Zur Sicherheitslage 28. November 2005 Sicherheitstage WS 2005/2006

Transkript

1 Zur Sicherheitslage 28. November 2005 Sicherheitstage WS 2005/2006 Hergen Harnisch

2 Übersicht 1. Statistik / Vorfälle Uni Hannover 2. Bedrohungen: a) Bot-Netze b) Bruteforce-SSH c) social Engineering d) mobile IT-Systeme Hergen Harnisch Sicherheitslage Folie 2

3 Statistik / Vorfälle Hergen Harnisch Sicherheitslage Folie 3

4 Statistik / Vorfälle Aufteilung nach Vorfallsarten 1-12/ /2005 Hergen Harnisch Sicherheitslage Folie 4

5 Bedrohungen: BOT-Netze (Funktionsweise) Die C&C-Hosts beherbergen spezielle IRC-Kanäle Quelle: DFN-CERT Der Botmaster kontrolliert das Botnetz mittels IRC-Kommandos. Die Bothosts melden sich in den IRC-Kanälen an und erwarten die Befehle ihres Botmasters. Hergen Harnisch Sicherheitslage Folie 5

6 Bedrohungen: BOT-Netze (Bsp. DDoS) Quelle: DFN-CERT.ddos.syn x.x ddos.syn x.x Alle Rechner im Botnetz fluten das Opfer für 300 Sekunden mit TCP-SYN Paketen Hergen Harnisch Sicherheitslage Folie 6

7 Bedrohungen: BOT-Netze (Funktionen) Rootkit / Anti- Antivirus Keylogger / Sniffer Quelle: DFN-CERT IRC-Client Update (HTTP, (T)FTP, DCC) [...] SOCKS- Proxy Hergen Harnisch Sicherheitslage Folie 7 HTTP/FTP- Server

8 Bedrohungen: BOT-Netze (Schadfunktionen) Quelle: DFN-CERT SPAM-Versand DDoS Keylogging Scannen und Weiterverbreitung Identitäts-Klau Phishing (inkl. Website) und, und, und,... Kennungen und Passworte sniffen Hergen Harnisch Sicherheitslage Folie 8

9 Bedrohungen: BOT-Netze Anwendungen von BOT-Netzen DDoS-Angriffe Spam-Versand ( Spam-Zombie ) Krieg zwischen Bot-Armeen Manipulation von Online-Abstimmungen Motivation für Betreiber wie früher: Ansehen in der Szene Erpressung (angeblich Firmen Lösegeld bis zu $) Vermietung zunehmend kriminelle und kommerzielle Interessen Beispiele / Trends: größter DDoS-Angriff seit 3 Jahren (andauernd), bis zu 40 GBit/s Bis zu Bot-Hosts in einem Bot-Netz Trend zu mehr Netzen mit weniger Hosts Hergen Harnisch Sicherheitslage Folie 9

10 Bedrohungen: BOT-Netze Angriffe gegen Bezahlung: Quelle: DFN-CERT Hergen Harnisch Sicherheitslage Folie 10

11 Bedrohungen: BOT-Netze Verbreitung: wie bei Viren, Würmern etc. Besonderheiten: Zeitversatz zwischen Befall und Auffälligkeit bewusste Steuerung des Bot-Host Nachladen von Schad-Software mehrfache, verschiedenartige Angriffe von Bot-Host ausgehend Gegenmaßnahmen: wie bei Viren, Würmern etc. (Virenscanner, Firewall, Updates ) verdachtsunabhängiges Scannen: von sauberem System aus, z.b. Live-CD (wie Koppicillin der c t); vgl. auch Stealth-Viren, Rootkit Traffic-Scan, Auffinden / Analyse der C&C-Hosts, Honeynet Hergen Harnisch Sicherheitslage Folie 11

12 Bedrohungen: BOT-Netze (Aufspüren) Passiver Ansatz: Quelle: DFN-CERT Angriffspunkte und Schwachstellen bei Botnetzen Kontaktaufnahme zum C&C-Server (Flows) Kommunikation C&C <-> Bots (IRC-Befehle) Datenverkehr während der Weiterverbreitung Datenverkehr während laufender Angriffe Performancemessungen durch Bots DNS Hergen Harnisch Sicherheitslage Folie 12

13 Bedrohungen: BOT-Netze (Aufspüren) Aktiver Ansatz: Quelle: DFN-CERT / Hergen Harnisch Sicherheitslage Folie 13

14 Bedrohungen: Bruteforce SSH Automatisiertes Durchprobieren von Benutzerkennungen / Passwörtern Syslog-Auszug (einmal Standard-Kennungen, einmal Wörterbuch ): Nov 7 10:21:50 5E:onyx3 sshd(pam_unix)[ ]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root Nov 7 10:21:50 6E:onyx3 sshd[ ]: Failed password for root from port ssh2 Nov 7 10:21:54 6E:onyx3 sshd[ ]: Illegal user admin from Nov 7 10:21:57 6E:onyx3 sshd[ ]: Illegal user test from Nov 7 10:22:05 6E:onyx3 sshd[ ]: Illegal user guest from Nov 7 10:22:15 5E:onyx3 sshd(pam_unix)[ ]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root Nov 7 10:22:15 6E:onyx3 sshd[ ]: Failed password for root from port ssh2 Nov 7 10:22:16 6E:onyx3 sshd[ ]: Illegal user webmaster from Nov 7 10:22:18 6E:onyx3 sshd[ ]: Illegal user admin from Nov 7 10:22:21 6E:onyx3 sshd[ ]: Illegal user test from Nov 7 14:48:22 6E:onyx3 sshd[ ]: Did not receive identification string from Nov 7 14:48:25 6E:onyx3 sshd[ ]: Did not receive identification string from Nov 7 15:11:14 6E:onyx3 sshd[ ]: Illegal user andrew from Nov 7 15:11:20 6E:onyx3 sshd[ ]: Illegal user adam from Nov 7 15:11:20 6E:onyx3 sshd[ ]: Illegal user trial from Nov 7 15:11:20 6E:onyx3 sshd[ ]: Illegal user calendar from Nov 7 15:11:24 6E:onyx3 sshd[ ]: Illegal user poq from Nov 7 15:11:24 6E:onyx3 sshd[ ]: Illegal user pgsql from (usw.) keine Sicherheitslücke von SSH Hergen Harnisch Sicherheitslage Folie 14

15 Bedrohungen: Bruteforce SSH Gegenmaßnahmen: Einschränkung der Zugangsanzahl: nicht alle Rechner (zumindest nicht von überall her) nicht alle Nutzer freischalten nur personalisierte Zugänge (kein ssh-zugang für root) Einschränkung von Versuchen Nach fehlgeschlagenen Versuchen Source-IP vorübergehend sperren: PAM-Modulpam_tally Schlüssel statt Passwort Public- und Private-Key-Verfahren nutzen, Passwortverwendung in sshd.conf verbieten sichere Passwörter regelmäßige Kontrolle mit crack o.ä. Komplexitätsforderung bei Passwortvergabe & -änderung: PAM-Modulpam_cracklib bzw. Windows-Sicherheitsrichtlinie Hergen Harnisch Sicherheitslage Folie 15

16 Bedrohungen: social Engineering Sicherheitslücke vor dem Computer : Telefonanruf: Bin Admin und brauche Ihr Passwort Phishing- s Spyware/Trojaner in nutzergewünschter Anwendung: manuell geöffneter -Anhang Programm-Installation (z.b. Bildschirmschoner) Gegenmaßnahmen: stripped-down oder locked-down Systeme Arbeiten nicht als Administrator (nur so viele Rechte wie nötig) Spyware- und Virenscanner, Spam-Filter (Personal-) Firewall zur Schadensbegrenzung aber diese traditionellen Ansätze nur begrenzt wirksam, das Wichtigste: informierte Anwender! Hergen Harnisch Sicherheitslage Folie 16

17 Spam-Abwehr mit PureMessage Für alle Mail-Accounts, die über die RRZN-Mailserver gehen: Eingehende Mails werden mit PureMessage von Sophos gescannt: Viren landen in Quarantäne Spam-Schutz muss aktiviert werden (i.allg. vom einzelnen Empfänger): 1. per Web Zugangsdaten anfordern 2. Zugangsdaten kommen per Mail 3. per Web Pure-Message konfigurieren Beschreibung unter (oder über RRZN-Webseite / Netz Mail-Service / PureMessage) Nutzer über die Möglichkeit informieren [ keine zentrale Vorgabe wegen rechtlicher Probleme ] Hergen Harnisch Sicherheitslage Folie 17

18 mobile IT-Systeme: Gefährdungen Notebooks, Mobiltelefone, USB-Sticks, Kameras bringen neue Risiken 1. für die Institutsnetze und angeschlossene Rechner: Umgehung einer Firewall verstärkter Datenaustausch unauthorisierte Geräte im LAN (Institutsnetz), Nutzer mit Admin-Rechten am LAN 2. für die mobilen Geräte selbst: automatische Updates & Wartung schwierig Betrieb in unsicherer Umgebung (z.b. auch lokales WLan-Netz) verstärkter Datenaustausch mit anderen Systemen Beispiel Symbos_Cardtrp.A: Handy-Schädling schreibt Autorun.inf auf Flash Hergen Harnisch Sicherheitslage Folie 18

19 mobile IT-Systeme: Maßnahmen Zusätzlich zu den üblichen Maßnahmen für alle Rechner: Personal-Firewall Autostart für alle Wechselmedien deaktivieren für Notebooks: auf Update von System & Virenscanner achten Irda, Bluetooth, WLAN deaktivieren lokales System mit Passwort sichern (BIOS, OS) Daten ggf. verschlüsselt ablegen (z.b. PGP, EFS) Datenbackup häufig manuell nötig Sonstiges: Dienste nicht unnötig wegen mobiler Anforderungen weltweit freischalten, sondern VPN, SSH etc. propagieren; https statt http anbieten Hergen Harnisch Sicherheitslage Folie 19

20 Literatur Bot-Netz DFN-Mitteilungen Nr. 68, Juni 2005, S RUS-CERT: Knoppicillin: zuletzt in c t 23/2005 Sicherheits-CD von Microsoft unter SSH Überblick PAM: PAM unter Linux: social Engineering Bsp. Anwenderinfo: mobile IT-Systeme Handy-Windows-Virus: Hergen Harnisch Sicherheitslage Folie 20