Aktuelle Verfahren zur P2P Botnetzerkennung und Bekämpfung

Größe: px
Ab Seite anzeigen:

Download "Aktuelle Verfahren zur P2P Botnetzerkennung und Bekämpfung"

Transkript

1 Erste Bachelorarbeit Aktuelle Verfahren zur P2P Botnetzerkennung und Bekämpfung Ausgeführt zum Zweck der Erlangung des akademischen Grades eines/einer Bachelor of Engineering am Fachhochschul-Bachelorstudiengang IT Security St. Pölten unter der Leitung von Mag. Simon Tjoa ausgeführt von Wolfgang Reidlinger is St.Pölten, am Matthias Corvinus-Straße 15, A-3100 St. Pölten, T: , F: , E: I:

2 Ehrenwörtliche Erklärung Ich versichere, dass ich diese Bachelorarbeit selbständig verfasst, andere als die angegebenen Quellen und Hilfsmittel nicht benutzt und mich sonst keiner unerlaubten Hilfe bedient habe. ich dieses Bachelorarbeitsthema bisher weder im Inland noch im Ausland einem Begutachter/einer Begutachterin zur Beurteilung oder in irgendeiner Form als Prüfungsarbeit vorgelegt habe. diese Arbeit mit der vom Begutachter/von der Begutachterin beurteilten Arbeit übereinstimmt. ich der FH St. Pölten das Recht einräume, diese Bachelorarbeit für Lehre- und Forschungstätigkeiten zu verwenden und damit zu werben (zb bei der Projektevernissage, in Publikationen, auf der Homepage,), wobei der Absolvent als Urheber zu nennen ist. Jegliche kommerzielle Verwertung/Nutzung bedarf einer weiteren Vereinbarung zwischen dem Studierenden/Absolventen und der FH St. Pölten. St.Pölten, Ort, Datum Unterschrift Reidlinger Wolfgang, is / 25

3 1 Abstract Official institutions such as the BSI in Germany or the ENISA at European level, classify botnets as the largest threat to the current Internet. In the recent years the issue has become more explosive, which is apparent in the rapidly rising number of scientific publications. The corresponding specialized community and scientists to this area are quite aware of this issue, however, there is still a need for education in acquistion to the normal Internet users. Current detection and defece methods in terms of peer-to-peer botnets are collected and compared in this bachelor thesis with the title Aktuelle Verfahren zur P2P Botnetzerkennung und bekämpfung. There are different strategies in current use, this paper argue who it work and make an accurate evaluation of each method. Following a neutral comparison of different methods and strategies can be made. The work is divided into three sections. The first part gives an short introduction in the subject. In the main part the different procedures and methodologies for botnet detection as well as botnet defense will be discussed in detail. At the end of the main part there is a brief overview of currently software products which are available on the field of botnet detection. The endpart of the paper gives a summary view and also an attempt to venture into the future. 2 Kurzfassung Offizielle Stellen wie das BSI 1 in Deutschland oder die ENISA 2 auf Europäischer Ebene, stufen Botnetze als die größte Bedrohung für das derzeitige Internet ein. Daher ist die Thematik in den letzten Jahren immer brisanter geworden, was sich sehr schön in der rasant gestiegenen Anzahl der wissenschaftlichen Publikationen ablesen lässt. Die entsprechende Fachgemeinschaft sowie Wissenschaftler auf diesem Gebiet sind sich der Relevanz dieses Themas durchaus bewusst, allerdings bestehe im Bezug auf den normalen Internetbenutzer noch erheblicher Aufklärungsbedarf. Aktuelle Erkennungs- und Bekämpfungsmethoden im Bezug auf Peer-to- Peer Botnetze werden in dieser Bachelorarbeit mit dem Titel Aktuelle Verfahren zur P2P Botnetzerkennung und bekämpfung erhoben und miteinander verglichen. Es sind aktuell unterschiedliche Strategien im Einsatz, hier gilt es zu erheben wie diese funktionieren und eine genauere Evaluierung jeder einzelnen Methode durchzuführen. Anschließend kann mit diesen Ergebnissen ein neutraler Vergleich der unterschiedlichen Methoden bzw. Strategien angestellt werden. Die Arbeit gliedert sich in drei Abschnitte. Beginnend mit der Einleitung wird versucht, eine kurze Einführung in die Thematik zu geben. Im Hauptteil wird detailliert auf die unterschiedlichen Verfahren und Methodiken zur Botnetzerkennung- sowie Abwehr eingegangen. Am Ende des Hauptteils wird ein kurzer Überblick der aktuell erhältlichen Softwareprodukten auf dem Gebiet der Botnetzerkennung gegeben. Am Ende der Arbeit steht eine Zusammenfassung, außerdem wird versucht, einen Ausblick in die Zukunft zu wagen. 1 Bundesamt für Sicherheit in der Informationstechnik 2 European Network and Information Security Agency (Europäische Agentur für Netz- und Informationssicherheit) Reidlinger Wolfgang, is / 25

4 3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Abstract Kurzfassung Inhaltsverzeichnis Einleitung Hauptteil Verfahren zur Botnetzerkennung Hostbasierende Verfahren Netzwerkbasierende Verfahren Beschreibung der vertical correlation Erkennungsmethode Beschreibung der horizontal correlation Erkennungsmethode Kombinierte Verfahren Detektionsverfahren durch automatisch generierter Modelle (vgl. [5]) Botnet Tracking (vgl. [12]) Verfahren zur Botznetzabwehr P2P Botnetze und deren Schwachstellen Analyse eines P2P Bots am Beispiel des Storm Worms (vgl. [12]) Phase Phase Phase Design eines perfekten P2P Botnetzes (vgl. [26]) Aktuell verfügbare Produkte BotHunter BotSniffer BotProbe Botminer Zusammenfassung und Ausblick Quellenverzeichnis Literaturverzeichnis Abbildungsverzeichnis...25 Reidlinger Wolfgang, is / 25

5 4 Einleitung Botnetze stellen momentan eine der größten Bedrohungen für die Sicherheit des Internet dar. Diese Thematik ist durchaus eine sehr reale. Deutschland rangiert bei der Anzahl der infizierten Rechner international auf Platz 3. [1] Um dieser Problematik entgegenzutreten, hat das eco 3 in Zusammenarbeit mit dem BSI 4 ein providerübergreifendes Beratungszentrum eingerichtet. (vgl. [1] [2] [3]) Im Rahmen der "Anti-Botnet-Initiative" sollen Nutzer, deren Rechner ohne ihr Wissen Teil eines Bot-Netzes geworden sind, durch ihren Provider hierüber informiert werden. Zugleich werden sie kompetente Unterstützung bei der Beseitigung der Schadsoftware erhalten. Dabei sollen den betroffenen Nutzern in einem ersten Schritt auf einer Internetseite Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt werden. Sollte dies nicht ausreichend sein, steht darüber hinaus eine Hotline, ein anbieterübergreifendes Beratungszentrum telefonisch zur Beratung zur Verfügung und erläutert die Schritte zur Beseitigung des Schadprogrammes sowie zur nachhaltigen Absicherung des PCs. [3] Besorgniserregend ist auch eine Erhebung des BSI welche im Bericht Die Lage der IT-Sicherheit in Deutschland 2007 veröffentlicht wurde. Dieser besagt, dass Deutschland nach den USA das Land ist, in dem die meisten Command-and-Control Server (C&C), welche zur Steuerung und Überwachung von Botnetzen benötigt werden, lokalisiert sind. (vgl. [4]) Viele IT Spezialisten sowie Sicherheitsforscher und Wissenschaftler sind sich dieser Tatsache bewusst und daher ist die Anzahl der wissenschaftlichen Publikationen zu diesem Thema in den letzten Jahren rasant gestiegen. Belegt kann dies durch einen einfachen Vergleich der Treffer, auf einschlägige Suchbegriffe, bei der Anfrage wissenschaftlicher Datenbanken werden. Die Resultate dieses Vergleiches sind in der unten stehende Tabelle ersichtlich. Suchbegrif f Verö f f ent lichungsz eit raum Dat enbank/t ref f er Go o gle Scho lar botnet* botnet* * enthalten im Titel oder Text des Papers Abbildung 1: Vergleich der Treffer Google Scholar und ACM Ergebnis dieser Arbeit ist eine Erhebung bereits bekannter als auch neuer und effizientere Erkennungsund Abwehrmethoden auf dem Gebiet der P2P Botnetze. Diese Bachelorarbeit wird sich mit folgenden Fragestellungen beschäftigen: Welche Methoden/Strategien zur P2P Botnetzerkennung bzw. Botnetzbekämpfung gibt es aktuell? Welche aktuell eingesetzten Methoden/Strategien sind die wirkungsvollsten bzw. wie können diese untereinander verglichen werden? Gibt es das Perfekt Design für ein P2P Botnetz? Diese Arbeit soll einen allgemeinen Überblick der aktuell entwickelten bzw. verwendeten Verfahren und Strategien zur Botneterkennung und Botnetzabwehr bzw. Botnetzabschwächung ermöglichen. Als Informationsgrundlage wurden wissenschaftliche Publikationen der jüngsten Vergangenheit herangezogen. Bots bilden die Grundlage für jedes Botnetz. A bot is a type of malware that is written with the intent to compromising and taking control of hosts on the Internet. It is typically installed on the victim's computer by 3 Verband der deutschen Internetwirtschaft 4 Bundesamt für Sicherheit in der Informationstechnik Reidlinger Wolfgang, is / 25

6 either exploiting a software vulnerability in the web browser or the operating system, or by using social engineering techniques to trick the victim into installing the bot herself. [5] Peer-to-Peer (P2P) Botnetze bieten aus Sicht des Botmasters den großen Vorteil nicht auf eine Client- Server Struktur angewiesen zu sein, wie es zum Beispiel in einem Botnetz welches IRC Channels zur Befehlsverteilung nutzt der Fall ist. Solch eine Struktur ist leicht angreifbar. Den Strafverfolgungsbehörden muss lediglich gelingen, den zentralen C&C Server zu identifizieren und diesen anschließend vom Netz zu nehmen. Natürlich kann diese Struktur auch redundant ausgelegt sein und es mehrere bzw. unüberschaubar viele, wie es beim Conficker Wurm [6] der Fall ist, C&C Server geben. Die Server waren jedoch nicht physikalisch vorhanden, sondern es wurde eine riesige Anzahl an möglichen Serveradressen (http URLs) mittels eines speziellen Algorithmus abgefragt. Der Botmaster musste nur eine Domain aus dieser großen Anzahl registrieren und damit war sichergestellt, dass die Bots ihr Befehle abholen konnten. (vgl. [6]) Bei P2P Botnetzen ist dies nicht möglich, da hier jeder einzelne Bot, Client und Server zugleich ist. Es gibt daher keinen zentralen Punkt von dem eine funktionierende Kommunikation innerhalb des Botnetzes abhängt. Werden einzelne Bots aus dem Netzwerk genommen kommt es zu keiner Unterbrechung der Kommunikation innerhalb des Botnetzes. Unabhängig von der Architektur bzw. Struktur eines Botnetzes werden die selben Ziele verfolgt, welche sich folgend zusammenfassen lassen: verbreiten, sammeln und verarbeiten von Informationen. Eines der großen Ziele des Internet wird es daher sein, Verfahren zu entwickeln bzw. bestehende zu verbessern, welche bei der Erkennung, Abschwächung und Verhinderung von P2P Botnetzen einsetzbar sind. (vgl. [7]) Sollte diese, zugegebenermaßen anspruchsvolle Aufgabe nicht in absehbarer Zukunft gelöst werden, so stellt es eine ernstzunehmende Gefahr für das gesamte Internet dar. Der Hauptteil gliedert sich in fünf Kapitel. Im ersten Verfahren zur Botnetzerkennung werden die unterschiedlichen Detektionsverfahren vorgestellt sowie deren Vor- und Nachteile genannt. Anschließend wird im Kapitel Botnet Tracking die Vorgehensweise beschrieben, welche von Sicherheitsforschern angewandt wird um Botnetze analysieren, infiltrieren und anschließend abschwächen zu können. Im dritten Abschnitt wird darauf eingegangen, welche Schwachstellen in Botnetzen vorhanden sind und wie ein Design eines perfekten Botnetzes aussehen könnte. Weiters wird anhand eines Praxisbeispieles (Storm Botnetz) gezeigt wie die Analyse, Infiltration sowie die Störung der Kommunikation innerhalb des Botnetzes abläuft. Das letzte Kapitel des Hauptteils liefert eine Übersicht über aktuell verfügbare Softwareprodukte, welche zur Botnetzerkennung eingesetzt werden können. Abschließend wird eine Zusammenfassung über die Arbeit gegeben sowie ein Ausblick in die Zukunft gewagt. Reidlinger Wolfgang, is / 25

7 5 Hauptteil 5.1 Verfahren zur Botnetzerkennung Dieses Kapitel widmet sich dem Thema Botnetzerkennung. Es werden eine Reihe unterschiedlicher Verfahren und Techniken vorgestellt, sowie teilweise deren Vor- bzw. Nachteile hervorgehoben. Auf diesem Gebiet gibt es bereits gut funktionierende Methoden welche bereits in aktuellen Softwareprodukten zur Botnetzerkennung Verwendung gefunden haben. Aktuelle Softwareprodukte werden im Kapitel 5.5 aufgezählt. Diese finden in den letzten Jahren immer mehr Einzug in großen Organisationen. Die Tatsache, dass das US-Army Research Office (ARO) 5 einer der Hauptsponsoren des BotHunter Projektes ist, zeigt das große Interesse des amerikanischen Militärs für das Thema Botnetzerkennung Hostbasierende Verfahren Hostbasierende Systeme erfordern die Installation einer speziellen Software am lokalen Rechner. Es handelt sich dabei meistens um eine Software, die ihre Signaturen zur Detektion von Malware von einem zentralen Server bezieht. Dadurch ergibt sich automatisch eine höherer Verwaltungsaufwand und Wartungsaufwand. Denn die Software muss entweder über eine spezielle Serverfunktion innerhalb des Netzwerkes an alle Rechner verteilt werden oder auf jedem einzelnen Computer händisch installiert werden. Außerdem müssen die gesammelten Information an eine zentrale Verwaltungsinstanz übertragen werden. Hierfür muss ein entsprechender Server innerhalb des Netzwerkes zur Verfügung stehen außerdem muss dieser Server auch aktuelle Signaturupdates zur Verfügung stellen, damit auch aktuell aufgetauchte Bots von der Software erkannt werden. (vgl. [5]) Diese Technik hat den großen Nachteil, dass nur Bots erkannt werden, für die bereits eine entsprechende Signatur in der Datenbank des Scanners vorhanden ist. Traditional means of defense against bots rely on anti-virus (AV) software installed on end-users' machines. Unfortunately, as the existence of numerous botnets demonstrates, theses systems are insufficient. The reason is that they rely on signatures of known samples, a well-documented limitation [8] that makes it difficult to keep up with the fast evolution of malware. [5] Momentan gibt es Hostbasierte Verteidigungssysteme, welche entweder statische oder dynamische Codeanalysetechniken verwenden, um das spezielle Verhalten von Bots aufzuzeichnen und dementsprechend Aktionen zu setzen. (vgl. [5]) Die Hostbasierten Erkennungsmethoden können aber leicht durch polymorphe Codeveränderungsstrategien umgangen werden. Handelt es sich um einen polymorphen Code, so ändert dieser bei jeder Ausführung seine Signatur und wird somit von einer Anti- Virus Software welche mit Signaturvergleich arbeitet, nicht mehr erkannt. [8] beschreibt welche Techniken angewendet werden um Viren Scanner zu überlisten Netzwerkbasierende Verfahren Wie schon oben festgestellt, können Hostbasierende Erkennungsmethoden leicht umgangen werden, daher werden zunehmend Netzwerkbasierende Erkennungsverfahren verwendet. Bei Netzwerkbasierenden Detektionsverfahren ist es erforderlich, den gesamten Netzwerkverkehr mitzuschneiden. Dies geschieht mittels spezieller Technik, welche den gesamten Datenverkehr eines Netzwerks aufzeichnen. Solch ein Mitschnitt des gesamten Netzwerkverkehrs wird meistens an dem zentralen Zugangspunkt zum Netzwerk (Router) durchgeführt. NetFlow 6, eine ursprünglich von Cicso entwickelte Technik, kann den gesamten IP -Datenverkehr eines Routers oder Layer-3-Switch per UDP Reidlinger Wolfgang, is / 25

8 exportieren. Ein entsprechender NetFlow Kollektor 7 empfängt die Daten welche anschließend gespeichert und verarbeitet werden können. Basierend auf dem mitgeschnittenen Netzwerkverkehr können folgende zwei Analyseschemen angewandt werden. Zum einen die sogenannte vertical correlation und zum anderen die horizontal correlation. Diese beiden Techniken unterscheiden sich in wesentlichen Punkten, welche im Folgenden näher betrachtet werden. [9] beschreibt, wie mittels NetFlow gesammelte Daten zu Botnetzerkennung verwendet werden können Beschreibung der vertical correlation Erkennungsmethode Bei der Methode der vertical correlation ist Kenntnis des Bots, welcher detektiert werden soll, erforderlich. Man muss daher genau wissen, welche C&C Mechanismen verwendet werden. Außerdem ist erforderlich bezüglich der propagation vectors Bescheid zu wissen. These techniques focus on the detection of individual bots, typically by checking for traffic patterns or content that reveal command and control traffic or malicious, bot-related activities. [5] Der größte Nachteil dieser Technik ist, dass nur Bots erkannt werden, welche schon im Vorfeld erforscht wurden und daher seine Signatur oder Verhaltensweise bekannt ist. Bots welche Zero Day Exploits in Webbrowser oder Betriebssystem ausnutzen, können daher mit dieser Methode nur schwer erkannt werden. Die Technik der vertical correlation kommt bei jedem Virenscanner, welcher auf Signatur basierenden Prüfungen von Dateien durchführt, zum Einsatz. Weist jedoch eine Datei welche einen Virus, Trojaner, Bot oä. enthält eine Signatur auf, die sich nicht in der Signaturdatenbank des Virenscanners befindet so wird diese Malware auch nicht erkannt. Um diese Schwachstelle eines Virenscanners zu umgehen gibt es noch eine so genannte Heuristikprüfung die normalerweise Bestandteil jeder Anti-Viren Software ist. Eine Heuristik Suchengine analysiert das Verhalten einer Datei / Programm innerhalb des Betriebssystems. Jeder Hersteller bringt seinen eigenen Heuristik Scanner als Teil seiner Anti-Viren Software auf den Markt und daraus ergeben sich natürlich unterschiedliche Erkennungsraten. Diese präventive Art der Erkennung von Malware ist in den letzten Jahren zunehmend wichtiger geworden, da es den Anti-Viren Softwareherstellern nicht mehr möglich ist ihre Datenbank immer mit den Signaturen der aktuell im Umlauf befindlichen Viren zu aktualisieren. Der Grund dafür ist die extrem gestiegene Anzahl an täglich neu erscheinenden Virensamples. Der Sicherheitsdienstleister Securelist 8 zeigt in seiner monatlich erscheinenden Viren Statistik [10] die Top 20 Viren sowie die Top 20 Schadprogramme welche sich auf Webseiten befinden Beschreibung der horizontal correlation Erkennungsmethode Die zweite Strategie verwendet jene Methode bei der der Netzwerkverkehr dahingehend untersucht wird, dass zwei oder mehr Hosts im Netzwerk gleiches Verhalten aufweisen. Gleiches Verhalten ist meist das Resultat von Kommandos welche vom Botmaster an seine Bots übertragen werden. Dies kann zum Beispiel das Verschicken von Spam Mails, das Ausführen von DDoS Attacken uä. sein. Dieses Analyseverfahren setzt natürlich voraus, dass mindestens zwei Hosts innerhalb des selben Netzwerkes mit dem gleichen Bot infiziert sind. (vgl. [5]) Der große Nachteil dieses Verfahrens ist die Tatsache, dass keine einzelnen Bots innerhalb eines Netzwerks gefunden werden können. Im untersuchten Netzwerk müssten daher immer mehrere Computer mit dem selben Bot infizierten sein, um diese auch aufspüren zu können Reidlinger Wolfgang, is / 25

9 5.1.3 Kombinierte Verfahren Um die Vorteile beider Verfahren, nämlich der Hostbasierenden und der Netzwerkbasierenden nützen zu können, werden kombinierte Erkennungsmethoden eingesetzt. [11] beschreibt wie Host- und Netzbasierende Erkennungsmethoden kombiniert werden können. Es wird ein Detektionsframework vorgestellt, welches Host- und Netzaktivitäten gleichermaßen aufzeichnet, diese Informationen miteinander korreliert und dementsprechend Detektionsergebnisse liefert. Es werden alle aktuell eingesetzten Protokolle zur Steuerung eines Botnetzes wie IRC, HTTP und auch P2P erkannt. Der Versuchsaufbau zu diesem kombinierten Verfahren wurde wie im unten stehenden Bild ersichtlich, aufgebaut. Die Systemarchitektur bestand im wesentlichen aus dem Host Analyzer, Network Analyzer und einer Correlation Engine. Der Host Analyzer besteht aus zwei Modulen, dem sogenannten In-Host Monitor und dem suspicion-level generator. Der Monitor loggt alle Aktivitäten welche in der Registry, im file system und im network stack durchgeführt werden. Der suspicion-level generator generiert den suspicion-level mit Hilfe des so genannten moving average algorithm (gleitender Durchschnitts Algorithmus) basierend auf dem Verhaltensreport der Hosts. Fordert die correlation engine es an, so schickt der Host den average suspicion-level und network feature statistics. Der Network Analyzer besteht ebenfalls aus zwei Modulen, nämlich dem flow analyzer und dem so genannten clustering. Der flow analyzer bekommt den gesamten NetFlow (gesamter Netzwerkverkehr am Gateway) des Routers und untersucht diesen auf bekannte Botnetkommunikationsmuster. Wird während dieser Analyse entdeckt, dass sich einzelne Hosts ähnlich oder sogar gleich verhalten, so werden sie mit Hilfe des clustering gruppiert und in den selben cluster eingeteilt. Wurde eine verdächtige Gruppe von Hosts identifiziert so werden diese Informationen gemeinsam mit dem entsprechenden suspicion-level,welche am Host aufgezeichnet wurden, zur correlation engine geschickt. Anschließend erstellt die correlation engine eine Auswertung jedes einzelnen Hosts. Als Ergebnis wird ein Detektionsergebnis ausgegeben. Abbildung 2: System Architektur [11] Der Versuchsaufbau wurde im Campus Netzwerk der University of Michigan umgesetzt. Es wurden sechs unterschiedliche Botnetze in einem Netzwerk mit rund 2000 Rechnern detektiert. Die Effizienz der oben beschriebenen Erkennungsstrategie wurde mit zwei Werten gemessen. Zum einen die false-positive (FP) und zum anderen die false-negative (FN) rate. Der false-positve Wert bedeutet, dass ein nicht infizierter Host als infiziert klassifiziert wurde. Der false-negative Wert sagt aus, wie viele infizierte Hosts nicht erkannt wurden. Die unten stehende Tabelle zeigt die FP Werte pro Host und im Durchschnitt an. Die höchst aufgetretene false-positive rate war nicht größer als 0.16%. Außerdem wurden bis auf einen infizierten Host alle Bots innerhalb des Netzwerkes erfolgreich identifiziert. Reidlinger Wolfgang, is / 25

10 Die Autoren des Papers haben abschließend bemerkt, dass ihr Framework ausgezeichnet funktioniert. In diesem Punkt muss man ihnen durchaus recht geben, jedoch der große Nachteil besteht immer noch darin, dass mehrere Hosts im Netzwerk mit den selben Bot infiziert sein müssen, um eine erfolgreiche Detektion zu garantieren. Abbildung 3: FP und FN Werte [11] Detektionsverfahren durch automatisch generierter Modelle (vgl. [5]) In der Regel werden aufgrund von gesammelten Informationen Erkennungsmodelle zu bestimmten Bots oder Botfamilien erstellt. Bei Snort 9 zb. passiert die Erstellung solcher Modelle manuell. Kann die Erstellung solcher Erkennungsmodelle automatisiert bzw. teilautomatisiert werden, würde dies erhebliche Arbeitsersparnisse bedeuten. [5] stellt eine neue Herangehensweise zur Thematik automatisch generierter Detektionsmodelle vor. Ziel von Detektionsmodellen ist es, aufgrund von speziellem Netzwerkverkehr, infizierte Maschinen innerhalb eines Netzwerkes zu lokalisieren. Die Modelle bestehen aus zwei Stufen. Innerhalb der ersten Stufe wird der Netzwerkverkehr auf bestimmte Zeichen untersucht. Werden Zeichen, welche auf das Vorhandensein von Bots schließen lässt gefunden, so wird auf die zweite Stufe umgeschaltet. Hierbei handelt es sich primär um Befehle welche vom Internet kommend an den Bot geschickt werden. Innerhalb der zweiten Stufe wird feststellt, wie sich der Bot verhält und auf bestimmte Kommandos reagiert. Sollten nun Aktivitäten stattfinden, welche auf das Vorhandensein eines Bots schließen lassen, so wird eine Infektion einer speziellen Maschine detektiert. Passiert allerdings nichts verdächtiges, so wird nach einer gewissen Zeit wieder auf die erste Stufe zurückgeschaltet. Die Generierung der Erkennungsmodelle funktioniert folgendermaßen und lässt sich in drei Schritten einteilen. Zunächst wird nach Antworten von Bots Ausschau gehalten (Erstellen eines Verhaltensprofils), anschließend wird nach den dafür verantwortlichen Kommandos gesucht und zum Schluss werden diese Ereignisse miteinander korreliert. Sollte eine Korrelation erfolgreich sein, so wird der dafür verantwortliche Netzwerkverkehr in sg. network traffic snippets abgespeichert und für die spätere Verwendung aufbewahrt. Außerdem werden noch ähnliche Signaturen zusammengefasst und in sogenannte bot families eingeteilt. Somit wird eine höhere Trefferquote erzielt, da nicht nur auf einzelne Bots detektiert wird. Mit den aufgezeichneten network traffic snippets und den dazugehörigen behavior profiles werden nun automatisch entsprechende Detektionsmodelle generiert. Die Ergebnisse sind Signaturen welche sich nach Bearbeitung in das network intrusion detection system Bro 10 integrieren lassen. Die Funktionsweise sieht folgendermaßen aus. Bro überwacht den gesamten Netzwerkverkehr am Gateway und vergleicht den Netzwerkverkehr mit den erstellten Signaturen. Sollte ein Rechner solch eine Übereinstimmung auslösen so kommt dieser in die zweite Stufe und Bro beginnt den Netzwerkverkehr dieses Hosts für Reidlinger Wolfgang, is / 25

11 Sekunden aufzuzeichnen. Werden weitere definierte Bedingungen im Netzwerkverkehr dieser Maschine erfüllt so detektiert Bro eine Bot Infektion des entsprechenden Hosts. Insgesamt kamen 416 verschiedene bot samples zum Einsatz. Aus deren Aktivitäten erstellte das entwickelte System automatisch 70 Detektionsmodelle. Darunter befanden sich IRC, HTTP und Peer-to- Peer basierenden Bots. Getestet wurde an zwei real-world network environments. More precisely, we deployed one Bro sensor with our detection models in front of the residential homes of RWTH Aachen University and one sensor at a Greek university network. [5] Das entwickelte Produkt wurde mit der Software BotHunter 11 verglichen. Zusammengefasst wurde das Ergebnis dieser Gegenüberstellung in folgender Tabelle. Abbildung 4: Vergleich der Erkennungsrate Quelle [5] Das oben vorgestellte Verfahren weist allerdings auch mögliche Schwachstellen auf. Wartet der Bot längere Zeit, um auf ein Kommando, welches er vom Botmaster erhalten hat, zu reagieren, so kann das System möglicherweise die Korrelation zwischen Response und Request nicht nachvollziehen und eine Infektion bleibt undetektiert. Weitere Schwachstelle ist die Tatsache, dass content-based analysis eingesetzt wird und daher verschlüsselter Netzwerkverkehr nicht analysiert werden kann. (vgl. [5]) 5.2 Botnet Tracking (vgl. [12]) Um besseres Verständnis in Bezug auf Abwehr und Erkennung von Botnetzen zu erlangen, müssen diese zunächst eingehend analysiert werden. Dadurch werden die von Botnetzbetreibern (Botmaster) eingesetzten Techniken und Anläufe besser verstanden, außerdem können mögliche Schwachstellen aufgedeckt werden. Diese Schwachstellen können dann gegen den Botmaster eingesetzt werden. Dadurch sind Sicherheitsforscher zb. in der Lage die Größe eines Botnetzes zu eruieren, die botnetzinterne Kommunikation empfindlich zu stören oder auch die Kontrolle des gesamten Botnetzes zu übernehmen. Solch eine erfolgreiche Übernahme eines Botnetzes wird in [7] und [13] detailliert beschrieben. [12] stellt eine Methodik vor, wie man P2P Botnetze aufspürt, analysiert, infiltriert und schlussendlich abschwächen bzw. stören kann. Das vorgestellte Verfahren ist in drei große Abschnitte aufgeteilt. Am Beginn wird der eingesetzte P2P Bootstrapping Process 12 analysiert und versucht mögliche Schwachstellen auszunutzen. Hier ist es erforderlich, an eine Kopie des entsprechenden Bots bzw. der Malware zu gelangen und den Infektionsprozess sowie Kommunikation mit dem Botnetz in einer kontrollierten Umgebung ablaufen zu lassen. Hierfür eignen sich Honeybots, die bekanntesten Softwareprodukte auf diesem Gebiet sind unter [15] aufgelistet. Es gilt jedoch zwei Hürden zu bewältigen, zum einen muss der infection vector ermittelt und zum anderen vulnerable applications simuliert werden. Wurde eine entsprechend verwundbare Umgebung geschaffen, so muss im nächsten Schritt dafür gesorgt werden, dass der Honeybot mit einem Bot infiziert wird. In weiterer Folge werden alle Aktivitäten des Bots am System und im Netzwerk genau analysiert und protokolliert. Hierzu zählen Aktivitäten im Filesystem, Zugriff auf Systemdateien, Eingriffe in die Firewalleinstellungen, Anzahl der aufgebauten Verbindungen In the case of peer-to-peer botnets, the bot must contain sufficient information on how to connect to the botnet and how to recive commands form the attacker. Usually this information includes a number of IP addresses if initial peers, service ports and application-specific connection information. [14] Reidlinger Wolfgang, is / 25

12 sowie jene IP Adressen und Ports mit denen eine Verbindung aufgebaut wird. Ziel ist es IP Adressen und Ports von Rechnern zu ermitteln welche Teil des Botnetzes sind oder die Kontrollstruktur des Botnetzes darstellen. Mit Hilfe dieser Information erhält man erste Einblicke in das zu analysierende Botnetz. Jedoch muss großer Wert darauf gelegt werden, dass der Botmaster nichts von den Anaylseaktivitäten innerhalb seines Botnetzes merkt. Sollte dies der Fall sein, wird er nach Möglichkeit Abwehrmaßnahmen dagegen einleiten. Die zweite Phase beschäftigt sich mit der sg. Infiltration and Analysis. Mit den Resultaten aus Phase eins wird versucht, mittels eines speziell angepassten P2P-Client (wird IRC eingesetzt so wird ein spezieller IRC Client erstellt) eine Verbindung zum Botnetz aufbauen und so Kommandos vom Botmaster zu empfangen. Je mehr Befehle empfangen werden, desto besseres Verständnis erhält man über Funktionsweise und Aktivität des Botnetzes. Jede Aktion sollte jedoch genau überlegt werden und mögliche Auswirkungen abgewogen werden. It can be dangerous since the attacker could notice the infiltration process and start to specifically attack us. [12] Die dritte und letzte Phase beschäftigt sich mit der Abschwächung des nun infiltrierten Botnetzes. [12] beschreibt detailliert wie das infiltrierte Botnetz in seiner Kommunikation gestört werden konnte. In dieser Phase kann auch versucht werden, die Größe des Botnetzes mit Hilfe spezieller Software zu ermitteln. The mitigation of botnets must attack the control infrastructure to be effective, i.e., either the servers or the communication method. [12] Zur Störung der Kommunikation können unterschiedliche Techniken eingesetzt werden. [7] stellt zwei unterschiedliche Methoden vor, mit deren Hilfe versucht wird, die Kommunikation innerhalb des Botnetzes empfindlich zu stören. 5.3 Verfahren zur Botznetzabwehr Zunächst muss geklärt werden, in welchem Zusammenhang von einer Botznetzabwehr gesprochen wird. Sind hier Abwehrmechanismen gemeint welche auf das ganze Internet oder zumindest auf große Providernetze angewendet werden oder beschränkt man sich darauf, nur das eigene LAN 13 gegen Botnetze zu schützen. Weiters gilt es klarzustellen, dass hier nicht Verfahren besprochen werden welche sich mit der Behandlung von dezidierten Angriffe beschäftigen. Unter Angriffe wird in diesem Zusammenhang von DDoS oder Spam Attacken welche von den Bots innerhalb eines Botnetzes ausgeführt werden, gesprochen. Solche Angriffe sind speziell zu betrachten und bedürfen eines gesonderten Analyseschemas. Vielmehr beschränken sich aktuelle Verfahren damit, Traffic am Gateway eines LANs mitzuschneiden und diesen teilweise in Echtzeit auf verdächtige Aktivitäten zu untersuchen. Die meisten Verfahren basieren darauf, den Netzwerkverkehr auf bestimmte Muster oder Inhalte hin zu untersuchen. Bei der Analyse auf Muster wird speziell auf Anzahl der aufgebauten Netzwerkverbindungen (Sockets = IP Adresse und Port) untersucht. Die mittels TCP/IP Verbindungen übertragene Daten werden auf deren Inhalt analysiert. Erforderlich hierfür ist daher ein detailliertes Wissen bezüglich der Aktivitäten eines Bots. Wie die Analyse eines Bots im Detail abläuft, wurde im Kapitel Botnet Tracking beschrieben. Mit solchen Systemen könnten außerdem nur bereits bekannte und bereits analysierte Bots bzw. Botfamilien erkannt werden. Es können daher in den meisten Fällen Botinfektionen erst detektiert werden wenn diese bereits passiert sind. Der Grund dafür ist die Tatsache, dass in den meisten Fällen nicht bekannt ist welche Applikation, Service oä. ein Bot als sein Infektionsvektor wählt. Weites müsste der verwendete Schadcode ebenfalls bekannt sein, was nicht immer gegeben ist. Es werden häufig noch unveröffentlichte sg. Zero Day Exploits 14 für das Verbreiten von Bots bzw. Schadsoftware eingesetzt. 13 inkl. aller Möglichkeiten dieses zu erweitern zum Beispiel mit VPN (Standortvernetzung, Remotezugriff von Mitarbeiter) 14 Reidlinger Wolfgang, is / 25

13 5.3.1 P2P Botnetze und deren Schwachstellen Um bekannte Schwachstellen in zentralisierte C&C Botnetz Strukturen zu umgehen, wurden in den letzten Jahren immer mehr Botnetze welche P2P Mechanismen einsetzen, entwickelt. Beispiele hierfür sind Slapper [16], Sinit [17], Phatbot [18] and Nugache [19]. Bei den Implementierungen dieser Botnetze wurde besonderer Fokus auf fortschrittliche sowie neuartige P2P C&C Architekturen gelegt. Zu Beginn dieser Entwicklungsphasen wurden vorwiegend bestehende P2P Netze als Kommunikationsinfrastruktur verwendet. [7] beschreibt, wie das Storm Botnet ein bereits bestehendes P2P Netzwerk mit den Namen OVERNET zur Kommunikation verwendete. In [20] wird erklärt, wie der sg. Overbot die populäre P2P Technik Kademlia 15 für seine eigenen Zwecke eingesetzt hat. Mit der Entstehung der ersten größeren P2P Botnetze kamen auf die Sicherheitsforscher und IT Sicherheitsverantwortlichen komplett neue Herausforderungen zu. Die neu eingesetzten Systeme waren teilweise schon besser gegen Sniffing bzw. Manipulation geschützt. Es wurden bereits unterschiedliche Securityfeatures wie Public Key Cryptography für die Authentifizierung des Update-Mechanismus (Sinit) sowie verschlüsselte bzw. verschleierte Steuerkanäle (Nugache) verwendet. (vgl. [21]) Diese Features sollen es den Sicherheitsforschern erheblich erschweren eingehende Analysen sowie etwaige Manipulationen innerhalb des entsprechenden Botnetzes vorzunehmen. Da jedoch diese Techniken auch nur von Menschen entwickelt wurden, sind natürlich Fehler nicht ganz ausgeschlossen. Solche Fehler bei Implementierungen von verschiedenen Sicherheitsmaßnahmen gegenüber Angreifern des Botnetzes machen sich heutige Sicherheitsforscher zunutze und treiben den Kampf gegen die weltweit agierenden Botnetze voran. Im Zuge von diversen Analysen wurden zahlreiche Schwachstellen ausgemacht wie zum Beispiel: Phatbot utilizes Gnutella cache servers for its bootstrap process. This also makes the botnet easy to shut down. [21] oder Nugache's weakness lies in its reliance on a seed list of 22 IP addresses during its bootstrap process [19]. [21] und Slapper fails to implement encryption and command authentication enabling it to be easily hijacked by others. In addition, its list of known bots contains all (or almost all) members of the botnet to denfenders [17]. Furthermore, its complicated communication mechanism generates a lot traffic, rendering it susceptible to monitoring via network flow analysis. [21] Das Bekanntwerden von offiziellen IP Adressen von Nodes innerhalb des Botnetzes ist ziemlich schlecht für den Botnetzbetreiber. Handelt es sich dabei um wichtige IP Adressen eines zentralen Steuerservers oder sg. Servent Bots, welche in [21] beschrieben werden, so steigen die Möglichkeiten dem Botnetz empfindlichen Schaden zuzufügen. Im Kapitel Design eines perfekten P2P Botnetzes wird eruiert, welche Maßnahmen, aus Sicht des Botmasters notwendig sind, um sein Botnetz vor Angriffen von Sicherheitsforschern abzusichern Analyse eines P2P Bots am Beispiel des Storm Worms (vgl. [12]) [12] zeigt wie das Storm Botnet erfolgreich gefunden, analysiert und anschließend infiltriert wurde. We show that we can successfully infiltrate and analyze the botnet, even though there is no central server like in traditional botnets as described in Chapter 4. Furthermore, we also outline possible attacks to mitigate Storm and present our measurement results. [12] Weiters wurden spezielle Angriffe auf das so genannte Stormnet durchgeführt sowie Ergebnisse durchgeführter Messungen vorgestellt. Die Vorgehensweise entspricht jener, welche im Unterkapitel Botnet Tracking beschrieben wurde. In diesem Abschnitt möchte ich versuchen, die beschriebene Vorgehensweise mit einem praktischen Beispiel näher zu bringen. Wie bereits erwähnt gliedert sich die Methodik in drei Abschnitte welche nun folgend beschrieben werden. 15 Reidlinger Wolfgang, is / 25

14 Phase 1 Es wurden spamtraps verwendet um spam mails welche den Storm Botnetz zugeordnet werden konnten zu sammeln. Anschließend wurde mittels eines Honeyclients eine URL, welche sich in den spam mails befanden, besucht was eine drive-by-infection 16 des Honeypots mit den Storm Bot zur Folge hatte. Dafür war es natürlich erforderlich zu ermitteln welchen Angriffs Vektor die Malware verwendet. In den meisten Fällen handelt es sich dabei um einen malicious remote code execution vulnerability im Internetbrowser oder einem Netzwerkservice des Betriebssystems. Nachdem dies geschafft war lang nun eine Kopie der Storm Bot Binary vor. Durch reverse engineering der Binary war es möglich eine aktuelle peer liste des Storm Botnetzes zu extrahieren. Obwohl es ein P2P Netzwerk ist werden auch im Storm Botnetz zentrale Server verwendet. Im Storm Botnetz konnten drei unterschiedliche Layer identifiziert werden, welche in der unten stehenden Grafik dargestellt sind. Die normalen Bots sind jene, welche Spam versenden bzw. DDoS Attacken ausführen, sie besitzen in der Regel eine private IP Adresse und sind in einen NAT Netzwerk lokalisiert. Maschinen mit einer öffentlichen IP Adresse stellen so genannte Gateway Bots dar, sie dienen zur Weitergabe von Befehlen an die Spam/DDoS Bots. Im dritten Layer dieser Hierarchie stehen die control nodes mit einer statischen öffentlichen IP Adresse. Die auf den Bots gesammelte Daten (Logins für Netbanking, Kreditkartennummern, usw) werden an diese control nodes geschickt außerdem liegen vorbereitet spam templates 17 zur Abholung durch die Bots bereit. Die verwendete Kommunikationslogik gibt vor, dass der Botmaster die Befehle an seine Bots nicht direkt zu ihnen schicken kann sondern sich die Bots die Befehle abholen müssen. [...] the controller cannot send commands directly to the bot, thus the boot needs to search for commands and we exploit this property of Storm to obtain the search key. [12] Abbildung 5: Storm Bot - 3 Layer Struktur [12] Phase 2 Mit Hilfe der Daten welche in Phase 2 gesammelt wurden, kann nun dazu übergegangen werden, das Botnetz eingehend zu analysieren und nach Möglichkeit sogar zu infiltrieren. Basierend auf den gesammelten keys, welche verwendet werden um die Bots mit Befehlen zu versorgen, sowie das Verständnis für das verwendete Kommunikationsprotokoll war es möglich, tiefer in das Storm Botnet vorzudringen und mehr darüber in Erfahrung zu bringen. (vgl. [12]) Außerdem war es mit diesem Wissen auch möglich, die Größe des Botnetzes zu enumerieren. To measure the number of peers within the whole peer-to-peer network, we use the crawler for OVERNET and Stormnet developed by Steiner as part of his PhD thesis [22]. It uses the same basic principle as the KAD crawler also developed by Steiner [23]. The crawler runs on a single machine and uses a breadth first search issuing route requests messages to find peers currently participating in OVERNET or Stormnet. The speed of the crawler allows us to discover 16 Ein Betriebssystem wird ausschließlich durch das Besuchen einer entsprechende Website mit Schadsoftware infiziert. 17 Reidlinger Wolfgang, is / 25

15 all peers within a short amount of time, usually between 20 to 40 seconds (depending on the time of day). [12] Der crawler bestand aus zwei unterschiedlichen Threads. Der erste Thread war zuständig für das ausschicken von route requests (siehe Abbildung Algorithmus 1). Der zweite hatte die Aufgabe, die entsprechenden route requests zu empfangen und zu verarbeiten ( siehe Abbildung Algorithmus 2). The receiving thread adds the peers extracted from the route responses to the list, whereas the sending thread iterates over the list and sends 16 route requests to every peer. The DHT ID asked for in the route requests are calculated in such a way that each of them falls in different zones of the peer s routing tree. This is done in order to minimize the overlap between the sets of peers returned. [12] Abbildung 6: Storm Botnet crawler - Algorithmus 1 [12] Abbildung 7: Storm Botnet crawler - Algorithmus 2 [12] Phase 3 In der dritten und letzten Phase wurde versucht, die Kommunikation innerhalb des Botnetzes empfindlich zu stören und damit den Aktionsradius des Botnetzes erheblich einzuschränken. In diesem Abschnitt wird im speziellen Bezug auf [12] genommen und die zwei vorgestellten Verfahren erläutert. Die zwei vorgestellten Verfahren heißen Eclipsing Content und Polluting Der Angriff mit dem Namen Eclipsing Content zielt auf die Manipulation von der DHT ID 18 und somit auf die Routing Tabelle der Bots ab und bewirkt dadurch, dass Teile, sprich eine gewisse Anzahl an infizierten Hosts, innerhalb des Botnetzes nicht mehr erreichbar ist. A special form of the sybil attack is the eclipse attack [24] that aims to separate a part of the peer-to-peer network from the rest. [12] Jedoch war aus 18 Distributed hast table Reidlinger Wolfgang, is / 25

16 technischen Gründen ein erfolgreicher Angriff und damit eine Abschwächung des Botnetzes nicht erfolgreich. As a consequence, in OVERNET and Stormnet, the eclipse attack can thus not be used to mitigate the Storm Worm network. [12] Da der oben angeführte Ansatz nicht zum Erfolgt führte wurde eine weitere Methodik angewandt, welche detailliert in [7] und [12] beschrieben wird. Positioned in a strategic way, the sybils allow us to gain control over a fraction of the peer-to-peer network or even over the whole network. The sybils can monitor the traffic, i.e., act as spies (behavior of the other peers) or abuse the protocol in other ways. For example, route requests may be forwarded to the wrong end-hosts or re-routed to other sybil peers. We use the Sybil attack to infiltrate OVERNET and the Stormnet and observe the communication to get a better understanding of it. Assume that we want to find out what type of content is published and searched for in the one of both networks in the least intrusive way. For this, we need to introduce sybils and make them known, such that their presence is reflected in the routing tables of the non-sybil peers. [12] Die Implementierung von Moritz Steiner [22] machte es möglich, einen sg. spy zu betreiben. Diese kann auf einer physischen Maschine tausende von sg. sybils erzeugen. The spy achieves this scalability since the sybils do not keep any state about the interactions with the non-sybil peers[25]. We introduce 2 24 sybils into OVERNET and Stormnet: the first 24 bits are different for each sybil and the following bits are fixed, they are the signature of our sybils. [12] Die Implementierung des spy wurde in den folgenden vier Schritten durchgeführt. Als erstes wurde der verwendete DHT ID Adressraum mittels des crawlers durchsucht um eine Liste der online peers zu erhalten. Als nächstes wurde ein hello request an alle peers in dieser Liste geschickt in der Absicht die Routing Tabellen der peers zu vergiften. Es wurden Einträge übertragen, welche alle auf die sybils zeigten. Alle die den hello request erhalten haben besitzen nun gefälschte Routing Tabellen Einträge. Wenn nun im nächsten Schritt ein route request von einen non-sybil peer einen sybil peer erreicht bekommt dieser peer ebenfalls einen gefälschten Eintrag für seine Routing Tabelle zugeschickt. Mittels dieser Technik kann sichergestellt werden, dass jeder route request, welcher einen sybil peer erreicht in weiterer Folge wiederum bei genau diesen sybil peer endet. Im letzten Schritt wurden alle empfangenen requests in einer Datenbank gespeichert, damit können die gesammelten Daten für spätere Analysen weiterverwendet werden. (vgl. [12]) Zusammenfassend lässt sich sagen, dass diese Attacke auf das Injizieren einer großen Menge falscher Informationen hinausläuft, was durchaus sehr erfolgreich war. However, by modifying the search algorithm used, by asking all peers in the network for the content and not only the peers close to the content's hash, the storm related content can still be found (Figure 6b). Our experiments show that by polluting all those hashes that we identified to be strom hashes (see Section 4.2.2), we can disrupt the communication of the botnet. [7] Reidlinger Wolfgang, is / 25

17 Abbildung 8: Anzahl der Veröffentlichung von Storm Bots vor und während der pollution attack [7] 5.4 Design eines perfekten P2P Botnetzes (vgl. [26]) [26] behandelt nicht nur Schwachstellen in bereits bekannten P2P Botnetzen sondern versucht auch zu ermitteln, welche Funktion und Mechanismen ein perfektes Botnetz, aus Sicht des Botnetzbetreibers (Botmaster), implementiert haben sollte. Für das Design eines hoch entwickelten Botnetzes sollten sich laut [26] die Verantwortlichen folgende Fragestellungen näher ansehen: (1). How to generate a robust botnet capable of maintaining control of its remaining bots even after a substantial portion of the botnet population hast been removed by defenders? (2). How to prevent significant exposure of the network topology when some bots are captured by defenders? (3). How to easily monitor and obtain the complete information of a botnet by its botmaster? (4). How to prevent (or make it harder) defenders from detecting bots via their communication traffic patterns? [26] Wie unschwer aus oben angeführten Fragen zu erkennen ist, dient eine Beantwortung in erster Linie der Angreiferseite. Sie ist dadurch in der Lage, hoch verfügbare und robuste Botnetze aufzubauen. Weiters gibt [26] eine Liste mit Funktionalitäten welche in einem perfekten Botnetz enthalten sein sollten. Da die bootstrapping procedure meist anfällig für Angriffe ist, so wird vorgeschlagen, dass dieser überhaupt ganz weggelassen werden sollte. [7] beschreibt, wie die bootstrapping procedure des Storm Worm (Storm Botnetz) exploited wurde und dadurch die Tür für weitere sowie tiefergehende Analysen dieses Botnetzes geöffnet wurde. Wird ein Bot durch einen Sicherheitsforscher mittels reverse engineering 19 analysiert, so tritt meistens auch der Quellcode zu Tage welcher nun genauere Schlüssel über Funktion und Arbeitsweise der Schadsoftware zulässt. Würde ein einzelner Bot eine peer list 20 des gesamten Botnetzes oder eine große Anzahle an zentralen C&C Servern enthalten, so wäre dies für einen Angreifer überaus brauchbar. Die Empfehlung lautete also, dass ein einzelner Bot eine peer liste mit einer beschränkten Anzahl an nicht wichtigen Teilnehmern des Botnetzes enthält. Als nächster Punkt wird das Vorhandensein einer guten Monitoring Funktionalität angesprochen. Der Botmaster sollte ein report Kommando an seine Bots schicken können. Nach Empfang solch eines Kommandos verbinden sich alle Bots zu einer speziell ausgewählten kompromittierten Maschine (diese wurde den Bots im report Kommando mitgeteilt) und erstatten Bericht bezüglich Status und Aktivitäten. In [26] wird diese Maschine als so genannter sensor host bezeichnet Liste mit Rechner (zb. in Form von IP Adresse und Port) Reidlinger Wolfgang, is / 25

18 Wie bereits oben ausgeführt, basieren viele Erkennungsstrategien darauf, den Netzwerkverkehr auf spezielle Muster oder Inhalt zu überprüfen. Um eine Detektion zu erschweren, wird daher vorgeschlagen erstens einen vom Bot selbst bestimmten Service Port zu verwenden und zweitens einen selbst generierten symmetrischen Schlüssel zu Verschlüsselung der Kommunikation zu verwenden. This individualized encryption and individualized service port design makes it very hard for the botnet to be detected through network flow analysis of the botnet communication traffic. [26] Einige der genannten Features sind heute bereits in große Botnetze implementiert. Jedoch wurde noch kein Netzwerk analysiert, welches alle oben angeführten Eigenschaften in sich vereint bzw. diese fehlerlos umgesetzt worden wären. [26] kommt zu dem Schluss, dass oben vorgestellte Überlegungen wichtig sind, um sich vor zukünftigen Botnetz Attacken schützen zu können. Frei nach dem Motto know your enemy. 6 Aktuell verfügbare Produkte Mittlerweile gibt es einige Softwareprodukte zur Botnetzerkennung im Netzwerk. Es sind teilweise unterschiedliche Ansätze bei der Erkennungsstrategie im Einsatz. Folgende Unterpunkte versuchen die einzelnen Produkte kurz zu beschreiben. Die populärsten Softwareprodukte zur Zeit sind BotHunter, BotSniffer, BotProbe und BotMiner. 6.1 BotHunter BotHunter wurde in Zusammenarbeit des College of Computing des Georgia Institute of Technology 21 und des Computer Science Laboratory der Nonprofit Forschungseinrichtung SRI International 22 entwickelt. Details dieser Arbeit wurden im Rahmen des 16th USENIX Security Symposium mittels der Erstellung eines wissenschaftlichen Papers veröffentlicht. Außerdem wurde das vorgestellte Verfahren zum Patent angemeldet. [27] beschreibt detailliert System Design, Funktionalität sowie Vorgehensweise bei der Detektion von infizierten Maschinen. BotHunter is an application designed to track the two-way communication flows between internal assets and external entities, developing an evidence trail of data exchanges that match a state-based infection sequence model. BotHunter consists of a correlation engine that is driven by three malware-focused network packet sensors, each charged with detecting specific stages of the malware infection process, including inbound scanning, exploit usage, egg downloading, outbound bot coordination dialog, and outbound attack propagation. [27] Wird BotHunter eingesetzt, so ist die Installation der Software auf einem PC, welcher sich zwischen Gateway zum Internet und dem internen Netzwerk befindet, erforderlich. Dies kann natürlich auch zwischen einzelnen Netzwerksegmenten des lokalen Netzwerkes realisiert werden. BotHunter liest den Netzwerkverkehr mit und versucht, anhand verschiedener Analysen Verbindungen von Bots zum Bot-Herder zu erkennen. Dazu nutzt es unter anderem Listen bekannter Command&Control-Server, involvierter DNS-Server und zum Russian Business Network gehörender IP- Adressen. Zudem versucht es, Verbindungsabläufe zu erkennen und dies mit anderen Daten zu korrelieren. Daraus resultiert ein Wert, wie wahrscheinlich ein PC ein Bot ist. [28] Die entwickelte Software ist für alle großen Betriebssysteme wie Linux, FreeBSD, Mac OS X sowie Windows erhältlich. Außerdem gibt es auch eine Live-CD welche eine BotHunter Installation auf einem Reidlinger Wolfgang, is / 25

19 Linux Ubuntu enthält. Unter den Sponsoren des Projekts befindet sich unter anderem das US-Army Research Office (ARO) BotSniffer BotSniffer stellt einen Prototypen einer Erkennungssoftware dar, welcher 2008 auf dem 16th Annual Network & Distributed System Security Symposium vorgestellt wurde. Georgia Tech s BotSniffer uses network-based anomaly detection to identify botnet command and control channels in a local area network without any prior knowledge of signatures or server addresses, the researchers said. The idea is to ultimately detect and disrupt botnet infected hosts in the network. [29] [30] beschreibt ein Verfahren, welches mit Netzwerkbasierenden Anomaly Detektion das Vorhandensein von C&C Kommunikation innerhalb des lokalen Netzwerkes aufspürt. Anders als bisherige Methoden benötigt dieses Verfahren keine Kenntnis von Bot Signaturen, Kommunikationsmuster oder IP Adressen von C&C Server. Our approach is based on the observation that, because of the pre-programmed activities related to C&C, bots within the same botnet will likely demonstrate spatial-temporal correlation and similarity. For example, they engage in coordinated communication, propagation, and attack and fraudulent activities. Our prototype system, BotSniffer, can capture this spatial-temporal correlation in network traffic and utilize statistical algorithms to detect botnets with theoretical bounds on the false positive and false negative rates. [30] Entwickelt wurde das Verfahren von Guofei Gu, Junjie Zhang und Wenke Lee an der School of Computer Science (College of Computing, Georgia Institute of Technology). Das Verfahren ist beschränkt auf Bots welche IRC und HTTP verwenden. 6.3 BotProbe [31] stellt eine neue Methodik zur aktiven Bot Erkennungsproblematik vor. Diese Technik soll als Ergänzung zu bisherigen passiven Botnetzerkennungsmethoden verstanden werden. Weiters soll die Technik aus [31] geeignet sein um verschleierte und selten stattfindende C&C Kommunikation speziell kleiner Botnetze aufzuspüren. Möglich macht dies ein neu entwickeltes Algorithmus Framework welches hypothesis testing einsetzt um C&C Botnetz Kommunikation von Mensch zu Mensch Kommunikation unterscheiden kann. (vgl. [31]) Entwickelt wurde das Softwareprodukt unter Zusammenarbeit folgender drei Forschungseinrichtungen, nämlich der Texas A&M University dem SRI International sowie des Georgia Institute of Technology. Das entwickelte Produkt wurde laut den Autoren bereits erfolgreich in Produktivumgebungen getestet. Experimental results on multiple real-world IRC bots demonstrate that our proposed active methods can successfully identify obscure and obfuscated botnet communications. [31] Außerdem wurden Untersuchungen durchgeführt um die false positive rate der Software beim unterscheiden zwischen Botnetzkommunikation und Mensch zu Mensch -Kommunikation zu verbessern. A real-world user study on about one hundred participants also shows that the technique has a low false positive rate on human-human conversations. [31] Erkannt werden hauptsächlich Botnetze welche IRC zu Kommunikation verwenden. Geplant ist jedoch eine Ausweitung der Funktionalität auf HTTP und P2P Botnetze. 23 Reidlinger Wolfgang, is / 25

20 6.4 Botminer [32] beschreiben ein von Guofei Gu, Roberto Perdisci, Junjie Zhang und Wenke Lee entwickeltes Verfahren um Kommunikation von Bots zu erkennen. In this paper, we present a general detection framework that is independent of botnet C&C protocol and structure, and requires no a priori knowledge of botnets (such as captured bot binaries and hence the botnet signatures, and C&C server names/addresses). [32] Das vorgestellte Produkt ist in der Lage IRC, HTTP und auch P2P Bots in Produktivumgebungen erfolgreich zu erkennen. Accordingly, our detection framework clusters similar communication traffic and similar malicious traffic, and performs cross cluster correlation to identify the hosts that share both similar communication patterns and similar malicious activity patterns. [32] Reidlinger Wolfgang, is / 25

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3 User Manual for Marketing Authorisation and Lifecycle Management of Medicines Inhalt: User Manual for Marketing Authorisation and Lifecycle Management of Medicines... 1 1. General information... 2 2. Login...

Mehr

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com)

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Inhalt Content Citrix-Anmeldung Login to Citrix Was bedeutet PIN und Token (bei Anmeldungen aus dem Internet)? What does PIN and Token

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Eine Betrachtung im Kontext der Ausgliederung von Chrysler Daniel Rheinbay Abstract Betriebliche Informationssysteme

Mehr

Group and Session Management for Collaborative Applications

Group and Session Management for Collaborative Applications Diss. ETH No. 12075 Group and Session Management for Collaborative Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZÜRICH for the degree of Doctor of Technical Seiences

Mehr

Delivering services in a user-focussed way - The new DFN-CERT Portal -

Delivering services in a user-focussed way - The new DFN-CERT Portal - Delivering services in a user-focussed way - The new DFN-CERT Portal - 29th TF-CSIRT Meeting in Hamburg 25. January 2010 Marcus Pattloch (cert@dfn.de) How do we deal with the ever growing workload? 29th

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Parameter-Updatesoftware PF-12 Plus

Parameter-Updatesoftware PF-12 Plus Parameter-Updatesoftware PF-12 Plus Mai / May 2015 Inhalt 1. Durchführung des Parameter-Updates... 2 2. Kontakt... 6 Content 1. Performance of the parameter-update... 4 2. Contact... 6 1. Durchführung

Mehr

Instruktionen Mozilla Thunderbird Seite 1

Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Dieses Handbuch wird für Benutzer geschrieben, die bereits ein E-Mail-Konto zusammenbauen lassen im Mozilla Thunderbird und wird

Mehr

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe Sicherheit dank Durchblick Thomas Fleischmann Sales Engineer, Central Europe Threat Landscape Immer wieder neue Schlagzeilen Cybercrime ist profitabel Wachsende Branche 2013: 9 Zero Day Vulnerabilities

Mehr

CHAMPIONS Communication and Dissemination

CHAMPIONS Communication and Dissemination CHAMPIONS Communication and Dissemination Europa Programm Center Im Freistaat Thüringen In Trägerschaft des TIAW e. V. 1 CENTRAL EUROPE PROGRAMME CENTRAL EUROPE PROGRAMME -ist als größtes Aufbauprogramm

Mehr

Aufgabe 3 Storm-Worm

Aufgabe 3 Storm-Worm Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe

Mehr

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2 ReadMe zur Installation der BRICKware for Windows, Version 6.1.2 Seiten 2-4 ReadMe on Installing BRICKware for Windows, Version 6.1.2 Pages 5/6 BRICKware for Windows ReadMe 1 1 BRICKware for Windows, Version

Mehr

Aber genau deshalb möchte ich Ihre Aufmehrsamkeit darauf lenken und Sie dazu animieren, der Eventualität durch geeignete Gegenmaßnahmen zu begegnen.

Aber genau deshalb möchte ich Ihre Aufmehrsamkeit darauf lenken und Sie dazu animieren, der Eventualität durch geeignete Gegenmaßnahmen zu begegnen. NetWorker - Allgemein Tip 618, Seite 1/5 Das Desaster Recovery (mmrecov) ist evtl. nicht mehr möglich, wenn der Boostrap Save Set auf einem AFTD Volume auf einem (Data Domain) CIFS Share gespeichert ist!

Mehr

Customer-specific software for autonomous driving and driver assistance (ADAS)

Customer-specific software for autonomous driving and driver assistance (ADAS) This press release is approved for publication. Press Release Chemnitz, February 6 th, 2014 Customer-specific software for autonomous driving and driver assistance (ADAS) With the new product line Baselabs

Mehr

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Zielsetzung: System Verwendung von Cloud-Systemen für das Hosting von online Spielen (IaaS) Reservieren/Buchen von Resources

Mehr

eurex rundschreiben 094/10

eurex rundschreiben 094/10 eurex rundschreiben 094/10 Datum: Frankfurt, 21. Mai 2010 Empfänger: Alle Handelsteilnehmer der Eurex Deutschland und Eurex Zürich sowie Vendoren Autorisiert von: Jürg Spillmann Weitere Informationen zur

Mehr

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part II) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

Disclaimer & Legal Notice. Haftungsausschluss & Impressum

Disclaimer & Legal Notice. Haftungsausschluss & Impressum Disclaimer & Legal Notice Haftungsausschluss & Impressum 1. Disclaimer Limitation of liability for internal content The content of our website has been compiled with meticulous care and to the best of

Mehr

Employment and Salary Verification in the Internet (PA-PA-US)

Employment and Salary Verification in the Internet (PA-PA-US) Employment and Salary Verification in the Internet (PA-PA-US) HELP.PYUS Release 4.6C Employment and Salary Verification in the Internet (PA-PA-US SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten.

Mehr

Availability Manager Overview

Availability Manager Overview DECUS Symposium 2007 Availability Manager Overview Günter Kriebel Senior Consultant OpenVMS guenter.kriebel@hp.com GET CONNECTED People. Training. Technology. 2006 Hewlett-Packard Development Company,

Mehr

Distributed testing. Demo Video

Distributed testing. Demo Video distributed testing Das intunify Team An der Entwicklung der Testsystem-Software arbeiten wir als Team von Software-Spezialisten und Designern der soft2tec GmbH in Kooperation mit der Universität Osnabrück.

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

Field Librarianship in den USA

Field Librarianship in den USA Field Librarianship in den USA Bestandsaufnahme und Zukunftsperspektiven Vorschau subject librarians field librarians in den USA embedded librarians das amerikanische Hochschulwesen Zukunftsperspektiven

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Künstliche Intelligenz

Künstliche Intelligenz Künstliche Intelligenz Data Mining Approaches for Instrusion Detection Espen Jervidalo WS05/06 KI - WS05/06 - Espen Jervidalo 1 Overview Motivation Ziel IDS (Intrusion Detection System) HIDS NIDS Data

Mehr

IBM Security Lab Services für QRadar

IBM Security Lab Services für QRadar IBM Security Lab Services für QRadar Serviceangebote für ein QRadar SIEM Deployment in 10 bzw. 15 Tagen 28.01.2015 12015 IBM Corporation Agenda 1 Inhalt der angebotenen Leistungen Allgemeines Erbrachte

Mehr

LOG AND SECURITY INTELLIGENCE PLATFORM

LOG AND SECURITY INTELLIGENCE PLATFORM TIBCO LOGLOGIC LOG AND SECURITY INTELLIGENCE PLATFORM Security Information Management Logmanagement Data-Analytics Matthias Maier Solution Architect Central Europe, Eastern Europe, BeNeLux MMaier@Tibco.com

Mehr

How to access licensed products from providers who are already operating productively in. General Information... 2. Shibboleth login...

How to access licensed products from providers who are already operating productively in. General Information... 2. Shibboleth login... Shibboleth Tutorial How to access licensed products from providers who are already operating productively in the SWITCHaai federation. General Information... 2 Shibboleth login... 2 Separate registration

Mehr

USB Treiber updaten unter Windows 7/Vista

USB Treiber updaten unter Windows 7/Vista USB Treiber updaten unter Windows 7/Vista Hinweis: Für den Downloader ist momentan keine 64 Bit Version erhältlich. Der Downloader ist nur kompatibel mit 32 Bit Versionen von Windows 7/Vista. Für den Einsatz

Mehr

Software development with continuous integration

Software development with continuous integration Software development with continuous integration (FESG/MPIfR) ettl@fs.wettzell.de (FESG) neidhardt@fs.wettzell.de 1 A critical view on scientific software Tendency to become complex and unstructured Highly

Mehr

BLK-2000. Quick Installation Guide. English. Deutsch

BLK-2000. Quick Installation Guide. English. Deutsch BLK-2000 Quick Installation Guide English Deutsch This guide covers only the most common situations. All detail information is described in the user s manual. English BLK-2000 Quick Installation Guide

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Ein kurzer Überblick über das Deutsche Honeynet Projekt

Ein kurzer Überblick über das Deutsche Honeynet Projekt Dependable Distributed Systems Ein kurzer Überblick über das Deutsche Honeynet Projekt Thorsten Holz Laboratory for Dependable Distributed Systems holz@i4.informatik.rwth-aachen.de Thorsten Holz Laboratory

Mehr

Virtual PBX and SMS-Server

Virtual PBX and SMS-Server Virtual PBX and SMS-Server Software solutions for more mobility and comfort * The software is delivered by e-mail and does not include the boxes 1 2007 com.sat GmbH Kommunikationssysteme Schwetzinger Str.

Mehr

Klausur Verteilte Systeme

Klausur Verteilte Systeme Klausur Verteilte Systeme SS 2005 by Prof. Walter Kriha Klausur Verteilte Systeme: SS 2005 by Prof. Walter Kriha Note Bitte ausfüllen (Fill in please): Vorname: Nachname: Matrikelnummer: Studiengang: Table

Mehr

Prediction Market, 28th July 2012 Information and Instructions. Prognosemärkte Lehrstuhl für Betriebswirtschaftslehre insbes.

Prediction Market, 28th July 2012 Information and Instructions. Prognosemärkte Lehrstuhl für Betriebswirtschaftslehre insbes. Prediction Market, 28th July 2012 Information and Instructions S. 1 Welcome, and thanks for your participation Sensational prices are waiting for you 1000 Euro in amazon vouchers: The winner has the chance

Mehr

Stocktaking with GLPI

Stocktaking with GLPI Stocktaking with GLPI Karsten Becker Ecologic Institute Table of content icke About Ecologic Institute Why you need stocktaking Architecture Features Demo 2 icke Karsten Becker living in Berlin first computer:

Mehr

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com z/os Explorer Agenda Introduction and Background Why do you want z/os Explorer? What does z/os Explorer do? z/os Resource Management

Mehr

Praktikum Entwicklung von Mediensystemen mit ios

Praktikum Entwicklung von Mediensystemen mit ios Praktikum Entwicklung von Mediensystemen mit ios WS 2011 Prof. Dr. Michael Rohs michael.rohs@ifi.lmu.de MHCI Lab, LMU München Today Heuristische Evaluation vorstellen Aktuellen Stand Software Prototyp

Mehr

TVHD800x0. Port-Weiterleitung. Version 1.1

TVHD800x0. Port-Weiterleitung. Version 1.1 TVHD800x0 Port-Weiterleitung Version 1.1 Inhalt: 1. Übersicht der Ports 2. Ein- / Umstellung der Ports 3. Sonstige Hinweise Haftungsausschluss Diese Bedienungsanleitung wurde mit größter Sorgfalt erstellt.

Mehr

Patentrelevante Aspekte der GPLv2/LGPLv2

Patentrelevante Aspekte der GPLv2/LGPLv2 Patentrelevante Aspekte der GPLv2/LGPLv2 von RA Dr. Till Jaeger OSADL Seminar on Software Patents and Open Source Licensing, Berlin, 6./7. November 2008 Agenda 1. Regelungen der GPLv2 zu Patenten 2. Implizite

Mehr

2. Automotive SupplierS Day. Security

2. Automotive SupplierS Day. Security 2. Automotive SupplierS Day Security Cyber security: Demo Cyberangriffe Steigen rasant An BEDROHUNGEN VERÄNDERN SICH: Heutige Angriffe durchdacht und erfolgreich Damage of Attacks DISRUPTION Worms Viruses

Mehr

Ways and methods to secure customer satisfaction at the example of a building subcontractor

Ways and methods to secure customer satisfaction at the example of a building subcontractor Abstract The thesis on hand deals with customer satisfaction at the example of a building subcontractor. Due to the problems in the building branch, it is nowadays necessary to act customer oriented. Customer

Mehr

Total Security Intelligence. Die nächste Generation von Log Management and SIEM. Markus Auer Sales Director Q1 Labs.

Total Security Intelligence. Die nächste Generation von Log Management and SIEM. Markus Auer Sales Director Q1 Labs. Total Security Intelligence Die nächste Generation von Log Management and SIEM Markus Auer Sales Director Q1 Labs IBM Deutschland 1 2012 IBM Corporation Gezielte Angriffe auf Unternehmen und Regierungen

Mehr

(Prüfungs-)Aufgaben zum Thema Scheduling

(Prüfungs-)Aufgaben zum Thema Scheduling (Prüfungs-)Aufgaben zum Thema Scheduling 1) Geben Sie die beiden wichtigsten Kriterien bei der Wahl der Größe des Quantums beim Round-Robin-Scheduling an. 2) In welchen Situationen und von welchen (Betriebssystem-)Routinen

Mehr

The poetry of school.

The poetry of school. International Week 2015 The poetry of school. The pedagogy of transfers and transitions at the Lower Austrian University College of Teacher Education(PH NÖ) Andreas Bieringer In M. Bernard s class, school

Mehr

Evil Tech presents: Windows Home Server

Evil Tech presents: Windows Home Server Evil Tech presents: Windows Home Server Eine Vorstellung der Technik eines interessanten Produktes. by rabbit@net Die zentrales Backup zentrale Datenablage Streaming von Medien weltweiter Zugriff einfache

Mehr

A Practical Approach for Reliable Pre-Project Effort Estimation

A Practical Approach for Reliable Pre-Project Effort Estimation A Practical Approach for Reliable Pre-Project Effort Estimation Carl Friedrich Kreß 1, Oliver Hummel 2, Mahmudul Huq 1 1 Cost Xpert AG, Augsburg, Germany {Carl.Friedrich.Kress,Mahmudul.Huq}@CostXpert.de

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

EEX Kundeninformation 2002-08-30

EEX Kundeninformation 2002-08-30 EEX Kundeninformation 2002-08-30 Terminmarkt - Eurex Release 6.0; Versand der Simulations-Kits Kit-Versand: Am Freitag, 30. August 2002, versendet Eurex nach Handelsschluss die Simulations -Kits für Eurex

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Effizienz im Vor-Ort-Service

Effizienz im Vor-Ort-Service Installation: Anleitung SatWork Integrierte Auftragsabwicklung & -Disposition Februar 2012 Disposition & Auftragsabwicklung Effizienz im Vor-Ort-Service Disclaimer Vertraulichkeit Der Inhalt dieses Dokuments

Mehr

FOR ENGLISCH VERSION PLEASE SCROLL FORWARD SOME PAGES. THANK YOU!

FOR ENGLISCH VERSION PLEASE SCROLL FORWARD SOME PAGES. THANK YOU! FOR ENGLISCH VERSION PLEASE SCROLL FORWARD SOME PAGES. THANK YOU! HELPLINE GAMMA-SCOUT ODER : WIE BEKOMME ICH MEIN GERÄT ZUM LAUFEN? Sie haben sich für ein Strahlungsmessgerät mit PC-Anschluss entschieden.

Mehr

Technical Information

Technical Information Firmware-Installation nach Einbau des DP3000-OEM-Kits Dieses Dokument beschreibt die Schritte die nach dem mechanischen Einbau des DP3000- OEM-Satzes nötig sind, um die Projektoren mit der aktuellen Firmware

Mehr

If you have any issue logging in, please Contact us Haben Sie Probleme bei der Anmeldung, kontaktieren Sie uns bitte 1

If you have any issue logging in, please Contact us Haben Sie Probleme bei der Anmeldung, kontaktieren Sie uns bitte 1 Existing Members Log-in Anmeldung bestehender Mitglieder Enter Email address: E-Mail-Adresse eingeben: Submit Abschicken Enter password: Kennwort eingeben: Remember me on this computer Meine Daten auf

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich? KURZANLEITUNG Firmware-Upgrade: Wie geht das eigentlich? Die Firmware ist eine Software, die auf der IP-Kamera installiert ist und alle Funktionen des Gerätes steuert. Nach dem Firmware-Update stehen Ihnen

Mehr

Ingenics Project Portal

Ingenics Project Portal Version: 00; Status: E Seite: 1/6 This document is drawn to show the functions of the project portal developed by Ingenics AG. To use the portal enter the following URL in your Browser: https://projectportal.ingenics.de

Mehr

Introducing PAThWay. Structured and methodical performance engineering. Isaías A. Comprés Ureña Ventsislav Petkov Michael Firbach Michael Gerndt

Introducing PAThWay. Structured and methodical performance engineering. Isaías A. Comprés Ureña Ventsislav Petkov Michael Firbach Michael Gerndt Introducing PAThWay Structured and methodical performance engineering Isaías A. Comprés Ureña Ventsislav Petkov Michael Firbach Michael Gerndt Technical University of Munich Overview Tuning Challenges

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor Routern Rev. 1.0 Copyright 2003 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt, wie eine

Mehr

Lesen Sie die Bedienungs-, Wartungs- und Sicherheitsanleitungen des mit REMUC zu steuernden Gerätes

Lesen Sie die Bedienungs-, Wartungs- und Sicherheitsanleitungen des mit REMUC zu steuernden Gerätes KURZANLEITUNG VORAUSSETZUNGEN Lesen Sie die Bedienungs-, Wartungs- und Sicherheitsanleitungen des mit REMUC zu steuernden Gerätes Überprüfen Sie, dass eine funktionsfähige SIM-Karte mit Datenpaket im REMUC-

Mehr

Robotino View Kommunikation mit OPC. Communication with OPC DE/EN 04/08

Robotino View Kommunikation mit OPC. Communication with OPC DE/EN 04/08 Robotino View Kommunikation mit OPC Robotino View Communication with OPC 1 DE/EN 04/08 Stand/Status: 04/2008 Autor/Author: Markus Bellenberg Festo Didactic GmbH & Co. KG, 73770 Denkendorf, Germany, 2008

Mehr

AS Path-Prepending in the Internet And Its Impact on Routing Decisions

AS Path-Prepending in the Internet And Its Impact on Routing Decisions (SEP) Its Impact on Routing Decisions Zhi Qi ytqz@mytum.de Advisor: Wolfgang Mühlbauer Lehrstuhl für Netzwerkarchitekturen Background Motivation BGP -> core routing protocol BGP relies on policy routing

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

XV1100K(C)/XV1100SK(C)

XV1100K(C)/XV1100SK(C) Lexware Financial Office Premium Handwerk XV1100K(C)/XV1100SK(C) All rights reserverd. Any reprinting or unauthorized use wihout the written permission of Lexware Financial Office Premium Handwerk Corporation,

Mehr

Mobile Security. Astaro 2011 MR Datentechnik 1

Mobile Security. Astaro 2011 MR Datentechnik 1 Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration

Mehr

Perinorm Systemvoraussetzungen ab Version Release 2010

Perinorm Systemvoraussetzungen ab Version Release 2010 Perinorm Systemvoraussetzungen ab Version Release 2010 1. DVD Version - Einzelplatzversion Betriebssystem Unterstützte Betriebssysteme Windows XP, Windows Vista Windows 7 (falls bereits verfügbar) Auf

Mehr

XML Template Transfer Transfer project templates easily between systems

XML Template Transfer Transfer project templates easily between systems Transfer project templates easily between systems A PLM Consulting Solution Public The consulting solution XML Template Transfer enables you to easily reuse existing project templates in different PPM

Mehr

Proxmox Mail Gateway Spam Quarantäne Benutzerhandbuch

Proxmox Mail Gateway Spam Quarantäne Benutzerhandbuch Proxmox Mail Gateway Spam Quarantäne Benutzerhandbuch 12/20/2007 SpamQuarantine_Benutzerhandbuch-V1.1.doc Proxmox Server Solutions GmbH reserves the right to make changes to this document and to the products

Mehr

Labour law and Consumer protection principles usage in non-state pension system

Labour law and Consumer protection principles usage in non-state pension system Labour law and Consumer protection principles usage in non-state pension system by Prof. Dr. Heinz-Dietrich Steinmeyer General Remarks In private non state pensions systems usually three actors Employer

Mehr

Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010. Penetration Testing II Bachelor in Computer Science (BCS) 5. Semester.

Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010. Penetration Testing II Bachelor in Computer Science (BCS) 5. Semester. Penetration Testing II Bachelor in Computer Science (BCS) 5. Semester Botnetze - Funktion, Erkennung und Entfernung von Daniel Baier 1 Gliederung Einführung Definition Übersicht von aktiven Botnetzen Verwendungszweck

Mehr

SAP PPM Enhanced Field and Tab Control

SAP PPM Enhanced Field and Tab Control SAP PPM Enhanced Field and Tab Control A PPM Consulting Solution Public Enhanced Field and Tab Control Enhanced Field and Tab Control gives you the opportunity to control your fields of items and decision

Mehr

Anmeldung Application

Anmeldung Application Angaben zum Unternehmen Company Information Vollständiger Firmenname / des Design Büros / der Hochschule Entire company name / Design agency / University Homepage facebook Straße, Nr. oder Postfach* Street

Mehr

Transparenz 2.0. Passive Nachverfolgung und Filterung von WebApps auf dem Prüfstand

Transparenz 2.0. Passive Nachverfolgung und Filterung von WebApps auf dem Prüfstand Matthias Seul IBM Research & Development GmbH BSI-Sicherheitskongress 2013 Transparenz 2.0 Passive Nachverfolgung und Filterung von WebApps auf dem Prüfstand R1 Rechtliche Hinweise IBM Corporation 2013.

Mehr

Top Tipp. Ref. 08.05.23 DE. Verwenden externer Dateiinhalte in Disclaimern. (sowie: Verwenden von Images in RTF Disclaimern)

Top Tipp. Ref. 08.05.23 DE. Verwenden externer Dateiinhalte in Disclaimern. (sowie: Verwenden von Images in RTF Disclaimern) in Disclaimern (sowie: Verwenden von Images in RTF Disclaimern) Ref. 08.05.23 DE Exclaimer UK +44 (0) 845 050 2300 DE +49 2421 5919572 sales@exclaimer.de Das Problem Wir möchten in unseren Emails Werbung

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

is an interactive, Digital Communication System for caller guided navigation to advanced UMS-like services and information offerings.

is an interactive, Digital Communication System for caller guided navigation to advanced UMS-like services and information offerings. www.ikt-dortmund.de is an interactive, Digital Communication System for caller guided navigation to advanced UMS-like services and information offerings. ist ein interaktives, digitales Kommunikationssystem

Mehr

Projekt Copernicus oder Sophos UTM, quo vadis?

Projekt Copernicus oder Sophos UTM, quo vadis? Projekt Copernicus oder Sophos UTM, quo vadis? Was bisher geschah Sophos kauft im Februar 2014 den indischen Firewall Anbieter Cyberoam Technologies. gegründet 1999, 550 Mitarbeiter Next-Generation Firewall

Mehr

NEXT GENERATION ENDPOINT SECURITY IN ZEITEN VON APT'S

NEXT GENERATION ENDPOINT SECURITY IN ZEITEN VON APT'S NEXT GENERATION ENDPOINT SECURITY IN ZEITEN VON APT'S Wie unbekannte Bedrohungen erkannt und proaktiv verhindert werden können Markus Kohlmeier, Senior Cyber Security Engineer DTS Systeme Rund 140 Mitarbeiter

Mehr

Bayerisches Landesamt für Statistik und Datenverarbeitung Rechenzentrum Süd. z/os Requirements 95. z/os Guide in Lahnstein 13.

Bayerisches Landesamt für Statistik und Datenverarbeitung Rechenzentrum Süd. z/os Requirements 95. z/os Guide in Lahnstein 13. z/os Requirements 95. z/os Guide in Lahnstein 13. März 2009 0 1) LOGROTATE in z/os USS 2) KERBEROS (KRB5) in DFS/SMB 3) GSE Requirements System 1 Requirement Details Description Benefit Time Limit Impact

Mehr

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part XI) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Role Play I: Ms Minor Role Card. Ms Minor, accountant at BIGBOSS Inc.

Role Play I: Ms Minor Role Card. Ms Minor, accountant at BIGBOSS Inc. Role Play I: Ms Minor Role Card Conversation between Ms Boss, CEO of BIGBOSS Inc. and Ms Minor, accountant at BIGBOSS Inc. Ms Boss: Guten Morgen, Frau Minor! Guten Morgen, Herr Boss! Frau Minor, bald steht

Mehr

Browser- gestützte Visualisierung komplexer Datensätze: Das ROAD System

Browser- gestützte Visualisierung komplexer Datensätze: Das ROAD System AG Computeranwendungen und QuanLtaLve Methoden in der Archäologie 5. Workshop Tübingen 14. 15. Februar 2014 Browser- gestützte Visualisierung komplexer Datensätze: Das ROAD System Volker Hochschild, Michael

Mehr

Version/Datum: 1.5 13-Dezember-2006

Version/Datum: 1.5 13-Dezember-2006 TIC Antispam: Limitierung SMTP Inbound Kunde/Projekt: TIC The Internet Company AG Version/Datum: 1.5 13-Dezember-2006 Autor/Autoren: Aldo Britschgi aldo.britschgi@tic.ch i:\products\antispam antivirus\smtp

Mehr

Mash-Up Personal Learning Environments. Dr. Hendrik Drachsler

Mash-Up Personal Learning Environments. Dr. Hendrik Drachsler Decision Support for Learners in Mash-Up Personal Learning Environments Dr. Hendrik Drachsler Personal Nowadays Environments Blog Reader More Information Providers Social Bookmarking Various Communities

Mehr

Das Böse ist immer und überall campu[s]³ 2012 Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes, it's Cloner! It will stick to you like glue

Mehr

Preisliste für The Unscrambler X

Preisliste für The Unscrambler X Preisliste für The Unscrambler X english version Alle Preise verstehen sich netto zuzüglich gesetzlicher Mehrwertsteuer (19%). Irrtümer, Änderungen und Fehler sind vorbehalten. The Unscrambler wird mit

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Support Technologies based on Bi-Modal Network Analysis. H. Ulrich Hoppe. Virtuelles Arbeiten und Lernen in projektartigen Netzwerken

Support Technologies based on Bi-Modal Network Analysis. H. Ulrich Hoppe. Virtuelles Arbeiten und Lernen in projektartigen Netzwerken Support Technologies based on Bi-Modal Network Analysis H. Agenda 1. Network analysis short introduction 2. Supporting the development of virtual organizations 3. Supporting the development of compentences

Mehr

Data Loss Prevention (DLP) Überlegungen zum praktischen Einsatz

Data Loss Prevention (DLP) Überlegungen zum praktischen Einsatz Heinz Johner, IBM Schweiz AG 30. November 2009 Data Loss Prevention (DLP) Überlegungen zum praktischen Einsatz Agenda, Inhalt Begriff und Definition Umfang einer DLP-Lösung Schutz-Szenarien Typische Fragestellungen

Mehr