist auch möglich, denUrzustand des Laufwerkswieder herzustellen.

Siehe: http://de.wikipedia.org/wiki/DVD-Video

Die Abbildung stammt aus:http://de.wikipedia.org/wiki/DVD-Video


Das waren zwei Beispiele…

Wenn diese Informationen konkreter gemacht werden, sodass auch technisch ungebildete Menschen dies durchführenkönnen, entstehen Crack-Anleitungen.

Wie ist damit umzugehen?

Hinweis: Jeder, der die Technik kennt, Manuals lesen kann undviel Zeit hat, kann sich all dies selbst erarbeiten.


Umgang mit Sicherheitsproblemen

Position:

– Security by obscuritySicherheit entsteht primär dadurch, dass keine Informationen über Maßnahmen, Algorithmen und Mängel verbreitet werden.Typisch für Geheimdienste und viele Software-Firmen

Gegenposition:

– Sicherheit entsteht primär durch Offenlegung, öffentlicher Prüfung bzw. KritikTypisch für Open Source Software-Bewegung

Da beide Seiten sich gleichzeitig irren und Recht haben, ist wohlder Mittelweg der Beste.


Hackersoftware ist "dual use"-Software

• Aus der Geschichte lernen:– Ohne das ein Problem zeigendes Programm (exploit) wurde öfter

Warnern vor Sicherheitsproblemen nicht geglaubt, z.B. dem Hamburger CCC.

• Software zum Testen der "Festigkeit" von Sicherheitsmechanismen

• Software zum Einbrechen

Aber:

• Es gibt Gegenargumente gegen die Verbreitung von – Werkzeugen, z.B. SATAN (Security Administrators Tool for Analyzing

Networks) oder Nessus

– Cracken geht aufgrund einfach zu bedienender Werkzeuge auch für Inkompetente

– Dokumentationen über Sicherheitslücken


Ein Vorgehensmodell für externe Hacker I

• Schritt 1: Auskundschaften– Suchmaschinen

– News (Beiträge von Personen)

– Externe Quellen (Geschäftsberichte, Telefonbuch...)

– Befragen von ehemaligen Mitarbeitern oder Bekannten

– Analyse des (sozialen) Umfelds (Social Engineering)

– Mitarbeiter mit ihren Vorlieben: Analyse deren Web-Sites

– Befragen von Mitarbeitern, z. B. per Telefon

• Schritt 2: Analyse des technischen Ziels– Scannen der Schnittstellen

– Analyse der Server samt Betriebssystemen, z. B. Banner-Grabbing oder Fingerprinting

– Testen von Zugängen, z. B. ISDN, Einwählnummern etc.


Ein Vorgehensmodell für externe Hacker II

• Schritt 3: Angriffe– Ausnutzen von Lücken

– Denial of Service

• Schritt 4: Übernahme des Systems– Installieren von Back doors

– Modifizieren der Rechte

– Ersetzen vorhandener Software, z.B. durch Rootkits

– Löschen aller Spuren


Von Draußen oder von Drinnen?

• 2/3 aller ernsthaften Probleme entstehen durch die eigenen Mitarbeiter/innen.

Gründe:– Rache, "verbrannte Erde" nach Kündigung

– Demotivation, innere Kündigung

– Schlamperei, Faulheit

– Inkompetenz, Fehleinschätzung der Lage

– Arbeitsüberlastung

– Fehlende Koordination

• Viren kommen eher von außen, Einbrüche eher von Innen.


Dies alles wäre vermeidbar, wenn es nicht Geld kosten würde....

Ursachen

1. Qualitätsmängel in der Herstellung der SoftwareBeispiel: Bufferoverflow-Probleme

2. Qualitätsmängel bei der Konzeption

3. Bewusst in Kauf genommene Mängel durch das ManagementBeispiele: Reduktion des Budgets, Terminverkürzungen

4. Konfigurationsmängel Beispiele: Kein Einfahren von Aktualisierungen, Beibehalten von Standard-Passwörtern, Ausschalten von Sicherheitslösungen, z. B. Virenscanner.


Viren

• Virus = Programmstück, das sich an ein anderes Programm anfügt oder teilweise überschreibt und neben seiner Verbreitung eine Aktion durchführt.

• VerbreitungSuche nach einem nicht infizierten Programm bzw. geeigneten Ort sowie Anfertigen einer eventuell geänderten Kopie von sich selbst.

• Aktionen (Payload) in aufsteigender Gefährdung:1. Jux

2. Zerstörung, z. B. Formatieren von Datenträgern

3. Manipulation von Zugriffssystemen

4. Nachladen aus dem Internet bzw. Mutieren

5. Installation fremder Software


Viren - Orte

• Dokumente mit aktiven Inhaltenz. B. Word mit VBA, PDF mit JavaScript, E-Mail mit JavaScript

• Bootsektor von Medien, meist Disketten

• Autostartdateien von Medien, meist CDROMs

• Ausführbare Programme:– Eigenständige Programme, auch versteckt

– Als Teil einer Mail (z. B. als VBA)

– Als ausführbarer Teil von Daten (z. B. selbst auspackende-Archive)

• RAM(!)

Einträge in der Registry (Windows) helfen vielleicht Viren, als Ortfür Viren kommen diese Einträge nicht in Frage.


Viren - Entfernung

• Identifizierung mit Mustererkennung (Signaturen) durch Virenscanner

• Probleme:– Aktualität der Signaturbibliotheken

Teilweise geht es um Stunden

– Viren werden meist erst dann entdeckt, wenn sie aktiv wurden"schlafende" Viren sind sehr schwer erkennbar

– Heuristiken für potentielle Viren sind problematisch.

• Beim Verbreitungsschritt können Viren ihr Bitmuster variieren (mutieren).Dann sind so viele Signaturen bzw. speziell programmierte Suchroutinen erforderlich wie Mutationen.


Port Scanner zur Analyse von Schnittstellen

• Port Scanner = Prüfprogramm, das meist von Außen den Zugang, d.h. die Reaktion, eines Ports auf der Transportschicht und darüber prüft und einen Bericht darüber erstellt

• Verfahren: (teilweiser) Aufbau einer TCP-Verbindung und warten auf Antwort:– Auswerten der empfangenen Informationen– Identifizieren der Dienste: Bestimmung der Version– Auswerten der Begrüßungstexte (Banner Grabbing)

• Darstellung der Ergebnisse und Speichern in einer Datenbank• Tarnung:

– Verteilt von mehreren Systemen– Portnummern in zufälliger Reihenfolge– Über langen Zeitraum verteilt


Trojaner und Back doors

• Trojaner = Programm(teil), das neben einer offensichtlichen eine versteckte Funktion ausführt

• Back Doors = Server, die nach Außen Dienste anbieten und dies möglichst versteckt tun

• Varianten in aufsteigender Gefährlichkeit:1. Ausblenden von verräterischen Informationen

z. B. Weglassen von bestimmten Prozessen beim Kommando zum Auflisten von Prozessen

2. Datenmanipulationen von Konfigurationen

3. Inaktivieren von Authentifizierungen

4. Änderungen des Kernels (auch zur Laufzeit)


Würmer

• Würmer = Programme, die von Rechner zu Rechner - auch Plattform übergreifend – kopiert werden und auf jedem Rechner eine Aktion ähnlich den von Viren durchführen

• Würmer können sich eigenständig verbreiten, z.B. über FTP, oder passiv durch die Menschen transportiert werden (Mail).

• Aktionen:1. Verbreitung von Viren

2. Manipulation von Konfigurationen

3. Zerstörung von Daten

4. Installation von Hintertüren oder Rootkits

• Die Idee zum Begriff des Computer-Wurms stammt aus dem SF-Roman "Der Schockwellenreiter" von John Brunner aus dem Jahre 1975: http://de.wikipedia.org/wiki/Der_Schockwellenreiter_(Roman)


Malware, Spyware und Adware

• Viele der heutigen Viren sind Würmer mit Virenaktionen. Deshalb wird zwischen ihnen nicht differenziert.

• Malware = Schadprogramme = Zusammenfassung von – Trojanern

– Back Doors

– Viren

– Würmer

– Spyware

• Spyware = Software, die Daten über die Benutzung des Rechners sammelt und an Dritte übermittelt oder durch Identifizierung diese Sammlung erst ermöglicht

• Adware = Zusatzprogramme, die Reklame für fremde oder eigene Produkte darstellen – meist mit der Lizenz verknüpft

Siehe: http://de.wikipedia.org/wiki/Schadprogramm


Root Kit

• Rootkit = Sammlung von Programmen, die Teile des Betriebssystems ersetzen, um dann einen leichten Zugang von außen zu realisieren

• Komponenten, die ersetzt werden können:– Software, die die Basis darstellt (Systemsoftware)– Booter– Kernel, Kernel-Module auf der Platte– Kernel im Arbeitsspeicher– Das gesamte System durch Virtualisierung

Siehe dazu: http://de.wikipedia.org/wiki/Virtual_Machine_Based_Rootkit

• Modifikationen des Kernels:– Syscalls open(), read()– Listen der Prozesstabellen

Siehe dazu: http://de.wikipedia.org/wiki/Rootkit


Authentifizierung I

• Passwörter– Zufällig, mindestens 8, besser 12 Zeichen lang, Ziffern und

Sonderzeichen

– Keine "normalen" Worte oder Muster auf der Tastatur

– Mit Merksätzen oder Schreibfehlern arbeiten:Re1nB1ttae oder Mausgrau war das Himmelszeit bei Nacht um 11: MwdHbNu1

• Aber auch: Unterlaufen des SchutzesBeispiel: Bildschirmschoner-Kennwörter mit CDROM


Authentifizierung II

• ChipkartenDer Inhaber identifiziert sich durch eine (hoffentlich) fälschungssichere Chipkarte (die er nicht verliert oder verleiht)– Vorteil: Sicher

– Nachteil: teuer

• Biometrie– Fingerabdruck

– Spracherkennung

– Augenhintergrund

– Gesicht

– Nachteil: teuer, unzuverlässig und DatenschutzproblemeAber wenn es mal funktioniert, dann die beste Methode


Social Engineering

• Social Engineering = Systematisches Auskundschaften des sozialen Umfelds der Organisation oder der Personen, die Zugang zum gewünschten System haben, sowie das Ausnutzen dieser Erkenntnisse

• Beispiele:– Analyse persönlicher Web-Sites mit Hobbies, um Kennwörter

herauszufinden

– Telefonanruf mit plausibler Geschichte, die dazu führt, dass eine neue Information mitgeteilt wird, die dem Hacker weiter hilft.

– Organisationsstruktur und Kompetenz der IT-Kräfte anhand von Unterlagen, News-Beiträgen und offiziellen Web-Sites herausfinden


Knacken von Passwörtern

• Brute Force: Einfach alles Durchprobieren

• Probieren mit bekannten Passwort-Mustern, auch Muster auf der Tastatur

• Alternativen für BIOS-Passwörter– Akku ausbauen: Nach Spannungsverlust: Standard-Passwort

– Platinen-Reset

• Wörterbuchangriff: Häufig werden Kennwörter nicht zufällig generiert, z. B. anhand von Wörterbüchern. Das verkürzt die Probierzeit.


Techniken - Abhören

1. LAN: Ethernet-Karte in Promiscous-Mode bringen, alle Frames kopieren, filtern und ordentlich aufbereitet anzeigen

2. Nach Einbruch in Router/Firewall: dasselbe auf IP-Ebene am Netzübergang

3. WLAN: Monitoren und Knacken der WEP-Verschlüsselung

4. Messung der Abstrahlung von CRT-MonitorenTEMPEST (Transient Electromagnetic Pulse Emanation Standard), unscharfe Schrift lässt sich schwerer abhören

5. Abhören von Lichtwellenleitern

Sniffer = Programm eventuell zusammen mit Hardware zumAbhören von Kommunikation

Beispiele:


Techniken - In der Mülltonne wühlen

• Papierabfälle ansehen,Interessant sind– Kreditkartenquittungen

– Kennwortformulare

– Ausdrucke von Konfigurationsdateien

– Notizen von Administratoren

• Internet-Cache vom Vorgänger am PC ansehen,z. B. in Internet-Cafes

• Auf externen Platten nach gelöschten Dateien suchen

• Platten von insolventen Firmen durchsuchen(!)


Techniken - Aktive Inhalte

• Passive Inhalte = Daten, die nur angezeigt oder kontrolliert modifiziert werden können

• Aktive Inhalte = Programme als Teile von anderen Daten, die (unkontrolliert) nach dem Laden gestartet werden

• Beispiele auf der Client-Seite:– ActiveX (Zertifikate sagen z.Z. nichts über Sicherheit)

– Plugins

– JavaScript (HTML, PDF)

– VBA (Mails), VBScript (web)

– Java (wohl das sicherste von allen aufgeführten)

• Dies gilt für Web-Seiten und E-Mails gleichermaßen.


Abwehrtechnik - Quarantäne

• Quarantäne = Unklare Software bzw. Daten werden in einen Bereich gebracht, in dem nur kontrollierte und beobachtbare Manipulationen durch die unklare Software möglich sind.

• Für Quarantäne eignen sich:– Besondere Teile in Rechnern

– Eigene Rechner

– Eigene Netze mit eigenen Rechnern

• Beispiele:– Virtuelle Maschinen wie z.B. die JavaVM

– Simulatoren wie VMware, Virtual PC oder XEN

• In der Quarantäne wird die Software genau getestet und dabei beobachtet.


Techniken - Spoofing

• Spoofing = Verfahren der Simulation einer anderen Person bzw. Rechners.Es wird für eine Zeit lang die Rolle einer anderen Person bzw. eines Rechners übernommen

• Typisch ist IP-Spoofing: Falsche Source-IP-Adresse

• "Man in the middle"-Angriff = Software schaltet sich zwischen zwei Kommunikationspartnern, hört ab oder greift aktiv ein (Übernahme einer der beiden Rollen).Dies wird manchmal Hijacking genannt.


Man in the middle I – Ein Beispiel

IhrRechner

IhreBank

BöserHacker

DNSServer

(2)

(3)

(1)

(4) (5)

(6)(7)


Man in the middle II – Ein Beispiel

(1) Hacker ändert die IP-Adresse von www.bank.de auf sein System

(2) Ihr Rechner fragt nach der IP-Adresse von www.bank.de

(3) Und erhält die gefälschte Adresse

(4) Aufbau einer Verbindung zum Hacker-System

(5) Der Hacker holt sich live die aktuellen Daten von der Bank anhand Ihrer Daten

(6) Die Daten kommen zum Hacker

(7) Der Hacker sendet die korrekten(!) aktuellen Daten Ihrem Rechner

Frage: Können Sie das mit den "üblichen" Methoden (TAN, PIN)verhindern?

Antwort: nein.


Denial of Service (DoS)

• Denial of Service-Angriff = DoS-Angriff = Eine Funktion oder ein ganzes System wird außer Kraft gesetzt oder so gestört, dass die Dienstleistung nicht erbracht werden kann

• Beispiele:– ICMP: Mitteilung über die Funktionsunfähigkeit bestimmter Router,

so dass keine IP-Pakete vermittelt werden können

– Aufbau des 3-Wege-Handshake ohne das dritte bestätigende Paket

– Ping of Death

• Anwendungen bei Web-Server oder Mail-Server


Distributed Denial of Service (dDoS)

• Verteilte Version des Denial of ServiceZiel: Überlastung durch– 10-20.000faches gleichzeitiges Generieren scheinbar sinnvoller

Paketsequenzen von mehr als 10.000 Stationen

– "Brief-Bomben"

• Probleme– Erkennen des dDoS-Angriffs

– Eingrenzen der IP-Adressen der beteiligten Stationen

– Verhindern nach der Erkennung:hier muss mit den Providern zusammengearbeitet werden

Auch dies ist ein Grund für die Vorratsdatenspeicherung… oder?


SPAM und Hoax

• SPAM = Mail mit zweifelhaftem Inhalt, z.B.– Versuch die Software im Anhang zu starten

– Phishing per Mail

– Angebote von verbotenen Waren

– Aufrufe mit politisch zweifelhaften Inhalt

– Blödsinn

• Hoax = Scherzhafte oder böswillige Warnung vor einer fiktiven (Viren-)Gefahr

Siehe

http://en.wikipedia.org/wiki/Email_spamhttp://en.wikipedia.org/wiki/Phishinghttp://de.wikipedia.org/wiki/Hoax


Firewall

In der DMZ stehen Server mit Schutzfunktionen sowie Server mitöffentlichen Zugang, z. B. Web-Server (Bastionen).


Firewall - Filter und Bastion

• Filtern von Paketen– Nach Herkunft und Ziel

– Nach Inhalt

– Nach Port/Dienst

– Nach Richtung

• Filter werden in Form von Regeln definiert.

• Bastion sind Server innerhalb der DMZ, meist mit speziellen Schutzfunktionen:– Virenscanner für Daten oder Mails

– Proxy-Server für spezielle Dienste, z. B. Web, ftp, HBCI etc.

• Daneben sind noch Router erforderlich.


Personal Firewall

• Personal Firewalls = Firewalls auf den Endsystemen

• Diese Firewalls sind bei Ende-zu-Ende-Verschlüsselung notwendig.

• Leider müssen sie von den Benutzern administriert werden.

• Auch kommen häufig Benutzer mit den Meldungen der Firewalls nicht zurecht (dies trifft auch für den Virenbefall zu).


Nach dieser Anstrengung etwas Entspannung....

Documents

Netzwerke Teil 9: IT-Sicherheit - Grundlagenwi.f4.htw-berlin.de/.../Folien/Netze-09/09-Security-1.pdf · 2013. 10. 31. · Netzwerke – WS 2013/14 - Teil 9/IT-Sicherheit I 4 Zum