Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer

Transkript

1 Carl Friedrich von Weizsäcker Friedensvorlesung Cyber Security Cyber War Cyber Peace Soziale Sicht

2 Cyber Internet? Computer? 2

3 Cyber-War Kriegsführung durch Angriffe auf IT-Systeme

4 Cyber-Security Schutz von IT-Systemen vor Angriffen

5 Cyber-Peace IT-Frieden? Abrüstung im Cyber-War?

6 Soziale Sicht Gesellschaftlich Gemeinnützig 6

7 Soziale Sicht Gesellschaftlich Gemeinnützig Verantwortung? 6

8 Soziale Sicht Gesellschaftlich Gemeinnützig Verantwortung? Verpflichtung? 6

9 Soziale Sicht Gesellschaftlich Gemeinnützig Verantwortung? Verpflichtung? Politisch? 6

10 Neue Gefahren?

11 1947

12 1962 Mariner 1 Rakete Berechnung Flugdaten statt mit Durchschnittsweten mit aktuellen Werten Hektische Manöver Zwangsexplosion Handschriftliche Notiz in Quelltext 9

13 1978 NASA entdeckt Ozonloch - theoretisch: Software hält Meßwerte für Fehler und korrigiert sie 10

14 Therac-25 - tödliche Strahlenüberdosis Außer der Therapeut war Anfänger... 11

15 1984

16 1984

17 : Dissertation von Fred Cohen 1986: Erste Infektion an der FU Berlin 13

18

19

20 1988 Rob Morris Wurm infiziert 10% des Internet Buffer Overflow in fingerd Experiment - mit fatalem Ausgang 15

21 1995 Ping of Death Fragmentierte Ping-Pakete falsch zusammengesetzt System stürzt ab 16

22

23 2004 Hartz IV-Überweisung kommen nicht an. Umstellung auf Scheck-Versand: Briefe kommen zurück 18

24 Milliarden Schaden beim A380 zu kurze Kabel Ursache: CATIA v5 in Toulouse CATIA v4 in Hamburg Fehlerhafter Converter 19

25 2007

26 2008

27 2009

28 Datendiebe 23

29 Datendiebe 23

30 Datendiebe 23

31 Datendiebe 23

32 Datendiebe 23

33 Geheimdienste NSA-Logo einfügen

34 Fazit: Computer nicht fehlerlos.

35 Aber: Zu großes Vertrauen in Computer

36 Laut dem Computer ist das so.

37 Beispiel: SZ vom In Hamburg-Neuengamme ist es zu einem kuriosen Unfall gekommen. Weil ihr Navigationsgerät sie offenbar in die falsche Richtung führte, fuhren zwei Männer mit ihrem Kleinbus in einen Seitenarm der Elbe. 28

38 Paradox: Ist mein Online- Banking sicher?

39 Cyber-War: Hacking Ursprünglich: Friedliches, kreatives Umnutzen Heute oft: Destruktives Eindringen 30

40 Unterscheidungen Cracker Black Hat Hacker White Hat ethisches Hacken Grey Hat Skript Kiddie 31

41 Stören von Systemen Angriffe auf Verfügbarkeit Vertraulichkeit Integrität 32

42 Stören von Systemen Angriffe auf Verfügbarkeit Denial of Service Vertraulichkeit Integrität 32

43 Stören von Systemen Angriffe auf Verfügbarkeit Vertraulichkeit Sniffen Einbrechen Integrität 32

44 Stören von Systemen Angriffe auf Verfügbarkeit Vertraulichkeit Integrität Einbrechen Manipulation während Übertragung 32

45 Angriffe: Verfügbarkeit Distributed Denial of Service Angriff Provozierte Systemabstürze 33

46 Provozierter Absturz? Ping of Death Code Injection z.b. durch Buffer Overflow Fehlerhafte Programme durch Unzureichende Tests Unzureichende Qualitätssicherung 34

47 Angriff: Sniffen Mitlesen von übertragenen Daten Ursache: Fehlende Verschlüsselung Anforderung übersehen Qualitätsmangel 35

48 Standard: Unverschlüsselt SMTP / POP3 / IMAP SIP / RTP DNS FTP Telnet } Viel zu aufwendig - damals. 36

49 Gestern auf heise.de 37

50 Angriff: Einbruch Ausnutzen einer Sicherheitslücke Übernahme des Systems Ursache: Unzureichender Schutz? 38

51 Wie einbrechen? Code Injection durch SQL-Injection Cross-Site-Scripting PHP-Injection Shell-Injection Shell-Code-Injection 39

52 SQL-Injection 40

53 SQL-Injection 40

54 Ursache? Programmfehler: Unzureichende Kontrolle der Eingabe Fehlendes Escaping 41

55 Cross-Site-Scripting Einschleusen von JavaScript in fremde Seiten Ausspähen von Daten Manipulieren von Daten u.v.m. Ähnlich: HTML-Injection 42

56 Cross-Site-Scripting Ursache: Fehlerhafte Eingabekontrolle Unzureichendes Escaping der Ausgabe 43

57 PHP-Injection PHP: Serverseitige Script-Sprache Einschleusen von PHP in PHP Ziele: Übernahme des Servers Ausspähen von Daten u.v.m. 44

58 PHP-Injection Ursache: Fehlerhafte Eingabekontrolle Nutzung gefährlicher Funktionen wie eval exec 45

59 Shell-Injection Einschleusen von Kommandozeilen- Befehlen, z.b. rm -rf / Ziele: Denial of Service Manipulation / Ausspähen von Daten u.v.m. 46

60 Ursache Ursache: Fehlerhafte Eingabekontrolle Nutzung gefährlicher Funktionen wie exec 47

61 Shell-Code-Injection Einschleusen von Maschinen-Code in laufendes Programm Ziele: Übernahme des Rechners Denial of Service u.v.m. 48

62 Ursache Fehlerhafte Eingabekontrolle führt z.b. zu Format String Fehler Stack Overflow Fehlerhafte Pointer-Operationen 49

63 Und es gibt viel noch mehr...

64 Immer dieselben Ursachen.

65 Schlampige Programmierung.

66 Fehlende Qualitätskontrolle

67 Unbeholfene Schutzmaßnahmen

68 Firewalls

69 Was eine Firewall sieht:

70 Was sie nicht kann:

71 Application Level Firewall?

72 Ja, gibt es, aber: Erkennt nur bekannte Angriffe Heuristik für Anomalien 59

73 Intrusion Detection System?

74 Ja, gibt es, aber: Erkennt nur bekannte Angriffe Heuristik für Anomalien 61

75 Intrusion Prevention System

76 Intrusion Prevention System Koppelt Firewall mit IDS Gleiche Mängel 63

77 Ergebnis:

78 Single-Point-Security

79 Single-Point-Security

80 Single-Point-Security

81 Single-Point-Security

82 Single-Point-Security

83

84 Ursache

85 Ursache IT- Sicherheitsmaßnahme

86 IT-Sicherheit scheitert: Nicht an: Kreativität von Sicherheitsmaßnahmen Know How der Experten Aber an: miserabler Softwarequalität fehlender Qualitätssicherung 67

87 Warum das so ist: Softwareeinkauf derzeit nach: Schön bunt Billig Kenne ich schon One Size fits all 68

88 Bohren Sie damit Löcher in Beton? 69

89 Umdenken dringend nötig.

90 Was wir ändern müssen: Qualität einfordern 71

91 Das ist nicht normal: 72

92 Wissen Sie noch? A-Klasse mit Stützrädern 73

93 Was wir noch ändern müssen: Qualität einfordern. Qualität einfordern. Qualität einfordern. 74

94 Und dann noch: Klare Anforderungen definieren IT-Sicherheit ab 1. Semester Sachmängel- / Produkthaftung korrigieren Qualität bezahlen 75

95 Und was hat das mit CyberWar & -Peace zu tun?

96 Angreifer nutzen Qualitätsmängel

97 Danke für Ihre Aufmerksamkeit.