Angriffsmöglichkeiten auf Webserver

Größe: px
Ab Seite anzeigen:

Download "Angriffsmöglichkeiten auf Webserver"

Transkript

1 Angriffsmöglichkeiten auf Webserver von Christian Henssler MKIB 4 Hochschule Reutlingen Gartenstraße 12 Dornstetten

2 Abstract: Angriffe auf Webserver stellen in unserer heutigen Gesellschaft ein großes Problem dar. Technik breitet sich immer weiter in den Alltag aus und die Abhängigkeit der Gesellschaft steigt. Allerdings erhöht sich mit der Technisierung des Alltags auch die Zahl der möglichen Angriffspunkte von Systemen und Anwendungen. Aufgrund aktueller Ereignisse rückt die Frage nach der Sicherheit bei Webanwendungen und Webservern verstärkt in das Interesse der Öffentlichkeit. Hackergruppierungen haben in den vergangenen Wochen und Monaten aus unterschiedlichen, hauptsächlich politisch motivierten Anlässen, Server von wirtschaftlichen und politischen Institutionen angegriffen und lahmgelegt. Unter den angegriffenen Servern befinden sich auch bekannte Namen wie Mastercard, Sony, der IWF und die ägyptische Regierung. Zwei der Begriffe die dabei immer wieder gefallen sind, waren die sogenannte DDoS-Attacke und die SQL-Injektion. Um für die mögliche Gefahr durch diese und andere Angriffsmöglichkeit zu sensibilisieren, untersucht diese Arbeit die Planung und Durchführung eines Angriffs auf einen Webserver. Die Hauptgewichtung liegt bei dieser Arbeit auf den beiden oben genannten Angriffen. 2

3 1. Die Motivation Der erste Schritt im Angriff auf einen Webserver ist, neben dem Erwerben des nötigen Know-hows, das Finden einer Motivation: Eines Ziels. Danach richtet sich das Vorgehen und die Wahl der Tools 1. Soll ein Server übernommen werden um ihn für eigene Zwecke zu nutzen, so wird eher auf Tools gesetzt, die im Verdeckten operieren. Durch Rootkits (Kapitel 2.6.3) geschützte Würmer und Trojaner sind hier oft erste Wahl. Soll ein Webserver jedoch ganz lahm gelegt werden, braucht der Angreifer diese Tools zwar auch, jedoch meist nur zur Angriffsvorbereitung. Die Rede ist hier vom Vorbereiten einer Denial-of-Service Attacke (Kapitel 3) 1.1 Schaden verursachen Beabsichtigt oder als Kollateralschaden, die meisten Angriffe führen zu einer geschädigten Partei. Bei Webservern entsteht bei den Besitzern meist ein finanzieller Schaden. Durch: Fehlende Erreichbarkeit: Ob er nun durch einen DoS 2 Angriff nicht erreichbar ist, das Angebot durch ein Defacement 3 ersetzt wurde oder anderweitig am Ausführen seiner Aufgabe gehindert wird. Datendiebstahl: Wurden Daten geklaut, müssen diese im Fall von Passwörtern geändert werden. Oder auch sensible Firmendaten bedeuten für Firmen oft einen finanziellen - oder Imageschaden. Um lediglich Schaden anzurichten, bietet sich ein Denial-of-Service Angriff an. Die Seite ist nicht erreichbar, das bedeutet für eine Firma immer Geldverlust. Durch unzufriedene Kunden fällt die Haupteinnahmequelle, die Werbung, weg. Außerdem sind so auch diverse weitere Angebote wie Webshops oder Foren nicht erreichbar. Die Möglichkeiten eines DoS Angriffs werden in späteren Kapiteln genauer erläutert. 1.2 Kontrolle übernehmen Um die Kontrolle über einen Server zu übernehmen, gibt es etliche Angriffsmöglichkeiten, die im Rahmen dieser Ausarbeitung teils genauer beleuchtet werden: 1 Tools: Engl. für Werkzeug. Ein Programm, das einem speziellen Zweck dient. 2 DoS: Kürzel für Denial-of-Service, das Unterbinden einer Dienstleistung im Internet. 3 Defacement: Das illegale Verändern einer Seite im Internet. 3

4 SQL 4 -Injektion (Kapitel 4.), Brute-Force 5 Angriffe (Kapitel 2.3), CMS 6 Exploits (Kapitel 2.4), Bufferoverflow 7 (Kapitel 2.5), Würmer (Kapitel 2.6.1), Trojaner (Kapitel 2.6.2) RAT 8 s (Kapitel 2.7) oder Social Engineering 9 (Kapitel 2.8) und Denial-of-Service (Kapitel 3) Beim Übernehmen der Kontrolle hängt es von der Grundmotivation ab, wie das genaue Vorgehen aussieht. Für kurzfristige Aktionen ist es oft egal, ob ein Administrator ihn bemerkt. Der Angriff kann daher relativ plump ausgeführt werden. Wird der Angriff bemerkt, ist es meist zu spät. Der Accounts mit administrativen Rechten sind meist schon ausgesperrt und solange kein direkter Zugriff des Administrators auf die Hardware möglich ist (wie beim Webhosting) kann sich der Angreifer frei austoben. Im Falle einer langfristigen Aktion, will der Angreifer im Verborgenen bleiben und wird darauf bedacht sein möglichst ohne Spuren einzudringen und den Server für seine Zwecke zu manipulieren. Dies kann vom Nutzen des Servers für das Ablegen von Dateien (Warez 10 z.b.) bis hin zum Ausführen einer Denial-of-Service reichen. 1.3 Datendiebstahl Die Spionage überschneidet sich ziemlich stark mit der Übernahme der Kontrolle. Hier liegt jedoch der Schwerpunkt in erster Linie auf dem Unentdeckt bleiben. Es werden Einbruchstools und Rootkits benötigt, die ein unentdecktes Vorgehen ermöglichen. Deshalb setzt dies auch ein relativ hohes Talent bei dem Angreifer voraus. Er muss zum Beispiel wissen, wo sich die Logfiles befinden und an welchen Stellen er außerdem seine Spuren verwischen muss. Denn der Angreifer braucht genügend Zeit, um wichtige Daten - oder sein genaues Ziel - ausfindig zu machen und zu stehlen, bevor ein Administrator die Gelegenheit hat, ihn auszusperren oder im Ernstfall den Stecker zieht. 4 SQL: Kurzwort für Server Query Language. Die Sprache zum Verwalten eines Datenbankservers. 5 Brute-Force: Engl. Für rohe Gewalt. Probieren aller Möglichkeiten bis zur Lösung eines Problems. 6 CMS: Content Management System: System zum Verwalten von Inhalten auf Webservern. 7 Bufferoverflow: Pufferüberlauf. Das Manipulieren des Speichers durch zu große Datenpakete. 8 RAT: Kürzel für Remote Access Tool. Programm zum Fernsteuern eines Computers. 9 Social Engineering: Das Herausfinden von Daten durch psychologische Tricks. 10 Warez: Begriff aus der Hackerszene, beschreibt gestohlene Daten wie Programme, Filme, Spiele und Musik. 4

5 2. Angriffsmöglichkeit auf Webserver Es gibt eine Vielzahl von Schwachstellen und Möglichkeiten, einen Server an zu greifen. Im Folgenden wird das weitere Vorgehen erläutert. Vor dem eigentlichen Angriff sollten die Schwachstellen eines Systems ermittelt werden. Dazu wird ein Portscan 11 (Kapitel 2.1) durchgeführt. Er bietet Informationen über das System und erleichtert dadurch die Auswahl möglicher Tools und Angriffsstrategien. Das eigene Vorhaben sollte der Angreifer dabei jedoch verbergen. Dazu gibt es verschiedene Möglichkeiten, wie das Vorschalten eines Proxys 12 (Kapitel 2.2) oder dem Verwenden bestimmter Scan-Methoden. Um nur Schaden anzurichten, reichen oft schon einfache Tools, die das Angriffsziel mit Anfragen überhäufen, bis dieses in die Knie geht. Zum Unterwandern eines Servers muss der Angreifer aber auf komplexere Strategien zurückgreifen. Einige dieser Optionen werden im Folgenden erläutert und bewertet, um eine Übersicht über das Spektrum möglicher Angriffe zu geben. 2.1 Portscan Keine Angriffsmöglichkeit in diesem Sinne, aber für das Ausführen vieler Angriffe essentiell. Wie schon Sun Tzu erkannt hat: Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Der Scan nach offenen Ports gibt wichtige Aufschlüsse über die Software, die das Opfer verwendet. Lauscht ein Programm auf einem Port, der adressiert wird, antwortet dieses auf einen eingehenden Verbindungsversuch. Die Portnummer gibt dabei Aufschluss über welches Programm es sich handelt. Die vergebenen Nummern sind im Normalfall immer die selben, deshalb ist diese Angabe sehr präzise. Außerdem lässt sich durch das Fingerprinting 13 die Signatur der Antworten abschätzen, welches Betriebssystem auf dem Zielrechner läuft. Tools zum Portscan sind zum Beispiel nmap, laut Erickson eines der populärsten Open- Source-Port-Scanning-Tools [Je09 S.287] Es beherrscht alle der im Folgenden beschriebenen Scan-Techniken. Welche der Angreifer benutzt, bleibt dabei ihm überlassen. 11 Portscan: Das Scannen eines Port oder IP-Bereichs zum Aufspüren möglicher Ziele oder Schwachstellen. 12 Proxy: Ein Stellvertreter. Rechner über den Verbindungen abgewickelt werden zum Verdecken der Identität des eigentlichen Urhebers. 13 Fingerprinting: Durch das Verhalten von Betriebssysteme auf TCP/IP Verbindungen kann das Betriebssystem identifiziert werden. 5

6 2.1.1 SYN-Scan Um eine TCP/IP 14 Verbindung aufzubauen, schickt PC A ein mit dem SYN-Flag 15 ausgestattetes Paket an PC B. PC B reserviert Ressourcen, um die Verbindung mit PC A zu gewährleisten und antwortet mit einem SYN-ACK-Paket. PC A sendet nun wiederum eine Bestätigung in Form eines ACK-Pakets zum Verbindungsaufbau. (Abb. 1: Three- Way-Handshake) Von diesem Zeitpunkt an basiert die restliche Kommunikation auf ACK geflaggten Paketen. Bekommt PC B ein mit FIN oder RST geflaggtes Paket, werden die Ressourcen wieder frei gegeben und die Verbindung wird gelöst. Abbildung 1: Three-Way-Handshake Ein SYN-Scan schließt diesen Handshake nicht ab. Erhält der verwendete Scanner ein SYN-ACK-Paket, muss der Adressierte Port folglich eine Verbindung akzeptieren. Der Scanner sendet dann ein RST-Paket, das die halboffene Verbindung wieder schließt. Dieser Vorgang wird beim Opfer ohne besondere Tools nicht geloggt. Daher wird diese Scan-Methode auch als verdeckter Scan bezeichnet. (Vgl. [Je09 S.288]) FIN, X-mas und Null Scan Da es viele Tools gibt, die einen SYN-Scan erkennen und protokollieren, wurden weitere Scans entwickelt um das unentdeckte Scannen weiterhin zu ermöglichen. Bei allen drei Methoden wird ein unsinniges Paket [Je09 S.288] gesendet, das entweder ignoriert oder mit einem RST-Paket beantwortet wird. Wird ein RST-Paket vom Zielrechner gesendet, ist der Port geschlossen. Wird es ignoriert, so handelt es sich um einen offenen Port. Jedoch beantwortet ein Betriebssystem von Microsoft ungültige Pakete nicht mit einem RST-Paket. Deshalb lässt sich, laut Kraft et al., mit diesen Scan-Methoden keine Aussage über Windows- Systeme machen. Der FIN Scan sendet ein FIN-Paket, der X-mas-Scan ein Paket mit aktiviertem FIN-, URG- und PUSH-Flags (so benannt, weil die Flags leuchten wie ein Weihnachtsbaum), und der Null-Scan sendet ein Paket, bei dem keine TCP-Flags gesetzt sind. [Je09 S. 288] 14 TCP/IP: Transmission Control Protokoll: Gängiges Übertragungsprotokoll. 15 Flag: Ein TCP/IP Paket kann mit unterschiedlichen Zustände belegt werden, die ein Paket annehmen kann, um die Kommunikation zu erleichtern. Siehe dazu: RFC793 6

7 2.2 Proxy-Server Ebenfalls kein Angriffstool, aber für einen Angreifer unerlässlich, falls er auf Anonymität setzt. Denn Proxy-Server werden verwendet, um die eigene Identität zu verschleiern. Es handelt sich dabei um einen Server, der bereitgestellt wird, um Daten weiter zu leiten. Die Daten, die der Angreifer verschickt, werden dazu an den Proxy übermittelt. Dieser leitet sie, mit seiner eigenen Adresse als Absender, an den Empfänger weiter. Umgekehrt geschieht das mit den Daten, die vom Opfer an den Angreifer gesendet werden sollen. Es gibt die Möglichkeit, sich über Proxy-tools einzuloggen. Ein häufig verwendetes Tool ist beispielsweise das Open-Source-Projekt TOR 16. Dazu gibt es viele Proxy Listen im Internet, sowie Tools mit deren Hilfe sich eigene Listen erstellen lassen. Kriminelle Hacker, die ein Bot-Netz betreiben, schalten zwischen sich und ihre Master (Kapitel 3.4) noch Proxys, sogenannte Steppstones 17, um selbst im Fall der Kompromittierung einer ihrer Master oder des ganzen Netzes, die eigene Identität zu verschleiern. 2.3 Brute-Force Eine Brute-Force Attacke wird mit Hilfe eines Tools durchgeführt. Diese unterscheidet sich hauptsächlich im Funktionsumfang. Es gibt einfache Tools, die für den Usernamen und das Passwort nacheinander alle möglichen Kombinationen durchprobieren. Dies wird aber mit zunehmender Länge schnell unwirtschaftlich. Deshalb besteht auch die Möglichkeit einer sogenannten Dictionary-Attack 18. Im Internet gibt es laut Kraft für jedes Land zugeschnittene Wörterbücher mit Namen und Passwörtern. Da nun viele Kombinationen gar nicht beachtet werden, geht der Scan viel schneller vonstatten. Kommt das Passwort nicht in dem Wörterbuch vor, ist die Suche nutzlos. Bei der Wahl der zu verwendeten Liste sollte auch der Standort des Servers ermittelt werden. Es bringt relativ wenig, ein spanisches Wörterbuch für einen deutschen Server zu verwenden. Eine weitere praktische Funktion ist das Verwenden von Proxy-Servern. Sind einer oder mehrere davon bei einem Angriff dazwischen geschaltet, erschwert der Angreifer dem Opfer das Zurückverfolgen der Attacke. 16 TOR: The Onion Routing. Dabei handelt es sich um eine Netzwerk von Proxy-Rechnern zur Anonymisierung von Internetaktivitäten. 17 Steppstones: Proxy-Rechner, mit deren Hilfe der Angreifer mit seinen Mastern kommuniziert. Erschwert die Rückverfolgung des Angriffs auf seine Person. 18 Dictionary-Attack: Das Angriffs-Tool verwendet ein Wörterbuch statt alle Kombinationen zu generieren. 7

8 2.4 CMS Exploit Ein CMS Exploit greift die Schwachstellen eines Content Mangamenet Systems an. Der Angreifer nutzt hierbei Programmierfehler und unsichere Typisierung, um ein CMS dazu bringen, ihm unberechtigten Zugriff zu gewähren oder Daten preiszugeben. Viele der Fehler sind im normalen Betrieb nicht bemerkbar. Laut Erickson gibt es zum Beispiel den Off-by-One-Fehler 19. Dieser einfache Fehler kann sich auf das komplette Programm auswirken und dabei zu einer ernsten Sicherheitslücke werden. So lassen sich vom Programmierer nicht vorhergesehene Speicherzustände verursachen. (Vgl. [Je09 S.128]) Auch die Verzeichnisse eines Webservers, die nach außen einsehbar sind, beschränken sich meist auf einen Root-Ordner. Ist das CMS in der Pfadprüfung nicht sicher programmiert, kann der Angreifer durch einfache Verwendung des Backslashs in der URL-Zeile die Systemordner erreichen, Logins auslesen oder den Inhalt der Seite manipulieren. (Vgl. [Je09 S.129]) 2.5 Bufferoverflow Pufferüberlauf-Schwachstellen gibt es seit den frühen Tagen der Computertechnik und es gibt sie auch heute noch. [Je09 S. 131] Ein Bufferoverflow beschreibt eine Art von Exploit, bei der ein überlanger Wert in eine Variable geschrieben wird. Der Wert ist dabei größer als die für die Variable reservierten Speicher er läuft über. Alles was über die Variable hinausragt, wird deshalb in den physikalisch angrenzenden Speicherbereich geschrieben. Wenn der Angreifer über den Aufbau des Speichers Bescheid weiß, kann er ausführbaren Code an das Ende des Wertes schreiben. Greift das System dann auf den Speicher zu, an dem der Code landet, wird dieser ausgeführt. Der Angreifer ist so in der Lage eine Root-Shell 20 zu starten, die ihm die volle Kontrolle über das System ermöglicht. 2.6 Malware Der Begriff Malware umfasst eine weitläufiges Areal von Schadsoftware. Darunter befinden sich Würmer, Viren, Trojaner und mehr. Im Folgenden werden ein paar Programme beschrieben, die sich besonders zum Angriff auf Webserver eignen. 19 Off-by-One-Fehler: Beim Größenvergleich von Variablen wird oft die Menge der Zahlen nicht korrekt behandelt. Bsp.: Nur größer statt größer-gleich. 20 Root-Shell: Eingabefenster, in der ein Benutzer Root-Rechte hat. Kommt aus dem Unix bereich. 8

9 2.6.1 Würmer Würmer sind eine große Gefahr. Es handelt sich um ein automatisiertes Programm, das aktiv nach verwundbaren Maschinen sucht und diese infiziert, um sich dann weiter zu verbreiten. Heutzutage finden sich im Internet zahllose Bausätze für Würmer und Trojaner. Ein solcher Bausatz ist recht simpel. Man klickt die Funktionen an, die der Wurm haben soll, inklusive gewünschter Verbreitungswege und Payload 21 (Schadensfunktion) [Kw10 S.98] Außerdem kann ein entsprechend konfigurierter Wurm zum Erstellen bzw. Vergrößern eines Botnetzes 22 verwendet werden. Um 2003/04 haben sich die beiden Würmer Agobot und sein Nachfolger Phatbot stark verbreitet. Diese sind nicht nur einfache DoS Tools, sondern bieten eine weite Reihe von weiteren Angriffsmöglichkeiten, daher werden sie auch als Schweizer Taschenmesser der Angriffs Tools [Mddr05 S.89] bezeichnet Trojaner Trojaner sind Backdoor 23 Programme. Sie bieten eine Hintertür für den Angreifer über die er Informationen beziehen kann oder das System unter seine Kontrolle bringt. Laut Kraft sind diese als Bilder oder als nützliche Tools getarnt und bringen das Opfer dazu, sie freiwillig auszuführen oder zu installieren. Wie Würmer kommen auch Trojaner als Baukästen. Auch hier können Verbreitungswege und die Payload definiert werden. So bietet sich das Anhängen eines RATs an, um die vollständige Kontrolle über einen Server zu erlangen (Kapitel 2.7) Rootkits Laut Kraft sind Rootkits eine normale Tarntechnik. Im Angriffsfall dienen Sie dazu, die Anwesenheit von Malware oder des Angreifers auf dem Rechner des Opfers zu verbergen. (Vgl. [Kw10 S. 65]) Im wesentlichen gibt es zwei Arten von ihnen. Die Kernel Rootkits und Userland Rootkits. Sie unterscheiden sich in erster Linie durch die Ebene, auf der sie aktiv sind. Die Kernel Rootkits verankern sich auf der Kernel-Ebene um die Ein- und Ausgaben des Systems so zu manipulieren, dass der Angreifer unentdeckt bleibt. Durch den Schutz der Kernel sind diese besonders schwer ausfindig zu machen. Userland Rootkits haben prinzipiell die selbe Funktion, manipulieren aber die Kommunikationsschicht zwischen dem Userland und der Kernel Ebene. Da sie nicht den Schutz der Kernel-Ebene genießen, sind diese leichter aufzuspüren. 21 Payload: Engl. für Nutzlast. Die Schadfunktion einer Software. 22 Botnetz: Der Überbegriff für ein Netzwerk von kompromittieren Computern. 23 Backdoor: Engl. für Hintertür. Ein Programm, das seinem Besitzer unbemerkten Zugriff auf ein System ermöglicht. 9

10 2.7 RATs Beim Remote Access Tool handelt sich weniger um ein Angriffs-Tool, als um ein sehr nützliches Programm. RATs werden von Administratoren zur Fernwartung eingesetzt. Wenn ein Angreifer aber ein RAT auf dem Rechner des Opfers einschleust und diesen noch durch ein Rootkit tarnt, erreicht er die volle Kontrolle über das Angriffsziel. Laut Kraft ist ein RAT ähnlich wie ein Trojaner und die Unterscheidung eher philosophischer Natur [Kw10 S.348] und ein Trojaner mit einem RAT an Board gehört zu der Königsklasse [Kw10 S.348] des Hackens. 2.8 Social Engineering Der Begriff Social Engineering greift an einer der stark verwundbaren Stellen eines Systems an: Dem User. Zweck ist in erster Linie das Ermitteln personenspezifischer Daten. Dies kann von Hinweisen auf die Zugriffsdaten bis hin zu Passwörtern und Logins reichen. Phishing ist eine der Methoden, die sich anbieten. Hierzu wird dem Opfer eine legitim wirkende seines ISP 24 geschickt, dem Vorwand, sich auf der Seite des ISP einzuloggen. Die URL dazu leitet ihn allerdings auf eine gefälschte Seite, die seine Daten an den Angreifer weiterleitet. Durch einen Whois-Service 25 im Netz oder mit Hilfe des Impressums des anzugreifenden Servers, ist schnell eine Kontaktadresse gefunden. Dies gilt sowohl für das Opfer wie auch für den ISP, der eventuell seinen Webserver hostet. Selbst wenn das Angriffsziel, also der Webserver, nicht bei dem ISP direkt gehostet wird, besteht noch die Möglichkeit, Rückschlüsse auf eventuelle Passwörter zu ziehen oder das dort verwendete Passwort direkt zu bekommen. 2.9 DoS-Angriff und SQL-Injektion Auf diese beiden Angriffsmöglichkeiten wird die Ausarbeitung in den Kapiteln 3 und 4 genauer eingehen. 24 ISP: Internet Service Provider. Der Anbieter einer Internetverbindung oder diverser Dienste wie Mail- oder Webhosting. 25 Whois-Service: Ein Service, das sich auf einigen Webseiten von ISPs oder Drittanbietern befindet, und Auskunft über Domaindaten gibt. 10

11 3. Denial of Service Laut Kraft et al. gehören die DoS- bzw. die DDoS-Attacke zu den wirkungsvollsten Webattacken überhaupt [KW01 S. 219] Der DoS-Angriff bezeichnet im Folgenden die Grundform einer Denial-of-Service Attacke. Das bedeutet das Richten zahlloser Anfragen an einen Server. Ziel ist es, das Opfer oder seine Peripherie mit der Abarbeitung der einzelnen Anfragen so zu überlasten, dass er sich um keine anderen anfallenden Aufgaben mehr kümmern kann. Der Begriff DoS bezeichnet das nicht zur Verfügung stehen eines Services. Dies kann direkt oder indirekt durch einen Angriff verursacht sein, im schlimmsten Fall tritt selbst durch die Gegenmaßnahmen ein DoS-Effekt auf. Das heißt, dass der Server für den Anwender nicht mehr erreichbar ist oder im schlimmsten Fall ganz ausfällt. Somit wird der Server im laufenden Betrieb gestört oder die Dienstleistung eines Services ganz verhindert auf Englisch: Denial of Service. 3.1 Die Geschichte der Denial of Service Attacke Früher war das oft das Vorgehen kleinerer Hackergruppierungen untereinander, die auf diese Art Streitigkeiten ausgetragen haben. Ziel war hier oft das Lahmlegen oder Übernehmen eines IRC-Channels oder der Homepage, der angegriffenen Gruppe. Heute werden auf diese Art auch politisch motivierte Angriffe ausgeführt. Einerseits ist von Hacktivism 26, andererseits vom Cyber-Terrorismus die Rede. Diese Begriffe sind aber beide schwer zu definieren und gehen nahtlos ineinander über. Hier liegt die genaue Definition im Auge des Betrachters. 3.2 Ziele Der Hauptgrund einer DoS Attacke besteht, wie der Name schon sagt, im Unterbinden einer Dienstleistung, durch das Ausreizen der vorhandenen Ressourcen. Ein weiterer Grund besteht im gezielten Erzwingen eines Neustarts. Der Angreifer wird dann versuchen eine Sicherheitslücke im Bootvorgang zu missbrauchen um an Root- Rechte auf dem angegriffenen System zu kommen. Damit übernimmt er die Kontrolle und kann den Server für seine eigenen Zwecke manipulieren. Das heißt zum Beispiel, den Server als Agent für den Angriff auf ein besser gesichertes System zu missbrauchen. 26 Hacktivism: Ein Kofferwort. Aus den Worten hacking und activism (engl. Aktivismus). Hacker mit politischen Motiven. Allerdings ist hier die Grenze zum Cyber-Terrorismus fließend. 11

12 3.3 Grundlagen einer DoS Attacke Wie bereits erwähnt, besteht eine Denial-of-Service Attacke aus dem Richten zahlloser einfacher Anfragen an ein anderes System im Internet. Dies kann zum Beispiel schon ein einfacher Ping Befehl sein. Das wird als Ping Flood bezeichnet. Öffnen wir im Windows nun die CMD-Konsole, so richten wir mit dem Befehl > Ping eine einfache ICMP 27 -Anfrage an das mit der IP adressierte System, in Form von 4 Paketen mit jeweils 32 Bytes an Daten. Viele Arten der DoS Attacken greifen auf dieses Grundprinzip zu. Jedoch mit der vielfachen Menge an Paketen mit einer wesentlich höheren Größe. Laut Mirkovic ist das Feld der Denial-of-Service Attacken groß und wird in Zukunft immer beliebter werden. (Vgl. [Mddrr05 S.22]). Im Folgenden werden einige davon behandelt. 3.4 Die DDoS Attacke Bei der sogenannten DDoS Attacke handelt es sich, nach Diettrich et al., um die Ausführung einer gut vorbereitet Form eines Denial-of-Service Angriffs (Vgl. [Mddr05]). Hierbei steuert der Angreifer ein sogenanntes Botnetz (. 1.1 Botnetz). Ein solches Botnetz besteht aus mehreren Rechnern, die den Angriff ausführen. Das sind sogenannte Bots oder auch Zombies 28. Des weiteren besteht es aus Mastern 29, die die Aktionen der einzelnen Zombies zu einem koordinierten Angriff bündeln. Der Angreifer verbirgt sich im Hintergrund. Dieser lässt oft nur durch einen einfachen Telnet Befehl den Mastern einen Auftrag zukommen. So wird meist mit einer SYN-Flood ein (oder mehrere) Ziel(e) angegriffen. Je nach Architektur des Opfers wird hier entweder die Leitung blockiert, oder der Server selbst geht in die Knie je nachdem was zuerst passiert. Unter DDoS Angriffen stehende Server sind oft für Stunden oder über Tage hinweg nicht erreichbar. Hinter ihnen steckt akribische Feinarbeit. Sämtliche hier genannten Angriffsmöglichkeiten finden dabei Anwendung. Denn die einzelnen Rechner müssen erst gefunden und kompromittiert werden. Dann muss der Angreifer die passenden Tools installieren um den Mastern die Administrierung der Zombies zu ermöglichen oder die Tools selber auf den infizierten Systemen mit Rootkit Technologie zu tarnen. 27 ICMP: Das Internet Contrrol Message Protokoll. Dient zum Austausch von Meldungen und Anfragen. 28 Zombie: Unter der Kontrolle eines Hackers stehender Rechner und Teil eines Botnetzes. Findet direkt Verwendung als Angriffswerkzeug. 29 Master: Steht wie der Zombie unter der Kontrolle eines Hackers. Wird aber zur Verwaltung vieler Zombies genutzt. 12

13 Abbildung 2: Beschreibung der Abbildung 3.5 Angriffstypen Bei den DoS-Attacken gibt es eine große Auswahl an Angriffsszenarien. Einem Angreifer sind dabei praktisch keine Grenzen gesetzt. Welche Methoden bzw. Angriffmuster sich dazu anbieten, wird im Folgenden erörtert. Verschiedene Arten von Angriffen lassen sich sogar mischen, um einen Angriff noch effektiver zu machen. Sofern diese sich nicht auf das bloße Auslasten der Bandbreite beziehen, denn die des Angreifers ist dabei auch schnell erschöpft ICMP-Flood Eine ICMP-Flood beschreibt den Angriff per ICMP-Echo. Die Ping-Flood ist das Beispiel einer ICMP-Flood. Das Programm Ping wird mit den Daten des Opfers ausgeführt. Dabei werden ICMP-Echo Anfragen an das Opfer gerichtet, das mit einem ICMP-Echo-Reply antwortet. Bewertung: Sinn dieser Attacke ist es, die Bandbreite des Angriffsziels zu erschöpfen. Sie ist also nur möglich, wenn der Angreifer eine größere zur Verfügung hat, als das Angriffsziel UDP-Flood Die UDP-Flood ist der ICMP-Flood sehr ähnlich. Nur verwendet sie das User Datagramm Protokoll. Bei dieser Attacke werden UDP-Pakete an zufällige Ports des Ziels geschickt. Dieses antwortet auf jeden offenen Port mit einem ICMP-Echo-Reply. 13

14 Bewertung: Ziel ist es hier einfach, das Angriffsziel mit der Menge der zu generierenden Replys zu überfordern SYN-Flood: Eine SYN-Flood nutzt das Anfrage-Antwort-Bestätigung-Prinzip des TCP/IP Protokolls aus (Kapitel 2.1.1). Im Falle eines Angriffs verschickt der Angreifer statt des vom Zielrechner erwarteten ACK-Pakets abermals ein SYN-Paket, um einen neue Verbindung zu öffnen. Dies geschieht nach zwei Methoden, entweder mit - oder ohne gespooften IP (Abb. 3: SYN-Flood mit gespoofter IP). Für jedes eingehende Paket mit einer SYN-Flag reserviert der Zielrechner weitere Ressourcen, um den Verbindungsaufbau zum Angreifer zu gewährleisten. Abb. 3: SYN-Flood mit gespoofter IP Ist die IP Adresse gespooft, so kann es sein, dass der wahre Besitzer dieser IP auf das fehlgeleitete SYN-ACK-Paket mit einem Paket das mit RST-geflaggt ist, antwortet. Handelt es sich dabei um einen Windowsrechner oder ist die IP schlicht nicht vorhanden, wird die SYN-ACK-Antwort des Opfers aber nie bestätigt und die Ressourcen bleiben, bis zum Eintreffen eines RST-Pakets oder bis zum Timeout 30, reserviert. Bewertung: Aufgrund des Aufbaus des TCP/IP Protokolls ist dieser Angriff schwer zurückzuverfolgen, solange dieser nicht auf frischer Tat erwischt wird. Damit eine IP Adresse ohne weitere Tools geloggt wird, muss es zu einer Verbindung kommen (durch den abgeschlossenen Handshake). Geschieht dies nicht, bleibt die IP des Angreifers im Verborgenen. Des weiteren ist die Attacke schwer von normalem Datenverkehr zu unterscheiden, da bei Webservern standardmäßig eine große Menge an SYN-Paketen für die eingehenden Verbindungen erwartet wird. 30 Timeout: Engl. für Zeitüberschreitung. Festgelegte Zeitspanne, die ein Vorgang beanspruchen darf. 14

15 Der Vorteil bei dieser Attacke liegt in der Asymmetrie zwischen Angreifer und Opfer. Der Angreifer verwendet minimale Ressourcen um SYN-Pakete zu generieren. Das Angriffsziel hingegen stellt für jedes Paket eine verhältnismäßig große Menge an Speicher und CPU Zeit für die offenen Anfragen bereit. Solange bis keine Slots 31 mehr zur Verfügung stehen. Eine Lösung wäre zum Beispiel das Sperren der IP des Angreifers, was nur im Falle eines nicht gespooften Angriffs möglich ist. Es gibt außerdem noch weitere Ansätze, wie das SYN-Cookie oder eine Symetrierung des Angriffs durch ein Puzzle, welches das System des Angreifers lösen und beantworten muss, bevor die Ressourcen beim Opfer bereit gestellt werden (vgl. [Mddr05 S.114]). Von einem einzelnen Angreifer ausgehend stellt sie für Webserver jedoch selten eine ernste Gefahr dar: Viele Webserver rechnen mit Tausenden von Verbindungen und haben daher große Mengen an Ressourcen, auf die sie zugreifen können. Eine verteilte Version des Angriffs ist laut Kraft et al. momentan nach wie vor gefährlich Verstärkende Angriffe Laut Erickson ist der verstärke Angriff eine clevere Möglichkeit, eine Ping Flood durchzuführen (vgl. [Je09 S.280]). Das Prinzip ist das Verwenden der Broadcastfunktion 32, die viele Router bieten. Hierbei wird ein Echo-Paket an diese Adresse mit der IP des Opfers als Sender geschickt. Der Router sendet an alle Systeme im Netz dieses Echo als Broadcast weiter. Diese reagieren mit einem Echo-Reply an das Opfer. So kann mit relativ wenig Aufwand viel Datenverkehr beim Opfer ankommen. Hiervon ist allerdings die Größe des Netzwerkes abhängig. Eine Form der Verstärkung ist die Smurf Attacke. Das ist das Versenden einer fehlerhaften Anfrage mit der IP des Opfers als Absender an sämtliche Router in einem vorgegeben Netzwerk. Dieser Bereich kann ganze IP-Ranges umfassen. Sendet der Angreifer gefälschte DNS Anfragen an viele Router, antworten diese an die IP des Opfers. So soll er durch die schiere Masse der antwortenden Rechner überlastet werden (vgl. [Mddr05 S. 51]) Bewertung: Sie eignet sich besonders für lokale Netzwerke. In dem DNS Beispiel kann sie allerdings auch gegen schwächere Server gerichtet werden. Der große Vorteil einer solchen Attacke ist, dass die IP Adressen der für den Angriff verwendeten Router schwer zu filtern sind. Werden diese gesperrt, so können DNS-Anfragen nicht mehr behandelt werden (die Antwort wird ja gefiltert) und so werden Pakete von diesen Routern einfach ignoriert und deshalb tritt der zu verhindern versuchte Denial-of-Service Effekt trotzdem ein. 31 Slot: Hier, die Menge der zulässigen Verbindungen, die ein Rechner aufbauen darf. 32 Broadcastfunktion: Ein Broadcast versendet eine Rundmail an alle Rechner in einem Netzwerk. 15

16 3.5.5 HTTP-Get Ein HTTP-Get-Angriff ist schwer aufzuspüren. Beim HTTP-Get Angriff werden unzählige legitime HTTP-Get Anfragen an einen Server gerichtet. Da er eine Anwendung auf einem Server angreift, gehört er zu den Angriffen auf Schwachstellen. (Kapitel 3.3.x) Bewertung: Der HTTP-Get Angriff ist schwer zu unterbinden. Die Attacke sieht auf einem Webserver aus wie legitimer Datenverkehr. Der Angriff ist auch nur durch eine Erhöhung des normalen Traffic Spiegels erkennbar, und aufgrund von Flashcrowds 33 auch nicht leicht als solcher zu erkennen. Durch eine Filterregel lässt er sich nicht erkennen, da sich die gespooften IP Adressen nicht von legitimen Usern unterscheiden lassen. Bei einer heuristischen Suche lassen sich einige Pakete filtern. Dazu muss aber vor dem Angriff der normale Traffic analysiert werden, um Abweichungen festzustellen. Dadurch lässt sich der Angriff aber höchstens abschwächen. Die heute häufig verwendeten Captchas 34 können auch verhindern, dass solche automatisiertes Angriffe auf rechenintensive Funktionen zugreifen Weitere Floods Es gibt noch weitere Möglichkeiten, einen Flood Angriff auf ein Ziel auszuführen. So gibt es beispielsweise noch die Targa- bzw. die Wonk-Flood. Bei der Wonk-Flood handelt es sich um 1 SYN-Paket gefolgt von 1023 ACK-Paketen. Bei einer Targa-Flood werden an zufällige Ports, zufällige Pakete mit zufälligen Offsets von zufälligen gespooften IPs gesendet (Vgl. [Mddr05 S.89]). Bewertung: Bei den Targa- und Wonk-Floods handelt es sich in erster Linie um Funktionen, die die beiden Würmer Agobot und Phatbot bieten. (Siehe Kapitel 2.5) Angriff auf Schwachstellen Bei einem Angriff auf Schwachstellen reichen oft schon geringe Mengen an Daten, um einen DoS-Effekt zu erreichen. Hier wird nicht auf großes Datenvolumen gesetzt um den Server außer Gefecht zu setzen, sondern die Fehler und Schwachstellen in der Software sowie Anwendungen von Drittanbietern, werden ausgenutzt. 33 Flashcrowd: Wenn eine Webseite mehr Besucher hat als gewöhnlich. Dies kann zur Überlastung der Seite führen und damit zu einem DoS-Effekt. 34 Captcha: Umgekehrter Turing-Test. Es soll festgestellt werden, ob der Benutzer eine Person ist. 16

17 Bewertung: Ein einzelnes fehlerhaftes Paket an ein Programm kann das Programm oder das ganze System zum Absturz bringen. Um Abhilfe zu schaffen, muss das Opfer warten bis ein neues Update veröffentlicht wird, das die Schachstelle behebt. Bis dahin bleibt nur das Abschalten des Programms (und damit der Dienstleistung) oder das Erdulden der Angriffe. In diesem Fall muss der Administrator abwägen, welche der beiden Optionen wirtschaftlicher ist. (Vgl. [Mddr05 S. 84/85]) 3.6 Botnetz Aufbau eines Botnetzes: Beim Aufbau eines Botnetzes werden meist mit Hilfe von Würmern Systeme übernommen. Dabei kann jeder Rechner betroffen sein, welcher an das Internet angeschlossen ist und der die bei der Attacke verwendete Sicherheitslücke aufweist. In der Regel ist den einzelnen Benutzern nicht bewusst, dass ihr System kompromittiert wurde. Um den Server wirklich lahm zu legen braucht der Angreifer eine entsprechend große Menge an Zombies für den Angriff. Hierzu muss er genug Systeme finden, die er mit Hilfe von gegebenen Schwachstellen rekrutieren kann. Früher war dies penible Kleinstarbeit. Heute in Zeiten von Botnetzen die und mehr Rechner umspannen können, werden dazu automatisierte Tools verwendet (vgl. [Mddr05 S.69 & S.62]). Diese Tools scannen IP-Bereiche, in denen sie verwundbare Rechner aufspüren und diese dann kompromittieren. Beispiel: Ein Wurm bricht auf ein beim Scannen gefundenes System ein. Dabei verwendet er eine Sicherheitslücke in einem Windows Service. Er fängt dann an, weitere Malware von einem Server nachzuladen. Diese erfüllt unterschiedliche Funktionen. Zum Beispiel ein Rootkit, um das Vorhandensein des Wurms zu tarnen und ein Programm, das auf einem vorgegebenem Port nach Befehlen lauscht. Dieses Softwarepaket macht das infizierte System zu einem Bot. Ist dieser Vorgang beendet, setzt der neue Zombie ein Paket an seinen Besitzer ab mit dem Inhalt: Hier bin ich und der Wurm verbreitet sich weiter. 4. SQL-Injektion Das Grundprinzip einer SQL-Injektion ist das Einschleusen eines SQL-Befehls in ein mehrschichtiges System. Hierbei wird eine beliebige SQL Datenbank im Backend 35 über die Eingabemaske, beispielsweise eine PHP Frontend 36, manipuliert. 35 Frontend: Den Teil eines Servers, den der Benutzer zu Gesicht bekommt. Zum Beispiel ein PHP- Formular. 36 Backend: Bekommt der User nicht zu Gesicht. Tabellen einer Datenbanken o.ä. 17

18 4.1 Ziele Es gibt viele Methoden, eine SQL-Injektion zu nutzen. Hier führen viele Wege zum Ziel, denn mit einer geschickt gewählten Injektion kann der Server beliebig manipuliert werden: unberechtigter Zugriff Authentifizierung umgehen Datenbank manipulieren Zugriff auf das System So lässt sich zum Beispiel die Datenbank oder Teile dieser löschen (vgl. [Fr06] S.535), mit Befehlen wie: DROP Table 'X' //wobei x für den Namen einer Tabelle steht Selbst wenn das Login vor dem Einschleusen von SQL-Befehlen sicher ist, besteht immer noch die Hoffnung, dass andere Anwendungen auf der Seite auf die selbe Datenbank zugreifen, in denen auch die Benutzerdaten liegen. Der Angreifer kann dann selbst in die URL oder Such-Leiste SQL-Befehle einschmuggeln. So lässt sich auch ohne administrative Rechte die eigene User Klasse ändern, Tabellen auslesen oder die ganze Datenbank löschen. 4.2 Grundlagen einer SQL-Injektion Im Folgenden wird anhand eines Beispiels von N. Jovanovic et al. Erklärt, wie eine SQL-Injektion anhand eines Beispielcodes (vgl. [JKK10 S.865]) aussehen kann und durch ein schlecht gesicherten Login tatsächlich funktioniert. mysql_query("select * FROM users WHERE name= $_GET[name] AND pw= $_GET[pw] "); Wenn nun ein Benutzer in der Maske seinen Benutzernamen und sein Passwort eingibt, gleicht der Query die Daten mit seiner Datenbank ab. Findet er einen Usernamen zusammen mit korrektem Passwort, gibt der Query TRUE zurück und dem User wird Zugriff gewährt. Stimmt beides nicht überein, wird der Wert als FALSE zurückgegeben. Sind die Felder nicht typisiert oder gegen die Eingabe von Maskierungszeichen geschützt, so kann der Angreifer in der Maske einen SQL-Befehl eingeben um das Ergebnis zu manipulieren. In diesem Beispiel fehlen sämtliche Sicherheitsvorkehrungen. name: Admin pw: Admin 18

19 Hier übergibt die Maske als Benutzernamen den Wert 'Admin' und als Passwort den Wert 'Admin'. In diesem fiktiven Beispiel ist zwar der User Admin vorhanden, aber das Passwort ist falsch. Damit gibt der Query ein FALSE zurück und der Zugriff wird verweigert. Der Angreifer kann dieses Prinzip überlisten, indem er sicher geht, dass die Datenbank als User den Admin übergibt. Hier ein Beispiel: name: Admin pw: ' OR name='admin' Der Query interpretiert nicht, ob der Wert, den er als Passwort bekommen hat, dem seiner Datenbank entspricht, sondern er behandelt ihn tatsächlich als Anweisung. $query = "SELECT * FROM users WHERE name='admin' AND pw= OR name= admin'" Der Query vergleicht den Usernamen mit 'Admin' (FALSE) UND, ob das Passwort leer ist (FALSE) ODER, ob es den User Admin in der Datenbank gibt (TRUE). Durch das hineingeschmuggelte OR gibt der Query als User den 'Admin' zurück und der Server gewährt dem Angreifer administrative Rechte. 4.3 Angriffstypen Das oben genannte Beispiel lässt sich so und in vielen ähnlichen Variationen noch heute anwenden. Aber es gibt noch viel mehr Möglichkeiten eine SQL-Injektion durchzuführen Bedingungen ersetzen Hier wird zwischen dem Ersetzen von Hauptbedingungen und Nebenbedingungen unterschieden. Im obigen Beispiel wurde eine Hauptbedingung ersetzt. Dazu können auch Nebenbedingungen ersetzt werden. Dies dient dazu, den Rückgabewert eines Queries zu den eigenen Gunsten zu verändern Bedingungen ergänzen Neben der Möglichkeit zum Umgehen der Authentifizierung, lässt sich der Query noch um ein UNION SELECT erweitern. Durch den UNION Aufruf lassen sich zusätzliche SELECT Bedingungen einschleusen. So kann sich der Angreifer ganze Tabellen ausgeben lassen. SELECT * FROM Directory WHERE LastName LIKE frank OR 1=1 UNION SELECT user, password FROM mysql.user WHERE q = q OR " In diesem Beispielcode [Fs06 S.534] wird mit Hilfe des UNION-Befehls die komplette Benutzerdatenbank inklusive Passwörtern ausgegeben. 19

20 4.3.3 Batch Query Kein Angriff per se. Allerdings bieten einige Datenbanken die Möglichkeit, mehrere Queries in einer Transaktion zusammen zu fassen. Damit kann der Angreifer nicht nur den vorhandenen Query manipulieren, sondern auch neue Queries einschleusen, die mit einem Semikolon getrennt sind. Im Folgenden wurde ein UPDATE Eintrag hinzugefügt. SELECT * FROM Directory WHERE Last_Name LIKE ; UPDATE Directory SET Phone= WHERE First_Name= Frank ; [Fs06 S.535] 5. Fazit: Angriff ist (nicht) die beste Verteidigung Die Möglichkeiten für Angriffe auf einen Webserver sind zahlreich. Jede davon hat ihre eigene Charakteristik, Vor- und Nachteile. Die Ausarbeitung soll zur Sensibilisierung beitragen, wie gefährdet wir bzw. unsere Rechner eigentlich im Netz sind. Auch die Vergangenheit hat gezeigt, dass selbst Firmen mit großen finanziellen Möglichkeiten nicht vor findigen Hackern geschützt sind. Was soll da schon der einzelne Heimuser oder Webserverbesitzer ausrichten? Ein Sprichwort besagt: Angriff ist die beste Verteidigung. Das trifft jedoch in der Mehrzahl der Angriffsszenarien nicht zu. In erster Linie ist durch das IP Spoofing nicht klar, ob die IP des mutmaßlichen - auch die des tatsächlichen Angreifers ist. Hinzu kommt noch die Verteilung der einzelnen angreifenden Systeme bei einer Distributed Denial-of-Service Attacke, von denen die Angreifer sich nicht mal bewusst sind, dass sie als solche agieren. Der eigentliche Angreifer versteckt sich ohnehin hinter seinen Mastern und ihren Zombies. Auch die Tarnung der eigentlichen Angriffe wird aufgrund der immer komplexeren Systeme immer raffinierter. Aufgrund dessen sind Gegenmaßnahmen nur schwer - oder gar nicht zu realisieren. Zumindest nicht mit dem heutigen Stand der Technik. Dem Administrator bleibt nur eine gewisse Sensibilität und Grundwissen für den sicheren Umgang mit seiner Hard- und Software zu entwickeln. Stichwort dabei ist die Prävention. Er sollte das System und die dort betriebene Software immer auf dem aktuellsten Stand halten. Auch auf eine einfache Firewall sollte dabei nie verzichtet werden. So werden die meisten Sicherheitslücken geschlossen und für den Angreifer wird die geringst-mögliche Angriffsfläche geboten. Gegen 0-Day Exploits oder auf Brute-Force basierte Denial-of- Service Angriffe hilft das zwar nicht, aber die meisten geläufigen Schwachstellen können so nicht mehr missbraucht werden. 20

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Intelligence Gathering

Intelligence Gathering Intelligence Gathering Max, Johannes Team 1 20.04.2015 Outline 1. Motivation 2. Typen der Informationsbeschaffung 3. Technische Systeme 4. Personen / Firmen 5. Gegenmaßnahmen Motivation Überblick über

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen ELIT2012: Security Security: Potentielle Gefahren und Gegenmaßnahmen Gefahrenquellen Brute-Force-Logins Scans Exploits Malware: Viren, Würmer, Trojaner Website-Hijacking DOS, DDOS Gefahrenquellen Internet

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB ProSecure Sales Training 4/6 Vielseitige Verteidigung des SMB Vielseitige Verteidigung Firewall / Verbindungs-Screening (Hacking, Angreifer, DoS-Attacken ) Virus- / Malware-Scanning (Vermischte Gefahren,

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Gefahren und Lästiges aus dem Internet

Gefahren und Lästiges aus dem Internet couniq consulting GmbH Internet & E-Business Gefahren und Lästiges aus dem Internet Referat Kiwanis Club Belp-Gürbetal 20. Juli 2004 Patrik Riesen 1 Wurm Mydoom bricht Rekorde: 38,5 Milliarden Dollar Schaden?

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

(Distributed) Denial of Service

(Distributed) Denial of Service December 9, 2016 Inhaltsverzeichnis 1 Die Ereignisse im Überblick 2 Definition Techniken 3 Mirai Botnet Mirai Botnet II Besonderheiten IOT 4 Opfer Täter 5 Die Ereignisse im Überblick In den letzten Wochen

Mehr

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen Hacker unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen physikalischer Zugang möglich im LAN des Opfers außerhalb physikalischer Zugang wie kriegt man den? Diebstahl

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey Kurzanleitung RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal - 2 - Vorwort zu dieser Anleitung SysCP ist eine freie und kostenlose Software zur Administration von Webservern.

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains.

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains. Wie bereite ich SmartLaw für die Online-Arbeit Damit Sie SmartLaw aus dem Internet und nicht nur lokal nutzen können muss gewährleistet werden, dass der Datenbankserver vom Internet aus zu erreichen ist.

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen Einführung in die Informationstechnik VII Handyviren Anonym im Netz surfen 2 Handyschadsoftware erster Handyvirus: 2004 für SymbianOS: Cabir Verbreitung über Bluetooth Ab Herbst 2004 Trojaner Mosquit.a:

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Rechnernetze Praktikum Versuch 2: MySQL und VPN

Rechnernetze Praktikum Versuch 2: MySQL und VPN Rechnernetze Praktikum Versuch 2: MySQL und VPN Ziel Absicherung einer MySQL Verbindung mittels VPN Vorbereitung Warum muss eine MySQL Verbindung gesichert werden? Was versteht man unter MySQL Injektion?

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Client/Server-Systeme

Client/Server-Systeme Frühjahrsemester 2011 CS104 Programmieren II / CS108 Programmier-Projekt Java-Projekt Kapitel 3: /Server-Architekturen H. Schuldt /Server-Systeme Ein zweischichtiges /Server-System ist die einfachste Variante

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

SQL-Injection. Seite 1 / 16

SQL-Injection. Seite 1 / 16 SQL-Injection Seite 1 / 16 Allgemein: SQL (Structured Query Language) Datenbanksprache zur Definition von Datenstrukturen in Datenbanken Bearbeiten und Abfragen von Datensätzen Definition: SQL-Injection

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

Proxy-Server Christoph Taborsky

Proxy-Server Christoph Taborsky Proxy-Server Christoph Taborsky 30.04.2010 Inhaltsverzeichnis Was ist ein Proxy-Server?... 3 Unterschied zu NAT... 3 Sichtbarkeit der Proxys... 3 Konventioneller Proxy... 3 Transparenter Proxy... 3 Standort

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

AXIGEN Mail Server. E-Mails per Smarthost versenden E-Mails per Pop3 empfangen. Produkt Version: 6.1.1 Dokument Version: 1.2

AXIGEN Mail Server. E-Mails per Smarthost versenden E-Mails per Pop3 empfangen. Produkt Version: 6.1.1 Dokument Version: 1.2 AXIGEN Mail Server E-Mails per Smarthost versenden E-Mails per Pop3 empfangen Produkt Version: 6.1.1 Dokument Version: 1.2 Letztes Update: 23.September 2008 Kapitel 1: Instruktionen Willkommen Was zeigt

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Computersicherheit im Informationszeitalter. 15.12.2014 / Seth Buchli

Computersicherheit im Informationszeitalter. 15.12.2014 / Seth Buchli Computersicherheit im Informationszeitalter 15.12.2014 / Seth Buchli Inhalt Computersicherheit... 3 Wireless Sicherheit... 3 Sichere Passwörter erzeugen und merken... 4 Auskünfte am Telefon... 4 Post Werbegeschenke...

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

SMS versenden mit ewon über Mail Gateway Am Beispiel von dem Freemail Anbieter GMX wird diese Applikation erklärt

SMS versenden mit ewon über Mail Gateway Am Beispiel von dem Freemail Anbieter GMX wird diese Applikation erklärt ewon - Technical Note Nr. 014 Version 1.2 SMS versenden mit ewon über Mail Gateway Am Beispiel von dem Freemail Anbieter GMX wird diese Applikation erklärt Übersicht 1. Thema 2. Benötigte Komponenten 3.

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Hacker Hackerprofile in amerikanischer Terminologie

Hacker Hackerprofile in amerikanischer Terminologie Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Georges

Mehr

Installation KVV Webservices

Installation KVV Webservices Installation KVV Webservices Voraussetzung: KVV SQL-Version ist installiert und konfiguriert. Eine Beschreibung dazu finden Sie unter http://www.assekura.info/kvv-sql-installation.pdf Seite 1 von 20 Inhaltsverzeichnis

Mehr

ewon über dynamische Adresszuweisung erreichbar machen

ewon über dynamische Adresszuweisung erreichbar machen ewon - Technical Note Nr. 013 Version 1.3 ewon über dynamische Adresszuweisung erreichbar machen Übersicht 1. Thema 2. Benötigte Komponenten 3. ewon Konfiguration 3.1 ewon IP Adresse einstellen 3.2 ewon

Mehr

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant Die Kunst des Krieges Parallelen zu Cybercrime Michael Simon, Security Consultant Die größte Verwundbarkeit ist die Unwissenheit. Quelle: Sun Tzu, Die Kunst des Krieges 2 Agenda Kenne Dich selbst Schwachstelle,

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

IT - Sicherheit und Firewalls

IT - Sicherheit und Firewalls IT - Sicherheit und Firewalls C. Lenz, B. Schenner, R. Weiglmaier 24. Jänner 2003 IT-Sicherheit & Firewalls C. Lenz, B. Schenner, R. Weiglmaier Seite 1 TEIL 1 o Grundlegendes o Cookies o Web-Log o Spoofing

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Informatives zur CAS genesisworld-administration

Informatives zur CAS genesisworld-administration Informatives zur CAS genesisworld-administration Inhalt dieser Präsentation Loadbalancing mit CAS genesisworld Der CAS Updateservice Einführung in Version x5 Konfigurationsmöglichkeit Sicherheit / Dienstübersicht

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Inhaltsverzeichnis Abbildungsverzeichnis

Inhaltsverzeichnis Abbildungsverzeichnis Inhaltsverzeichnis Abbildungsverzeichnis... 1 1 Eigener lokaler Webserver... 2 1.1 Download der Installationsdatei... 2 1.2 Installation auf externer Festplatte... 2 1.3 Dienste starten... 5 1.4 Webserver

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

Kapitel 4 Zugriffsbeschränkungen

Kapitel 4 Zugriffsbeschränkungen Kapitel 4 Zugriffsbeschränkungen In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk durch Zugriffsbeschränkungen des 54 MBit/s Wireless Router WGR614 v6 schützen können. Diese Funktionen finden Sie im

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Aufgabe 3 Storm-Worm

Aufgabe 3 Storm-Worm Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Ordner und Laufwerke aus dem Netzwerk einbinden

Ordner und Laufwerke aus dem Netzwerk einbinden Inhaltsverzeichnis 1. Einführung...2 2. Quellcomputer vorbereiten...3 2.1 Netzwerkeinstellungen...3 2.2 Ordner und Laufwerke freigeben...4 2.2.1 Einfache Freigabe...5 2.2.2 Erweiterte Freigabe...6 3. Zugriff

Mehr

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343. Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343. Benutzte Hardware: Router DGL-4100 mit der IP Adresse 192.168.0.1 Rechner mit Betriebssystem Windows Server 2000 und Active

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

FTP Server unter Windows XP einrichten

FTP Server unter Windows XP einrichten Seite 1 von 6 FTP Server unter Windows XP einrichten Es gibt eine Unmenge an komerziellen und Open Source Software die auf dem File Transfer Protocol aufsetze Sicherlich ist das in Windows enthaltene Softwarepaket

Mehr

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird. Der Admin-Bereich im Backend Achtung: Diese Anleitung gibt nur einen groben Überblick über die häufigsten Aufgaben im Backend-Bereich. Sollten Sie sich nicht sicher sein, was genau Sie gerade tun, dann

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

INSTALLATION. Voraussetzungen

INSTALLATION. Voraussetzungen INSTALLATION Voraussetzungen Um Papoo zu installieren brauchen Sie natürlich eine aktuelle Papoo Version die Sie sich auf der Seite http://www.papoo.de herunterladen können. Papoo ist ein webbasiertes

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Was ist Sicherheit - das Vokabular Angriff und Verteidigung Zugriff verweigert - drei A s Lücken und Löcher - man kommt doch rein Lauschangriff und Verschluesselung DoS - nichts

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

telpho10 Update 2.1.6

telpho10 Update 2.1.6 telpho10 Update 2.1.6 Datum: 31.03.2011 NEUERUNGEN... 2 STANDORTANZEIGE GESPERRTER IP ADRESSEN... 2 NEUE SEITE SYSTEM STATUS IN DER ADMINISTRATOR WEB-GUI... 2 NEUE SEITE SNOM FIRMWARE IN DER ADMINISTRATOR

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck W-LAN einrichten Access Point Konfiguration Diese Anleitung gilt für den Linksys WAP54G. Übersicht W-LAN einrichten... 1 Access Point Konfiguration... 1 Übersicht... 1 Vorbereitung... 1 Verbindung aufnehmen...

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Einrichtung eines email-postfaches

Einrichtung eines email-postfaches Um eingerichtete E-Mail-Adressen mit Ihrem persönlichen E-Mail-Programm herunterzuladen und lokal verwalten zu können, ist es notwendig, neue E-Mail-Adressen in die Liste der verwalteten Adressen der Programme

Mehr

Rembo/mySHN. Version 2.0 Kurzanleitung. das selbstheilende Netzwerk. Stand: 01.05.2006. my selfhealing network

Rembo/mySHN. Version 2.0 Kurzanleitung. das selbstheilende Netzwerk. Stand: 01.05.2006. my selfhealing network Rembo/mySHN Version 2.0 Kurzanleitung das selbstheilende Netzwerk my selfhealing network Stand: 01.05.2006 Postanschrift: SBE network solutions GmbH Edisonstrasse 21 74076 Heilbronn IV Inhalt Kurzanleitung...i

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben! IMAP EINSTELLUNGEN E Mail Adresse : Art des Mailservers / Protokoll: AllesIhrWunsch@IhreDomain.de IMAP SMTP Server / Postausgangsserver: IhreDomain.de (Port: 25 bzw. 587) IMAP Server / Posteingangsserver:

Mehr