Computersicherheit im Jahr 2015: Eine Bestandsaufnahme aus der Perspektive der IT-Sicherheitsforschung

Transkript

1 Computersicherheit im Jahr 2015: Eine Bestandsaufnahme aus der Perspektive der IT-Sicherheitsforschung Prof. Dr. Sebastian Schinzel Web: Twitter: (c) Prof. Sebastian Schinzel 1

2 Was ist IT-Sicherheit? (c) Prof. Sebastian Schinzel 2

3 Was ist IT-Sicherheit? (c) Prof. Sebastian Schinzel 3

4 Was ist IT-Sicherheit? (c) Prof. Sebastian Schinzel 4

5 Was ist IT-Sicherheit? Sicherheitslücken: Implementierte Funktionalität, die nicht spezifiziert wurde IT-Sicherheit <-> Abwesenheit von Sicherheitslücken (c) Prof. Sebastian Schinzel 5

6 Adaptiver Angreifer (c) Prof. Sebastian Schinzel 6

7 IT-Sicherheit aus Angreifersicht Motivation Ressourcen IT- Sicherheit Know-How Niedrig Niedrig Niedrig Beispiele Hoch Niedrig Niedrig Verärgerte Mitarbeiter, Skript Kiddies Hoch Niedrig Hoch Kriminelle Sicherheitsexperten Hoch Hoch Niedrig Unfaire Wettbewerber, Hoch Hoch Hoch Organisierte Kriminalität (c) Prof. Sebastian Schinzel 7

8 IT-Sicherheit aus Angreifersicht Der NSA-Skandal (2013) PRISM: Gehen Sie davon aus, dass alles aufgezeichnet wird (verschlüsselt oder unverschlüsselt) TURMOIL: Sie nutzen keine optimalen Verschlüsselungstechnologien? Gehen Sie davon aus, dass Geheimdienste die Daten on-the-fly entschlüsseln können. Tempora: GCHQ hat Zugriff auf transatlantische Kommunikation Sie haben ein neues Laptop, einen Workstation oder einen Server online bestellt? NSA fängt das Paket ab, baut Hardware-Trojaner ein und sendet das Paket an Sie weiter Cloud computing?! (c) Prof. Sebastian Schinzel 8

9 IT-Systeme über Jahre unbemerkt kompromittiert (c) Prof. Sebastian Schinzel 9

10 IT-Sicherheit aus Angreifersicht Motivation Ressourcen IT- Sicherheit Know-How Niedrig Niedrig Niedrig Beispiele Hoch Niedrig Niedrig Verärgerte Mitarbeiter, Skript Kiddies Hoch Niedrig Hoch Kriminelle Sicherheitsexperten Hoch Hoch Niedrig Unfaire Wettbewerber, Hoch Hoch Hoch Organisierte Kriminalität (c) Prof. Sebastian Schinzel 10

11 IT-Sicherheit aus Angreifersicht Sie suchen anfällige Systeme im Internet? Shodan: Suchmaschine speziell für das Auffinden (anfälliger) Internetdienste Shodan Hacking Database enthält mehr als 100 Suchstrings anfälliger Systeme im Internet Voller Zugriff auf Suchergebnisse nur für zahlende Kunden Datenerhebungsmethodik unklar (c) Prof. Sebastian Schinzel 11

12 IT-Sicherheit aus Angreifersicht Sie suchen anfällige Systeme im Internet? Internet Census 2012 Datenbank Eine Hacker-Gruppe kompromittierte Tausende von Routern im Internet und scannte von ihnen aus das gesamte Internet 8 Terabyte große Datenbank mit Scanresultaten Wir haben diese Datenbank durchsucht 9895 offene Netzwerkports mit SAP-Systemen Für Details siehe: Schinzel/Thünemann: Inventur Das Internet scannen und auf Schwachstellen untersuchen. Heise Verlag, ix 10/2013 (c) Prof. Sebastian Schinzel 12

13 IT-Sicherheit aus Angreifersicht SAP- Webserver auf Port Instanzen (c) Prof. Sebastian Schinzel 13

14 IT-Sicherheit aus Angreifersicht Projekt Zensus (Industrieprojekt, Fördersumme ) Durchführung eigener Internet-Scans aus IT-Sicherheit Labor heraus Analyse-Infrastruktur im Labor mit gefördert durch Land NRW Ziel: reguläre Scans des gesamten IPv4-Adressbereichs um belastbare Zahlen über die Verteilung anfälliger Systeme zu finden Herausforderung: IPv6 14

15 (c) Prof. Sebastian Schinzel 15

16 SQL-Injection in Login-Feld 16

17 IT-Sicherheit aus Angreifersicht Aktuell: Motivation für Scanning z.b.: Drupageddon Oktober 2014: kritische SQL-Injection- Schwachstellen im CMS Drupal7 Offizielle Statements von Drupal: You should proceed under the assumption that every Drupal 7 website was compromised unless updated or patched before Oct 15th, 11pm UTC, that is 7 hours after the announcement. If you find that your site is already patched but you didn t do it, that can be a symptom that the site was compromised - some attacks have applied the patch as a way to guarantee they are the only attacker in control of the site

18 IT Sicherheit in Unternehmen Ein üblicher Softwareentwicklungsprozess Sicherheit muss in jedem Schritt beachtet werden Wie sehen die Schritte zur Absicherung aus? Anforderungen Design/ Architektur Programmierung Test Going-Live/ Wartung (c) Prof. Sebastian Schinzel 18

19 IT Sicherheit in Unternehmen Anforderungen Design/ Architektur Programmierung Test Going-Live/ Wartung Sicherheitsanforderungen Regulatorische Anforderungen (BDSG, PCI DSS, SOX, MaRisk,...) Schutzbedarf von Informationen ermitteln Was darf wohin übertragen werden? Was darf wie lange gespeichert werden? Wer hat worauf Zugriff?... Austausch mit Sicherheitsexperten (c) Prof. Sebastian Schinzel 19

20 IT Sicherheit in Unternehmen Anforderungen Design/ Architektur Programmierung Test Going-Live/ Wartung Sichere Architektur Welche Technologien (Web, Netzwerk, Datenbank,...)? Welche Programmiersprachen ( managed/unmanaged ) Verschlüsselung auf Transportebene? Wie? Verschlüsselung der gespeicherten Informationen? Wie?... Review der Architektur-Dokumente durch Sicherheitsexperten (c) Prof. Sebastian Schinzel 20

21 IT Sicherheit in Unternehmen Anforderungen Design/ Architektur Programmierung Test Going-Live/ Wartung Sichere Programmierung Eingabevalidierung Ausgabekodierung Berechtigungsprüfungen vorhanden und korrekt? Keine Logikfehler? Keine Backdoors? Entwickler sind geschult in sicherer Programmierung? Sicherheits-Audit durch Sicherheitsexperten (c) Prof. Sebastian Schinzel 21

22 IT Sicherheit in Unternehmen Anforderungen Design/ Architektur Programmierung Test Going-Live/ Wartung Sicherheitstests Funktionale Tester finden üblicherweise Sicherheitsfehler nicht! Geschulte Sicherheitstester orientieren sich an den Sicherheitsanforderungen Penetrationstest: ein professioneller Hacker sucht nach Schwachstellen und versucht übliche Angriffe Sollte durch externe Sicherheitsexperten durchgeführt werden (c) Prof. Sebastian Schinzel 22

23 IT Sicherheit in Unternehmen Anforderungen Design/ Architektur Programmierung Test Going-Live/ Wartung Going-Live/Wartung Wie erkennen Sie Angriffe? Wer erkennt Angriffe? Wie reagiert man auf Angriffe (Notfallplan, Business Continuity)? Wer hat welche Rolle bei Incident Response? Zentrale Frage: Neuinstallation oder forensische Analyse? (c) Prof. Sebastian Schinzel 23

24 A fool with a tool is still a fool! Conclusions Mike R Mike R 24

25 Angebote der IT-Sicherheit-Gruppe der FH Münster Seminar: Sichere Entwicklung von Unternehmenssoftware Zielgruppe: Sicherheitsverantwortliche, Softwareentwickler, IT- Qualitätsmanager Inhalte: Gängige Schwachstellen und Angriffe gegen Unternehmenssoftware Planung und Durchführung von Hackerangriffen in Laborumgebung Sicherheitsanforderungen, Bedrohungsmodellierung Sichere Softwarearchitektur und Implementierung Test und Wartung sicherer Software Nächster Termin: März (2 Tage) 25

26 Angebote der IT-Sicherheit-Gruppe der FH Münster Sicherheitsanalysen und Penetrationstests Ablauf: Informationsbeschaffung und -auswertung Bewertung der Informationen / Risikoanalyse Aktive Eindringversuche Analyse gefundener Schwachstellen Abschluss-Workshop zur Schließung gefundener Schwachstellen Nachhaltige Verbesserung der Unternehmensprozesse zur Entwicklung von IT- Systemen Kontakt: schinzel@fh-muenster.de 26

27 Diskussion. Prof. Dr. Sebastian Schinzel Web: Twitter: