IT-Sicherheit IAIK 1

Transkript

1 IT-Sicherheit IAIK 1

2 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter Benutzung zu schützen IAIK 2

3 Begriffe Safety (Betriebssicherheit) Security (IT-Sicherheit) IAIK 3

4 Bedrohungen / Ziele Drei generelle Ziele Für jedes Ziel existiert Bedrohung Vertraulichkeit Aufdeckung (confidentiality) Integrität (integrity) Manipulation Verfügbarkeit (availability) Denial-of-Service IAIK 4

5 Angreifer Wer sind die Feinde? Passive Angreifer Wollen nur lesen Aktive Angreifer Wollen Ändern oder Zerstören IAIK 5

6 Angriffe Top Attacker: Most Attacked Port: 137 Geographic Distribution of attack sources. Last 5 days IAIK 6

7 Angriffe IAIK 7

8 Kategorien Gelegentliches Herumschnüffeln zb Lesen von fremden s Neugierde, kein System Insider Oft hoch qualifiziert Herausforderung Wirtschaftlicher Nutzen Bestehlen des Dienstgebers Spionage (milit. oder Wirtschafssp.) IAIK 8

9 Aufwand Einfacher, den gelegentlichen Schnüffler abzuwehren als eine fremde Regierung Ausmaß an Sicherheit und Schutz gegen wen will ich mich schützen IAIK 9

10 Benutzerauthentifikation Wichtig zu wissen, wer den Rechner benutzt festlegen, was er darf Identifikation: Benutzer-ID Authentifikation: Nachweis, dass man der ist der man vorgibt zu sein IAIK 10

11 Benutzerauthentifikation Drei Prinzipien durch etwas, das man weiß durch etwas, das man besitzt durch etwas, das man ist IAIK 11

12 Etwas, das man weiß Passwörter einfach zu verstehen einfach zu implementieren zentrale Liste (userid, password) IAIK 12

13 Passworteingabe ohne Echo!!! Windows: ******* Unix: *** verraten die Länge des Passworts! IAIK 13

14 Cracken ausprobieren von uid/pwd- Kombinationen User-Id oft leicht erratbar meist Namen / Name + Vorname Passwort muss auch erraten werden Wie leicht ist das? IAIK 14

15 Passworte knacken ist nicht sehr schwer ca 80-90% der Passworte sind einfache Begriffe telnet-angriff: Serie von IP-Adressen mit telnet a.b.c.d und geratenen Userids/Passworten attackieren schwache Passworte schlechter Schutz IAIK 15

16 Passwort-Sicherheit Passworte nie in unverschlüsselter Form speichern! Einwegfunktion auf Passwort h(pwd) abspeichern Login: h(eingabe) == h(pwd)? IAIK 16

17 Angriff darauf Liste möglicher Passworte generieren Wörterbücher Kombinationen und Variationen für alle Einträge h(eintrag) berechnen und speichern verschlüsseltes Passwort so knackbar IAIK 17

18 Lösung Salt n Bit Zufallszahl unverschlüsselt in Passwortdatei gespeichert wird h(salt+passwort) Angreifer muss 2 n mal so viele Einträge anlegen n muss groß genug sein! Hilft aber nichts gegen uid=martin, passwort=martin! IAIK 18

19 Passwortsicherheit ein Passwort soll mindestens 7 Zeichen lang besser 8 oder mehr manche Systeme: nur 8 Zeichen!!! aus Klein und Großbuchstaben bestehen mindestens eine Zahl + Sonderzeichen enthalten nicht in Wörterbüchern enthalten sein IAIK 19

20 Passwortsicherheit Prüfung der Qualität bei Änderung Zurückweisen bei Mangel ev. Vorschlag eines Passworts durch Software Passwort sollte aber auch merkbar sein egpkmslm,o? ein gutes passwort kann man sich leicht merken, oder? IAIK 20

21 Passwortgültigkeit Ablauf des Passworts zu oft: Benutzern fallen keine guten Passworte ein Qualität sinkt auch Qualitätskontrolle schwer merkbare Passworte werden aufgeschrieben IAIK 21

22 Einmal-Passworte Benutzer enthält Liste von Passworten kann Passwort nur einmal verwenden Abhören von Passworten: hilft nichts mehr TANs bei electronic banking IAIK 22

23 Challenge-Response Liste von Fragen/Antworten, Antworten (nur?) dem Benutzer bekannt Wer ist die Schwester von Marlene? wie hieß Ihre Volksschullehrerin? welches ist Ihre Lieblingspizza? Server wählt zufällige Frage Unterstützung durch Hardware (zb. Secure-ID) IAIK 23

24 Etwas, das man hat zb einen Schlüssel oder eine Chipkarte Einstecken der Karte Eingabe eines PIN wie beim Bankomat IAIK 24

25 Chipkarten zwei Arten: Speicherkarten Smart Cards: hat CPU Challenge-Response-Verfahren mit Smart-Card Kryptographische Verfahren einsetzbar IAIK 25

26 Smart Card IAIK 26

27 Biometrie Messen charakteristischer Merkmale des Benutzers Fingerabdruck Handgeometrie Netzhautmuster nicht wirklich zuverlässig und gut IAIK 27

28 Akzeptanz Akzeptanz wichtig Fingerabdruck assoziiert Verbrecher Iris-scan nicht angenehm Harn- oder Blutprobe???? für Hochsicherheitsanwendungen denkbar für ecommerce nicht IAIK 28

29 Andere Angriffe Viren Trojanische Pferde Login-Spoofing Logische Bomben Hintertüren IAIK 29

30 Pufferüberläufe IAIK 30