Workshop IT-Sicherheit

Transkript

1 Workshop IT-Sicherheit Ein kleiner Einblick in die Welt der IT-Sicherheit Christian Schlehuber Fachbereich Informatik TU Darmstadt

2 Workshop IT-Sicherheit Die Folien sind nach dem Workshop in der aktuellen Version online verfügbar unter: Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 2

3 Einleitung Warum Private IT-Sicherheit? IT-Sicherheit ist ein sehr breites Feld Hier liegt der Fokus auf den Problemen, die einen Normalnutzer treffen können Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 3

4 Einleitung Warum dieser Workshop? IT-Sicherheit rückt mehr und mehr in den Fokus (diverse Medienberichte) Es kursieren viele Halbwahrheiten oder Gerüchte zu den Themen Hier soll ein gewisses Grundverständnis geschaffen werden Nach dem Workshop sollte jeder Teilnehmer in der Lage sein seinen Sicherheitsstandard deutlich (!) zu steigern Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 4

5 Einleitung Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 5

6 Einleitung Warum ist das Internet bzw. Software so anfällig? Historisch gewachsene Systeme: Entstand 1969 aus dem ARPANET IP Protocol (entstand 1981) DNS Protocol (entstand 1987) Zur Zeit der Entstehung dachte niemand an Angreifer Selbst heute ist bei SW-Entwicklern meist nur geringe IT-Sec Kenntnis vorhanden, daher: SQL Injections Buffer Overflows Etc Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 6

7 Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 7

8 1. Gefahren Potenzielle Gefahren? Ideen? Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 8

9 1. Gefahren Potenzielle Gefahren? Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 9

10 Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 10

11 2. Basics Die 5 Schutzziele von IT-Security Integrität (Integrity) Vertraulichkeit (Confidentiality) Authentizität (Authenticity) Verfügbarkeit (Accessibility) Nicht-Abstreitbarkeit (Non-repudiation) Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 11

12 2. Basics Hash Funktion, die aus einer großen Quelle eine kleinere (meist) eindeutige Ausgabe erzeugt Der Hash-Wert kann zum Identifizieren/Prüfen von Dateien und anderem verwendet werden Netzwerkkommunikation Pakete werden immer an untere Ebene weitergereicht und gekapselt Bekannt? IP-Adresse Identifiziert einen Rechner auch außerhalb des aktuellen Subnetzes Wird z.b. auch im Internet ständig verwendet Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 12

13 2. Basics Symmetrische / Asymmetrische Kryptografie Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 13

14 2. Basics Signatur Es wird von einer Datei/Nachricht ein Hash-Wert gebildet Anschließend wird der Hash mittels priv. key verschlüsselt Nun kann mit dem pub. Key auf Validität geprüft werden SSL/TLS Dient zum Herstellen von einer sicheren und authentifizierten Verbindung zwischen einem Client und einem Server Basiert auf PKI (asymm. Krypto) Der Client kann sich durch Zertifikat über den Server informieren Die Kommunikation erfolgt verschlüsselt Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 14

15 Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 15

16 3. Der Angreifer Ein Beispiel The Robin Hood Hacker Adrian Lamo Hacked into Microsoft, Yahoo, New York Times, etc. Robin Hood, da er Schwachstellen den Unternehmen meldete und keinen Schaden anrichtete Gilt als einer der kreativsten Hacker, da er seine Angreifer auf den Verteidiger einstellt Beispiel: Hack ist ein sehr großer amerikan. Kabelbetreiber Entdeckte aus der Uni einen fehlkonfigurierten Proxy-Server, wodurch er Zugang zum internen Netz erhielt Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 16

17 3. Der Angreifer Ein Beispiel (2) Danach postete er eine Frage auf der internen Hilfsseite Durch die Antwort erhielt er weitere Informationen über das Netz Er wurde beim Betreten anderer Bereich nach keinerlei Authentifizierung gefragt Er erhielt dadurch auch Zugriff auf den Firmen-Webserver und das Ticketing-System Im Ticketing System konnten Kunden Fehler melden und z.t. wurden auch Nutzerdaten mitgesendet Auf all das hatte er direkt uneingeschränkten Zugriff Außerdem existierte ein Script zum Generieren von Auth- Cookies, wodurch man sich als Kunde ausgeben konnte (eigentlich für Techniker) Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 17

18 3. Der Angreifer. Ein Beispiel (3) Am Ende hatte er es sogar geschafft sich remote Zugriff auf vielen Mitarbeiter-PCs zu verschaffen Am Ende meldete er alles an das Unternehmen Vor Ort wurde ihm der der fehlkonfigurierte Proxy gezeigt Auf die Frage nach einer Sicherungsmöglichkeit, zerschnitt er das Netzwerkkabel! Now the machine s secure. Die ganze Geschichte kann man in The Art of Intrusion von Kevin Mitnick lesen Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 18

19 3. Der Angreifer 1. Motivation Fokus in diesem Workshop auf: Kommilitonen Normale Personen Einfache Hacker Motivation daher: Informationsbeschaffung Interesse Spaß Schaden Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 19

20 3. Der Angreifer 2. Tools Es gibt mittlerweile ein Vielzahl an frei verfügbaren Tools, die für Angriffe nutzbar sind: Wireshark (Netzwerk Protokoll Analyzer) Erlaubt es den kompletten Netzwerkverkehr mitzuschneiden Network Stumbler (WLAN Auditing Tool) Erkennung von WLANs, samt Konfiguration. Versteckte SSID ist irrelevant Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 20

21 3. Der Angreifer 2. Tools Beispiel Netstumbler: Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 21 Quelle: Network Stumbler Homepage

22 3. Der Angreifer 2. Tools Nmap (Security Scanner for Network Exploration) Erweiterter Portscanner und Analyse Tool für Netzwerke Aircrack (WEP/WPA key cracker) Knackt WEP Schlüssel nach ca Paketen Diverse Online Datenbanken/Tools Whois.de IANA / RIPE Etc Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 22

23 3. Der Angreifer 3. Vorgehen Hängt jeweils vom Angriff ab: Normalerweise zuerst Reconnaisance Welches System nutzt das Ziel IP Adressen / offene Ports Eventuelle Services Danach wird versucht eine möglichst einfach Schwachstelle zu finden und sich Rechte zu verschaffen Als letztes folgt im Normalfall das verschleiern der Spuren Eine kleine Live Demo (am Beispiel der TU Darmstadt)! Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 23

24 Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 24

25 4. Gegenwehrmaßnahmen Potenzielle Gefahren? -> Gegenwehr Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 25

26 4. Gegenwehrmaßnahmen 1. Angriff: Hardware gestohlen Potenzielle Gefahren? -> Gegenwehr Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 26

27 4. Gegenwehrmaßnahmen 1. Angriff: Hardware gestohlen Zugriff auf Speichermedien Ziele: Confidentiality / Integrity Mittel: Verschlüsselung der Medien Lösung: TrueCrypt Verschlüsselung von Partitionen und ganzen Laufwerken Verschlüsselte Container Auch versteckte Container/Partitionen möglich Versch. Verschlüsselungsalgorithmen und Hash-Algorithmen Hardwarebeschleunigung und Parallelberechnung möglich Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 27

28 4. Gegenwehrmaßnahmen 1. Angriff: Unauthorisierter Zugriff Zugriff auf Speichermedien (via Netzwerk, etc) Ziele: Confidentiality / Integrity Mittel: Verschlüsselung der Medien Lösung: Service Passwörter / Netzwerkfreigaben Setzen eines User Passworts Deaktivieren von ungenutzten Nutzer-Accs Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 28

29 4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Potenzielle Gefahren? -> Gegenwehr Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 29

30 4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Passwortstrategien Ziele: Confidentiality / Integrity / Authenticity Mittel: Sichere Passwörter Ab wann ist ein Passwort sicher? Und warum sollte es sicher sein? Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 30

31 4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Passwortstrategien Ziele: Confidentiality / Integrity / Authenticity Mittel: Sichere Passwörter Angriffe auf Passwort meist via Brute-Force oder Dictionary Attacks Daher sollten diese Angriffe möglichst erschwert werden Ganz wichtig: Ein Passwort sollte nicht auf persönlichen Informationen basieren!!! Online Passwort Generator: Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 31

32 4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Ein kleines Rechenbeispiel: Passwort (6 Zeichen; 0-9) = Kombinationen Passwort (6 Zeichen; a-z) = Kombinationen Passwort (6 Zeichen; azaz) = Kombinationen Passwort (6 Zeichen; azaz09) = Kombinationen Und das noch ohne Sonderzeichen! Passwort (4 Zeichen; mit SZ) = Kombinationen Passwort (5 Zeichen; mit SZ) = Kombinationen Passwort (6 Zeichen; mit SZ) = Kombinationen Bei 2*10^9 keys/sec Bei 10 Zeichen allerdings => 120 Sek. => 150 Jahre Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 32

33 4. Gegenwehrmaßnahmen 3. Angriff: Kommunikation Potenzielle Gefahren? -> Gegenwehr Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 33

34 4. Gegenwehrmaßnahmen 3. Angriff: Kommunikation Kommunikation Ziele: Confidentiality / Integrity / Authenticity Mittel: Signatur, Verschlüsselung, SSL/TLS Exkurs: Betrügerischen Mails Können von jedermann mittels PHP oder ähnlichem versendet werden Befehl: bool mail ( string $to, string $subject, string $message [, string $additional_headers [, string $additional_parameters]] ) $headers.= From:wichtig@bundestag.de\n ; Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 34

35 4. Gegenwehrmaßnahmen 3. Angriff: Kommunikation Wie kann man das erkennen? Header! GMX IP = x Vermutlich ist obiger Rechner ein sog. Zombie Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 35

36 4. Gegenwehrmaßnahmen 3. Angriff: Kommunikation Wie erreicht man Vertraulichkeit und Sicherheit bei Mails? Lösung: Wahl des Mailservers Die meisten Anbieter bieten normale POP/SMTP Server an Zusätzlich werden meist aber auch POP/SMTP over HTTPS (SSL/TLS) Server angegeben Man sollte immer die letztgenannten verwenden, sofern diese angegeben sind! Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 36

37 4. Gegenwehrmaßnahmen 3. Angriff: Kommunikation Wie erreicht man Vertraulichkeit und Sicherheit bei Mails? Lösung: Die Mail an sich Verwendung von kryptografischen Mitteln (PKI/asymm. Krypto) Beispiel: Enigmail für Thunderbird ( Ermöglicht Verschlüsselung mit dem pub. Key des Empfängers Auch das Signieren von Nachrichten ist möglich PGP-basiert Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 37

38 4. Gegenwehrmaßnahmen 4. Angriff: illeg. Zugriff auf Netzwerk Potenzielle Gefahren? -> Gegenwehr Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 38

39 4. Gegenwehrmaßnahmen 4. Angriff: illeg. Zugriff auf Netzwerk Zugriff auf Netzwerk Ziele: Confidentiality / Integrity / (Authenticity) Mittel: Sichere Verschlüsselung / Passwörter Lösung: Auf keinen Fall einfache Passwörter für Infrastruktur-HW nutzen Bei WLAN: Verwendung von WPA2 WEP mittlerweile unsicher (80 k Pakete für Crack nötig) WPA kann auch gebrochen werden, ist allerdings aufwendiger Bei Bedarf: restriktive Firewall, welche nur bekannte IPs erlaubt Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 39

40 4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Potenzielle Gefahren? -> Gegenwehr Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 40

41 4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Arbeiten in feindlichen Netzwerken Ziele: Confidentiality / Integrity Mittel: Nutzung von SSL oder Vermeiden von Credentials Beispiel: Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 41

42 4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Arbeiten in feindlichen Netzwerken Ziele: Confidentiality / Integrity Mittel: Nutzung von SSL oder Vermeiden von Credentials Lösung: Bei wichtigen Daten auf Verwendung von achten Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 42

43 4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Noch eine Anmerkung: Es gibt gewisse Angriffe, welche auf schwache SSL Varianten zurückgreifen Daher möglichst darauf achten, dass in den Browsern die schwachen Varianten deaktiviert werden Bei Firefox sollte man zusätzlich auf aktives SSL 3.0 / TLS achten Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 43

44 4. Gegenwehrmaßnahmen 6. Angriff: Social Engineering Potenzielle Gefahren? -> Gegenwehr Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 44

45 4. Gegenwehrmaßnahmen Lösung: 6. Angriff: Social Engineering Skeptisch sein! Rückfragen stellen Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 45

46 Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 46

47 Privacy im Internet Verschiedene Sicherheitsrisiken im Internet HTTP-Referer Tracking Cookies Webtiming Attacks CSS History Mining Etc. Generell keine Anonymität, da IP-Adressen eindeutig zugeordnet werden können Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 47

48 Privacy im Internet Einige Möglichkeiten zur Steigerung der Anonymität durch Browser Add-Ons: Ad-Blocker (für Firefox: Adblock Plus) Filtert Werbeinhalte und vermeidet Verfolgung durch eingebettete Inhalte JavaScript Blocker (für Firefox: NoScript) JavaScript Code kann geblockt/freigegeben werden, dadurch Vermeidung von vielen Problemen Opt-Out Cookies (für Firefox: TACO) Stellt dem Nutzer für die gängigsten Werber Opt-Out Cookies zur Verfügung Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 48

49 Privacy im Internet Einige Möglichkeiten zur Steigerung der Anonymität durch eigenes Verhalten: Vorsicht in Social Communities Google+, Facebook, etc. Gepostete Inhalte sollten durchdacht sein Diese Plattformen vergessen nichts Ein Großteil des Gewinns basiert auf personalisierter Werbung und dem Verkauf von anonymisierten Daten Wechselnde Benutzernamen/Passwörter Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 49

50 Privacy im Internet Manchmal genügen die vorherigen Verfahren nicht Szenario: Regimekritischer Blogger in China Für solche Fälle gibt es TOR (The Onion Router) TOR sorgt in einem feindlichen Netzwerk für eine gewisse Anonymität Absender und Empfänger können nur schwer verknüpft werden Wie funktioniert das? Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 50

51 Privacy im Internet Funktionsweise von TOR Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 51

52 Privacy im Internet Funktionsweise von TOR Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 52

53 Privacy im Internet Funktionsweise von TOR Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 53

54 Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 54

55 Diskussion / individuelle Themen Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 55

56 Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 56

57 Abschluss Der Workshop kratzt nur an der Oberfläche Für Vertiefungen: In der Uni: Veranstaltungen aus dem Bereich Trusted Systems In Büchern: Matt Bishop Introduction to Computer Security Jon Erickson Hacking (Die Kunst des Exploits) Zum Thema Privacy im Internet: Seminarband Online Social Networks, 2009, TU Darmstadt Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 57

58 Abschluss Außerdem ein lesenswertes Buch: Daemon von Daniel Suarez Autor ist IT-Consultant und SW-Entwickler Beschreibt eine Welt, die von einer KI übernommen wird Wissenschaftlich relativ plausible Vorgänge Schafft einen gewissen Eindruck, was alles bereits heute machbar ist Quelle: Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 58

59 Vielen Dank für die Aufmerksamkeit! Fragen? Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 59