Inhalt. DDoS and other malicious Attacks - Effects on Enterprises Budgets. Aktuelle Bedrohung. Aktuelle Bedrohung. DDoS: Identität der Angreifer

Transkript

1 Inhalt DDoS and other malicious Attacks - Effects on Enterprises Budgets Intro (Lukas Keller) Funktionsweise von Distributed Denial of Service Attacks (DDoS) (Alex Müller) Massnahmen gegen DDoS (Lukas Keller) Mögliche Zukunft (Nicolas Lüscher) 1 2 Aktuelle Bedrohung Aktuelle Bedrohung Umfrage des CSO- Magazine unter 500 US- Unternehmen bezüglich Attacken im % betroffen 43% melden Anstieg 6 % melden weniger Steigende Internetkriminalitätsrate 80% melden Verluste keine Attacke Anstieg gleich Minderung Virus DoS Spam Insiderzugang Pishing Outsiderzugang Betrug Datenklau Umfrage des CSO-Magazines bezüglich Bedrohungsart DoS-Attacken an 2ter Stelle 3 4 DDoS: Identität der Angreifer DDoS and other malicious Attacks Effects on Enterprises Budgets Script Kiddies Selbstjustiz Schutzgelderpressung Konkurrenz Professionalität Wie funktionieren Distributed Denial of Service Attacks? Präsentation Teil 1: Alexander Müller Talk 5: Alexander Müller, Lukas Keller, Nicolas Lüscher 5 6

2 Inhalt: Viren, Würmer, Trojaner & Co. Was sind DDoS-Attacken? Problematik der DoS-Angriffe Resource Consumption Attacks: SYN flood Attacks Resource Consumption Attacks: Amplification Attacks Resource Consumption Attacks: Smurf Attacks Malformed Packet Attacks: Ping of Death Distributed Denial of Service Attacks Literaturverzeichnis Viren, Würmer, Trojaner & Co. Eingesetzte Malware der Hacker: Viren, Würmer, Trojaner, Hoaxes, Angriffsmöglichkeiten der Hacker Scanning: Ausspionieren des Opfers DoS und DDoS Sniffing und/oder Man-in-the-Middle: Abfangen von Informationen zwischen Client und Server Hijacking und/oder Man-in-the-Middle: Beim Verbindungsaufbau zweier Computer wird einer davon ausgeschaltet und dessen Identität übernommen. Physical: Z.B. unbeaufsichtigten Computer für Hackeraktivitäten missbrauchen Back Door/System Bug: Unbekannte Systemfehler für Angriffe ausnutzen Social Engineering: Schriftliche oder verbale Manipulation von Computerbenutzern 7 8 Was sind DDoS-Attacken? DDoS = Distributed Denial of Service Denial of Service Attacken Die Absicht eines DoS-Angreifers ist nicht der Einbruch in ein fremdes Netzwerk bzw. System, sondern die Qualität eines angebotenen Services von einem Server eines Opfers soweit zu reduzieren, dass starke Einbussen wahrgenommen werden oder der Service vollständig zum erliegen kommt. Die primären Varianten von DoS-Attacken: Resource Consumption Attacks Einstufige Angriffe: SYN flood Attacks Zweistufige Angriffe: Amplification Attacks (Beispiel: Smurf-Attack) Malformed Packet Attacks Beispiel: Ping of Death Problematik der DoS-Angriffe: Programme gratis erhältlich Kein Fachwissen nötig (Script Kiddies) Ausnutzen der mangelnden Sicherheitsvorkehrungen von IPv4 Primär keine Gefahr für sensitive und vertrauliche Daten Oft auch als Ablenkungsmanöver genutzt Finanzielle Kosten und Imageverluste sind schwer zu messen 9 10 Resource Consumption Attacks: SYN flood Attacks Angriffsprinzip: Die Reduzierung von vorhandenen Ressourcen (Bandbreite) des Opfers, indem es mit einer riesigen Zahl von Datenpaketen überhäuft wird (flooding). Resource Consumption Attacks: SYN flood Attacks Ablauf eines SYN flood Angriffes: SYN flood Angriffe manipulieren den Verbindungsaufbau des TCP- Protokolls: Im Gegensatz zum UDP-Protokoll ist TCP verbindungsorientiert. Um zwischen Client und Server eine Verbindung herzustellen ist ein 3- Wege-Handshake nötig. 1. Der Client sendet SYN-Paket (Synchronize) an den Server. 2. Der Server sendet ein SYN/ACK (Acknowledgement) an den Client zurück. 3. Der Client sendet ein ACK zum Server. War der Handshake erfolgreich, besteht nun eine TCP Verbindung. 11 Angreifer sendet eine SYN-Paket an den Server des Opfers. Einzige Unterschied: Quelladresse ist gespoofed. Server antwortet auf das gespoofte SYN-Datenpaket und versendet ein SYN/ACK an die nicht existierende Adresse. Es entsteht ein half-open State. Die Queuegrösse mit Verbindungsversuchen beim Server ist beschränkt. Bei zu vielen gespooften SYN- Anfragen resultiert ein Overflow. 12

3 Resource Consumption Attacks: Amplification Attacks Resource Consumption Attacks: Smurf Attacks Angriffsprinzip: Hier wird der Bandbreitenverlust des Opfers mit Hilfe von anderen Netzwerken, welche als Verstärker dienen, erreicht. Beispiel von Amplification Attacks: Smurf-Angriffe Ein Smurf-Angriff macht sich mit Hilfe des Internet Control Message Protocol (ICMP) ein schlecht geschütztes Netzwerk zu nutze, um schlussendlich ein bestimmtes Opfer mit einem Ping-Befehl anzugreifen Malformed Packet Attacks: Ping of Death Angriffsprinzip: Hier ist es das Ziel des Angreifers, den Zielcomputer durch eine unerwartete Anfrage zum Absturz zu bringen, was wiederum zum Ausfallen des Servers und somit des angebotenen Services führt. Beispiel von Malformed Packet Attacks: Ping of Death Ein Ping of Death bringt ein Betriebsystem zum Absturz, indem es ein übergrosses ICMP-Echo an den Zielcomputer sendet. Distributed Denial of Service Attacks: Mehrstufiges Angriffsprinzip: Der Angreifer erobert mehrere Computer im Internet und missbraucht sie, um einen DoS- Angriff von mehreren Hosts aus auf ein Opfer zu starten. Ein DDoS-Angriff beruht auf zwei Phasen: 1. Inspiziere und erobere verschiedene Computer im Internet und installiere dort spezielle Software, damit diese Hosts nachher zum Angriff benutzt werden können. 2. Starte den Angriff über Master-Computer, welche die eroberten Zombies ansteuern. Diese wiederum vollführen jeweils den DoS Angriff auf das Opfer. Schwierig, Quelle des Angriffes ausfindig zu machen: mehrstufiges DDoS-Angriffsprinzip, gespoofte Datenpakete, verschlüsselte Kommunikation unter den PC s Distributed Denial of Service Attacks: Distributed Denial of Service Attacks: Client: Die Kontrollsoftware des Hackers, um den Angriff zu steuern. Der Client leitet die Kommandos an die untergeordneten Hosts weiter. Daemon: Software-Programm, welches auf einem Zombie läuft und die einkommenden Client-Kommandos erhält und dann ausführt. Der Daemon ist schlussendlich der Prozess, welcher den DoS Angriff vollführt. Hosts, welche im DDoS Angriff involviert sind: Master: Auf diesem Computer läuft das Client-Programm Zombie: Untergeordneter Host, auf welchem der Daemon-Prozess läuft Target: Opfer des Angriffes 17 18

4 Inhalt Rückblick DDoS Massnahmenübersicht gegen DDoS Angreifer Angriffserkennungssysteme (IDS) Abwehrstrategien (IRS) Problem Zielgruppen Clients Massnahmendiskussion Opfer 19 Massnahmenübersicht 20 Intrusion Detection Systems (IDS) Signaturerkennung präventiv Attackenprävention -Systemsicherheit -Protokollsicherheit Angriff hinterlässt typische Spuren Muster in Datenbank gespeichert reaktiv DoS-prävention Erkennung (IDS) -ResourceAccounting -Resourcemultiplikation -Signaturerkennung -Anomalitätserkennung Antwort (IRS) -Identifikation -Rate-limiting -Filter -Rekonfiguration Vorteile Installation & Wartungsaufwand gering für bestehende Angriffe Hohe Erkennungsrate von Angriffen aufgrund von verbreiteten Angriffsskripten Nachteile Neue Angriffe werden nicht erkannt Signaturen sind lokal anzupassen. Somit ist Signaturdatenbank beschränkt portierbar 21 IDS (2) 22 Filtern Abweichung von einem erwarteten Normalwert vom Ressourcengebrauch Schwellwert für Meldung Filtert die vom IDS identifizierten Packete Vorteil: exakt identifizierbaren Attackstream wird herausgefiltert Nachteil: fälschlicherweise als maliziös eingestufte Packete werden gefiltert Vorteile Neue Angriffe können entdeckt werden Nachteile Kritische Parametereinstellung: Fehlalarme oder Nichterkennen von Angriffen Z.z. intensive Forschung Intrusion Response Systems (IRS) Anomalitätserkennung 23 Filter 24

5 Problem DDoS Zielgruppen Angreifer operiert über diverse Clients Opfer mit Dateien überschwemmt Endanwender Opfer und Infrastruktur wird bei genügend grossem Angriff in die Knie gezwungen Massnahmen an diversen Stellen notwendig Netzvermittler Serverbetreiber 25 Serverbetreiber Netzvermittler Massnahmen Massnahmen Filtering nicht installierter Protokolle IDS mit dynamischen Filtern Aktuelle Sicherheitspatches installieren Formalisiertes Vorgehen, Reporting Ressourcenmultiplikation IP-Spoofing einschränken Dynamisches Filtering aufgrund von IDS der Serverbetreiber Nutzen Kleinere Netzauslastung und somit kleinere Leitungskosten Nutzen präventiver Schutz 27 Endanwender 28 Restrisiko: Mögliches Opfer kann DDoS-Attacke nicht 100% abwehren Systemsicherheit (Firewalls, Virenschutz) Versicherungsaspekte (?) Nutzen Globaler Ansatz notwendig Schutz vor Malware, höhere Verfügbarkeit Verhinderung Installation von Angriffsclients für DDoS Fazit Massnahmen 26 Länderübergreifende Gesetze Sicherheitsbewusstsein User 29 30

6 Mögliche Entwicklung in der Zukunft Einführung Konsumentenschutz und Gesetze Entwicklung der Hacker-Techniken, Herausforderungen in der Zukunft Computer-Sicherheit: Trends Schlussfolgerungen und Ausblick: finanzielle Konsequenzen für Unternehmen Einführung Schwierigkeit der Zukunftsprognose Erfahrung Beobachtung des Geschehens in der Vergangenheit und der Gegenwart Aus dem Wissen mögliche Schlüsse auf die Zukunft ziehen 31 Konsumentenschutz und Gesetze Entwicklung der Hacker-Techniken Die zunehmende Bedeutung der ernsthaften kommerziellen Nutzung des Internets Abhängigkeit vom Internet steigt Beispiele: Kundendaten, Kreditkarten, GPS, ebanking, evoting Internet als Gesetz-freier Raum Kundenschutz: ohne Gesetze geht es nicht Das Problem der Schnelllebigkeit der Computertechnik Blick in die bisherige Entwicklung ist von zentraler Bedeutung Experten mit sehr grosser Erfahrung nötig 33 Entwicklung der Hacker-Techniken Oberstes Ziel: effiziente Wurm-Verbreitung Intelligente Würmer Modulare, update-fähige Würmer Generierung polymorphen Datenverkehrs Missbrauch von Webcrawlern als Würmer Jumping executable Ziele der Würmer Kompatibilität Tarnung Aktivierung unabhängig vom User Lernfähigkeit Überwachung potentieller Angriffsziele Polymorphes Auftreten Möglichst breite Aktivitätspalette 36

7 Browser-Nutzung Computer-Sicherheit: Trends Philosophien und Visionen: TCPA, Trustworthy computing, Softwarepatente,... Betriebssysteme Browser und andere Internet-Software Quelle: w3schools.com 37 Browser-Nutzung Folgen für Unternehmensbudgets Aktueller Stand der Dinge: jährlicher Report von Ernst & Young Kommende Herausforderungen 39 Report von Ernst & Young 40 Report von Ernst & Young Nur 20% der Befragten sind davon überzeugt, dass ihr Unternehmen der Sicherheit der Informationssysteme höchste Priorität einräumt. Obwohl mangelhafte Vorsicht der PCBenutzer 2004 als Haupt-Hindernis der Schaffung von Sicherheit empfunden wird, sind nur 28% wirklich um entsprechende Lernprogramme und Kurse bemüht. Quelle: Ernst & Young;

8 Report von Ernst & Young Kommende Herausforderungen Weniger als die Hälfte der Unternehmen bieten ihren Angestellten spezielle Sicherheitstrainings. Nur 24% geben ihrer Sicherheitsabteilung die Bestnote. Nur 11% finden, dass staatlich gesteuerte Regulierungen deren Sicherheit sehr nützen bzw. Datenschutzrisiken mindern würden. Gratwanderung: Risiko vs. Vorsorge Fehlendes Fachpersonal Fehlendes Sicherheitsbewusstsein der PC-Benutzer und generell in der Gesellschaft! Status Quo: Sicherheitsmassnahmen müssen ausgebaut werden, aber das ganze darf auf keinen Fall kosten Unbegründete Sorge oder echte Bedrohung der Zukunft? Prevent or Repair? Linux: sicher oder unsicher? Sicherheit oder Sicherheitslöcher 47 48

9 Warum sieht für CEO s die Bedrohungslage folgendermassen aus? Warum sind Hardwarefehler für die meisten Probleme verantwortlich? Attacken & Business: AlexMüller, Nicolas Lüscher, Lukas Keller 49 Attacken & Business: AlexMüller, Nicolas Lüscher, Lukas Keller 50