Angriffsmöglichkeiten auf Webserver

Größe: px
Ab Seite anzeigen:

Download "Angriffsmöglichkeiten auf Webserver"

Transkript

1 Angriffsmöglichkeiten auf Webserver von Christian Henssler MKIB 4 Hochschule Reutlingen Gartenstraße 12 Dornstetten

2 Abstract: Angriffe auf Webserver stellen in unserer heutigen Gesellschaft ein großes Problem dar. Technik breitet sich immer weiter in den Alltag aus und die Abhängigkeit der Gesellschaft steigt. Allerdings erhöht sich mit der Technisierung des Alltags auch die Zahl der möglichen Angriffspunkte von Systemen und Anwendungen. Aufgrund aktueller Ereignisse rückt die Frage nach der Sicherheit bei Webanwendungen und Webservern verstärkt in das Interesse der Öffentlichkeit. Hackergruppierungen haben in den vergangenen Wochen und Monaten aus unterschiedlichen, hauptsächlich politisch motivierten Anlässen, Server von wirtschaftlichen und politischen Institutionen angegriffen und lahmgelegt. Unter den angegriffenen Servern befinden sich auch bekannte Namen wie Mastercard, Sony, der IWF und die ägyptische Regierung. Zwei der Begriffe die dabei immer wieder gefallen sind, waren die sogenannte DDoS-Attacke und die SQL-Injektion. Um für die mögliche Gefahr durch diese und andere Angriffsmöglichkeit zu sensibilisieren, untersucht diese Arbeit die Planung und Durchführung eines Angriffs auf einen Webserver. Die Hauptgewichtung liegt bei dieser Arbeit auf den beiden oben genannten Angriffen. 2

3 1. Die Motivation Der erste Schritt im Angriff auf einen Webserver ist, neben dem Erwerben des nötigen Know-hows, das Finden einer Motivation: Eines Ziels. Danach richtet sich das Vorgehen und die Wahl der Tools 1. Soll ein Server übernommen werden um ihn für eigene Zwecke zu nutzen, so wird eher auf Tools gesetzt, die im Verdeckten operieren. Durch Rootkits (Kapitel 2.6.3) geschützte Würmer und Trojaner sind hier oft erste Wahl. Soll ein Webserver jedoch ganz lahm gelegt werden, braucht der Angreifer diese Tools zwar auch, jedoch meist nur zur Angriffsvorbereitung. Die Rede ist hier vom Vorbereiten einer Denial-of-Service Attacke (Kapitel 3) 1.1 Schaden verursachen Beabsichtigt oder als Kollateralschaden, die meisten Angriffe führen zu einer geschädigten Partei. Bei Webservern entsteht bei den Besitzern meist ein finanzieller Schaden. Durch: Fehlende Erreichbarkeit: Ob er nun durch einen DoS 2 Angriff nicht erreichbar ist, das Angebot durch ein Defacement 3 ersetzt wurde oder anderweitig am Ausführen seiner Aufgabe gehindert wird. Datendiebstahl: Wurden Daten geklaut, müssen diese im Fall von Passwörtern geändert werden. Oder auch sensible Firmendaten bedeuten für Firmen oft einen finanziellen - oder Imageschaden. Um lediglich Schaden anzurichten, bietet sich ein Denial-of-Service Angriff an. Die Seite ist nicht erreichbar, das bedeutet für eine Firma immer Geldverlust. Durch unzufriedene Kunden fällt die Haupteinnahmequelle, die Werbung, weg. Außerdem sind so auch diverse weitere Angebote wie Webshops oder Foren nicht erreichbar. Die Möglichkeiten eines DoS Angriffs werden in späteren Kapiteln genauer erläutert. 1.2 Kontrolle übernehmen Um die Kontrolle über einen Server zu übernehmen, gibt es etliche Angriffsmöglichkeiten, die im Rahmen dieser Ausarbeitung teils genauer beleuchtet werden: 1 Tools: Engl. für Werkzeug. Ein Programm, das einem speziellen Zweck dient. 2 DoS: Kürzel für Denial-of-Service, das Unterbinden einer Dienstleistung im Internet. 3 Defacement: Das illegale Verändern einer Seite im Internet. 3

4 SQL 4 -Injektion (Kapitel 4.), Brute-Force 5 Angriffe (Kapitel 2.3), CMS 6 Exploits (Kapitel 2.4), Bufferoverflow 7 (Kapitel 2.5), Würmer (Kapitel 2.6.1), Trojaner (Kapitel 2.6.2) RAT 8 s (Kapitel 2.7) oder Social Engineering 9 (Kapitel 2.8) und Denial-of-Service (Kapitel 3) Beim Übernehmen der Kontrolle hängt es von der Grundmotivation ab, wie das genaue Vorgehen aussieht. Für kurzfristige Aktionen ist es oft egal, ob ein Administrator ihn bemerkt. Der Angriff kann daher relativ plump ausgeführt werden. Wird der Angriff bemerkt, ist es meist zu spät. Der Accounts mit administrativen Rechten sind meist schon ausgesperrt und solange kein direkter Zugriff des Administrators auf die Hardware möglich ist (wie beim Webhosting) kann sich der Angreifer frei austoben. Im Falle einer langfristigen Aktion, will der Angreifer im Verborgenen bleiben und wird darauf bedacht sein möglichst ohne Spuren einzudringen und den Server für seine Zwecke zu manipulieren. Dies kann vom Nutzen des Servers für das Ablegen von Dateien (Warez 10 z.b.) bis hin zum Ausführen einer Denial-of-Service reichen. 1.3 Datendiebstahl Die Spionage überschneidet sich ziemlich stark mit der Übernahme der Kontrolle. Hier liegt jedoch der Schwerpunkt in erster Linie auf dem Unentdeckt bleiben. Es werden Einbruchstools und Rootkits benötigt, die ein unentdecktes Vorgehen ermöglichen. Deshalb setzt dies auch ein relativ hohes Talent bei dem Angreifer voraus. Er muss zum Beispiel wissen, wo sich die Logfiles befinden und an welchen Stellen er außerdem seine Spuren verwischen muss. Denn der Angreifer braucht genügend Zeit, um wichtige Daten - oder sein genaues Ziel - ausfindig zu machen und zu stehlen, bevor ein Administrator die Gelegenheit hat, ihn auszusperren oder im Ernstfall den Stecker zieht. 4 SQL: Kurzwort für Server Query Language. Die Sprache zum Verwalten eines Datenbankservers. 5 Brute-Force: Engl. Für rohe Gewalt. Probieren aller Möglichkeiten bis zur Lösung eines Problems. 6 CMS: Content Management System: System zum Verwalten von Inhalten auf Webservern. 7 Bufferoverflow: Pufferüberlauf. Das Manipulieren des Speichers durch zu große Datenpakete. 8 RAT: Kürzel für Remote Access Tool. Programm zum Fernsteuern eines Computers. 9 Social Engineering: Das Herausfinden von Daten durch psychologische Tricks. 10 Warez: Begriff aus der Hackerszene, beschreibt gestohlene Daten wie Programme, Filme, Spiele und Musik. 4

5 2. Angriffsmöglichkeit auf Webserver Es gibt eine Vielzahl von Schwachstellen und Möglichkeiten, einen Server an zu greifen. Im Folgenden wird das weitere Vorgehen erläutert. Vor dem eigentlichen Angriff sollten die Schwachstellen eines Systems ermittelt werden. Dazu wird ein Portscan 11 (Kapitel 2.1) durchgeführt. Er bietet Informationen über das System und erleichtert dadurch die Auswahl möglicher Tools und Angriffsstrategien. Das eigene Vorhaben sollte der Angreifer dabei jedoch verbergen. Dazu gibt es verschiedene Möglichkeiten, wie das Vorschalten eines Proxys 12 (Kapitel 2.2) oder dem Verwenden bestimmter Scan-Methoden. Um nur Schaden anzurichten, reichen oft schon einfache Tools, die das Angriffsziel mit Anfragen überhäufen, bis dieses in die Knie geht. Zum Unterwandern eines Servers muss der Angreifer aber auf komplexere Strategien zurückgreifen. Einige dieser Optionen werden im Folgenden erläutert und bewertet, um eine Übersicht über das Spektrum möglicher Angriffe zu geben. 2.1 Portscan Keine Angriffsmöglichkeit in diesem Sinne, aber für das Ausführen vieler Angriffe essentiell. Wie schon Sun Tzu erkannt hat: Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Der Scan nach offenen Ports gibt wichtige Aufschlüsse über die Software, die das Opfer verwendet. Lauscht ein Programm auf einem Port, der adressiert wird, antwortet dieses auf einen eingehenden Verbindungsversuch. Die Portnummer gibt dabei Aufschluss über welches Programm es sich handelt. Die vergebenen Nummern sind im Normalfall immer die selben, deshalb ist diese Angabe sehr präzise. Außerdem lässt sich durch das Fingerprinting 13 die Signatur der Antworten abschätzen, welches Betriebssystem auf dem Zielrechner läuft. Tools zum Portscan sind zum Beispiel nmap, laut Erickson eines der populärsten Open- Source-Port-Scanning-Tools [Je09 S.287] Es beherrscht alle der im Folgenden beschriebenen Scan-Techniken. Welche der Angreifer benutzt, bleibt dabei ihm überlassen. 11 Portscan: Das Scannen eines Port oder IP-Bereichs zum Aufspüren möglicher Ziele oder Schwachstellen. 12 Proxy: Ein Stellvertreter. Rechner über den Verbindungen abgewickelt werden zum Verdecken der Identität des eigentlichen Urhebers. 13 Fingerprinting: Durch das Verhalten von Betriebssysteme auf TCP/IP Verbindungen kann das Betriebssystem identifiziert werden. 5

6 2.1.1 SYN-Scan Um eine TCP/IP 14 Verbindung aufzubauen, schickt PC A ein mit dem SYN-Flag 15 ausgestattetes Paket an PC B. PC B reserviert Ressourcen, um die Verbindung mit PC A zu gewährleisten und antwortet mit einem SYN-ACK-Paket. PC A sendet nun wiederum eine Bestätigung in Form eines ACK-Pakets zum Verbindungsaufbau. (Abb. 1: Three- Way-Handshake) Von diesem Zeitpunkt an basiert die restliche Kommunikation auf ACK geflaggten Paketen. Bekommt PC B ein mit FIN oder RST geflaggtes Paket, werden die Ressourcen wieder frei gegeben und die Verbindung wird gelöst. Abbildung 1: Three-Way-Handshake Ein SYN-Scan schließt diesen Handshake nicht ab. Erhält der verwendete Scanner ein SYN-ACK-Paket, muss der Adressierte Port folglich eine Verbindung akzeptieren. Der Scanner sendet dann ein RST-Paket, das die halboffene Verbindung wieder schließt. Dieser Vorgang wird beim Opfer ohne besondere Tools nicht geloggt. Daher wird diese Scan-Methode auch als verdeckter Scan bezeichnet. (Vgl. [Je09 S.288]) FIN, X-mas und Null Scan Da es viele Tools gibt, die einen SYN-Scan erkennen und protokollieren, wurden weitere Scans entwickelt um das unentdeckte Scannen weiterhin zu ermöglichen. Bei allen drei Methoden wird ein unsinniges Paket [Je09 S.288] gesendet, das entweder ignoriert oder mit einem RST-Paket beantwortet wird. Wird ein RST-Paket vom Zielrechner gesendet, ist der Port geschlossen. Wird es ignoriert, so handelt es sich um einen offenen Port. Jedoch beantwortet ein Betriebssystem von Microsoft ungültige Pakete nicht mit einem RST-Paket. Deshalb lässt sich, laut Kraft et al., mit diesen Scan-Methoden keine Aussage über Windows- Systeme machen. Der FIN Scan sendet ein FIN-Paket, der X-mas-Scan ein Paket mit aktiviertem FIN-, URG- und PUSH-Flags (so benannt, weil die Flags leuchten wie ein Weihnachtsbaum), und der Null-Scan sendet ein Paket, bei dem keine TCP-Flags gesetzt sind. [Je09 S. 288] 14 TCP/IP: Transmission Control Protokoll: Gängiges Übertragungsprotokoll. 15 Flag: Ein TCP/IP Paket kann mit unterschiedlichen Zustände belegt werden, die ein Paket annehmen kann, um die Kommunikation zu erleichtern. Siehe dazu: RFC793 6

7 2.2 Proxy-Server Ebenfalls kein Angriffstool, aber für einen Angreifer unerlässlich, falls er auf Anonymität setzt. Denn Proxy-Server werden verwendet, um die eigene Identität zu verschleiern. Es handelt sich dabei um einen Server, der bereitgestellt wird, um Daten weiter zu leiten. Die Daten, die der Angreifer verschickt, werden dazu an den Proxy übermittelt. Dieser leitet sie, mit seiner eigenen Adresse als Absender, an den Empfänger weiter. Umgekehrt geschieht das mit den Daten, die vom Opfer an den Angreifer gesendet werden sollen. Es gibt die Möglichkeit, sich über Proxy-tools einzuloggen. Ein häufig verwendetes Tool ist beispielsweise das Open-Source-Projekt TOR 16. Dazu gibt es viele Proxy Listen im Internet, sowie Tools mit deren Hilfe sich eigene Listen erstellen lassen. Kriminelle Hacker, die ein Bot-Netz betreiben, schalten zwischen sich und ihre Master (Kapitel 3.4) noch Proxys, sogenannte Steppstones 17, um selbst im Fall der Kompromittierung einer ihrer Master oder des ganzen Netzes, die eigene Identität zu verschleiern. 2.3 Brute-Force Eine Brute-Force Attacke wird mit Hilfe eines Tools durchgeführt. Diese unterscheidet sich hauptsächlich im Funktionsumfang. Es gibt einfache Tools, die für den Usernamen und das Passwort nacheinander alle möglichen Kombinationen durchprobieren. Dies wird aber mit zunehmender Länge schnell unwirtschaftlich. Deshalb besteht auch die Möglichkeit einer sogenannten Dictionary-Attack 18. Im Internet gibt es laut Kraft für jedes Land zugeschnittene Wörterbücher mit Namen und Passwörtern. Da nun viele Kombinationen gar nicht beachtet werden, geht der Scan viel schneller vonstatten. Kommt das Passwort nicht in dem Wörterbuch vor, ist die Suche nutzlos. Bei der Wahl der zu verwendeten Liste sollte auch der Standort des Servers ermittelt werden. Es bringt relativ wenig, ein spanisches Wörterbuch für einen deutschen Server zu verwenden. Eine weitere praktische Funktion ist das Verwenden von Proxy-Servern. Sind einer oder mehrere davon bei einem Angriff dazwischen geschaltet, erschwert der Angreifer dem Opfer das Zurückverfolgen der Attacke. 16 TOR: The Onion Routing. Dabei handelt es sich um eine Netzwerk von Proxy-Rechnern zur Anonymisierung von Internetaktivitäten. 17 Steppstones: Proxy-Rechner, mit deren Hilfe der Angreifer mit seinen Mastern kommuniziert. Erschwert die Rückverfolgung des Angriffs auf seine Person. 18 Dictionary-Attack: Das Angriffs-Tool verwendet ein Wörterbuch statt alle Kombinationen zu generieren. 7

8 2.4 CMS Exploit Ein CMS Exploit greift die Schwachstellen eines Content Mangamenet Systems an. Der Angreifer nutzt hierbei Programmierfehler und unsichere Typisierung, um ein CMS dazu bringen, ihm unberechtigten Zugriff zu gewähren oder Daten preiszugeben. Viele der Fehler sind im normalen Betrieb nicht bemerkbar. Laut Erickson gibt es zum Beispiel den Off-by-One-Fehler 19. Dieser einfache Fehler kann sich auf das komplette Programm auswirken und dabei zu einer ernsten Sicherheitslücke werden. So lassen sich vom Programmierer nicht vorhergesehene Speicherzustände verursachen. (Vgl. [Je09 S.128]) Auch die Verzeichnisse eines Webservers, die nach außen einsehbar sind, beschränken sich meist auf einen Root-Ordner. Ist das CMS in der Pfadprüfung nicht sicher programmiert, kann der Angreifer durch einfache Verwendung des Backslashs in der URL-Zeile die Systemordner erreichen, Logins auslesen oder den Inhalt der Seite manipulieren. (Vgl. [Je09 S.129]) 2.5 Bufferoverflow Pufferüberlauf-Schwachstellen gibt es seit den frühen Tagen der Computertechnik und es gibt sie auch heute noch. [Je09 S. 131] Ein Bufferoverflow beschreibt eine Art von Exploit, bei der ein überlanger Wert in eine Variable geschrieben wird. Der Wert ist dabei größer als die für die Variable reservierten Speicher er läuft über. Alles was über die Variable hinausragt, wird deshalb in den physikalisch angrenzenden Speicherbereich geschrieben. Wenn der Angreifer über den Aufbau des Speichers Bescheid weiß, kann er ausführbaren Code an das Ende des Wertes schreiben. Greift das System dann auf den Speicher zu, an dem der Code landet, wird dieser ausgeführt. Der Angreifer ist so in der Lage eine Root-Shell 20 zu starten, die ihm die volle Kontrolle über das System ermöglicht. 2.6 Malware Der Begriff Malware umfasst eine weitläufiges Areal von Schadsoftware. Darunter befinden sich Würmer, Viren, Trojaner und mehr. Im Folgenden werden ein paar Programme beschrieben, die sich besonders zum Angriff auf Webserver eignen. 19 Off-by-One-Fehler: Beim Größenvergleich von Variablen wird oft die Menge der Zahlen nicht korrekt behandelt. Bsp.: Nur größer statt größer-gleich. 20 Root-Shell: Eingabefenster, in der ein Benutzer Root-Rechte hat. Kommt aus dem Unix bereich. 8

9 2.6.1 Würmer Würmer sind eine große Gefahr. Es handelt sich um ein automatisiertes Programm, das aktiv nach verwundbaren Maschinen sucht und diese infiziert, um sich dann weiter zu verbreiten. Heutzutage finden sich im Internet zahllose Bausätze für Würmer und Trojaner. Ein solcher Bausatz ist recht simpel. Man klickt die Funktionen an, die der Wurm haben soll, inklusive gewünschter Verbreitungswege und Payload 21 (Schadensfunktion) [Kw10 S.98] Außerdem kann ein entsprechend konfigurierter Wurm zum Erstellen bzw. Vergrößern eines Botnetzes 22 verwendet werden. Um 2003/04 haben sich die beiden Würmer Agobot und sein Nachfolger Phatbot stark verbreitet. Diese sind nicht nur einfache DoS Tools, sondern bieten eine weite Reihe von weiteren Angriffsmöglichkeiten, daher werden sie auch als Schweizer Taschenmesser der Angriffs Tools [Mddr05 S.89] bezeichnet Trojaner Trojaner sind Backdoor 23 Programme. Sie bieten eine Hintertür für den Angreifer über die er Informationen beziehen kann oder das System unter seine Kontrolle bringt. Laut Kraft sind diese als Bilder oder als nützliche Tools getarnt und bringen das Opfer dazu, sie freiwillig auszuführen oder zu installieren. Wie Würmer kommen auch Trojaner als Baukästen. Auch hier können Verbreitungswege und die Payload definiert werden. So bietet sich das Anhängen eines RATs an, um die vollständige Kontrolle über einen Server zu erlangen (Kapitel 2.7) Rootkits Laut Kraft sind Rootkits eine normale Tarntechnik. Im Angriffsfall dienen Sie dazu, die Anwesenheit von Malware oder des Angreifers auf dem Rechner des Opfers zu verbergen. (Vgl. [Kw10 S. 65]) Im wesentlichen gibt es zwei Arten von ihnen. Die Kernel Rootkits und Userland Rootkits. Sie unterscheiden sich in erster Linie durch die Ebene, auf der sie aktiv sind. Die Kernel Rootkits verankern sich auf der Kernel-Ebene um die Ein- und Ausgaben des Systems so zu manipulieren, dass der Angreifer unentdeckt bleibt. Durch den Schutz der Kernel sind diese besonders schwer ausfindig zu machen. Userland Rootkits haben prinzipiell die selbe Funktion, manipulieren aber die Kommunikationsschicht zwischen dem Userland und der Kernel Ebene. Da sie nicht den Schutz der Kernel-Ebene genießen, sind diese leichter aufzuspüren. 21 Payload: Engl. für Nutzlast. Die Schadfunktion einer Software. 22 Botnetz: Der Überbegriff für ein Netzwerk von kompromittieren Computern. 23 Backdoor: Engl. für Hintertür. Ein Programm, das seinem Besitzer unbemerkten Zugriff auf ein System ermöglicht. 9

10 2.7 RATs Beim Remote Access Tool handelt sich weniger um ein Angriffs-Tool, als um ein sehr nützliches Programm. RATs werden von Administratoren zur Fernwartung eingesetzt. Wenn ein Angreifer aber ein RAT auf dem Rechner des Opfers einschleust und diesen noch durch ein Rootkit tarnt, erreicht er die volle Kontrolle über das Angriffsziel. Laut Kraft ist ein RAT ähnlich wie ein Trojaner und die Unterscheidung eher philosophischer Natur [Kw10 S.348] und ein Trojaner mit einem RAT an Board gehört zu der Königsklasse [Kw10 S.348] des Hackens. 2.8 Social Engineering Der Begriff Social Engineering greift an einer der stark verwundbaren Stellen eines Systems an: Dem User. Zweck ist in erster Linie das Ermitteln personenspezifischer Daten. Dies kann von Hinweisen auf die Zugriffsdaten bis hin zu Passwörtern und Logins reichen. Phishing ist eine der Methoden, die sich anbieten. Hierzu wird dem Opfer eine legitim wirkende seines ISP 24 geschickt, dem Vorwand, sich auf der Seite des ISP einzuloggen. Die URL dazu leitet ihn allerdings auf eine gefälschte Seite, die seine Daten an den Angreifer weiterleitet. Durch einen Whois-Service 25 im Netz oder mit Hilfe des Impressums des anzugreifenden Servers, ist schnell eine Kontaktadresse gefunden. Dies gilt sowohl für das Opfer wie auch für den ISP, der eventuell seinen Webserver hostet. Selbst wenn das Angriffsziel, also der Webserver, nicht bei dem ISP direkt gehostet wird, besteht noch die Möglichkeit, Rückschlüsse auf eventuelle Passwörter zu ziehen oder das dort verwendete Passwort direkt zu bekommen. 2.9 DoS-Angriff und SQL-Injektion Auf diese beiden Angriffsmöglichkeiten wird die Ausarbeitung in den Kapiteln 3 und 4 genauer eingehen. 24 ISP: Internet Service Provider. Der Anbieter einer Internetverbindung oder diverser Dienste wie Mail- oder Webhosting. 25 Whois-Service: Ein Service, das sich auf einigen Webseiten von ISPs oder Drittanbietern befindet, und Auskunft über Domaindaten gibt. 10

11 3. Denial of Service Laut Kraft et al. gehören die DoS- bzw. die DDoS-Attacke zu den wirkungsvollsten Webattacken überhaupt [KW01 S. 219] Der DoS-Angriff bezeichnet im Folgenden die Grundform einer Denial-of-Service Attacke. Das bedeutet das Richten zahlloser Anfragen an einen Server. Ziel ist es, das Opfer oder seine Peripherie mit der Abarbeitung der einzelnen Anfragen so zu überlasten, dass er sich um keine anderen anfallenden Aufgaben mehr kümmern kann. Der Begriff DoS bezeichnet das nicht zur Verfügung stehen eines Services. Dies kann direkt oder indirekt durch einen Angriff verursacht sein, im schlimmsten Fall tritt selbst durch die Gegenmaßnahmen ein DoS-Effekt auf. Das heißt, dass der Server für den Anwender nicht mehr erreichbar ist oder im schlimmsten Fall ganz ausfällt. Somit wird der Server im laufenden Betrieb gestört oder die Dienstleistung eines Services ganz verhindert auf Englisch: Denial of Service. 3.1 Die Geschichte der Denial of Service Attacke Früher war das oft das Vorgehen kleinerer Hackergruppierungen untereinander, die auf diese Art Streitigkeiten ausgetragen haben. Ziel war hier oft das Lahmlegen oder Übernehmen eines IRC-Channels oder der Homepage, der angegriffenen Gruppe. Heute werden auf diese Art auch politisch motivierte Angriffe ausgeführt. Einerseits ist von Hacktivism 26, andererseits vom Cyber-Terrorismus die Rede. Diese Begriffe sind aber beide schwer zu definieren und gehen nahtlos ineinander über. Hier liegt die genaue Definition im Auge des Betrachters. 3.2 Ziele Der Hauptgrund einer DoS Attacke besteht, wie der Name schon sagt, im Unterbinden einer Dienstleistung, durch das Ausreizen der vorhandenen Ressourcen. Ein weiterer Grund besteht im gezielten Erzwingen eines Neustarts. Der Angreifer wird dann versuchen eine Sicherheitslücke im Bootvorgang zu missbrauchen um an Root- Rechte auf dem angegriffenen System zu kommen. Damit übernimmt er die Kontrolle und kann den Server für seine eigenen Zwecke manipulieren. Das heißt zum Beispiel, den Server als Agent für den Angriff auf ein besser gesichertes System zu missbrauchen. 26 Hacktivism: Ein Kofferwort. Aus den Worten hacking und activism (engl. Aktivismus). Hacker mit politischen Motiven. Allerdings ist hier die Grenze zum Cyber-Terrorismus fließend. 11

12 3.3 Grundlagen einer DoS Attacke Wie bereits erwähnt, besteht eine Denial-of-Service Attacke aus dem Richten zahlloser einfacher Anfragen an ein anderes System im Internet. Dies kann zum Beispiel schon ein einfacher Ping Befehl sein. Das wird als Ping Flood bezeichnet. Öffnen wir im Windows nun die CMD-Konsole, so richten wir mit dem Befehl > Ping eine einfache ICMP 27 -Anfrage an das mit der IP adressierte System, in Form von 4 Paketen mit jeweils 32 Bytes an Daten. Viele Arten der DoS Attacken greifen auf dieses Grundprinzip zu. Jedoch mit der vielfachen Menge an Paketen mit einer wesentlich höheren Größe. Laut Mirkovic ist das Feld der Denial-of-Service Attacken groß und wird in Zukunft immer beliebter werden. (Vgl. [Mddrr05 S.22]). Im Folgenden werden einige davon behandelt. 3.4 Die DDoS Attacke Bei der sogenannten DDoS Attacke handelt es sich, nach Diettrich et al., um die Ausführung einer gut vorbereitet Form eines Denial-of-Service Angriffs (Vgl. [Mddr05]). Hierbei steuert der Angreifer ein sogenanntes Botnetz (. 1.1 Botnetz). Ein solches Botnetz besteht aus mehreren Rechnern, die den Angriff ausführen. Das sind sogenannte Bots oder auch Zombies 28. Des weiteren besteht es aus Mastern 29, die die Aktionen der einzelnen Zombies zu einem koordinierten Angriff bündeln. Der Angreifer verbirgt sich im Hintergrund. Dieser lässt oft nur durch einen einfachen Telnet Befehl den Mastern einen Auftrag zukommen. So wird meist mit einer SYN-Flood ein (oder mehrere) Ziel(e) angegriffen. Je nach Architektur des Opfers wird hier entweder die Leitung blockiert, oder der Server selbst geht in die Knie je nachdem was zuerst passiert. Unter DDoS Angriffen stehende Server sind oft für Stunden oder über Tage hinweg nicht erreichbar. Hinter ihnen steckt akribische Feinarbeit. Sämtliche hier genannten Angriffsmöglichkeiten finden dabei Anwendung. Denn die einzelnen Rechner müssen erst gefunden und kompromittiert werden. Dann muss der Angreifer die passenden Tools installieren um den Mastern die Administrierung der Zombies zu ermöglichen oder die Tools selber auf den infizierten Systemen mit Rootkit Technologie zu tarnen. 27 ICMP: Das Internet Contrrol Message Protokoll. Dient zum Austausch von Meldungen und Anfragen. 28 Zombie: Unter der Kontrolle eines Hackers stehender Rechner und Teil eines Botnetzes. Findet direkt Verwendung als Angriffswerkzeug. 29 Master: Steht wie der Zombie unter der Kontrolle eines Hackers. Wird aber zur Verwaltung vieler Zombies genutzt. 12

13 Abbildung 2: Beschreibung der Abbildung 3.5 Angriffstypen Bei den DoS-Attacken gibt es eine große Auswahl an Angriffsszenarien. Einem Angreifer sind dabei praktisch keine Grenzen gesetzt. Welche Methoden bzw. Angriffmuster sich dazu anbieten, wird im Folgenden erörtert. Verschiedene Arten von Angriffen lassen sich sogar mischen, um einen Angriff noch effektiver zu machen. Sofern diese sich nicht auf das bloße Auslasten der Bandbreite beziehen, denn die des Angreifers ist dabei auch schnell erschöpft ICMP-Flood Eine ICMP-Flood beschreibt den Angriff per ICMP-Echo. Die Ping-Flood ist das Beispiel einer ICMP-Flood. Das Programm Ping wird mit den Daten des Opfers ausgeführt. Dabei werden ICMP-Echo Anfragen an das Opfer gerichtet, das mit einem ICMP-Echo-Reply antwortet. Bewertung: Sinn dieser Attacke ist es, die Bandbreite des Angriffsziels zu erschöpfen. Sie ist also nur möglich, wenn der Angreifer eine größere zur Verfügung hat, als das Angriffsziel UDP-Flood Die UDP-Flood ist der ICMP-Flood sehr ähnlich. Nur verwendet sie das User Datagramm Protokoll. Bei dieser Attacke werden UDP-Pakete an zufällige Ports des Ziels geschickt. Dieses antwortet auf jeden offenen Port mit einem ICMP-Echo-Reply. 13

14 Bewertung: Ziel ist es hier einfach, das Angriffsziel mit der Menge der zu generierenden Replys zu überfordern SYN-Flood: Eine SYN-Flood nutzt das Anfrage-Antwort-Bestätigung-Prinzip des TCP/IP Protokolls aus (Kapitel 2.1.1). Im Falle eines Angriffs verschickt der Angreifer statt des vom Zielrechner erwarteten ACK-Pakets abermals ein SYN-Paket, um einen neue Verbindung zu öffnen. Dies geschieht nach zwei Methoden, entweder mit - oder ohne gespooften IP (Abb. 3: SYN-Flood mit gespoofter IP). Für jedes eingehende Paket mit einer SYN-Flag reserviert der Zielrechner weitere Ressourcen, um den Verbindungsaufbau zum Angreifer zu gewährleisten. Abb. 3: SYN-Flood mit gespoofter IP Ist die IP Adresse gespooft, so kann es sein, dass der wahre Besitzer dieser IP auf das fehlgeleitete SYN-ACK-Paket mit einem Paket das mit RST-geflaggt ist, antwortet. Handelt es sich dabei um einen Windowsrechner oder ist die IP schlicht nicht vorhanden, wird die SYN-ACK-Antwort des Opfers aber nie bestätigt und die Ressourcen bleiben, bis zum Eintreffen eines RST-Pakets oder bis zum Timeout 30, reserviert. Bewertung: Aufgrund des Aufbaus des TCP/IP Protokolls ist dieser Angriff schwer zurückzuverfolgen, solange dieser nicht auf frischer Tat erwischt wird. Damit eine IP Adresse ohne weitere Tools geloggt wird, muss es zu einer Verbindung kommen (durch den abgeschlossenen Handshake). Geschieht dies nicht, bleibt die IP des Angreifers im Verborgenen. Des weiteren ist die Attacke schwer von normalem Datenverkehr zu unterscheiden, da bei Webservern standardmäßig eine große Menge an SYN-Paketen für die eingehenden Verbindungen erwartet wird. 30 Timeout: Engl. für Zeitüberschreitung. Festgelegte Zeitspanne, die ein Vorgang beanspruchen darf. 14

15 Der Vorteil bei dieser Attacke liegt in der Asymmetrie zwischen Angreifer und Opfer. Der Angreifer verwendet minimale Ressourcen um SYN-Pakete zu generieren. Das Angriffsziel hingegen stellt für jedes Paket eine verhältnismäßig große Menge an Speicher und CPU Zeit für die offenen Anfragen bereit. Solange bis keine Slots 31 mehr zur Verfügung stehen. Eine Lösung wäre zum Beispiel das Sperren der IP des Angreifers, was nur im Falle eines nicht gespooften Angriffs möglich ist. Es gibt außerdem noch weitere Ansätze, wie das SYN-Cookie oder eine Symetrierung des Angriffs durch ein Puzzle, welches das System des Angreifers lösen und beantworten muss, bevor die Ressourcen beim Opfer bereit gestellt werden (vgl. [Mddr05 S.114]). Von einem einzelnen Angreifer ausgehend stellt sie für Webserver jedoch selten eine ernste Gefahr dar: Viele Webserver rechnen mit Tausenden von Verbindungen und haben daher große Mengen an Ressourcen, auf die sie zugreifen können. Eine verteilte Version des Angriffs ist laut Kraft et al. momentan nach wie vor gefährlich Verstärkende Angriffe Laut Erickson ist der verstärke Angriff eine clevere Möglichkeit, eine Ping Flood durchzuführen (vgl. [Je09 S.280]). Das Prinzip ist das Verwenden der Broadcastfunktion 32, die viele Router bieten. Hierbei wird ein Echo-Paket an diese Adresse mit der IP des Opfers als Sender geschickt. Der Router sendet an alle Systeme im Netz dieses Echo als Broadcast weiter. Diese reagieren mit einem Echo-Reply an das Opfer. So kann mit relativ wenig Aufwand viel Datenverkehr beim Opfer ankommen. Hiervon ist allerdings die Größe des Netzwerkes abhängig. Eine Form der Verstärkung ist die Smurf Attacke. Das ist das Versenden einer fehlerhaften Anfrage mit der IP des Opfers als Absender an sämtliche Router in einem vorgegeben Netzwerk. Dieser Bereich kann ganze IP-Ranges umfassen. Sendet der Angreifer gefälschte DNS Anfragen an viele Router, antworten diese an die IP des Opfers. So soll er durch die schiere Masse der antwortenden Rechner überlastet werden (vgl. [Mddr05 S. 51]) Bewertung: Sie eignet sich besonders für lokale Netzwerke. In dem DNS Beispiel kann sie allerdings auch gegen schwächere Server gerichtet werden. Der große Vorteil einer solchen Attacke ist, dass die IP Adressen der für den Angriff verwendeten Router schwer zu filtern sind. Werden diese gesperrt, so können DNS-Anfragen nicht mehr behandelt werden (die Antwort wird ja gefiltert) und so werden Pakete von diesen Routern einfach ignoriert und deshalb tritt der zu verhindern versuchte Denial-of-Service Effekt trotzdem ein. 31 Slot: Hier, die Menge der zulässigen Verbindungen, die ein Rechner aufbauen darf. 32 Broadcastfunktion: Ein Broadcast versendet eine Rundmail an alle Rechner in einem Netzwerk. 15

16 3.5.5 HTTP-Get Ein HTTP-Get-Angriff ist schwer aufzuspüren. Beim HTTP-Get Angriff werden unzählige legitime HTTP-Get Anfragen an einen Server gerichtet. Da er eine Anwendung auf einem Server angreift, gehört er zu den Angriffen auf Schwachstellen. (Kapitel 3.3.x) Bewertung: Der HTTP-Get Angriff ist schwer zu unterbinden. Die Attacke sieht auf einem Webserver aus wie legitimer Datenverkehr. Der Angriff ist auch nur durch eine Erhöhung des normalen Traffic Spiegels erkennbar, und aufgrund von Flashcrowds 33 auch nicht leicht als solcher zu erkennen. Durch eine Filterregel lässt er sich nicht erkennen, da sich die gespooften IP Adressen nicht von legitimen Usern unterscheiden lassen. Bei einer heuristischen Suche lassen sich einige Pakete filtern. Dazu muss aber vor dem Angriff der normale Traffic analysiert werden, um Abweichungen festzustellen. Dadurch lässt sich der Angriff aber höchstens abschwächen. Die heute häufig verwendeten Captchas 34 können auch verhindern, dass solche automatisiertes Angriffe auf rechenintensive Funktionen zugreifen Weitere Floods Es gibt noch weitere Möglichkeiten, einen Flood Angriff auf ein Ziel auszuführen. So gibt es beispielsweise noch die Targa- bzw. die Wonk-Flood. Bei der Wonk-Flood handelt es sich um 1 SYN-Paket gefolgt von 1023 ACK-Paketen. Bei einer Targa-Flood werden an zufällige Ports, zufällige Pakete mit zufälligen Offsets von zufälligen gespooften IPs gesendet (Vgl. [Mddr05 S.89]). Bewertung: Bei den Targa- und Wonk-Floods handelt es sich in erster Linie um Funktionen, die die beiden Würmer Agobot und Phatbot bieten. (Siehe Kapitel 2.5) Angriff auf Schwachstellen Bei einem Angriff auf Schwachstellen reichen oft schon geringe Mengen an Daten, um einen DoS-Effekt zu erreichen. Hier wird nicht auf großes Datenvolumen gesetzt um den Server außer Gefecht zu setzen, sondern die Fehler und Schwachstellen in der Software sowie Anwendungen von Drittanbietern, werden ausgenutzt. 33 Flashcrowd: Wenn eine Webseite mehr Besucher hat als gewöhnlich. Dies kann zur Überlastung der Seite führen und damit zu einem DoS-Effekt. 34 Captcha: Umgekehrter Turing-Test. Es soll festgestellt werden, ob der Benutzer eine Person ist. 16

17 Bewertung: Ein einzelnes fehlerhaftes Paket an ein Programm kann das Programm oder das ganze System zum Absturz bringen. Um Abhilfe zu schaffen, muss das Opfer warten bis ein neues Update veröffentlicht wird, das die Schachstelle behebt. Bis dahin bleibt nur das Abschalten des Programms (und damit der Dienstleistung) oder das Erdulden der Angriffe. In diesem Fall muss der Administrator abwägen, welche der beiden Optionen wirtschaftlicher ist. (Vgl. [Mddr05 S. 84/85]) 3.6 Botnetz Aufbau eines Botnetzes: Beim Aufbau eines Botnetzes werden meist mit Hilfe von Würmern Systeme übernommen. Dabei kann jeder Rechner betroffen sein, welcher an das Internet angeschlossen ist und der die bei der Attacke verwendete Sicherheitslücke aufweist. In der Regel ist den einzelnen Benutzern nicht bewusst, dass ihr System kompromittiert wurde. Um den Server wirklich lahm zu legen braucht der Angreifer eine entsprechend große Menge an Zombies für den Angriff. Hierzu muss er genug Systeme finden, die er mit Hilfe von gegebenen Schwachstellen rekrutieren kann. Früher war dies penible Kleinstarbeit. Heute in Zeiten von Botnetzen die und mehr Rechner umspannen können, werden dazu automatisierte Tools verwendet (vgl. [Mddr05 S.69 & S.62]). Diese Tools scannen IP-Bereiche, in denen sie verwundbare Rechner aufspüren und diese dann kompromittieren. Beispiel: Ein Wurm bricht auf ein beim Scannen gefundenes System ein. Dabei verwendet er eine Sicherheitslücke in einem Windows Service. Er fängt dann an, weitere Malware von einem Server nachzuladen. Diese erfüllt unterschiedliche Funktionen. Zum Beispiel ein Rootkit, um das Vorhandensein des Wurms zu tarnen und ein Programm, das auf einem vorgegebenem Port nach Befehlen lauscht. Dieses Softwarepaket macht das infizierte System zu einem Bot. Ist dieser Vorgang beendet, setzt der neue Zombie ein Paket an seinen Besitzer ab mit dem Inhalt: Hier bin ich und der Wurm verbreitet sich weiter. 4. SQL-Injektion Das Grundprinzip einer SQL-Injektion ist das Einschleusen eines SQL-Befehls in ein mehrschichtiges System. Hierbei wird eine beliebige SQL Datenbank im Backend 35 über die Eingabemaske, beispielsweise eine PHP Frontend 36, manipuliert. 35 Frontend: Den Teil eines Servers, den der Benutzer zu Gesicht bekommt. Zum Beispiel ein PHP- Formular. 36 Backend: Bekommt der User nicht zu Gesicht. Tabellen einer Datenbanken o.ä. 17

18 4.1 Ziele Es gibt viele Methoden, eine SQL-Injektion zu nutzen. Hier führen viele Wege zum Ziel, denn mit einer geschickt gewählten Injektion kann der Server beliebig manipuliert werden: unberechtigter Zugriff Authentifizierung umgehen Datenbank manipulieren Zugriff auf das System So lässt sich zum Beispiel die Datenbank oder Teile dieser löschen (vgl. [Fr06] S.535), mit Befehlen wie: DROP Table 'X' //wobei x für den Namen einer Tabelle steht Selbst wenn das Login vor dem Einschleusen von SQL-Befehlen sicher ist, besteht immer noch die Hoffnung, dass andere Anwendungen auf der Seite auf die selbe Datenbank zugreifen, in denen auch die Benutzerdaten liegen. Der Angreifer kann dann selbst in die URL oder Such-Leiste SQL-Befehle einschmuggeln. So lässt sich auch ohne administrative Rechte die eigene User Klasse ändern, Tabellen auslesen oder die ganze Datenbank löschen. 4.2 Grundlagen einer SQL-Injektion Im Folgenden wird anhand eines Beispiels von N. Jovanovic et al. Erklärt, wie eine SQL-Injektion anhand eines Beispielcodes (vgl. [JKK10 S.865]) aussehen kann und durch ein schlecht gesicherten Login tatsächlich funktioniert. mysql_query("select * FROM users WHERE name= $_GET[name] AND pw= $_GET[pw] "); Wenn nun ein Benutzer in der Maske seinen Benutzernamen und sein Passwort eingibt, gleicht der Query die Daten mit seiner Datenbank ab. Findet er einen Usernamen zusammen mit korrektem Passwort, gibt der Query TRUE zurück und dem User wird Zugriff gewährt. Stimmt beides nicht überein, wird der Wert als FALSE zurückgegeben. Sind die Felder nicht typisiert oder gegen die Eingabe von Maskierungszeichen geschützt, so kann der Angreifer in der Maske einen SQL-Befehl eingeben um das Ergebnis zu manipulieren. In diesem Beispiel fehlen sämtliche Sicherheitsvorkehrungen. name: Admin pw: Admin 18

19 Hier übergibt die Maske als Benutzernamen den Wert 'Admin' und als Passwort den Wert 'Admin'. In diesem fiktiven Beispiel ist zwar der User Admin vorhanden, aber das Passwort ist falsch. Damit gibt der Query ein FALSE zurück und der Zugriff wird verweigert. Der Angreifer kann dieses Prinzip überlisten, indem er sicher geht, dass die Datenbank als User den Admin übergibt. Hier ein Beispiel: name: Admin pw: ' OR name='admin' Der Query interpretiert nicht, ob der Wert, den er als Passwort bekommen hat, dem seiner Datenbank entspricht, sondern er behandelt ihn tatsächlich als Anweisung. $query = "SELECT * FROM users WHERE name='admin' AND pw= OR name= admin'" Der Query vergleicht den Usernamen mit 'Admin' (FALSE) UND, ob das Passwort leer ist (FALSE) ODER, ob es den User Admin in der Datenbank gibt (TRUE). Durch das hineingeschmuggelte OR gibt der Query als User den 'Admin' zurück und der Server gewährt dem Angreifer administrative Rechte. 4.3 Angriffstypen Das oben genannte Beispiel lässt sich so und in vielen ähnlichen Variationen noch heute anwenden. Aber es gibt noch viel mehr Möglichkeiten eine SQL-Injektion durchzuführen Bedingungen ersetzen Hier wird zwischen dem Ersetzen von Hauptbedingungen und Nebenbedingungen unterschieden. Im obigen Beispiel wurde eine Hauptbedingung ersetzt. Dazu können auch Nebenbedingungen ersetzt werden. Dies dient dazu, den Rückgabewert eines Queries zu den eigenen Gunsten zu verändern Bedingungen ergänzen Neben der Möglichkeit zum Umgehen der Authentifizierung, lässt sich der Query noch um ein UNION SELECT erweitern. Durch den UNION Aufruf lassen sich zusätzliche SELECT Bedingungen einschleusen. So kann sich der Angreifer ganze Tabellen ausgeben lassen. SELECT * FROM Directory WHERE LastName LIKE frank OR 1=1 UNION SELECT user, password FROM mysql.user WHERE q = q OR " In diesem Beispielcode [Fs06 S.534] wird mit Hilfe des UNION-Befehls die komplette Benutzerdatenbank inklusive Passwörtern ausgegeben. 19

20 4.3.3 Batch Query Kein Angriff per se. Allerdings bieten einige Datenbanken die Möglichkeit, mehrere Queries in einer Transaktion zusammen zu fassen. Damit kann der Angreifer nicht nur den vorhandenen Query manipulieren, sondern auch neue Queries einschleusen, die mit einem Semikolon getrennt sind. Im Folgenden wurde ein UPDATE Eintrag hinzugefügt. SELECT * FROM Directory WHERE Last_Name LIKE ; UPDATE Directory SET Phone= WHERE First_Name= Frank ; [Fs06 S.535] 5. Fazit: Angriff ist (nicht) die beste Verteidigung Die Möglichkeiten für Angriffe auf einen Webserver sind zahlreich. Jede davon hat ihre eigene Charakteristik, Vor- und Nachteile. Die Ausarbeitung soll zur Sensibilisierung beitragen, wie gefährdet wir bzw. unsere Rechner eigentlich im Netz sind. Auch die Vergangenheit hat gezeigt, dass selbst Firmen mit großen finanziellen Möglichkeiten nicht vor findigen Hackern geschützt sind. Was soll da schon der einzelne Heimuser oder Webserverbesitzer ausrichten? Ein Sprichwort besagt: Angriff ist die beste Verteidigung. Das trifft jedoch in der Mehrzahl der Angriffsszenarien nicht zu. In erster Linie ist durch das IP Spoofing nicht klar, ob die IP des mutmaßlichen - auch die des tatsächlichen Angreifers ist. Hinzu kommt noch die Verteilung der einzelnen angreifenden Systeme bei einer Distributed Denial-of-Service Attacke, von denen die Angreifer sich nicht mal bewusst sind, dass sie als solche agieren. Der eigentliche Angreifer versteckt sich ohnehin hinter seinen Mastern und ihren Zombies. Auch die Tarnung der eigentlichen Angriffe wird aufgrund der immer komplexeren Systeme immer raffinierter. Aufgrund dessen sind Gegenmaßnahmen nur schwer - oder gar nicht zu realisieren. Zumindest nicht mit dem heutigen Stand der Technik. Dem Administrator bleibt nur eine gewisse Sensibilität und Grundwissen für den sicheren Umgang mit seiner Hard- und Software zu entwickeln. Stichwort dabei ist die Prävention. Er sollte das System und die dort betriebene Software immer auf dem aktuellsten Stand halten. Auch auf eine einfache Firewall sollte dabei nie verzichtet werden. So werden die meisten Sicherheitslücken geschlossen und für den Angreifer wird die geringst-mögliche Angriffsfläche geboten. Gegen 0-Day Exploits oder auf Brute-Force basierte Denial-of- Service Angriffe hilft das zwar nicht, aber die meisten geläufigen Schwachstellen können so nicht mehr missbraucht werden. 20

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Intelligence Gathering

Intelligence Gathering Intelligence Gathering Max, Johannes Team 1 20.04.2015 Outline 1. Motivation 2. Typen der Informationsbeschaffung 3. Technische Systeme 4. Personen / Firmen 5. Gegenmaßnahmen Motivation Überblick über

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Botnetze & DDoS-Attacken

Botnetze & DDoS-Attacken Botnetze & DDoS-Attacken Perstling, Tabibian 8. Juni 2012 Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 1 / 33 Übersicht Botnetze Bots Aufbau und Kommunikation (C&C, zentralisierte/dezentralisierte

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Hacker Hackerprofile in amerikanischer Terminologie

Hacker Hackerprofile in amerikanischer Terminologie Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Georges

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 14: Schwächen von und Angriffe auf die Internet-Protokolle

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Open-Resolver schliessen

Open-Resolver schliessen Open-Resolver schliessen Kunde/Projekt: CCC Version/Datum: 1.1 6.11.2013 Autor/Autoren: green.ch Autoren Team Seite 1/11 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2 2 Allgemeine Bemerkungen... 3 2.1

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg Nmap Evaluierung des Portscanners Nmap von Goran Galunic Mittwoch, 12.01.05

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen Einführung in die Informationstechnik VII Handyviren Anonym im Netz surfen 2 Handyschadsoftware erster Handyvirus: 2004 für SymbianOS: Cabir Verbreitung über Bluetooth Ab Herbst 2004 Trojaner Mosquit.a:

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

Denken wie ein Hacker

Denken wie ein Hacker Denken wie ein Hacker Phasen eines Hackerangriffs Juerg Fischer Juerg.fischer@sunworks.ch Consultant & Trainer Certified EC-Council Instructor Microsoft Certified Trainer www.digicomp.c 2 1 Ihre Daten

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Warum man trotzdem nicht vor Würmern sicher ist Folie Nr. 1 Marc Schneider Vorstellung Bei AV-Test.de für Server- und Groupware-Tests

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Inhalt Was bisher geschah 2 Was passiert am 8. März 2012? 2 Wie teste ich meine Interneteinstellungen? 3 Auf dem PC 3 Auf dem Router 5 Allgemeine

Mehr

DDoS-Ratgeber. Gefährdungspotenzial und Schutz für mein Unternehmen. Mit integriertem Kurztest. Quelle: depulsio GmbH

DDoS-Ratgeber. Gefährdungspotenzial und Schutz für mein Unternehmen. Mit integriertem Kurztest. Quelle: depulsio GmbH DDoS-Ratgeber Gefährdungspotenzial und Schutz für mein Unternehmen Mit integriertem Kurztest Der Preis der Nichtverfügbarkeit Im Zuge sogenannter hacktivistischer Protestaktionen wurden und werden in unregelmäßigen

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

INSTALLATION. Voraussetzungen

INSTALLATION. Voraussetzungen INSTALLATION Voraussetzungen Um Papoo zu installieren brauchen Sie natürlich eine aktuelle Papoo Version die Sie sich auf der Seite http://www.papoo.de herunterladen können. Papoo ist ein webbasiertes

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Schutz vor Phishing und Trojanern

Schutz vor Phishing und Trojanern Schutz vor Phishing und Trojanern So erkennen Sie die Tricks! Jeder hat das Wort schon einmal gehört: Phishing. Dahinter steckt der Versuch von Internetbetrügern, Bankkunden zu Überweisungen auf ein falsches

Mehr

Ist meine Website noch sicher?

Ist meine Website noch sicher? Ist meine Website noch sicher? Massive Angriffe gegen Joomla, Wordpress,Typo3 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Ist meine WebSite noch sicher?

Ist meine WebSite noch sicher? Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

Batch-Programmierung-Netzwerkumgebung

Batch-Programmierung-Netzwerkumgebung Batch-Programmierung-Netzwerkumgebung Inhaltsverzeichnis 1 ping 2 ipconfig o 2.1 ipconfig /all o 2.2 ipconfig /renew o 2.3 ipconfig /flushdns 3 tracert 4 netstat 5 NET o 5.1 NET USE - Netzlaufwerke verbinden

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Neue Programme von MasterCard und VISA: SDP Side Data Protection MasterCard AIS Account Information Security VISA Zielgruppen

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung 3-349-871-01 1/7.15 GMSTHostService Bedienungsanleitung Inhaltsverzeichnis 1. Registrierung... 3 Erste Registrierung... 3 2. GMSTHostService Basisinformationen... 8 3. Beispiel GMSTHostService Konfiguration....

Mehr

Digitale Forensik. Teil 6: Ablauf von Angriffen. Schulung Bundespolizeiakademie März 2009

Digitale Forensik. Teil 6: Ablauf von Angriffen. Schulung Bundespolizeiakademie März 2009 Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 6: Ablauf von Angriffen Dipl. Inform. Markus Engelberth Dipl. Inform. Christian Gorecki Universität Mannheim Lehrstuhl für Praktische Informatik

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey Kurzanleitung RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal - 2 - Vorwort zu dieser Anleitung SysCP ist eine freie und kostenlose Software zur Administration von Webservern.

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Ping of Death Spoofing Phisihing. B. Krbecek (DCP) A. Schempp (DCS, DCP, DCF) T. Schwarz

Ping of Death Spoofing Phisihing. B. Krbecek (DCP) A. Schempp (DCS, DCP, DCF) T. Schwarz Ping of Death Spoofing Phisihing Überblick B. Krbecek -> Ping of Death A. Schempp -> Spoofing -> Phishing Fragen? B. Krbecek Ping of Death (POD) - I Gefahrenkategorie: -> Störung (Disruption) Attackenkategorie:

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Selbstverteidigung im Web

Selbstverteidigung im Web An@- Hacking- Show Selbstverteidigung im Web Marcel Heisig Norman Planner Niklas Reisinger am 27.10.2011 1 Inhalt der Veranstaltung Live- Vorführung gängiger Angriffsszenarien Schutzmaßnahmen Diskussion

Mehr

Die klassischen Angriffsformen

Die klassischen Angriffsformen Heutzutage ist eigentlich jeder der einen PC, ein Mobilfunktelefon oder Smart-Phone, das Internet, Bank- oder Kreditkarten benutzt für viele Angreifer ein potentielles Opfer. Seit Jahren sind die klassischen

Mehr

Visual VEGA Netzwerkinstallation

Visual VEGA Netzwerkinstallation Allgemeines Visual VEGA 5.30 gibt es in den Varianten "Visual VEGA LT" und "Visual VEGA Pro". Die LT-Version kann maximal 16 Messstellen anzeigen, Visual VEGA Pro kann eine unbegrenzte Anzahl von Messstellen

Mehr

Netzwerke 3 Praktikum

Netzwerke 3 Praktikum Netzwerke 3 Praktikum Aufgaben: Routing unter Linux Dozent: E-Mail: Prof. Dr. Ch. Reich rch@fh-furtwangen.de Semester: CN 4 Fach: Netzwerke 3 Datum: 24. September 2003 Einführung Routing wird als Prozess

Mehr