IT-Sicherheit BS 2008/09 IAIK 1

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit BS 2008/09 IAIK 1"

Anna Schmitt
vor 7 Jahren
Abrufe

1 IT-Sicherheit BS 2008/09 IAIK 1

2 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter Benutzung zu schützen IAIK 2

3 Begriffe Safety (Betriebssicherheit) Security (IT-Sicherheit) IAIK 3

4 Bedrohungen / Ziele Drei generelle Ziele Für jedes Ziel existiert Bedrohung Vertraulichkeit Aufdeckung (confidentiality) Integrität (integrity) Manipulation Verfügbarkeit (availability) Denial-of-Service IAIK 4

5 Angreifer Wer sind die Feinde? Passive Angreifer Wollen nur lesen Aktive Angreifer Wollen Ändern oder Zerstören IAIK 5

6 Angriffe Top Attacker: Most Attacked Port: 137 Geographic Distribution of attack sources. Last 5 days IAIK 6

7 Angriffe IAIK 7

8 Kategorien Gelegentliches Herumschnüffeln zb Lesen von fremden s Neugierde, kein System Insider Oft hoch qualifiziert Herausforderung Wirtschaftlicher Nutzen Bestehlen des Dienstgebers Spionage (milit. oder Wirtschafssp.) IAIK 8

9 Aufwand Einfacher, den gelegentlichen Schnüffler abzuwehren als eine fremde Regierung Ausmaß an Sicherheit und Schutz gegen wen will ich mich schützen IAIK 9

10 Vulnerabilities Unmenge an Schwachstellen in gängiger Software nicht nur BS Vulnerabilities high risk vulnerabilities 25 medium risk vulnerabilities Software: bpftp, kvm, phpweather, typo3, v3chat IAIK 10

11 Vulnerabilities Dezember 2008: 529 vulnerabilities Linux / Windows IAIK 11

12 Windows Vista IAIK 12

13 Windows XP IAIK 13

14 Linux IAIK 14

15 Incidents Aus US-Cert quarterly report Q IAIK 15

16 Incidents IAIK 16

17 Zugriffsrechte Insider-Attacken enorm wichtig Kneed-to-know-Prinzip Zugriffsrechte auf Dateien etc. wgo rwx (Unix) ACL (Access Control Lists) IAIK 17

18 Unix Rechte für Owner Besitzer der Dateien Group Besitzer-Gruppe World alle anderen Rechte R read W write X - execute IAIK 18

19 Windows IAIK 19

20 Weitere Rechte IAIK 20

21 Benutzerauthentifikation Wichtig zu wissen, wer den Rechner benutzt festlegen, was er darf Identifikation: Benutzer-ID Authentifikation: Nachweis, dass man der ist der man vorgibt zu sein IAIK 21

22 Benutzerauthentifikation Drei Prinzipien durch etwas, das man weiß durch etwas, das man besitzt durch etwas, das man ist IAIK 22

23 Etwas, das man weiß Passwörter einfach zu verstehen einfach zu implementieren zentrale Liste (userid, password) IAIK 23

24 Passworteingabe ohne Echo!!! Windows: ******* Unix: *** verraten die Länge des Passworts! IAIK 24

25 Cracken ausprobieren von uid/pwd- Kombinationen User-Id oft leicht erratbar meist Namen / Name + Vorname Passwort muss auch erraten werden Wie leicht ist das? IAIK 25

26 Passworte knacken ist nicht sehr schwer ca 80-90% der Passworte sind einfache Begriffe telnet-angriff: Serie von IP-Adressen mit telnet a.b.c.d und geratenen Userids/Passworten attackieren schwache Passworte schlechter Schutz IAIK 26

27 Passwort-Sicherheit Passworte nie in unverschlüsselter Form speichern! Einwegfunktion auf Passwort h(pwd) abspeichern Login: h(eingabe) == h(pwd)? IAIK 27

28 Angriff darauf Liste möglicher Passworte generieren Wörterbücher Kombinationen und Variationen für alle Einträge h(eintrag) berechnen und speichern verschlüsseltes Passwort so knackbar IAIK 28

29 Lösung Salt n Bit Zufallszahl unverschlüsselt in Passwortdatei gespeichert wird h(salt+passwort) Angreifer muss 2 n mal so viele Einträge anlegen n muss groß genug sein! Hilft aber nichts gegen uid=martin, passwort=martin! IAIK 29

30 Passwortsicherheit ein Passwort soll mindestens 7 Zeichen lang besser 8 oder mehr manche Systeme: nur 8 Zeichen!!! aus Klein und Großbuchstaben bestehen mindestens eine Zahl + Sonderzeichen enthalten nicht in Wörterbüchern enthalten sein IAIK 30

31 Passwortsicherheit Prüfung der Qualität bei Änderung Zurückweisen bei Mangel ev. Vorschlag eines Passworts durch Software Passwort sollte aber auch merkbar sein egpkmslm,o? ein gutes passwort kann man sich leicht merken, oder? IAIK 31

32 Passwortgültigkeit Ablauf des Passworts zu oft: Benutzern fallen keine guten Passworte ein Qualität sinkt auch Qualitätskontrolle schwer merkbare Passworte werden aufgeschrieben IAIK 32

33 Einmal-Passworte Benutzer enthält Liste von Passworten kann Passwort nur einmal verwenden Abhören von Passworten: hilft nichts mehr TANs bei electronic banking IAIK 33

34 Challenge-Response Liste von Fragen/Antworten, Antworten (nur?) dem Benutzer bekannt Wer ist die Schwester von Marlene? wie hieß Ihre Volksschullehrerin? welches ist Ihre Lieblingspizza? Server wählt zufällige Frage Unterstützung durch Hardware (zb. Secure-ID) IAIK 34

35 Etwas, das man hat zb einen Schlüssel oder eine Chipkarte Einstecken der Karte Eingabe eines PIN wie beim Bankomat IAIK 35

36 Chipkarten zwei Arten: Speicherkarten Smart Cards: hat CPU Challenge-Response-Verfahren mit Smart-Card Kryptographische Verfahren einsetzbar IAIK 36

37 Smart Card IAIK 37

38 Biometrie Messen charakteristischer Merkmale des Benutzers Fingerabdruck Handgeometrie Netzhautmuster nicht wirklich zuverlässig und gut IAIK 38

39 Akzeptanz Akzeptanz wichtig Fingerabdruck assoziiert Verbrecher Iris-scan nicht angenehm Harn- oder Blutprobe???? für Hochsicherheitsanwendungen denkbar für ecommerce nicht IAIK 39

40 Andere Angriffe Viren Trojanische Pferde Login-Spoofing Logische Bomben Hintertüren IAIK 40

41 Pufferüberläufe IAIK 41

42 Betriebssystem absichern Virenschutz etc. Richtige Konfiguration Automatische Updates Sans.org hat liste von Literatur für gängige BS IAIK 42

Ähnliche Dokumente

IT-Sicherheit IAIK 1

IT-Sicherheit IAIK 1 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter