Literatur. Netzwerke WS 2013/14 - Teil 9/IT-Sicherheit I

Transkript

1 Literatur [9-1] Mitnick, Kevin; Simon, William: Die Kunst der Täuschung. mitp, 2003 [9-2] Grundschutzhandbuch. oder ml [9-3] Pufferüberlauf. grundlagen/tutorials-t html [9-4] Computerwurm. [9-5] Firewall. 2

2 Übersicht Begriff der Sicherheit Cracken von Software Vorgehensmodell Viren Abhören Trojaner/Hintertüren Man in the middle Firewalls 3 Zum Begriff der Sicherheit Sicherheit umfasst die Verlässlichkeit der zu erbringenden Dienstleistung in der gewünschten Qualität Schutz der Daten gegen unbeabsichtigte Änderung aus Versehen, mit Absicht oder aufgrund Mängeln der Technik Zugang zu den Daten nur für die berechtigten Personen auf berechtigte Art und Weise Datenschutz ergänzt Sicherheit noch durch Beschränkungen für Personen mit erlaubten Zugang Beschränkungen der Datenerfassung, Abgleich und Weitergabe Jedoch nur für Daten mit Bezug auf Personen In diesem Teil werden nur Sicherheitsprobleme betrachtet, die durch Menschen hervorgerufen werden. 4

3 Grundbegriffe der IT-Sicherheit Vertraulichkeit: Nur Befugte haben Zugriff auf Daten zur Wahrung der Privatsphäre Integrität: Daten können nur auf beabsichtigte Weise geändert werden Verbindlichkeit: Nachweismöglichkeit erfolgter Kommunikation sowie erfolgreicher Operationen auf Daten Identifizierung: Bestimmung der beteiligten Personen (Identität der Subjekte) Authentifikation: Prüfung der Identität des Subjekts Autorisierung: Zuordnung von Rechten an Subjekte in Bezug auf Objekte Authentizität: Gegenseitig verifizierbare Identität der Subjekte 5 Cracken von Software Bei diesem Cracken von Software geht es darum, den Kopierschutz durch Ändern des Binärcodes oder anderer Maßnahmen unwirksam zu machen, Software zur Feststellung und Generierung von Freigabe-Codes zu erstellen sowie deren Ergebnisse zu verbreiten, d.h. es geht um den Bruch des Copyrights (Urheberrechts). Entsprechendes gilt auch für das "Cracken" von Medien. Beispiele: Spiele Teure Software-Pakete mit Dongles Windows XP - Freigaben im Internet Kopierschutz von DVD-Videos Kopierschutz von Audio-CDROMs 6

4 Cracken des Dongle-Schutzes I Aufgabe: Erstellung einer Software-Kopie, die auch ohne Dongle läuft Siehe z.b. Abbildungen stammen aus: 7 Cracken des Dongle-Schutzes II Die Software wird in einen Interpreter, z.b. bochs, geladen. Es werden Break Points beim Zugriff auf bestimmte Adressbereiche gesetzt: 1. Stellen, an denen auf den Dongle zugegriffen wird 2. Stellen, an denen auf die Software (Punkt 1) zugegriffen wird (um Modifikationen zu erkennen) Das Programm wird gestartet und bedient. Die Zugriffe nach Punkt 1 werden durch NOOPs ersetzt. Die Routinen nach Punkt 2 werden so modifiziert, dass sie immer OK liefern. Die Modifikationen erfolgen in einem Binärcode-Editor. Das Ergebnis wird auf die Platte geschrieben fertig. Alles recht einfach, kostet nur Zeit 8

5 Das waren zwei Beispiele Wenn diese Informationen konkreter gemacht werden, so dass auch technisch ungebildete Menschen dies durchführen können, entstehen Crack-Anleitungen. Wie ist damit umzugehen? Hinweis: Jeder, der die Technik kennt, Manuals lesen kann und viel Zeit hat, kann sich all dies selbst erarbeiten. 10

6 Umgang mit Sicherheitsproblemen Position: Security by obscurity Sicherheit entsteht primär dadurch, dass keine Informationen über Maßnahmen, Algorithmen und Mängel verbreitet werden. Typisch für Geheimdienste und viele Software-Firmen Gegenposition: Sicherheit entsteht primär durch Offenlegung, öffentlicher Prüfung bzw. Kritik Typisch für Open Source Software-Bewegung Da beide Seiten sich gleichzeitig irren und Recht haben, ist wohl der Mittelweg der Beste. 11 Hackersoftware ist "dual use"-software Aus der Geschichte lernen: Ohne das ein Problem zeigendes Programm (exploit) wurde öfter Warnern vor Sicherheitsproblemen nicht geglaubt, z.b. dem Hamburger CCC. Software zum Testen der "Festigkeit" von Sicherheitsmechanismen Software zum Einbrechen Aber: Es gibt Gegenargumente gegen die Verbreitung von Werkzeugen, z.b. SATAN (Security Administrators Tool for Analyzing Networks) oder Nessus Cracken geht aufgrund einfach zu bedienender Werkzeuge auch für Inkompetente Dokumentationen über Sicherheitslücken 12

7 Ein Vorgehensmodell für externe Hacker I Schritt 1: Auskundschaften Suchmaschinen News (Beiträge von Personen) Externe Quellen (Geschäftsberichte, Telefonbuch...) Befragen von ehemaligen Mitarbeitern oder Bekannten Analyse des (sozialen) Umfelds (Social Engineering) Mitarbeiter mit ihren Vorlieben: Analyse deren Web-Sites Befragen von Mitarbeitern, z. B. per Telefon Schritt 2: Analyse des technischen Ziels Scannen der Schnittstellen Analyse der Server samt Betriebssystemen, z. B. Banner-Grabbing oder Fingerprinting Testen von Zugängen, z. B. ISDN, Einwählnummern etc. 13 Ein Vorgehensmodell für externe Hacker II Schritt 3: Angriffe Ausnutzen von Lücken Denial of Service Schritt 4: Übernahme des Systems Installieren von Back doors Modifizieren der Rechte Ersetzen vorhandener Software, z.b. durch Rootkits Löschen aller Spuren 14

8 Von Draußen oder von Drinnen? 2/3 aller ernsthaften Probleme entstehen durch die eigenen Mitarbeiter/innen. Gründe: Rache, "verbrannte Erde" nach Kündigung Demotivation, innere Kündigung Schlamperei, Faulheit Inkompetenz, Fehleinschätzung der Lage Arbeitsüberlastung Fehlende Koordination Viren kommen eher von außen, Einbrüche eher von Innen. 15 Ursachen 1. Qualitätsmängel in der Herstellung der Software Beispiel: Bufferoverflow-Probleme 2. Qualitätsmängel bei der Konzeption 3. Bewusst in Kauf genommene Mängel durch das Management Beispiele: Reduktion des Budgets, Terminverkürzungen 4.Konfigurationsmängel Beispiele: Kein Einfahren von Aktualisierungen, Beibehalten von Standard-Passwörtern, Ausschalten von Sicherheitslösungen, z. B. Virenscanner. Dies alles wäre vermeidbar, wenn es nicht Geld kosten würde... 16

9 Viren Virus = Programmstück, das sich an ein anderes Programm anfügt oder teilweise überschreibt und neben seiner Verbreitung eine Aktion durchführt. Verbreitung Suche nach einem nicht infizierten Programm bzw. geeigneten Ort sowie Anfertigen einer eventuell geänderten Kopie von sich selbst. Aktionen (Payload) in aufsteigender Gefährdung: 1. Jux 2. Zerstörung, z. B. Formatieren von Datenträgern 3. Manipulation von Zugriffssystemen 4. Nachladen aus dem Internet bzw. Mutieren 5. Installation fremder Software 17 Viren - Orte Dokumente mit aktiven Inhalten z. B. Word mit VBA, PDF mit JavaScript, mit JavaScript Bootsektor von Medien, meist Disketten Autostartdateien von Medien, meist CDROMs Ausführbare Programme: Eigenständige Programme, auch versteckt Als Teil einer Mail (z. B. als VBA) Als ausführbarer Teil von Daten (z. B. selbst auspackende-archive) RAM(!) Einträge in der Registry (Windows) helfen vielleicht Viren, als Ort für Viren kommen diese Einträge nicht in Frage. 18

10 Viren - Entfernung Identifizierung mit Mustererkennung (Signaturen) durch Virenscanner Probleme: Aktualität der Signaturbibliotheken Teilweise geht es um Stunden Viren werden meist erst dann entdeckt, wenn sie aktiv wurden "schlafende" Viren sind sehr schwer erkennbar Heuristiken für potentielle Viren sind problematisch. Beim Verbreitungsschritt können Viren ihr Bitmuster variieren (mutieren). Dann sind so viele Signaturen bzw. speziell programmierte Suchroutinen erforderlich wie Mutationen. 19 Port Scanner zur Analyse von Schnittstellen Port Scanner = Prüfprogramm, das meist von Außen den Zugang, d.h. die Reaktion, eines Ports auf der Transportschicht und darüber prüft und einen Bericht darüber erstellt Verfahren: (teilweiser) Aufbau einer TCP-Verbindung und warten auf Antwort: Auswerten der empfangenen Informationen Identifizieren der Dienste: Bestimmung der Version Auswerten der Begrüßungstexte (Banner Grabbing) Darstellung der Ergebnisse und Speichern in einer Datenbank Tarnung: Verteilt von mehreren Systemen Portnummern in zufälliger Reihenfolge Über langen Zeitraum verteilt 20

11 Trojaner und Back doors Trojaner = Programm(teil), das neben einer offensichtlichen eine versteckte Funktion ausführt Back Doors = Server, die nach Außen Dienste anbieten und dies möglichst versteckt tun Varianten in aufsteigender Gefährlichkeit: 1. Ausblenden von verräterischen Informationen z. B. Weglassen von bestimmten Prozessen beim Kommando zum Auflisten von Prozessen 2. Datenmanipulationen von Konfigurationen 3. Inaktivieren von Authentifizierungen 4. Änderungen des Kernels (auch zur Laufzeit) 21 Würmer Würmer = Programme, die von Rechner zu Rechner - auch Plattform übergreifend kopiert werden und auf jedem Rechner eine Aktion ähnlich den von Viren durchführen Würmer können sich eigenständig verbreiten, z.b. über FTP, oder passiv durch die Menschen transportiert werden (Mail). Aktionen: 1. Verbreitung von Viren 2. Manipulation von Konfigurationen 3. Zerstörung von Daten 4. Installation von Hintertüren oder Rootkits Die Idee zum Begriff des Computer-Wurms stammt aus dem SF- Roman "Der Schockwellenreiter" von John Brunner aus dem Jahre 1975: 22

12 Malware, Spyware und Adware Viele der heutigen Viren sind Würmer mit Virenaktionen. Deshalb wird zwischen ihnen nicht differenziert. Malware = Schadprogramme = Zusammenfassung von Trojanern Back Doors Viren Würmer Spyware Spyware = Software, die Daten über die Benutzung des Rechners sammelt und an Dritte übermittelt oder durch Identifizierung diese Sammlung erst ermöglicht Adware = Zusatzprogramme, die Reklame für fremde oder eigene Produkte darstellen meist mit der Lizenz verknüpft Siehe: 23 Root Kit Rootkit = Sammlung von Programmen, die Teile des Betriebssystems ersetzen, um dann einen leichten Zugang von außen zu realisieren Komponenten, die ersetzt werden können: Software, die die Basis darstellt (Systemsoftware) Booter Kernel, Kernel-Module auf der Platte Kernel im Arbeitsspeicher Das gesamte System durch Virtualisierung Siehe dazu: Modifikationen des Kernels: Syscalls open(), read() Listen der Prozesstabellen Siehe dazu: 24

13 Authentifizierung I Passwörter Zufällig, mindestens 8, besser 12 Zeichen lang, Ziffern und Sonderzeichen Keine "normalen" Worte oder Muster auf der Tastatur Mit Merksätzen oder Schreibfehlern arbeiten: Re1nB1ttae oder Mausgrau war das Himmelszeit bei Nacht um 11: MwdHbNu1 Aber auch: Unterlaufen des Schutzes Beispiel: Bildschirmschoner-Kennwörter mit CDROM 25 Authentifizierung II Chipkarten Der Inhaber identifiziert sich durch eine (hoffentlich) fälschungssichere Chipkarte (die er nicht verliert oder verleiht) Vorteil: Sicher Nachteil: teuer Biometrie Fingerabdruck Spracherkennung Augenhintergrund Gesicht Nachteil: teuer, unzuverlässig und Datenschutzprobleme Aber wenn es mal funktioniert, dann die beste Methode 26

14 Social Engineering Social Engineering = Systematisches Auskundschaften des sozialen Umfelds der Organisation oder der Personen, die Zugang zum gewünschten System haben, sowie das Ausnutzen dieser Erkenntnisse Beispiele: Analyse persönlicher Web-Sites mit Hobbies, um Kennwörter herauszufinden Telefonanruf mit plausibler Geschichte, die dazu führt, dass eine neue Information mitgeteilt wird, die dem Hacker weiter hilft. Organisationsstruktur und Kompetenz der IT-Kräfte anhand von Unterlagen, News-Beiträgen und offiziellen Web-Sites herausfinden 27 Knacken von Passwörtern Brute Force: Einfach alles Durchprobieren Probieren mit bekannten Passwort-Mustern, auch Muster auf der Tastatur Alternativen für BIOS-Passwörter Akku ausbauen: Nach Spannungsverlust: Standard-Passwort Platinen-Reset Wörterbuchangriff: Häufig werden Kennwörter nicht zufällig generiert, z. B. anhand von Wörterbüchern. Das verkürzt die Probierzeit. 28

15 Techniken - Abhören Sniffer = Programm eventuell zusammen mit Hardware zum Abhören von Kommunikation Beispiele: 1. LAN: Ethernet-Karte in Promiscous-Mode bringen, alle Frames kopieren, filtern und ordentlich aufbereitet anzeigen 2. Nach Einbruch in Router/Firewall: dasselbe auf IP-Ebene am Netzübergang 3. WLAN: Monitoren und Knacken der WEP-Verschlüsselung 4. Messung der Abstrahlung von CRT-Monitoren TEMPEST (Transient Electromagnetic Pulse Emanation Standard), unscharfe Schrift lässt sich schwerer abhören 5. Abhören von Lichtwellenleitern 29 Techniken - In der Mülltonne wühlen Papierabfälle ansehen, Interessant sind Kreditkartenquittungen Kennwortformulare Ausdrucke von Konfigurationsdateien Notizen von Administratoren Internet-Cache vom Vorgänger am PC ansehen, z. B. in Internet-Cafes Auf externen Platten nach gelöschten Dateien suchen Platten von insolventen Firmen durchsuchen(!) 30

16 Techniken - Aktive Inhalte Passive Inhalte = Daten, die nur angezeigt oder kontrolliert modifiziert werden können Aktive Inhalte = Programme als Teile von anderen Daten, die (unkontrolliert) nach dem Laden gestartet werden Beispiele auf der Client-Seite: ActiveX (Zertifikate sagen z.z. nichts über Sicherheit) Plugins JavaScript (HTML, PDF) VBA (Mails), VBScript (web) Java (wohl das sicherste von allen aufgeführten) Dies gilt für Web-Seiten und s gleichermaßen. 31 Abwehrtechnik - Quarantäne Quarantäne = Unklare Software bzw. Daten werden in einen Bereich gebracht, in dem nur kontrollierte und beobachtbare Manipulationen durch die unklare Software möglich sind. Für Quarantäne eignen sich: Besondere Teile in Rechnern Eigene Rechner Eigene Netze mit eigenen Rechnern Beispiele: Virtuelle Maschinen wie z.b. die JavaVM Simulatoren wie VMware, Virtual PC oder XEN In der Quarantäne wird die Software genau getestet und dabei beobachtet. 32

17 Techniken - Spoofing Spoofing = Verfahren der Simulation einer anderen Person bzw. Rechners. Es wird für eine Zeit lang die Rolle einer anderen Person bzw. eines Rechners übernommen Typisch ist IP-Spoofing: Falsche Source-IP-Adresse "Man in the middle"-angriff = Software schaltet sich zwischen zwei Kommunikationspartnern, hört ab oder greift aktiv ein (Übernahme einer der beiden Rollen). Dies wird manchmal Hijacking genannt. 33 Man in the middle I Ein Beispiel Ihr Rechner (4) (5) (7) Böser Hacker (6) Ihre Bank (3) (2) (1) DNS Server 34

18 Man in the middle II Ein Beispiel (1) Hacker ändert die IP-Adresse von auf sein System (2) Ihr Rechner fragt nach der IP-Adresse von (3) Und erhält die gefälschte Adresse (4) Aufbau einer Verbindung zum Hacker-System (5) Der Hacker holt sich live die aktuellen Daten von der Bank anhand Ihrer Daten (6) Die Daten kommen zum Hacker (7) Der Hacker sendet die korrekten(!) aktuellen Daten Ihrem Rechner Frage: Können Sie das mit den "üblichen" Methoden (TAN, PIN) verhindern? Antwort: nein. 35 Denial of Service (DoS) Denial of Service-Angriff = DoS-Angriff = Eine Funktion oder ein ganzes System wird außer Kraft gesetzt oder so gestört, dass die Dienstleistung nicht erbracht werden kann Beispiele: ICMP: Mitteilung über die Funktionsunfähigkeit bestimmter Router, so dass keine IP-Pakete vermittelt werden können Aufbau des 3-Wege-Handshake ohne das dritte bestätigende Paket Ping of Death Anwendungen bei Web-Server oder Mail-Server 36

19 Distributed Denial of Service (ddos) Verteilte Version des Denial of Service Ziel: Überlastung durch faches gleichzeitiges Generieren scheinbar sinnvoller Paketsequenzen von mehr als Stationen "Brief-Bomben" Probleme Erkennen des ddos-angriffs Eingrenzen der IP-Adressen der beteiligten Stationen Verhindern nach der Erkennung: hier muss mit den Providern zusammengearbeitet werden Auch dies ist ein Grund für die Vorratsdatenspeicherung oder? 37 SPAM und Hoax SPAM = Mail mit zweifelhaftem Inhalt, z.b. Versuch die Software im Anhang zu starten Phishing per Mail Angebote von verbotenen Waren Aufrufe mit politisch zweifelhaften Inhalt Blödsinn Hoax = Scherzhafte oder böswillige Warnung vor einer fiktiven (Viren-)Gefahr Siehe

20 Firewall In der DMZ stehen Server mit Schutzfunktionen sowie Server mit öffentlichen Zugang, z. B. Web-Server (Bastionen). 39 Firewall - Filter und Bastion Filtern von Paketen Nach Herkunft und Ziel Nach Inhalt Nach Port/Dienst Nach Richtung Filter werden in Form von Regeln definiert. Bastion sind Server innerhalb der DMZ, meist mit speziellen Schutzfunktionen: Virenscanner für Daten oder Mails Proxy-Server für spezielle Dienste, z. B. Web, ftp, HBCI etc. Daneben sind noch Router erforderlich. 40

21 Personal Firewall Personal Firewalls = Firewalls auf den Endsystemen Diese Firewalls sind bei Ende-zu-Ende-Verschlüsselung notwendig. Leider müssen sie von den Benutzern administriert werden. Auch kommen häufig Benutzer mit den Meldungen der Firewalls nicht zurecht (dies trifft auch für den Virenbefall zu). 41 Nach dieser Anstrengung etwas Entspannung... 42