Sicherheitsvorfälle erkennen am Beispiel von Linux Syscall-Audit-Logs
|
|
- Frauke Wagner
- vor 6 Jahren
- Abrufe
Transkript
1 Sicherheitsvorfälle erkennen am Beispiel von Linux Syscall-Audit-Logs Beobachten und Lernen AIT Austrian Institute of Technology, AT 4. November 2016 St. Pölten, Österreich Kontakt:
2 Inhalt Sicherheitsherausforderungen Sicherheitsherausforderungen bei generischen Systeme Linux Audit-Subsystem als Hilfsmittel zur Absicherung Logdatenminieren mit AMiner Grundkonzept Analysemodi Anwendungsbeispiel Zusammenfassung
3 Sicherheitsherausforderungen Generische Desktop- und Serverbetriebssysteme wurden nie auf einen einzigen konkreten Zweck hinentwickelt. Daher: Generischer Kern und Sicherheitskonzept für breite Einsetzbarkeit, spezifische Härtung durch Nutzer notwendig Großer Funktionsreichtum des Kerns und der Applikationen Rückwärtskompatibilität vieler APIs, z:b. Syscall-API Dadurch große Angriffsfläche vorhanden, besonders riskant die kaum genutzten (Kompatibilitäts-)Features. Der wahre Funktionsumfang oft nicht einmal allen Entwicklern, schon gar nicht den Anwendern bekannt! Durch Härtung kann man Angriffsfläche signifikant verringern, dadurch wird aber oft Usability und Wartbarkeit schlechter!
4 Linux Audit-Subsystem Anwendungen und Schadsoftware kommunizieren (vorerst) mit dem Kern nur über Systemaufrufe (Syscalls) Vor oder nach der Bearbeitung des Aufrufs kann Audit-System konfigurierbar eingreifen und Informationen über Aufruf bereitstellen Schnittstelle damit sehr ähnlich zu den von AV-Lösungen genutzten Audit-Informationen können danach von Userspace-Applikationen übernommen, in Logfiles geschrieben oder miniert werden. Idealerweise werden besonders heikle Syscalls sofort remote geloggt, z.b. über die Kombination auditd/rsyslog. Durch Audit-System können Privilegienüberschreitungen (Privilege escalation) von Userspaceprogrammen erkannt werden. Kernellücken werden nur sichtbar falls Kernel nach Aufruf noch teilfunktional, Angriffssyscall selber ungewöhnlich ist.
5 Beispiel 64-Bit Syscall-Table %rax Name Entry point Implementation 0 read sys_read fs/read_write.c 1 Write sys_write fs/read_write.c 2 Open sys_open fs/open.c 3 Close sys_close fs/open.c 4 Stat sys_newstat fs/stat.c 5 Fstat sys_newfstat fs/stat.c 6 Lstat sys_newlstat fs/stat.c 7 Poll sys_poll fs/select.c 8 lseek sys_lseek fs/read_write.c Siehe z.b.: 5
6 Beispiel auditd-regeln... # filter out regular syscalls from internal syslog operation. -a never,exit -F arch=b64 -F uid=syslog -F gid=syslog -F euid=syslog -F egid=syslog -F suid=syslog -F sgid=syslog -F fsuid=syslog -F fsgid=syslog -S getegid -S recvmsg # Ignore calls not so interesting for privilege escalation. -a never,exit -F arch=b64 -S brk -S clock_gettime -S fcntl -S fstat -S futex -S getdents -S getegid -S geteuid -S getgid -S getuid -S lseek -S mmap -S mprotect -S munmap -S nanosleep -S poll -S read -S rt_sigaction -S rt_sigprocmask -S rt_sigreturn -S select -S set_robust_list -S set_tid_address -S socket -S wait4 -S write # Log everything else. -a always,exit 6
7 Beispiel Audit-Logs type=syscall: arch=c000003e syscall=21 success=no exit=-2 a0=7f6987fa9b8a a1=0 a2= a3=7f69881b1480 items=1 ppid=1682 pid=3402 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=3 comm="lxc-start" exe="/usr/bin/lxcstart" key=(null) type=cwd: cwd="/" type=path: item=0 name="/etc/ld.so.nohwcap" nametype=unknown type=proctitle: proctitle="-bash # aureport -if audit.log --syscall --interpret --summary Syscall Summary Report ========================== total syscall ========================== 93 ioctl 89 stat 88 epoll_wait 78 access 7
8 Anomaly Miner (AMiner) Übersicht Basisimplementierung mit: Aktuellem Systemmodell (Parser), Regelbasis Manuelle Konfiguration beim Einzelbetrieb oder Fernsteuerung Echtzeit-Systemüberwachung: Violate/Ignore-Expressions Modulare Konfiguration SIEM-Integration -Benachrichtigungen Besonderheiten Hohe Performanz bei komplexen Regelsets Stream-Processing (keine Lastspitzen) Nutzung von systemübergreifenden Korrelationsregeln und statistischer Analyse 8
9 Verfügbarkeit AMiner: Lizenz: Open Source (GNU GPLv3) In Debian Distribution verfügbar Ubuntu ab Yakkety (Trusty/Xenial auf Anfrage) Links: ÆCID zum Steuern von Aminerclustern in der Produktion: Closed source (verfügbar über AIT) Weiterentwicklung anhand realer externer Anwendungsfälle Interne Nutzung zur Verbesserung der Servicequalität/Sicherheit z.b. im Bereich Telemedizindienste Kontakt: 9
10 AMiner Regelprüfung Verwaltung von baumartigen Regelstrukturen (effizientere Abarbeitung) Regeln in einem Durchgang parallel nutzbar für Whitelisting Blacklisting Reaktion (interne/externe Prozesse anstoßen) Regelprüfung leicht um eigenen Code erweiterbar, z.b. Implementierung von Spezialregeln Optimierung 10
11 AMiner - Whitelisting Einsatz von Whitelisting um folgende Nachteile von Blacklisting zu vermeiden: Nur bekannte Angriffe erkennbar Angriffssignaturen: Erkennung durch Abwandlung des Angriffs umgehbar Nur stark abweichendes, klar bösartiges Verhalten kann so erkannt, werden: Absicht aber nicht durch Anwendung von Regel auf eine Logzeile allein erfassbar: akzeptables Verhalten kann in einem anderen Kontext klarer Angriff sein 11
12 Whitelisting Werte und Wertkombinationen Eine Möglichkeit zum Erlernen eines Normalzustandes: Bisher beobachteten Werte einer Zeilenart sammeln Die Menge der erlaubten Werte eines Typs ermitteln, z.b. die Menge aller User-IDs. Wenn mehrere Werte immer korreliert auftreten, so kann die Kombination erlernt werden Beispiel: SSH logins von bestimmten IPs: Jun 20 08:59:37 localhost sshd[1008]: Accepted publickey for backup from port ssh2: RSA SHA256:9k... Kombination Nutzername/IP/Key muss stimmen! 12
13 Automatisierte Schwachstellensuche im Echtbetrieb Manche Schwachstellen lassen sich aus Auditlogs beweisen oder vermuten, z.b. Folgen von Symbolic Links eines anderen Users (CWE-59,..) Laden von Bibliotheken aus nicht vertrauenswürdigen Verzeichnissen (CWE-426) Erstellung temporäre Dateien in /tmp ohne O_EXCL, mit falscher umask (CWE-377, CWE-378) Stdout/stdin/stderr-Existenz bei Programmstart nicht geprüft Signale an Prozesse in anderen Prozessgruppen senden ohne /proc/[pid] geöffnet zu halten (VMA!) Chroot betreten ohne chdir, Filedescriptoren von außerhalb zu schließen (CWE-243) (Common Weakness Enumeration) 13
14 Anwendungsbeispiel - Schwachstellenerkennung Anwendungsbeispiel: LXC (Linux Containers) erlaubt leichtgewichtige Virtualisierung von Linuxgastsystemen Im Gastsystem scheint Administrator UID=0 zu sein, aus Host-Sicht ist er aber normaler User Ein Container kann von außen mit lxc-attach betreten werden, z.b. für automatisierte Wartung 14
15 Anwendungsbeispiel - Problematische Sequenzen: # Verzeichnis auf Host geöffnet, nicht geschlossen. open("/proc", O_RDONLY O_DIRECTORY) = 7 open("/proc/1632/ns/user", O_RDONLY O_CLOEXEC) = 9 # Über setns chroot in den Gast durchgeführt, fd=7 mitgenommen setns(9, 0) = 0 # Im Gast capabilities ausgelesen (nicht vertrauenswürdig)... open("/proc/sys/kernel/cap_last_cap", O_RDONLY) = 9 #... und Inhalt genutzt prctl(pr_capbset_drop, CAP_SYS_MODULE) = 0 # Sich zum Gast-Root-User gemacht und Verzeichnis noch immer offen setuid(0) = 0 # Endlich fd=7 geschlossen bevor Shell im Gastsystem gestartet close(7) = 0 execve("/bin/bash", ["/bin/bash"], [/* 19 vars */]) = 0 15
16 Anwendungsbeispiel - Problematische Sequenzen: Bei Kenntnis der vulnerablen Aufrufe kann dafür ein Exploit entwickelt werden: Funktionsprinzip wie Drehtür: Bösartiger Prozess sitzt im Gast Betritt gutartiger Prozess von außen das Gastsystem, so verlässt in dem Moment der andere Prozess den Gast und bekommt Zugriff auf den Host Exploitkomplexität gering: 63 Zeilen C 20 Zeilen Shellscript Ergebnis: typischer, neuer Zeroday 16
17 Anwendungsbeispiel Normalverhalten ermitteln Obwohl viele Anwendungen installiert, so werden oft nur sehr wenige genutzt und das auch nur von wenigen Usern (UIDs) Im Normalbetrieb kann daher mit AMiner eine Liste dieser Kombinationen aufgebaut werden: # Detect strange architecture/syscall combinations from aminer.analysis import NewMatchPathValueComboDetector servicedetector=newmatchpathvaluecombodetector( analysiscontext.aminerconfig, [.../host', '.../arch', '.../syscall', '.../uid', '.../euid',..., '.../fsgid', '.../executable'], anomalyeventhandlers, peristenceid='audispdsyscallcombos', allowmissingvaluesflag=false, autoincludeflag=true) Durch autoincludeflag=true werden neue Kombinationen automatisch hinzugefügt, getrennt nach überwachtem Host. 17
18 Demo LIVE-Demo (wenn Zeit und Beameranschluss funktioniert) 18
19 Anwendungsbeispiel Erkennung des Zerodays Beim Anwenden des Zero-Days werden verschiedenste atypische Syscalls erkannt: Trivial: Neuer Programmname LxcAttachEscape, Gegenmaßnahme: Umbenennen oder Code durch überschriebene Library in existierendes Binary einbringen # /tmp/test The child stack pointer is 0x7ffc93e71ef8 Found at offset 0x588 Found at offset 0x5e8 Found at offset 0x700 Found at offset 0x1ad0 Leaving container... Um den Race zu gewinnen werden named pipes genutzt: anlegen über mknod schlägt trotzdem an (sonst nie genutzt) find dupliziert nicht Filehandles über dup2 Insgesamt treten 645 Anomalien nur durch den Aufruf des Exploits auf! 19
20 Anwendungsbeispiel Statistik der Abweichungen ========================== total syscall ========================== 1527 [magic syscall] 36 fcntl64 30 open 20 ioctl 8 fstat64 8 openat 7 stat 13 access 2 connect 2 getgroups 2 fchdir 2 statfs64 2 faccessat 1 execve 1 mknod 1 uname... 20
21 Zusammenfassung Mit Linux Boardmitteln (kernel, auditd) und freier Software AMiner können sicherheitsrelevante Informationen aus dem Audit- Subsystem miniert werden Es kann eine systemspezifische Baseline der üblichen Aufrufkombinationen erstellt werden Es können durch Angreifer ausnutzbare Aufrufkombinationen erkannt werden, ohne dass diese bereits angegriffen worden wären. Selbst unbekannte Schadsoftware erzeugt eine recht starkes Signal, wenn sie nicht exakt an das Nutzungsverhalten der jeweiligen Maschine angepasst wird. 21
22 Ausblick Evaluierung des Ansatzes im Produktionsumfeld (Enumerierung vulnerabler Software in Produktion) Entwicklung von vollautomatisierter Erkennung von vulnerablen Syscallsequenzen (bzw. Graphen) CALL FOR CONTRIBUTIONS: Es gibt eine enge Kooperation zwischen AIT und FH St. Pölten Wir vergeben laufend Bachelor- und Masterarbeiten Berufspraktikum 6-10 Monate im ICT Security Research Team Bei Interesse, bitte einfach melden (siehe Kontaktdaten) 22
23 Danke für Ihre Aufmerksamkeit! Diskussion? Demonstration, spezifische Vor- und Nachteile je nach Einsatzgebiet, Hands-On-Experience vor dem Hörsaal! DI Roman Fiedler Scientist Digital Safety & Security Department AIT Austrian Institute of Technology 23
System Monitoring mit strace. Systemcall tracing
System Monitoring mit strace Systemcall tracing 1 Gliederung Einleitung: Was ist strace Grundlagen zu strace Kernel Kernelspace vs. Userspace Systemcalls ptrace Simple strace (Demo) strace die wichtigsten
MehrUNIX Dateirechte. Michael Hartmann. 7. Oktober 2015. Linux User Group Augsburg
UNIX Dateirechte Michael Hartmann Linux User Group Augsburg 7. Oktober 2015 Sicherheitskonzept Wie funktioniert eigentlich Sicherheit auf Computern? Sicherheitskonzept https://de.wikipedia.org/wiki/ring_%28cpu%29
MehrLinux Intrusion Detection System (LIDS, www.lids.org)
Linux Intrusion Detection System (LIDS, www.lids.org) oder: wie mache ich mein System sicher... und mir das Leben schwer :-) Michael Würtz TU Darmstadt, HRZ 10/2003 Inhalt 1. Intrusion Detection in Kurzform
MehrExakte Systemkontrolle
Exakte Systemkontrolle Geht es um die Protokollierung auf Unix-Systemen, so fällt einem schnell der altgediente Syslog-Daemon ein. Jedoch besitzt der Linux- Kernel parallel dazu seit einiger Zeit ein sehr
MehrLogApp - Security Information und Event Management leicht gemacht!
LogApp - Security Information und Event Management leicht gemacht! LogApp SECURITY INFORMATION UND EVENT MANAGEMENT LEICHT GEMACHT! Moderne Sicherheitsanforderungen in Unternehmen erfordern die Protokollierung
MehrRemote Logging mit rsyslog
Remote Logging mit rsyslog Inklusive Tools zur Überwachung und Verwaltung Thomas Merkel Arkadiusz Rawa Janik Lemcke Hochschule Ravensburg-Weingarten 17. Juni 2011 Inhaltsverzeichnis Remote Logging rsyslog
Mehr3. Grundlagen der Systemprogrammierung
3.1 Betriebssysteme Zum täglichen Umgang des Systemprogrammierers gehört in erster Linie das Betriebssystem des Rechners, mit dem er arbeitet. Es ist daher selbstverständlich, daß er sich einen guten Einblick
MehrAnwendungen. Tom Vogt. <tom@lemuria.org>
Security Enhanced Linux Einführung Architektur Anwendungen Tom Vogt Der Autor beschäftigt sich seit ca. 10 Jahren mit Linux. hat an verschiedensten Free Software Projekten mitgearbeitet,
MehrIsolierte Umgebungen für Python Anwendungen Teil 2. Christine Koppelt, Jürgen Schackmann, Stefan Seelmann
Isolierte Umgebungen für Python Anwendungen Teil 2 Christine Koppelt, Jürgen Schackmann, Stefan Seelmann Grenzen von virtualenv Anwendungen bestehen neben Python aus einer Reihe weiterer Komponenten (zusätzliche
MehrKnottenwäldchen Software
Knottenwäldchen Software Installationsanleitung für die netzbasierte Lösung Knottenwäldchen Software März.2011 Knottenwäldchen Software Seite 2 1 Inhalt 1 Inhalt... 2 2 Übersicht... 3 3 Installation...
Mehrlsof Johannes Franken <jfranken@jfranken.de>
lsof Johannes Franken Auf dieser Seite zeige ich Anwendungsbeispiele für lsof, ein Kommandozeilentool zur Diagnose von Unixsystemen. Inhalt 1. Übersicht 2. Security 3. Filter-Optionen
MehrVortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren. Bruno Kleinert fuddl@gmx.de. 20. Juni 2007
User Mode Linux (UML) Vortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren Friedrich-Alexander-Universität Erlangen-Nürnberg Bruno Kleinert fuddl@gmx.de 20. Juni 2007 Überblick
MehrInstallationsanleitung für die netzbasierte Variante Bis Version 3.5. KnoWau, Allgemeine Bedienhinweise Seite 1
1 Installationsanleitung für die netzbasierte Variante Bis Version 3.5 Copyright KnoWau Software 2013 KnoWau, Allgemeine Bedienhinweise Seite 1 2 Seite absichtlich leer KnoWau, Allgemeine Bedienhinweise
MehrSAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme
SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen
MehrSystem- und Netzwerkmanagement
System- und Netzwerkmanagement Protokollierung mit Syslog-NG Markus Müller (11043150) Sven Nissel (11042398) Roman Pyro (11042289) Christian Fehmer (11042419) Versuchsaufbau - Übersicht Syslog Konfiguration
MehrSELinux. Was Sie schon immer über SELinux wissen wollen aber nie gefragt haben!
1 SELinux Was Sie schon immer über SELinux wissen wollen aber nie gefragt haben! 2 SELinux Einführung Inhalt Was ist SELinux - Geschichte Was ist SELinux - Features Was ist SELinux - Vokabeln Vorteile
MehrAdvanced Exploiting. tk, tk@trapkit.de IT-DEFENSE 2005
Advanced Exploiting tk, tk@trapkit.de IT-DEFENSE 2005 Stand der Dinge Schutzmechanismen werden ausgereifter (Netz/Host) Trend zu mehr Komplexität ( ( CP AI/WI, Parser, ) Logische Konsequenzen für Angreifer:
MehrIntrusion Detection Systeme. Definition (BSI) Alternative Definition IDS
Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrRootkits: Techniken und Abwehr
Rootkits: Techniken und Abwehr Von Rootkits eingesetzte Techniken und Methoden zur ihrer Entdeckung und Abwehr DFN Workshop 2003, 26. Februar 2003 Dipl. Inf. Andreas Bunten Gliederung Was sind Rootkits?
MehrAFS / OpenAFS. Bastian Steinert. Robert Schuppenies. Präsentiert von. Und
AFS / OpenAFS Präsentiert von Bastian Steinert Und obert Schuppenies Agenda AFS Verteilte Dateisysteme, allg. Aufbau Sicherheit und Zugriffsrechte Installation Demo Vergleich zu anderen DFs Diskussion
MehrVersionskontrollsysteme
Versionskontrollsysteme Erfassung von Änderungen an Dateien Protokollierung von Änderungen Wiederherstellung alter Zustände Archivierung der gesamten Historie Koordinierung des gemeinsamen Zugriffs Verzweigung
MehrTutorium 1 Systemadministration 2 - Linux Universität Hildesheim
Tutorium 1 Systemadministration 2 - Linux Universität Hildesheim Jens Rademacher 16.06.2014 1. Theorie: Verzeichnisbaum Eine Auswahl einiger Verzeichnisse. / # Root-Verzeichnis /home/ # Enthält alle Home-Verzeichnisse
MehrVirtualisierung mit Virtualbox
Virtualisierung mit Virtualbox Dies ist kein Howto im herkömmlichen Sinne. Genaue Anleitungen für Virtualbox gibt es im Intenet genug. Zu empfehlen ist auch das jeweils aktuelle Handbuch von Virtualbox
Mehr<mail@carstengrohmann.de>
Security Enhanced Linux Eine Einführung Tom Vogt Carsten Grohmann Überblick Was ist SELinux? Erweiterung des Kernels Was bietet SELinux? Kapslung von Programmen
MehrTowards Dynamic Attack Recognition for SIEM. Stefan Langeder
Towards Dynamic Attack Recognition for SIEM Stefan Langeder Stefan Langeder 2009-2012: IT Security FH St. Pölten 2012-2014: Information Security FH St. Pölten Seit 2013: Security Consultant ANLX Überblick
Mehr08.05.2012 UNIX. Linux. UNIX Derivate, die wichtigsten. Free BSD (Open) Solaris MacOS X Linux. UNIX Dateisystem, wichtige Ordner.
23 UNIX Einführung in Betriebssysteme UNIX AM BEISPIEL LINUX entwickelt Anfang der 1970er Jahre von Ken Thompson und Dennis Ritchie (Bell Laboratories) Quelle: Wikipedia Zusammen und auf der Basis von
MehrApp-Entwicklung für Android
App-Entwicklung für Android Einleitung - Systemarchitektur Hochschule Darmstadt WS15/16 1 Inhalt Historie Systemarchitektur Sandbox 2 Motivation Kontra Pro Limitierte Größe Begrenzte Ressourcen Kein Standardgerät
MehrAppArmor in der Praxis
AppArmor in der Praxis Christian Boltz opensuse community Maintainer des AppArmor-Pakets in opensuse cboltz@opensuse.org Was macht AppArmor? Die Antwort ist ganz einfach ;-) Erlaubt Programmen nur das,
MehrVNUML Projektpraktikum
VNUML Projektpraktikum Michael Monreal, Tomasz Oliwa 14. Juni 2006 Abstract Entstanden im Projektpraktikum Simulationen mit User Mode Linux, der vnuml Multiinstaller und VOToN, das VNUML-Old-To-New Programm
MehrIP-COP The bad packets stop here
LUSC Workshopweekend 2008 IP-COP The bad packets stop here Firewall auf Linuxbasis Zusammenfassung Teil 1 Was ist IP-COP? Warum IP-COP? Hardwarevoraussetzungen Konzept von IP-COP Installation Schritt für
MehrWie mache ich Linux sicherer? Vortrag zum MDLUG-Themenabend
Wie mache ich Linux sicherer? Vortrag zum MDLUG-Themenabend Motivation bestehende Möglichkeiten nicht ausreichend Dateiberechtigung Quotas chroot-jails Restprobleme fehlende Ressourcenbeschränkung (CPU,
MehrDSLinux Skriptbasierte Inventarisierung für Linux
DSLinux Skriptbasierte Inventarisierung für Linux www.docusnap.com TITEL DSLinux AUTOR Docusnap Consulting DATUM 21.04.2015 Die Weitergabe, sowie Vervielfältigung dieser Unterlage, auch von Teilen, Verwertung
MehrNext Generation Firewall: Security & Operation Intelligence
Next Generation Firewall: Security & Operation Intelligence Umfassend über unterschiedliche Infrastrukturbereiche (P, DC, RA) Flexible Umsetzung: unterschiedliche Topologien & Plattformen Eine Richtlinie:
MehrKernel-Module. Teile des Kernels können als Module gebaut werden. diese können im laufenden Betrieb eingebunden werden (und auch wieder entfernt)
Kernel-Module Teile des Kernels können als Module gebaut werden diese können im laufenden Betrieb eingebunden werden (und auch wieder entfernt) Vorteile: kleinerer Kernel, anpassungsfähig, schnelleres
MehrSecurity Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut
TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn
MehrLinux - a bit advanced
Linux - a bit advanced Überblick Rechteverwaltung Dateisystem Shell-Programmierung Remote login Paketsystem Alternativen-System Rechte Drei Benutzerklassen Owner/User Group Others Drei Rechte Ausführen
MehrLogging, Threaded Server
Netzwerk-Programmierung Logging, Threaded Server Alexander Sczyrba Michael Beckstette {asczyrba,mbeckste@techfak.uni-bielefeld.de 1 Übersicht Logging Varianten für concurrent server 2 current working directory
MehrServervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration
Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration Studiengang Informatik Anwendung-Rechnernetze Übersicht Virtualisierungstechniken Virtualisierungsmodelle in Xen Netzwerkkonzepte und
MehrAppArmor in der Praxis. Christian Boltz opensuse community cboltz[at]opensuse[dot]org
AppArmor in der Praxis Christian Boltz opensuse community cboltz[at]opensuse[dot]org Was macht AppArmor? Die Antwort ist ganz einfach ;-) Erlaubt Programmen nur das, was sie eigentlich[tm] machen sollen
MehrIP-COP The bad packets stop here
SLT - Schwabacher Linuxtage 2009 IP-COP The bad packets stop here Firewall auf Linuxbasis Zusammenfassung Teil 1 Was ist IP-COP? Warum IP-COP? Hardwarevoraussetzungen Konzept von IP-COP Installation Schritt
Mehr3. Unix Prozesse. Betriebssysteme Harald Kosch Seite 57
3. Unix Prozesse Ein Prozeß ist die Umgebung eines laufenden Programms. Ein bißchen Analogie. Wer kocht gerne? Papa möchte mit Hilfe eines Rezeptes eine Torte für seine Tochter backen. Das Rezept ist das
MehrLehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München. Linux Rootkits. Referent: Clemens Paul
Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Linux Rootkits Referent: Clemens Paul Betreuer: Simon Stauber / Holger Kinkelin 12.04.2013 Linux Rootkits
MehrSIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP
SIEM Wenn Sie wüssten, was Ihre Systeme wissen Marcus Hock, Consultant, CISSP SIEM was ist das? Security Information Event Monitoring System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder
MehrThe linux container engine. Peter Daum
0 The linux container engine Peter Daum Über mich Peter Daum Entwickler seit 13 Jahren Java Developer @ tyntec Java EE / Spring im OSS / BSS Twitter - @MrPaeddah Blog - www.coders-kitchen.com Agenda Docker?!
MehrLinux Prinzipien und Programmierung
Linux Prinzipien und Programmierung Dr. Klaus Höppner Hochschule Darmstadt Sommersemester 2014 1 / 25 2 / 25 Pipes Die Bash kennt drei Standard-Dateideskriptoren: Standard In (stdin) Standard-Eingabe,
MehrEinführung in die Programmiersprache C
Einführung in die Programmiersprache C 10 Sicheres Programmieren Alexander Sczyrba Robert Homann Georg Sauthoff Universität Bielefeld, Technische Fakultät Literatur Klein, Buffer Overflows und Format-String-Schwachstellen.
MehrHans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com
IBM Software Partner Academy Whiteboarding- Positionierung des Tivoli Security Produkte 3. Tag, Donnerstag der 09.10.2008 Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com
MehrEinrichten eines SSH - Server
Einrichten eines SSH - Server Um den Server weiter einzurichten bzw. später bequem warten zu können ist es erforderlich, eine Schnittstelle für die Fernwartung / den Fernzugriff zu schaffen. Im Linux -
MehrEntwicklungstand der GUI
1/13 Entwicklungstand der GUI Dietrich Vogel dvogel@physik.uni-wuppertal.de 7. Juli 2004 2/13 Inhalt 1.Konzept 2.Entwicklungsstand 3.Bestehende Probleme 4.Weitere Entwicklungsstrategie 5.Fragen, Diskussion
MehrEinführung in die Programmiersprache C
Einführung in die Programmiersprache C 10 Sicheres Programmieren Alexander Sczyrba Robert Homann Georg Sauthoff Universität Bielefeld, Technische Fakultät Literatur Klein, Buffer Overflows und Format-String-Schwachstellen.
MehrDOAG Regionaltreffen. Regionalgruppe Nürnberg. Migration von Forms Client/Server ins Web. Andreas Ströbel OPITZ CONSULTING München
DOAG Regionaltreffen Regionalgruppe Nürnberg Migration von Forms Client/Server ins Web Andreas Ströbel OPITZ CONSULTING München Migration von Forms Client/Server ins Web Seite 1 Agenda Oracle Forms wie
MehrHÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014
HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,
MehrHacking Linux Proseminar Network Hacking und Abwehr
Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Hacking Linux Proseminar Network Hacking und Abwehr Vortragender: Marek Kubica Betreuer: Holger Kinkelin
Mehr9 Systemsicherheit. Generelle Überlegungen lokale Sicherheit Netzwerksicherheit.
9 Systemsicherheit Generelle Überlegungen lokale Sicherheit Netzwerksicherheit 9.1 generelle Überlegungen das 100% sichere System... steht in einem Tresor in irgendeinem Bunker, hat keine (Netz-)Verbindung
MehrPLI Tutorial 01 Inbetriebnahme von RDZ Version 7.5
PLI Tutorial 01 Inbetriebnahme von RDZ Version 7.5 Inhalt 1. Vorbereitung: Kopieren der DVD auf Festplatte 2. Inbetriebnahme von RDZ 3. Zugriff auf den Remote z/os Host 4. Herunterfahren RDz ist ein Integrated
MehrSoftware Engineering in
Software Engineering in der Werkzeuge für optimierte LabVIEW-Entwicklung Folie 1 Best Practices Requirements Engineering Softwaretest Versionsmanagement Build- Automatisierung Folie 2 Arbeiten Sie im Team?
MehrDesktop ade: Me and my shell
Ein Shelldiskurs Desktop ade: Me and my shell Erkan Yanar erkmerk@gmx.de casus belli Warum auf einem Linuxtag mit Schwerpunkt Desktop? Beherrschung der Shell := freie Wahl des Desktops Beherrschung der
MehrDefinition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten
Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrTrend Micro Virtualisierte Rechenzentren absichern mit Deep Security
Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server
MehrVerbinde die Welten. Von Oracle auf MySQL zugreifen
Verbinde die Welten Von Oracle auf MySQL zugreifen Ronny Fauth DB Systel GmbH Zertifizierter MySQL 5.0 DBA Zertifizierter Oracle 11 DBA Einleitung: - keine Allroundlösungen mehr - Verbindungen zwischen
MehrNet2 Anwesenheit Tool
Anwesenheit Tool Worum handelt es sich? Das Paxton Anwesenheit Tool bietet eine detaillierte Übersicht zu im Gebäude befindlichen Personen. Über Farblich abgesetzte Symbole erleichtert es die Anzeige aller
MehrGibt Daten im erweiterten Format aus. Dies beinhaltet die Angabe von Zugriffsrechten, Besitzer, Länge, Zeitpunkt der letzten Änderung und mehr.
ls [optionen] [namen]: ls zeigt den Inhalt von Verzeichnissen. Sind keine namen angegeben, werden die Dateien im aktuellen Verzeichnis aufgelistet. Sind eine oder mehrere namen angegeben, werden entweder
Mehr#define N 5 // Anzahl der Philosophen. while (TRUE) { // Der Philosoph denkt
Sep 19 14:20:18 amd64 sshd[20494]: Accepted rsa for esser from ::ffff:87.234.201.207 port 61557 Sep 19 14:27:41 amd64 syslog-ng[7653]: STATS: dropped 0 Sep 20 01:00:01 amd64 /usr/sbin/cron[29278]: (root)
MehrCheck Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»
Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source
MehrRechnernetze Praktikum Versuch 2: MySQL und VPN
Rechnernetze Praktikum Versuch 2: MySQL und VPN Ziel Absicherung einer MySQL Verbindung mittels VPN Vorbereitung Warum muss eine MySQL Verbindung gesichert werden? Was versteht man unter MySQL Injektion?
MehrAbsicherung von Linux- Rechnern mit grsecurity
Absicherung von Linux- Rechnern mit grsecurity Brandenburger Linux Infotag, 23. April 2005 Wilhelm Dolle, Director Information Technology interactive Systems GmbH 1 Agenda Grundlagen und Historie von grsecurity
MehrLinux Eine Alternative?
Linux Eine Alternative? Agenda Lagebericht Grundlagen von Linux Linux Vor- und Nachteile Einsatzgebiete Kosten Ausblick 1 Durchbruch für Linux Kampf gegen Linux 2 Was ist Linux? UNIX wurde 1969 von der
MehrBackdoors mit Bordmitteln Vol.c3d2
... und wie kann man das triggern? 7. September 2013 Wie wo was? Einführung und Motivation Hackingcontest auf dem Linuxtag (müsste eigentlich Backdoor Contest heißen) Zu gewinnen gibt es Ruhm, Ehre und
MehrMit dem 6. Rundbrief gelange ich mit einem Update des Zeitservers an Alle.
Rundbrief 6 Aktuelles aus der SAS Softwarewelt. 0.1 Zeit Server Update Werte Anwender Mit dem 6. Rundbrief gelange ich mit einem Update des Zeitservers an Alle. Das Update wurde aus Kompatibilitätsgründen
MehrSicheres MultiSeat. Axel Schöner. 14. März 2014
14. März 2014 Was ist "? Vorteile von " Nachteile von " Was ist MultiSeat? Angepasster Rechner, der die gleichzeitige Bedienung durch mehrere Personen zulässt. Möglich durch die Ergänzung geeigneter Hardware:
Mehr1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"
/XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz
MehrZürich, 18. Februar 2003 Oli Sennhauser Trivadis AG. Integration von Windows-Servern in das Telekurs Environment mittels Cygwin
Zürich, 18. Februar 2003 Oli Sennhauser Trivadis AG Integration von Windows-Servern in das Telekurs Environment mittels Cygwin Agenda A. Was ist Cygwin? B. Einsatz an der Telekurs C. Demo 2 Was ist Cygwin
MehrWebsourcebrowser Leicht zurechtfinden in Quelltexten
Websourcebrowser Leicht zurechtfinden in Quelltexten Workshop Python im deutschsprachigen Raum Stefan Schwarzer, SSchwarzer.com info@sschwarzer.com Leipzig, 2007-09-07 Websourcebrowser Leicht zurechtfinden
MehrAnwendung hochverfügbar machen mit den Daemontools
Anwendung hochverfügbar machen mit den Daemontools Dr. Erwin Hoffmann www.fehcom.de (http://www.fehcom.de/qmail/docu/05.pdf) Daemontools - Ziele Die Daemontools sind eine Entwicklung von Dan Bernstein,
MehrPerforce Installation mit SSL
Perforce Installation mit SSL Perforce Installation mit SSL Vorab alles was Farbig Markiert ist, ist für die entsprechende Linux Distribution: Blau = Ubuntu, Debian Grün = RHEL, CentOS Rot = Sehr Wichtig
MehrNetzwerksicherheit. Teil 5: Virtualisierung und Ausfallsicherheit. Martin Mauve, Björn Scheuermann und Philipp Hagemeister
Netzwerksicherheit Teil 5: Virtualisierung und Ausfallsicherheit Martin Mauve, Björn Scheuermann und Philipp Hagemeister Sommersemester 2015 Heinrich-Heine-Universität Düsseldorf Netzwerksicherheit Virtualisierung
MehrDominik Helleberg inovex GmbH. Android-Enterprise- Integration
Dominik Helleberg inovex GmbH Android-Enterprise- Integration Dominik Helleberg Mobile Development Android HTML5 http://dominik-helleberg.de/+ http://twitter.com/_cirrus_ Agenda Intro Enterprise Apps /
MehrBackdoors mit Bordmitteln Vol.2
... und wie kann man das triggern? 13. März 2013 Wie wo was? Einführung und Motivation Hackingcontest auf dem Linuxtag (müsste eigentlich Backdoor Contest heißen) Zu gewinnen gibt es Ruhm, Ehre und nette
MehrOFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE
OFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE Tobias Jähnel und Peter Trommler Fakultät Informatik Georg-Simon-Ohm-Hochschule Nürnberg http://offlinefs.sourceforge.net Übersicht Hintergrund
MehrBenutzer- und Rechte-Verwaltung Teil 3
Benutzer- und Rechte-Verwaltung Teil 3 Linux-Kurs der Unix-AG Benjamin Eberle 09. Juni 2015 Datei- und Verzeichnis-Besitzer Dateien und Verzeichnisse gehören einem Benutzer und einer Gruppe Besitzer wird
MehrUser Mode Linux. Sven Wölfel 15. April 2005
User Mode Linux Sven Wölfel 15. April 2005 Inhalt Was ist UML? Wofür kann man UML benutzen? Funktionsweise von UML Installation von UML Netzwerk unter UML einrichten Quellen 2 Was ist UML? I User Mode
MehrIT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.
IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit
MehrUser, Gruppen, Rechte & sicheres System
User, Gruppen, Rechte & sicheres System Computerlabor im KuZeB Ubuntu-Workshop 6.4.2009 Kire www.kire.ch Template von Chih-Hao Tsai (chtsai.org) Creative Commons License (by-nc-sa) creativecommons.org/licenses/by-nc-sa/2.5/dee.de
MehrUnix Grundlagen (Teil 1.b)
Unix Grundlagen (Teil 1.b) Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Organisatorisches Folien jetzt unter http://elearn.rvs.uni-bielefeld.de/mainpage/ldk/labor.php
MehrBetriebssysteme KU - Einführungstutorium
Betriebssysteme KU - Einführungstutorium SWEB-Tutoren irc://irc.at.euirc.net/bs Teamwork Arbeitsaufteilung? Zeiteinteilung? Codeeinteilung? Kommunikation! Kommunikation Kommunikation mit dem Team Gruppentreffen
MehrExploits & Rootkits. Betriebssystemdienste & -administration Seminar. Betriebssysteme und Middleware. Sebastian.Roschke@hpi.uni-potsdam.
Exploits & Rootkits Betriebssystemdienste & -administration Seminar Betriebssysteme und Middleware Sebastian.Roschke@hpi.uni-potsdam.de Steffen.Ryll@hpi.uni-potsdam.de Steffen Ryll & Sebastian Roschke
MehrFirewall Implementierung unter Mac OS X
Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-
Mehrdaemon programmieren... Chemnitzer Linux User Group Freitag 2011-08-12 Zum Frohen Zecher
daemon programmieren... Chemnitzer Linux User Group Freitag 2011-08-12 Zum Frohen Zecher Was ist ein echter Unix daemon ~ ist ein Programm, dass mit dem Systemstart seine Arbeit aufnimmt. ~ ist in das
MehrVirtuelle Maschinen. von Markus Köbele
Virtuelle Maschinen von Markus Köbele Was sind virtuelle Maschinen? Rechner, dessen Hardwarekomponenten vollständig durch Software emuliert und virtualisiert werden Anweisungen der virtuellen Maschine
MehrEine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren
Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.
MehrAnleitung zur Installation der DataWatch Software auf einem LINUX System ohne grafische Oberfläche
Anleitung zur Installation der DataWatch Software auf einem LINUX System ohne grafische Oberfläche Die Installation (siehe Punkt 1 und 2) der DataWatch Software kann auch auf einem Linux-System ohne grafische
MehrS hel I-S kri pt- Program m ieru ng
2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Patrick Ditchen S hel I-S kri pt- Program m ieru ng Über den Autor
MehrEXPOSÉ Software für Immobilienprofis!
node Outlook PlugIn Einrichtung der Outlook- Anbindung auf Home - Home - Premium - Versionen Beachten Sie bitte, dass die Versionen Home- & Home- Premium von Windows 7 & Windows Vista nur bedingt sinnvoll
MehrCompliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc
Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen
MehrHANDHABBAR INTEGRIERT UMFASSEND
Gefährlichere Bedrohungen Fortgeschrittenerer Anwendungsorientierter Häufiger Auf Profit abzielend Fragmentierung von Sicherheitstechnologie Zu viele Einzelprodukte Dürftige Interoperabilität Fehlende
MehrAruba Controller Setup
Infinigate (Schweiz) AG Aruba Controller Setup - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Controller Basic Setup... 2 2.1 Mobility
Mehr- Installation. Systemvoraussetzungen für Debian/Ubuntu. conversations installieren conversations wird als TGZ-Archiv mit dem Namen
- Installation Wenn Sie bereits eine conversations-version auf Ihrem Rechner installiert haben, benutzen Sie die Anleitung conversations Installation Update. Systemvoraussetzungen für Debian/Ubuntu Debian
MehrLive Hacking auf eine Citrix Umgebung
Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung
MehrIntrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005
Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion
MehrWas Cloud Control über Ihre installierte Software berichten kann. Martin Obst Oracle Deutschland Potsdam
Was Cloud Control über Ihre installierte Software berichten kann Schlüsselworte: Martin Obst Oracle Deutschland Potsdam Enterprise Manager 12c, Cloud Control, Discovery, Asset Management, Software Einleitung
Mehr