Modul 3: Opfer, Angreifer und Angriffe

Transkript

1 Modul 3: Opfer, Angreifer und Angriffe Opfer, Angreifer und Angriffe - Typisierungen und Kategorienbildungen Beispiele von Angriffen auf Netze und Protokolle VorlesungsAddon: Social Engineering M. Leischner Folie 1

2 Opfer, Täter und Angriffe: Eine Vielzahl von Typisierungen und Kategorienbildungen M. Leischner Folie 2

3 Opfertypisierung (nach Mitnick*) Unkenntnis des wahren Wertes von Informationen Empfangspersonal Sekretäre Kundendienst Spezielle Privilegien Systemadministratoren Technischer Kundendienst Wartungspersonal Hersteller, Lieferanten oder externe Dienstleister Hersteller von Computer-Hardware und -Software Entsorger Besondere Abteilungen Personal Buchhaltung * Mitnick, K; Simon, W.: The Art of Deception Controlling the Human Element of Security, 2. Auflage, Indiana 2003 M. Leischner Folie 3

4 Tätertypisierung nach Klevinsky ("Wissen") First-Tier Hackers. Sehr detailliertes Wissen über Netzprotokolle und OSI-Modell. Motivation? Harter Kern der Szene, verzichtet auf große Publicity. Besitzt Fähigkeit neue Schwachstellen zu finden. Schreiben automatisierte Werkzeuge, die zum Ausnützen der Schwachstellen benötigt werden. Second-Tier Hackers. Wissensstand eines Systemadministrators. Erfahrung im Umgang mit mehreren Betriebssystemen. Verständnis von Arbeitsweise des TCP/IP-Protokolls. Wissen Sicherheitslücken auszunützen. Third-Tier Hackers. Haben Verlangen in die Systeme einzudringen. Geringes technisches Wissen. Verfügen über Werkzeug. Leicht zu identifizieren, aber unberechenbar. Tätertypen nach verschiedenen Rollen: Cyberkriminelle Hacker Malware-Schreiber Botnetz-Betreiber Spammer Domain-Squatter Hacktivisten gegen Regierungen Regierungen gegen ihre Bürger Industriespionage Cyberterrorismus Cyberkrieg :00:54 M. Leischner Folie 4 nach: Philipp Schaumann,

5 Angriffstypisierung: aktiv/passiv Passive Angriffe Analyse des Nachrichtenaufkommens Abhören von Teilnehmer-Identitäten Mitlesen von Nachrichten Aktive Angriffe Tarnung (Spoofing) Denial of Service Verändern von Nachrichten Viren, Würmer, Trojanische Pferde M. Leischner Folie 5

6 Top Netzangriffe im Q1/2018 aus: McAfee Labs Threats Report, June 2018 M. Leischner Folie 6

7 Top Länder, die Bot-Netze hosten (Q1/2018) aus: McAfee Labs Threats Report, June :20:12 M. Leischner Folie 7

8 Web: Verdächtige und gefährliche URLs aus: McAfee Labs Threats Report, June :39:21 M. Leischner Folie 8

9 Interaktive Websites Größe des Datendiebstahls: World's Biggest Data Breaches Animation,+Statistiken von Angriffen, Werbung in eigener Sache: Kaspersky CYBERBEDROHUNG ECHTZEITKARTE Norse Attack Map: :08:51 M. Leischner Folie 9

10 Angriffstypisierung nach Abweichung vom Datenfluss Normaler Fluss Informationsquelle Informationsziel Unterbrechung Abfangen Modifikation Fälschung M. Leischner Folie 10

11 Klassifikation von Angriffen im Netz Unterbrechung Abfangen Modifikation Fälschung Anwendung (5/6/7) Vielzahl von anwendungsspez. Angriffen Transport (4) SYN-Flooding Sequence Number Guessing IP (3) Datenübertragung (1/2) Ping of Death Smurf (Ping-Flooding) Ethernet- Sniffing IP-Spoofing ARP-Spoofing Medium (0) M. Leischner Folie 11

12 Angriffsbeispiel: Ethernet-Sniffing Alle Station erhalten alle Paket von WS 03 Ethernetkarte filtert Pakete Filter der Ethernetkarte kann abgeschaltet werden "promiscuous mode" Ethernet mit Hub (Multiport-Repeater) WS 1 WS 2 Hub WS 4 Sniffing im Switched Ethernet erschwert WS 3 WS 5 Ethernet mit Switch Abwehr: Schutz des Mediums Ethernetkarte ohne "promiscuous mode" (aber Problem Laptop) Segmentierung der Netze durch Switch/Router Verschlüsselung WS 1 WS 2 WS 3 Switch WS 4 WS 5 M. Leischner Folie 12

13 Switch Router Angriffsbeispiel: Ethernet-Sniffing Gegeben folgendes Netz: D E F I A C Internet B G H Szenarien: B greift an. Welche Paket kann er sniffen? G greift an. Welche Paket kann er sniffen? Wie wirken sich Repeater, Brücken, Switches, Router, Firewalls auf den Angriff aus? Funktioniert Angriff auch von außerhalb des Firmennetzes? M. Leischner Folie 13

14 Wiederholung: ARP-Protokoll REQUEST: Rechner mit MAC-Adr-A und IP-Adr-A an alle: Gesucht MAC? von Rechner mit IP-Adr-B A empty B empty IP-Adr-A MAC-Adr-A RESPONSE: An Rechner mit MAC-Adr-A: Habe MAC-Adr-B und IP-Adr-B A empty IP-Adr-B MAC-Adr-B B empty IP-Adr-A MAC-Adr-A M. Leischner Folie 14

15 ARP-Poisoning RESPONSE: An Rechner mit MAC-Adr-A: Habe MAC-Adr-C und IP-Adr-B A C B IP-Adr-B MAC-Adr-C empty empty M. Leischner Folie 15

16 Angriffsbeispiel: ARP-Spoofing ARP-Caches der angegriffenen Rechner werden mit ARP-Responses präpariert. Pakete, laufen nun über Angreifer und können dort gesnifft / manipuliert werden. ARP-Poisoning A C B IP-Adr-B MAC-Adr-C IP-Adr-A MAC-Adr-A IP-Adr-B MAC-Adr-B IP-Adr-A MAC-Adr-C M. Leischner Folie 16

17 Maßnahmen gegen ARP-Spoofing Erkennen des ARP-Spoofings: periodische Abfrage der ARP Caches aller Maschinen durch ein Network Management System Erschweren/Verhinderung des ARP-Spoofings: Gratuitous ARP (RFC3220) abschalten Proxy ARP (RFC 1027) abschalten statische Einträge in den ARP Cache Benutzung eines dedizierten ARP-Servers Einrichtung von Subnetzen Nutzung von VPNs Einsatz von Tools wie ArpWatch oder XArp: Monitoring der Änderungen der Zuordnung von Ethernetadressen und IP-Adressen Erstmaliges Erscheinen einer neuen Ethernetadresse Wechseln der Zuordnung von der üblichen auf eine neue Zuordnung Alarmiert Systemadministrator bei Auffälligkeiten per M. Leischner Folie 17

18 Angriffsbeispiel: Ping of Death NT Versions Affected: , 4.0 Problem: Large packet pings (PING -l s 1 hostname) otherwise known as 'Ping of Death' can cause a blue screen of death on 3.51 systems: STOP: 0X E KMODE_EXCEPTION_NOT_HANDLED - TCPIP.SYS -OR- STOP: 0x A IRQL_NOT_LESS_OR_EQUAL - TCPIP.SYS NT 4.0 is vunerable sending large packets, but does not crash on receiving large packets. M. Leischner Folie 18

19 Angriffsbeispiel: SYN-Flooding Attacke 1. Multiple TCP connection requests (SYN) are sent to the target computer with an unreachable source IP address. 2. On receiving the connection request, the target computer allocates resources to handle and track the new connection, then responds with a "SYN-ACK" to the unreachable address. 3. A default-configured Windows NT 3.5x or 4.0 computer will retransmit the SYN-ACK 5 times, at 3, 6, 12, 24, and 48 seconds. After the last retransmission, 96 seconds are allowed to pass before the computer gives up on receiving a response, and deallocates the resources that were set aside earlier for the connection. The total elapsed time that resources are in use is 189 seconds. Quellen: the_invincible@gmx.de: Kid2elite.de.vu - Hacking, Cracking, Exploits und mehr Mikrosoft: Internet Server Unavailable Because of Malicious SYN Attacks, M. Leischner Folie 19

20 Erkennen von SYN-Flooding Attacken netstat -n -p tcp Prot Local Address Foreign Address State TCP : :1032 ESTABLISHED TCP : :1030 ESTABLISHED TCP : :1256 SYN_RECEIVED TCP : :1257 SYN_RECEIVED TCP : :1258 SYN_RECEIVED TCP : :1259 SYN_RECEIVED TCP : :1260 SYN_RECEIVED TCP : :1261 SYN_RECEIVED TCP : :1262 SYN_RECEIVED TCP : :1263 SYN_RECEIVED TCP : :1264 SYN_RECEIVED TCP : :1265 SYN_RECEIVED TCP : :1266 SYN_RECEIVED TCP : :139 TIME_WAIT FIN_WAIT1 recv:ack send:nothing recv:syn, send:syn,ack recv: RST SYN_RCVD recv:ack send:nothin g appl:close send:fin recv:fin send:ack recv:fin, ACK send:ack CLOSED starting point appl:passive open send: nothing LISTEN CLOSING simultaneous open recv:syn send:syn, ACK recv:syn,a CK ESTABLISHED send:ack Data transfer state Recv:FIN send:ack recv:ack send:nothing simultaneous close appl:active open send: SYN appl:close SYN_SENTor timeout CLOSE_WAIT LAST_ACK passive close appl:close send:fin recv:ack send:nothing FIN_WAIT2 recv:fin send:ack active close TIME_WAIT Client Server M. Leischner Folie 20

21 Gegenmaßnahmen: SYN-Flooding Attacke Problem: Begrenzter Pufferbereich für (halboffene) Verbindungen. Gegenmaßnahme: SYN-Cookies ( 2005) Server speichert keinerlei Informationen über ein erhaltenes SYN-Paket Server sendet Hashwert über wesentliche Infos aus dem SYN-Paket versteckt in der Server-Initial-Sequence-Number als SYN-Cookie an den Client Nimmt der Client die Verbindung an, kann der Server anhand der im SYN- Cookie enthaltenen Informationen feststellen, dass er mit diesem Client bereits gesprochen hat und die Verbindung herstellen. Behandlung in einem RFC: Although SYN cookie implementations exist and are deployed, the use of SYN cookies is often disabled in default configurations, so it is unclear how much operational experience actually exists with them or if using them opens up new vulnerabilities. Anecdotes of incidents where SYN cookies have been used on typical web servers seem to indicate that the added processing burden of computing MD5 sums for every SYN packet received is not significant in comparison to the loss of application availability when undefended. For some computationally constrained mobile or embedded devices, this situation might be different. RFC 4987: TCP SYN Flooding Attacks and Common Mitigations, Aug 2007 M. Leischner Folie 21

22 Zwiebelmodell der Schutzmechanismen (Privilegierung) application presentation Treiber Netz Dienste Anwendungen Hardware Firmware Kernel session transport network data link physical Zwiebelmodell der Schutzmechanismen Zuordnung von Angriffen zu Schichten Zuordnung von Gegenmaßnahmen zu Schichten M. Leischner Folie 22

23 Security-Mgmt Sicherheit im Internet-Protokollstack App TLS TCP IPSEC IP App TLS TCP IPSEC IP Security-Mgmt Ebenen der Sicherheit sichere Applikationen, z.b. ecash, PGP. ("ich vertraue der Applikation") sichere Ende-zu-Ende- Verbindung ("ich vertraue dem sicheren Transport bis hin zu meiner Anwendung") sichere IP-Verbindung ("ich vertraue der Übermittlung über das Internet") Schicht 1/2 Schicht 1/2 Voraussetzung: Sicherheit in den Systemen System A System B :03:17 M. Leischner Folie 23