Datensicherheit. Vorlesung 4: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter

Transkript

1 Vorlesung 4: Wintersemester 2017/2018 h_da, Lehrbeauftragter

2 Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP und S/MIME 3. Netzwerksicherheit / TLS 4. Softwaresicherheit / Malware / Firewalls 5. Einführung in den Datenschutz / Privatsphäre / Anonymität 6. BDSG / DSGVO / Technische und organisatorische Maßnahmen 7. Evaluation / Was ist sichere Software? / Hacking / Live-Hacking x. Beispielklausur durchgehen / Wiederholung 4-2

3 Terminologie (Wiederholung) Schwachstelle (Weakness) ein Software-Fehlertyp, der in gewissen Situationen zu einer Verwundbarkeit der Software führen kann Verwundbarkeit (Vulnerability) das Auftreten einer oder mehrerer Schwachstellen in einer Software, in der diese Schwachstelle genutzt werden kann, um ein Fehlverhalten hervorzurufen Offenlegung (Exposure) das Auftreten einer oder mehrerer Schwachstellen in einer Software, die Informationen oder Funktionen offenlegen, die einen Angriff auf ein System erleichtern Auswirkung (Impact) das Ergebnis, welches eine erfolgreich ausgenutzte Verwundbarkeit in einer Software haben kann 4-3

4 CWE/SANS Top 25 Most Dangerous Software Errors CWE/SANS Top 25 Most Dangerous Software Errors ist eine Liste der meistverbreitetsten und kritischsten Schwachstellen, die zu schwerwiegenden Verwundbarkeiten in Software führen können diese Schwachstellen sind üblicherweise einfach zu finden und leicht auszunutzen und sind gefährlich, weil sie den Angreifer_innen häufig ermöglichen ein System zu kapern, Daten zu klauen oder sie verhindern können, dass ein System normal funktioniert 4-4

5 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 11. CWE CWE CWE CWE CWE-863 Execution with Unnecessary Privileges Cross-Site Request Forgery Path Traversal Download of Code Without Integrity Check Incorrect Authorization 16. CWE CWE CWE CWE-327 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource 20. CWE-131 Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 4-5 Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size

6 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 14. CWE CWE-863 Download of Code Without Integrity Check Incorrect Authorization 19. CWE CWE CWE-250 siehe13. CWE CWE-352 VorlesungPath3Traversal Execution with Unnecessary Privileges Cross-Site Request Forgery 16. CWE CWE-732 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 18. CWE Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size

7 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 11. CWE CWE CWE-22 Execution with Unnecessary Privileges Cross-Site Request Forgery Path Traversal 16. CWE CWE CWE-676 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 4-7 siehe 14. CWE-494 Vorlesung Download of Code CWE-863 Without Integrity Check Incorrect Authorization 19. CWE CWE-131 Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size

8 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 11. CWE CWE CWE CWE CWE-863 Execution with Unnecessary Privileges Cross-Site Request Forgery Path Traversal Download of Code Without Integrity Check Incorrect Authorization 16. CWE CWE CWE CWE-327 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource 20. CWE-131 Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 4-8 Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size

9 CWE-20: Improper Input Validation (unvollständige Eingabeüberprüfung) Wenn Software die Eingabewerte nicht vollständig überprüft, können im Rahmen eines Angriffs Daten an die Anwendung geschickt werden, die so nicht erwartet wurden in den Bereichen, wo die Daten verarbeitet werden. Dies kann dazu führen, dass das System mit diesen Daten nicht umgehen kann und es zu Veränderungen im Kontrollfluss der Anwendung kommt, Kontrolle über beliebige Ressourcen erreicht oder beliebiger Code ausgeführt werden kann. kann sich auf folgende Schutzziele auswirken: Verfügbarkeit Vertraulichkeit Integrität Nichtabstreitbarkeit 4-9

10 Schwachstellen, die zu CWE-20 gehören aus den Top 25: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-134: Uncontrolled Format String CWE-190: Integer Overflow or Wraparound weitere interessante: CWE-73: External Control of File Name or Path CWE-99: Improper Control of Resource Identifiers ('Resource Injection') CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers CWE-158: Improper Neutralization of Null Byte or NUL Character 4-10

11 CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Die Anwendung konstruiert einen Teil oder eine komplette SQLAnweisung basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, welche die beabsichtigte SQLAnweisung verändern könnten, wenn sie an die Datenbank geschickt wird. Datenbankanfragen können manipuliert werden beliebige Daten können - aus der Datenbank gelesen werden - in die Datenbank geschrieben werden - aus der Datenbank gelöscht werden Mögliche Auswirkungen Schutzziel verletzt Daten lesen Vertraulichkeit Schutzmechanismus umgehen Zugriffskontrolle Daten verändern Integrität 4-11

12 CWE-89: Beispiel lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht) PHP Beispiel: $name = $_REQUEST["name"]; $query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name"; $result = mysql_query($query); 4-12

13 CWE-89: Beispiel lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht) PHP Beispiel: $name = $_REQUEST["name"]; $query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name"; $result = mysql_query($query); Eingabewert: Heiko where: public=1 AND name='heiko' gibt nur die Infos zu Heiko aus, wenn sie öffentlich sind 4-13

14 CWE-89: Beispiel lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht) PHP Beispiel: $name = $_REQUEST["name"]; $query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name"; $result = mysql_query($query); Eingabewert: x' OR public=0 OR name='heiko where: public=1 AND name='x' OR public=0 OR name='heiko' gibt auch die Infos zu Heiko aus, wenn sie privat sind 4-14

15 CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') Die Anwendung konstruiert einen Teil oder einen kompletten Betriebssystemaufruf basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, die den beabsichtigten Betriebssystemaufruf verändern könnten, wenn er ausgeführt wird. Betriebssystemaufrufe können manipuliert werden beliebige Befehle können auf der Kommandozeile aufgerufen werden Mögliche Auswirkungen Schutzziel verletzt unzuverlässiges Ausführen von Befehlen DoS: crash / exit / restart Daten verändern Daten lesen Aktivitäten verbergen Vertraulichkeit Integrität Verfügbarkeit Nichtabstreitbarkeit 4-15

16 CWE-78: Beispiel erhalte den Username und zeige die Daten des Users an PHP Beispiel: $username = $_POST["user"]; $command = 'ls -l /home/'. $username; system($command); 4-16

17 Mögliche Mitigationen gegen CWE-20-Schwachstellen Mitigation = Entschärfung eine Maßnahme, um potentielle Schwachstellen zu verhindern oder deren Auswirkung zu reduzieren Eingabeüberprüfung einheitliche Eingabeüberprüfungssysteme einsetzen nur gültige Werte zulassen (White Lists) nur auf ungültige Werte überprüfen, wenn die Liste der gültigen nicht überprüfbar ist es ist schwer alle ungültigen Fälle zu kennen wenn Werte aus verschiedenen Quellen kombiniert werden, die Überprüfung erst nach dem Kombinieren der Werte anwenden Angriffsoberfläche erkennen und verkleinern alle Stellen, in denen Eingaben in die Anwendung gelangen, müssen erkannt und analysiert werden 4-17

18 Schwachstellen, die zu CWE-20 gehören aus den Top 25: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-134: Uncontrolled Format String CWE-190: Integer Overflow or Wraparound weitere interessante: CWE-73: External Control of File Name or Path CWE-99: Improper Control of Resource Identifiers ('Resource Injection') CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers CWE-158: Improper Neutralization of Null Byte or NUL Character 4-18

19 CWE-116: Improper Encoding or Escaping of Output (falsche Codierung oder Formatierung von Ausgaben) Die Anwendung generiert eine strukturierte Nachricht, um mit einer anderen Softwarekomponente zu kommunizieren, aber die Codierung oder Formatierung der Daten in der Nachricht fehlt oder wurde falsch durchgeführt. Dadurch kann die beabsichtigte Struktur der Nachricht verfälscht werden. kann sich auf folgende Schutzziele auswirken: Verfügbarkeit Vertraulichkeit Integrität Zugriffskontrolle 4-19

20 Beziehung zu CWE-20 (Improper Input Validation) je nach Beschaffenheit der strukturierten Nachricht, kann durch korrekt Eingabeüberprüfung verhindert werden, dass spezielle Zeichen und Zeichenfolgen die Struktur der Nachricht manipulieren können Eingabeüberprüfung ist aber nicht immer ausreichend, weil gewisse Zeichen in verschiedenen Kontexten erlaubt oder auch nicht erlaubt sein könnten z.b. Sonderzeichen in Namen: O'Reilly 4-20

21 Anwendungs-Eingabe und -Ausgabe ANWENDUNG EINGABE INTERN 4-21 AUSGABE

22 Anwendungs-Eingabe und -Ausgabe ANWENDUNG EINGABE CWE 20 INTERN 4-22 CWE 116 AUSGABE

23 Anwendungs-Eingabe und -Ausgabe ANWENDUNG Konfigurationdateien Datenbanken Benutzereingaben Webanwendungen usw. CWE 20 INTERN 4-23 CWE 116 Logdateien Datenbanken Systemaufrufe Webanwendungen usw.

24 Auszug aus der deutschen Webseite: OWASP ist eine unabhängige, weltweite Community [...]. Ziel des OWASP ist die Unterstützung von Unternehmen und Organisationen bei der Entwicklung und beim Betrieb sicherer Webanwendungen und das «Sichtbar-Machen» der Bedeutung der Sicherheit von Webanwendungen. Sämtliche OWASP-Instrumente, wie Dokumente, Foren oder die jeweiligen Länder-Chapters stehen kostenlos allen zur Verfügung, die daran interessiert sind, die Sicherheit von Webanwendungen zu erhöhen. Die Community ist frei und offen und heißt alle Interessierten sowie Wissens- und Erfahrungsträger herzlich willkommen. Zwanglos kann dies z. B. im Rahmen der OWASP Stammtische erfolgen, die regelmäßig in vielen deutschen Großstädten stattfinden.

25 OWASP Top 10 Risiken für die Anwendungssicherheit A1: Injection A2: Fehler in Authentifizierung und Session-Management A3: Cross-Site Scripting (XSS) A4: Unsichere direkte Objektreferenzen A5: Sicherheits-relevante Fehlkonfiguration A6: Verlust der Vertraulichkeit sensibler Daten A7: Fehlerhafte Autorisierung auf Anwendungsebene A8: Cross-Site Request Forgery (CSRF) A9: Nutzung von Komponenten mit bekannten Schwachstellen A10: Ungeprüfte Um- und Weiterleitungen 4-25

26 OWASP Top 10 Risiken für die Anwendungssicherheit A1: Injection A2: Fehler in Authentifizierung und Session-Management A3: Cross-Site Scripting (XSS) A4: Unsichere direkte Objektreferenzen A5: Sicherheits-relevante Fehlkonfiguration A6: Verlust der Vertraulichkeit sensibler Daten A7: Fehlerhafte Autorisierung auf Anwendungsebene A8: Cross-Site Request Forgery (CSRF) A9: Nutzung von Komponenten mit bekannten Schwachstellen A10: Ungeprüfte Um- und Weiterleitungen 4-26

27 Malware Malware = Malicious Software (bösartige Software / Schadsoftware) Software, die unerwünschte Funktionen ausführt verschiedene Arten oftmals auch Mischformen: Viren Würmer Trojanische Pferde 4-27

28 Malware Malware = Malicious Software (bösartige Software / Schadsoftware) Software, die unerwünschte Funktionen ausführt verschiedene Arten oftmals auch Mischformen: Viren Würmer Trojanische Pferde je nach Art der bösartigen Funktion wird auch unterschieden nach: Adware Ransomware Rootkits Spyware und viele weitere Unterkategorien

29 Viren selbstreproduzierend keine eigenständige Software benötigen einen Wirt (beispielsweise eine übliche Anwendungssoftware) Wirtssoftware muss ausgeführt werden zum Aktivieren des Virus Funktionsweise: 1. Start des infizierten Programms (Wirtssoftware): Aktivierung des Virus 2. Virus infiziert selbständig andere Programme 3. Virus aktiviert Schadensfunktion 4-29

30 Viren infizierbare Dateien: ausführbare Dateien (Programmdateien, Programmbibliotheken, Skripte, ) Dateien, die ausführbare Inhalte beinhalten (Makros z.b. in PDF-Dateien, Office-Dateien, ) Infektion von Bootsektoren Unterscheidung entsprechender Typen, z.b. Dateiviren Skriptviren Makroviren Bootsektorviren 4-30

31 Infektionswege von Viren Verbreitung: passiv durch Kopieren einer infizierten Wirtsdatei auf ein noch nicht infiziertes System Verbreitungswege: Versenden infizierter Dateien per Einsatz von Software aus fragwürdigen Quellen (z.b. über P2P-Filesharing-Netzwerke, Web-Downloads, ) Kopieren fremder Software (am eigenen oder fremden Rechner) Nutzung fremder oder gemeinsamer Datenträger Arbeiten an Rechnern, deren Festplatte bereits infiziert ist Verwendung infizierter Programme eines Fileservers 4-31

32 Infektionswege von Malware allgemein Quelle: <kes> special 2014#4/6: IT-Landschaften 2014: Lagebericht zur Sicherheit 4-32

33 Würmer spezielle Art von Viren selbstreproduzierend selbstständige Software kein Wirt benötigt Verbreitung: aktiv z.b. durch Versenden von s an Mitglieder der Adressliste muss ausgeführt werden zum Aktivieren des Wurm 4-33

34 Trojanische Pferde auch teilweise als Trojaner bezeichnet (wobei es ja eigentlich eher Griechen heißen müsste das Pferd enthielt ja Griechen, die die Trojaner angegriffen haben) Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.: Löschen von Daten Sperren von Daten Modifizieren von Daten Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder Computernetzwerken 4-34

35 Trojanische Pferde auch teilweise als Trojaner bezeichnet (wobei es ja eigentlich eher Griechen heißen müsste das Pferd enthielt ja Griechen, die die Trojaner angegriffen haben) Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.: Verfügbarkeit Löschen von Daten Sperren von Daten Modifizieren von Daten Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder Computernetzwerken 4-35

36 Trojanische Pferde auch teilweise als Trojaner bezeichnet (wobei es ja eigentlich eher Griechen heißen müsste das Pferd enthielt ja Griechen, die die Trojaner angegriffen haben) Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.: Löschen von Daten Verfügbarkeit Sperren von Daten Modifizieren von Daten Integrität Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder Computernetzwerken 4-36

37 Trojanische Pferde auch teilweise als Trojaner bezeichnet (wobei es ja eigentlich eher Griechen heißen müsste das Pferd enthielt ja Griechen, die die Trojaner angegriffen haben) Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.: Löschen von Daten Verfügbarkeit Sperren von Daten Modifizieren von Daten Integrität Auslesen/Kopieren von Daten Vertraulichkeit Beeinträchtigen der Funktionalität von Computern oder Computernetzwerken 4-37

38 Trojanische Pferde im Gegensatz zu Computerviren und -würmern sind Trojanische Pferde nicht in der Lage, sich selbständig zu vervielfältigen sie werden ganz gezielt von einem Angreifer auf einem PC, Tablet, Smartphone oder sonstigem Computer installiert anhand ihrer Funktion, werden Trojanische Pferde in verschiedene Typen unterteilt: Exploit, Backdoor, Rootkit, Banker, DDoS, Keylogger, Downloader, Fake Antivirus, Instant Messaging, Ransom, Spy, Mailfinder, Clicker, Proxy, Notifier,

39 Funktionen Trojanischer Pferde Exploit Programme, die Daten oder Code enthalten, mit dem Schwachstellen auf dem lokalen Computer ausgenutzt werden, um weitere Rechte zu bekommen oder um unberechtigt Daten zu erlangen. Backdoor Eine Hintertür über die ein anderer Benutzer die Kontrolle über den infizierten Computer erlangt. Backdoor-Trojaner werden häufig eingesetzt, um mehrere befallene Computer zu einem so genannten Botnet oder Zombie-Netzwerk zusammenzuschließen, welches dann zu kriminellen Zwecken verwendet wird, z.b. um einen DDoS-Angriff zu starten. Keylogger (Funktionalität von Spyware) Protokolliert unbemerkt die Tastatureingaben mit und übermittelt sie an den Angreifer. Somit können z.b. Passwörter abgefangen werden. 4-39

40 Funktionen Trojanischer Pferde Ransom Ein Programm, das in der Lage ist, Daten auf einem infizierten Computer so zu manipulieren, sodass es zu Störungen kommt oder bestimmte Daten nicht mehr genutzt werden können. Der Computer funktioniert erst wieder ordnungsgemäß, wenn ein gefordertes Lösegeld bezahlt wurde. Fake Antivirus Trojan-FakeAV-Programme simulieren die Aktivität von AntivirenSoftware. Sie dienen dazu, Geld zu erpressen als Gegenleistung für den Schutz vor Bedrohungen, obwohl diese in Wirklichkeit überhaupt nicht existieren. Also eigentlich eine spezielle Art von Ransomware. 4-40

41 Staatstrojaner Der Chaos Computer Club (CCC) hat eine eingehende Analyse staatlicher Spionagesoftware vorgenommen. Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können. Nicht erst seit das Bundesverfassungsgericht die Pläne zum Einsatz des Bundestrojaners am 27. Februar 2008 durchkreuzte, ist von der unauffälligeren Neusprech-Variante der Spionagesoftware die Rede: von der "Quellen-TKÜ" ("Quellen-Telekommunikationsüberwachung"). Diese "QuellenTKÜ" darf ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies ist durch technische und rechtliche Maßnahmen sicherzustellen. Quelle:

42 Quelle:

43 Sicherheitsrisiken in deutschen Konzernen Quelle: <kes> special 2014#4/6: IT-Landschaften 2014: Lagebericht zur Sicherheit 4-43

44 Schutz vor Malware kein Starten unbekannter Programme Least-Privilege-Prinzip beachten Computer nicht unbeaufsichtigt lassen Anti-Malware-Software einsetzen Firewalls einsetzen, um Netzwerk-Angriffe einzuschränken immer die aktuellsten Sicherheitsupdates installieren (für das Betriebssystem und alle Anwendungen) 4-44

45 Anti-Malware-Techniken Statische Techniken Dynamische Techniken die zu prüfende Software wird untersucht, ohne sie auszuführen die zu prüfende Software wird ausgeführt und das Verhalten beobachtet Scanner Monitoring der Aktivitäten sucht nach bekannten Bitmustern in der Software (Signaturerkennung) sucht nach auffälligen Aktivitäten (Abweichungen von den normalen Aktivitäten) z.b. hohe NetzwerkKommunikation Heuristik sucht nach Virus-ähnlichen ProgrammBereichen Integritätsprüfungen sucht nach unautorisierten Modifikationen in bekannter Software 4-45 Emulation Ausführen der Software in emulierter Umgebung oder in einer Sandbox und dabei Monitoring

46 Least-Privilege-Prinzip Berechtigungen so einschränkend wie möglich halten Software nur mit Administrator-Rechten ausführen, wenn unbedingt notwendig Software mit den Rechten ausführen, die genau das erlauben, was für die Funktionsweise der Software notwendig ist damit kann der Schaden, der bei Ausnutzen von Schwachstellen in der Software erreicht werden kann, eingeschränkt werden 4-46

47 Firewalls eine Firewall ist eine Schnittstelle zwischen dem externen Netzwerk und einem geschützten Bereich (oftmals ein Computer) die Firewall beschränkt den Datenverkehr zwischen dem externen Netzwerk und dem geschützten Bereich zwei Arten Paketfilter Proxies Firewalls arbeiten richtungsabhängig Firewalls für in den geschützten Bereich eingehenden Verkehr Firewalls für aus dem geschützten Bereich ausgehenden Verkehr 4-47

48 Firewall Paketfilter die Aufgabe des Paketfilterns wird meist von einem Router übernommen kann aber auch einfach Software auf einem Computer sein filtert eingehende und ausgehende Daten-Pakete verwirft/erlaubt Pakete abhängig von IP-Adresse des Senders und/oder Empfängers Protokoll (TCP, UDP, ICMP) Port des Senders und/oder Empfängers Eingangsnetzwerkkarte / Ausgangsnetzwerkkarte Beispiele: Fritzbox, Windows-Firewall 4-48

49 Firewall Paketfilter Server Web-Server Firewall Regel 1: erlaube eingehende TCPAnfragen auf Port 80 von beliebigen IP-Adressen Regel 2: erlaube eingehende TCPAnfragen auf Port 443 von beliebigen IP-Adressen 4-49 Clients Benutzer mit Web-Browsern

50 Firewall Proxy wird zwischen Client und Server eingefügt arbeitet als Server und als Client ist Protokoll-spezifisch - für jeden Dienst ist ein eigener Proxy erforderlich, z.b. HTTP, SMTP, NNTP da es Protokoll-spezifisch ist, kann es auch die Semantik der Daten verstehen und entsprechend auch nach Inhalten filtern und auch spezielle Funktionen übernehmen z.b. Verschlüsselung oder Authentifizierung ist (sicherheitstechnisch) nur dann sinnvoll, wenn er nicht umgangen werden kann 4-50

51 202a StGB Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. 4-51

52 202b StGB Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten ( 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. 4-52

53 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach 202a oder 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) 149 Abs. 2 und 3 gilt entsprechend. 4-53