Thomas Macht Security VU WS 10/11

Größe: px
Ab Seite anzeigen:

Download "Thomas Macht Security VU WS 10/11"

Transkript

1 1. Einführung Angriffe: Betrug destruktive Angriffe Diebstahl geistigen Eigentums Identitätsdiebstahl Markendiebstahl Computer Security/Network Security: Automatisierung entfernte Angriffe Verbreitung von Angriffstechniken vermeintliche Anonymität Komplexität Herausforderungen: Funktionalität wichtig, nicht Security Sicherheitsgruppe sagt immer nein Sicherheit oft schwer greifbar, unverständlich Programmierung ist Fokus der Lehre Programmieren ist einfach Projektumfeld: Termindruck, Funktionalität Test von Software auf spezifizierte Funktionalität Security Usability jede Software potentiell betroffen Komplexität der Software, Zusammenspiel vieler Komponenten Systeme wachsen Mitarbeiter: Know-how, Spezialisierung Fülle an Sicherheitslücken hoher Zeitaufwand Vernetzung kabellose Übertragung, Mobilität Kreativität der Angreifer Zero-Day-Attacken Weakest Link Definitionen nach DIN: Sicherheit: Risiko < Grenzrisiko, Absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands Risiko: Schaden * Eintrittswahrscheinlichkeit Seite 1 von 32

2 Sicherheitsziele: Vertraulichkeit Integrität Verfügbarkeit Authentizität Nichtabstreitbarkeit Bedrohungs-, Risikoanalyse: Typisierung von Bedrohungen Zielobjekt Urheber Motivation/Absicht Wahrscheinlichkeit Auswirkungen/Kosten Auflistung der Bedrohungen Risikoanalyse, Risikobewertung Maßnahmen Restrisikoabschätzung Kosten-/Nutzenanalyse: Investitionen für Management sichtbar, Ergebnisse bei guter Arbeit nicht (Return of Investment) Aufwand/Nutzen schwer meßbar Erfahrungswerte für Kosten, Auftrittswahrscheinlichkeit von Angriffen Angriffsphasen: Sammeln von Daten (Systeme, User-Kennungen) Ausnutzen gefundener Sicherheitsprobleme (Zugriff, Ausweiten der Rechte): zb SQL Injection auf eine Datenbank Aufrechterhaltung des Zugriffs: zb Anlegen eines eigenen Benutzer-Accounts Verwischen von Spuren (zb Löschen von Logfiles) Designprinzipien: Security bereits beim Design berücksichtigen genau definierte Aufgaben genau definierte Schnittstellen Verwendung von Standards Testen auf Sicherheit Seite 2 von 32

3 2. Kryptografie Kerckhoffs Prinzip: Sicherheit darf nur von Geheimhaltung des Schlüssels, nicht des Algorithmus abhängen Symmetrische asymmetrische Kryptografie Schutzziele: Vertraulichkeit Verschlüsselung Integrität Prüfsumme Authentizität Signatur Hash-Verfahren: eindeutiger Fingerprint eines Dokuments, 2 mit verschiedenem Inhalt dürfen nicht selben erhalten Einwegfunktionen, mit wenig Aufwand zu berechnen, nicht/schwer umkehrbar MD5, SHA-1 (gelten als unsicher), SHA-2 Symmetrische Kryptografie: Verschlüsselung und Entschlüsselung mit selbem Schlüssel Problem: Schlüsseltausch bei großer Teilnehmeranzahl Asymmetrische Kryptografie: Verschlüsselung: o Verschlüsselung mit Public Key o Entschlüsselung mit Private Key Signieren: o Signieren mit Private Key o Signatur prüfen mit Public Key Hybridverschlüsselung: Kombination symmetrische asymmetrische Verschlüsselung Asymmetrische Verschlüsselung: rechenintensiv Symmetrische Verschlüsselung: Schlüsselaustausch Ablauf: o Verschlüsseln mit symmetrischem Schlüssel o Verschlüsseln des symmetrischen Schlüssels mit öffentlichem Schlüssel o Verschlüsselten symmetrischen Schlüssen an Dokument anhängen Seite 3 von 32

4 Probleme: komplexe kryptografische Verfahren: Implementierungsfehler (Zufallszahlen) Alterung von Algorithmen/Schlüssellängen (Brute Force) regelmäßige Umschlüsselung von Daten Verlust des privaten Schlüssels Verlust der verschlüsselten Daten: Backup erforderlich (nicht wenn nur für Signaturen) Schlüssel enthält keine Informationen zum Besitzer Verwendung von Zertifikaten Integritätsschutz für Schlüssel: Angreifer kann Schlüssel manipulieren (Man in the Middle) Zertifikate erhalten digitale Signatur Sicherung des privaten Schlüssels: sicherer Schlüsselspeicher: Chipkarte, Hardware Security Module PKI-Bestandteile Registration Authority (RA) Certification Authority (CA) Verzeichnisdienst (DIR) Time Stamping Authority (TSA) Sperrinformationen (CRL/OCSP) Anwenderkomponenten Zertifikate Organisatorische Festlegungen Seite 4 von 32

5 Registration Authority (RA): Registrierung neuer Anwender: Prüfung der Identität, Weiterleitung an CA zur Ausstellung von Zertifikaten Sperren von Zertifikaten/Benutzern definierte Protokolle für Zertifikatsantrag und Austausch Certification Authority (CA): Ausstellung und Verwaltung der Zertifikate optional: Schlüsselerzeugung für Endbenutzer Personalisierung von Chipkarten Versenden der Infos an Endbenutzer (PIN-Brief, Chipkarte) Endbenutzer-Zertifikate durch CA-Zertifikat signiert Erstellen/Signieren von Sperrinfos besondere Anforderungen für sichere Betriebsumgebung: Speicherung, Zugriff auf private Schlüssel Kompromittierung des privaten Schlüssels einer CA alle ausgestellten Zertifikate und damit signierte Dokumente unsicher Verzeichnisdienst (DIR): Zugang zu öffentlichen Zertifikaten (zur Prüfung von Signaturen erforderlich) beliebige Schnittstellen Zugriff auf Zertifikat muss eindeutig sein (Name oft nicht eindeutig) Sperrinformationen: Vertraulichkeit des privaten Schlüssels erforderlich (ansonsten Sperre erforderlich) Anwendung muss Sperrstatus empfangener Zertifikate prüfen Protokolle zum Verteilen von Sperrinformationen Certificate Revocation Lists (CRL) Online Certificate Status Protocol (OCSP) Zeitstempeldienste (TSA): stellt signierte Zeitstempel aus (Nachweis, dass Daten zu diesem Zeitpunkt existierten) Ablauf: Client sendet Hash-Wert des Dokuments an TSA TSA fügt Zeitstempel ein und signiert Kombination Client fügt diese Information zum Dokument hinzu Integrität der zeitlichen Information kann durch Signatur des TSA sichergestellt werden Seite 5 von 32

6 Anwenderkomponenten: Verwenden von PKI-Funktionalitäten: Abfragen von Zertifikaten aus Verzeichnisdienst Signatur- und Pfadvalidierung Signaturerstellungseinheit kryptografische Algorithmen Anwendungen: Mail Client Application XML- oder Web Service Client Application VPN, TLS/SSL Zertifikate: als Entität für Vertrauensstellung Zuordenbarkeit Public Key Identität Bestätigung durch Zertifizierungsstelle (CA) im Rahmen der PKI öffentlich zusätzliche Angaben vorhanden: zeitliche Gültigkeit Informationen zum Aussteller (CA) vorgesehener Einsatzzweck (KeyUsage, ExtendedKeyUsage) Zertifikatskette: Root CA Certificate: Benutzer vertraut direkt signiert CA Certificate: Benutzer vertraut indirekt signiert End User Certificate: Benutzer vertraut indirekt signiert Dokument: Benutzer vertraut indirekt Vertrauensmodell Hierarchische Struktur: Vertrauensstellung über Root-CA, ermöglicht Verwaltung großer Infrastrukturen Vertrauensmodell Web of Trust: direkte Vertrauensstellung, zb Pretty Good Privacy (PGP) Kommunikationsteilnehmer muss Zugehörigkeit Schlüssel Identität des Kommunikationspartners prüfen: indirekte Vertrauensstellung möglich Seite 6 von 32

7 Pretty Good Privacy (PGP): als Freeware erhältlich GNU Privacy Guard (GPG): Open Source-Variante Chipkarten: Speicherkarten: keine Sicherheitsmerkmale für Zugriffskontrolle Prozessorkarten: Betriebssystem der Karte regelt Datenzugriff ermöglicht, Zugriff über PINs zu regeln Anwendung zb mit kryptografischen Schlüsseln privater Schlüssel verläßt Chipkarte nicht Einsatzgebiete: Gesundheitskarte, Bankomatkarte Angriffe: Side Channel-Attacken: Stromverbrauch, Rechenzeit physikalisch: Temperatur, Spannung Man in the Middle: zb Kartenterminal Social Engineering: Diebstahl, Ausspionieren der PIN Kartenleser: Lesen/Schreiben von Daten Sicherheitsklassen: 1: keine besonderen Sicherheitsmerkmale 2: enthält PIN-Pad 3: PIN-Pad und Display 4: PIN-Pad, Display und eigenes Sicherheitsmodul zur Authentisierung des Geräts physikalische Schutzmaßnahmen gegen Manipulation erforderlich Seite 7 von 32

8 Transport Layer Security (TLS): Nachfolger von Secure Sockets Layer (SSL) oberhalb von TCP HTTPS HTTP over TLS Verwendung für: o Authentifizierung (einseitig beidseitig) o Verschlüsselung der Kommunikation o Verschlüsselung nur zwischen zwei Komponenten auf Layer 4 möglich: Vertraulichkeit für End-zu-End-Verbindungen über mehrere Stationen muss auf höheren Ebenen sichergestellt werden Cipher-Suiten: o legen kryptografische Methoden für Kommunikation fest (Kommunikationspartner handeln eine gemeinsame aus) o Schlüsselaustausch (RSA, ) o Authentifizierung (RSA, ) o Verschlüsselung o Hashfunktion (MD5, SHA) Kommunikationsablauf: Seite 8 von 32

9 3. Netzwerksicherheit Probleme: Anzahl und Komplexität beteiligter Systeme Attacken über das Netzwerk sind einfach. Nachvollziehbarkeit von Angriffen schwierig (Vermeintliche) Anonymität Angriffsmethoden leicht und schnell verfügbar Angriffe im Netzwerkbereich oft Basis für weitere Angriffe ISO (International Organization for Standardization) OSI (Open Systems Interconnection)-Modell: OSI TCP/IP Anwendungsschicht Application Layer Application Layer HTTP Darstellungssicht Presentation Layer Sitzungsschicht Session Layer Transport Layer TCP, UDP Transportschicht Transport Layer Vermittlungsschicht Network Layer Network Layer IP, ARP Sicherungsschicht Data Link Layer Data Link Layer Ethernet Bitübertragungsschicht Physical Layer Physical Layer LAN Bei sehr vielen Transvestiten stinkt der Arsch. All people seem to need data processing. Angriffe/Bedrohungen in Netzwerken: technisch und nicht technisch Vertraulichkeit: Google Hacking, Covert Channels, Sniffing Integrität, Authentizität, Nichtabstreitbarkeit: Spoofing Verfügbarkeit: Session Hijacking, DoS, DDoS (Distributed Denial of Service) ARP: Address Resolution Protocol: Umwandlung IP-Adresse Hardware-Adresse (Ethernet: MAC-Adresse) Reverse ARP TCP/IP: Network Layer ARP-Cache: Speichern eigener und fremder Anfragen ARP Poisoning/Spoofing: Senden gefälschter ARP-Pakete Black Hole Man in the Middle IP: Internet Protocol: unzuverlässig, verbindungslos logische Adressen: Netzwerk, Host, Broadcast, spezielle Adressen Routing Address Spoofing: gefälschter Absender, DoS-Attacken: Land-Attacke: Source Address == Destination Address, an freien Port gesendet Seite 9 von 32

10 ICMP: Fehlermeldungen: Port Unreachable Host Unreachable Time Exceeded Andere Informationen: Subnetzmaske Uhrzeit Echo Request/Reply traceroute Smurf-Attacke: Angreifer spooft die IP-Adresse des Opfers und schickt große Zahl an IP echo requests an die Broadcast-Adresse eines dazwischen liegenden Netzwerks, diese Hosts antworten mit einem ICMP reply request an das Opfer TCP: Transmission Control Protocol: verbindungsorientiert (Three-Way-Handshake), verlässlich Flow Control Zustände: LISTEN, ESTABLISHED, CLOSED keine Broadcasts möglich (im Gegensatz zu UDP) WWW, SSH, s, SYN Flooding: halb offene Verbindung belegt Ressourcen Vorbereitungen für Angriffe auf Computersysteme: Host Scan Port Scan OS Detection Vulnerability Scan Scanning: oft auffällig Slow Scan, Ablenkung Sniffing: Mitlesen des Netzwerkverkehrs Seite 10 von 32 kabelgebunden WLAN root-rechte Netzwerkinterface im Promiscous Mode Programme: tcpdump Wireshark Lösungsansätze Absicherung der Clients, Server Separation von Netzwerksegmenten (physisch, logisch) Sicherung des Übertragungswegs (VPN, SSL/TLS) Sicherung des Netzwerkzugangs: Firewall Sicherung der Nutzdaten ( -Verschlüsselung)

11 Intrusion Detection Systems Intrusion Detection Systems Honeypot Firewall: Unterbindung unerlaubter Zugriffe Positionierung ia an der Grenze zwischen zwei Netzwerkzonen (DMZ) Arten: Paketfilter: einfache Filterung anhand von Zielport, Quell-, Zieladresse (Headerinformationen auf OSI-Layer 2 4) Stateful Inspection: erweiterte Paketfilterung, kurze Headeranalyse auf OSI-Schichten 2 4 um Statustabelle aller Netzwerkverbindungen zu erstellen (zb nur angeforderte Daten zulassen) Proxy Firewall: betrachtet zusätzlich Inhalt der OSI-Schicht 7 (Malwarescan) Intrusion Detection Systems: Signatur Anomalie-Erkennung Senden eines Alarms host-, netzwerkbasiert oder hybrid zb Snort, Prelude Intrusion Prevention Systems: zusätzlich Ergreifen von Maßnahmen Honeypot: soll Angreifer von eigentlichem Ziel ablenken Server/Computerprogramm simuliert Netzwerkdienste eines Computers/Netzwerks, Verhalten eines Anwenders (nutzen Browser, besuchen Websites um Angriffe auf Browser festzustellen) kein Produktionssystem, kein legitimer Zugriff leichte Trafficanalyse, Alarm auslösen reales Netzwerk bleibt von Angriffen möglichst verschont (besser gesichert) Arten: Simulation: mit geringer Interaktivität Reale Systeme: mit hoher Interaktivität Honeynet: Netzwerk mehrerer Honeypots Honeywall: Firewall/Gateway Data Control, Data Capture, Automatische Alarmierung Layer-2 Bridge Anforderungen: Sicherheit, schwer erkennbar, Last Nutzen: Traffic per Definition bösartig leichtere Analyse frühzeitige Erkennung von Angriffen Erkennung/Analyse neuer Angriffe Forschung Umleitung von verdächtigem Traffic: Produktionsnetz Honeynet Seite 11 von 32

12 Aufwand: Überwachung, Analyse 2. Netz Wahrscheinlichkeit für Angriffe Honeynet/Produktionsnetz Honeytoken: einzelne eindeutige fingierte Datensätze, Dateien, s in Produktionsumgebungen hineinmischen Interesse wecken bei Zugriff auf Honeytokens alarmieren zb Kundendatenbank, unverschlüsselte s mit Login-Informationen Vorteile: keine aufwendigen Honeypots/Honeynets direkt in Produktionssystem integriert geringer Kostenaufwand Nachteile: nur Zugriff auf Honeytoken feststellbar wahrscheinlich keine sophisticated -Angriffe Seite 12 von 32

13 4. Identität, Authentifizierung, Zugriffskontrolle Identität: wer jemand ist Authentisierung: Vorlage eines Nachweises zur Identifikation (Benutzername, Passwort) Autentifizierung: Überprüfung eines Nachweises zur Identifikation Autorisierung: Überprüfung, ob Person/IT-Komponente/Anwendung zur Durchführung einer Aktion berechtigt Zutritt: Betreten abgegrenzter Bereiche (zb Räume) oder geschützter Areale in einem Gelände Zugang: Nutzung von IT-Systemen, System-Komponenten und Netzen Zugriff: Nutzung von Informationen, Daten Gründe für Authentifizierung: Nachweis der Identität Kontrolle des Zutritts, Zugangs Voraussetzung zur Zugriffskontrolle Nachweis Zurechenbarkeit/Verantwortlichkeit Herausforderungen bei Authentisierung: einfacher Zugang Unberechtigte zuverlässig vom Zugang abgehalten Angreifern reicht ein einzelner Account Vor-, Nachteile unterschiedlicher Authentisierungsmethoden kein bester Weg, je nach Einsatzzweck geeignetes Verfahren Kombination von Methoden: 2-Faktor-Authentifizierung Methoden der Authentisierung: Wissen: zb Passwörter, PINs Besitz: zb Token, Chipkarten, Abzeichen, Dienstmarken Verlust besser erkennbar als bei Passwörtern Erzeugung von Einmal-Passwörtern (aktuelle Zeit, Counter) Schutz durch PIN/Passwort (Bankomatkarte) physischer Schutz erforderlich höhere Kosten als bei Passwörtern Biometrisches Merkmal: o zb Iris, Fingerabdruck, Stimme, Tippverhalten o zwischenmenschlicher Alltag o schwer/nicht zu ersetzen o Identifikation Validierung o Weitergabe schwer/nicht möglich o Fehlerrate, Ausprägung nicht bei allen Menschen gleich Alternativen, Ausnahmen erforderlich o mangelnde Akzeptanz, hohe Kosten Seite 13 von 32

14 Passwörter: Klein-, Großbuchstaben, Ziffern, Sonderzeichen graphische Passwörter (Bildfolge, Punkte auf Bildern, Gesichter): leicht zu merken schwierig zu erraten Anzahl der Passwörter steigt Wechsel in bestimmten Abständen, Passworthistorie Mindestlänge, Mindestvorkommen bestimmter Zeichenklassen keine Default-Passwörter nicht aufschreiben vom Benutzer änderbar Anzahl der Versuche zur Eingabe beschränken (DoS) Prozess zur Änderung vergessener Passwörter Angriffe: o Raten o Social Engineering o Brute Force (lokal, remote) o Wörterbuch-Attacken o Script Files, Trojaner, Default-Passwörter o Passwortdateien/Passwörter in Swap-Files o Über die Schulter schauen o Sniffing (Verschlüsselung in Netzwerken) o Elektromagnetische Strahlung o Wireless-Tastaturen o Preisgabe von Information: Username/Passwort falsch Chipkarten: Anwendung zb mit kryptografischen Schlüsseln (sollte Karte nicht verlassen) evtl. Schutz durch PIN gesamter Lebenszyklus relevant Banken, Gesundheitswesen Angriffe: Side Channel (Stromverbrauch, Rechenzeit) Physikalisch (Temperatur, Spannung) Man in the Middle Social Engineering Angriffe bei biometrischen Daten: nicht zu 100 % sicher Stärken/Schwächen oft vernachlässigt Spoofing (Fotos, Modellierung gefundener Fingerabdrücke) Replay Attacken Umgehen der Sensoren Brute Force Seite 14 von 32

15 Zugriffskontrolle: Zugang nun kontrolliert Zugriff sollen nur berechtigte Akteure erhalten Unberechtiger Zugriff soll verhindert oder zumindest erkannt werden Zugriffskontrolle bedeutet Auditierung Angriffe: o Angreifer hat Zugriff auf Binärdaten kryptografische Methoden erforderlich o es existiert eine Schicht zwischen Angreifer und Binärdaten Zugriffskontrolle Umsetzung einer Sicherheitsstrategie (Security Policy) Verwendung von Zugriffskontrollmechanismen, zb in Betriebssystem, Datenbanken, Webserver Kernfrage: Wer darf auf was wie zugreifen? Zugriffskontrollstrategie: Regelwerk, Was ist erlaubt/nicht erlaubt? Zugriffskontrollmodell: o Formalismus, beschreibt Zugriffskontrollstrategie o verschiedene Zugriffskontrollmodelle für unterschiedliche Zugriffskontrollstrategien o Modell soll einfach, ausdruckstark, intuitiv, wartbar, umsetzbar sein Begriffe: o Objekt: passiver, zu schützender Informationsträger o Subjekt: aktive Elemente, die im Auftrag von Anwendern Zugriffe auf Informationen ausführen o Zugriffsoperation: Art, auf ein Objekt zuzugreifen (read, write, execute) o Zugriffsrecht: Recht für Zugriffe auf Dateien, Datenträger, Prozesse o Schutzdomäne: Gruppierung identischer Zugriffsrechte o Zugriffsmonitor: setzt Zugriffskontrollstrategie durch Grundmodell der Autorisierung: o Ob für ein Subjekt s der Zugriff der Art a auf ein Objekt o zulässig ist, ergibt sich aus einer Funktion f, die das Ergebnis des 3-Tupels (s; o; a), das wahr oder falsch sein kann, auswertet. o s = Subjekt, o = Objekt, a = Zugriffsart Zugriffsmatrix: definiert Zugriffsrechte Beispiel für Klassifikation von Subjekten: o Eigentümer: uneingeschränkte Zugriffsrechte o Gruppe: alle innerhalb einer speziellen Gruppe haben selbe Rechte o Jeder: Allen Usern können bestimmte Rechte gegeben werden Seite 15 von 32

16 Discretionary (uneingeschränkt) Access Control (DAC): Ziel: zentrale Festlegung maximaler Zugriffsrechte von Benutzern Kontrolle des Informationsflusses Weitergabe von Rechten eingeschränkt möglich Objekte und Benutzer kategorisiert (zb öffentlich, vertraulich, streng geheim) Benutzer können nur auf ein Objekt zugreifen, wenn ihre Kategorisierung mindestens der des Objekts entspricht Objekte können nur mit Kategorien, die gleich- oder höherwertig der Kategorie des Benutzers ist, geschrieben werden hauptsächlich im militärischen Bereich Herausforderungen: Umsetzung tatsächlicher Berechtigungen Concept of Least Privilege Security behindert Single Sign On Wie wird Zugriffskontrolle administriert? Wo wird Zugriff kontrolliert? Seite 16 von 32

17 5. IT-Grundschutz Aufbau der IT-Grundschutz-Kataloge: Bausteine Gefährdungskataloge Maßnahmenkataloge IT-Strukturanalyse: Erfassung der Bestandteile (Informationen, Anwendungen, IT-Systeme, Räume, Kommunikationsnetze), die zur Erfüllung der Geschäftsprozesse benötigt werden Komplexitätsreduktion durch Gruppenbildung (zb alle Windows-Clients) gleicher Typ ähnlich konfiguriert in selbes Netz eingebunden unterliegen ähnlichen administrativen, infrastrukturellen Rahmenbedingungen ähnliche Anwendungen gleicher Schutzbedarf Erfassung der Anwendungen und zugehörigen Infos (zb Personaldatenverarbeitung) Netzplanerhebung (zb Router, Switches) Erhebung der IT-Systeme (zb Server für Personalverwaltung) Erfassung der Räume (zb Serverraum) Schutzbedarfsfeststellung: Definition der Schutzbedarfskategorien Anwendungen: Was wäre wenn? IT-Systeme: o Maximumprinzip: schwerwiegendste Auswirkung o Beachtung von Abhängigkeiten o Kumulationseffekt: mehrere kleine Schäden führen zu einem Großen o Verteilungseffekt: zb Redundanzen Räume Kommunikationsverbindungen o Außenverbindungen o hochschutzbedürftige Infos übertragen? Schlussfolgerungen Abbildung des IT-Verbunds: Sicherheitsaspekte nach bestimmten Themen betrachtet B 1: übergreifende Aspekte (zb Datensicherungskonzept) B 2: Infrastruktur (zb Serverraum) B 3: IT-Systeme (zb Laptop) B 4: Netze (zb WLAN) B 5: Anwendungen (zb Webserver, Datenbanken) Zuordnung Bausteine Zielobjekte Seite 17 von 32

18 Basis-Sicherheitscheck: Soll-Ist-Vergleich von Maßnahmen Auswahl der Ansprechpartner Interviews, stichprobenartige Kontrolle Dokumentieren der Ergebnisse inkl. Begründungen Maßnahmenplanung: Sichtung der Untersuchungsergebnisse Konsolidierung der Maßnahmen Kosten-, Aufwandsschätzung Festlegung der Umsetzungsreihenfolge Festlegung der Aufgaben und Verantwortung Realisierungsbegleitende Maßnahmen Informationssicherheitsprozess: PDCA-Modell: Plan: Planung und Konzeption Do: Umsetzung der Planung Check: Erfolgskontrolle, Überwachung der Zielerreichung Act: Optimierung, Verbesserung Seite 18 von 32

19 6. Sicherheit in der Softwareentwicklung Markt für Malware wächst früher: Angreifer wollten Bekanntheit heute: Angreifer wollen unbemerkt bleiben Vermieten von Bot-Netzen Verkaufen von Wissen (Schwarzmarkt) Ausnutzen von Ressourcen (Bandbreite, Rechenleistung) Zero Day-Attacken Unternehmen bezahlen für gemeldete Sicherheitsfehler Softwareentwicklungsprozess (Software Development Lifecycle): Analyse Entwurf Implementierung Test Betrieb Sicherheit ist ein Prozess: nicht ausreichend, Sicherheit nur in einem der Schritte zu betrachten Penetrate and Patch: für sichere Software nicht ausreichend Sicherheitsfehler nur im Betrieb gefunden, mit Patches behoben nicht gemeldete Schwachstellen nicht behoben Patches beheben oft nicht eigentliche Ursache, nur Symptome Zeitfenster für Angriffe, bis alle Systeme gepatcht (manche nie) Aus Patches können Angreifer Details über Schwachstelle ableiten Softwareentwicklungs-Modelle für sichere Software: definieren Aktivitäten und Verantwortlichkeiten Integration in vorhandene Vorgehensmodelle erforderlich zb Microsoft Security Development Lifecycle (SDL) Sicherheit in der Analysephase Analyse: Erhebung, Aufbereitung der Sicherheitsanforderungen für zu entwickelndes System funktionale, nicht-funktionale Sicherheitsanforderungen unterschiedliche/widersprüchliche Anforderungen von Stakeholdern (am System beteiligte Personen) weitere Anforderungen durch Normen, Gesetze, Standards bei sicherheitskritischen Systemen oft Evaluierungen: zb anhand von Protection Profiles Sicherheit als selbstverständlich angesehen, von Stakeholdern nicht explizit gefordert Seite 19 von 32

20 Durchführung der Analyse: Ermittlung der Bedrohungen und Risiken Vollständige Erfassung der Angriffsoberfläche Festlegung der Schutzziele für die verarbeiten Daten Systematisches Vorgehen zur vollständigen Erfassung erforderlich Werkzeuge zur Durchführung vorhanden, zb Angriffsbäume oder Thread Modelling Angriffsbäume (Attack Trees): Technik zum Dokumentieren von Bedrohungen Identifizieren möglicher Bedrohungen mit iterativer Detaillierung Baumstruktur Knoten/Kanten zur Bewertung der Eintrittswahrscheinlichkeit einer Bedrohung bei größeren Systemen schnell unübersichtlich Threat Modelling: Methode von Microsoft zur Modellierung von Bedrohungen in Software frühzeitige Beschäftigung mit möglichen Bedrohungen schrittweise Modellierung und Detaillierung Teil des Secure Development Lifecycle (SDL) Schritte: Festlegen von Anwendungsszenarien Externe Abhängigkeiten festlegen Sicherheitsannahmen festlegen Erstellung von Sicherheitshinweisen Erstellung von Datenflussdiagrammen Bedrohungstypen festlegen Bedrohungen im System identifizieren Risiko der Bedrohung Gegenmaßnahmen planen Seite 20 von 32

21 Sicherheit in der Entwurfsphase Abbilden der Sicherheitsanforderungen durch den Entwurf Robuste Architektur bildet Basis für sicheres System Best Practices: Sicherheitsmuster (Security Patterns) Angriffsmuster (Attack Patterns): Beschreibung inklusive Vorbedingungen, Ableitung von Sicherheitsaspekten für eigenes System Design Principles: Einfachheit der Schutzmechanismen (Economy of Mechanism) je komplexer, desto fehleranfälliger (aufwendigere Testverfahren) Minimale Berechtigungsvergabe (Fail-Safe Defaults) Zugriff standardmäßig ablehnen Input-Validierung durch White Lists Vollständige Berechtigungsprüfung (Complete Mediation) sämtliche Zugriffe über Mediator prüfen Java Security Manager prüft sämtliche Zugriffe auf potentiell gefährliche Funktionen (zb Dateizugriffe) offenes Design (Open Design) Sicherheit darf nicht auf Geheimhaltung des Designs oder der Implementierung beruhen Kerkhoffs Prinzip: Sicherheit kryptografischer Verfahren basiert nur auf Geheimhaltung des Schlüssels Vier-Augen-Prinzip (Separation of Privilege) Mehrere Schichten einfügen Angriff einer Schicht bietet keinen Zugriff auf weitere Beispiel: Applikation läuft in abgesicherter Umgebung (Sandbox, chroot: ändert root- Verzeichnis für Prozess) Minimum an Rechten (Least Privilege) nur notwendige Rechte verwenden (Windows: oft Administratorrechte vorausgesetzt) Kompromittierung ermöglicht keinen Zugriff auf weitere Systemteile Minimum an gemeinsamen Mechanismen (Least Common Mechanism) Abhängigkeiten minimieren gemeinsame Variable, Daten vermeiden Psychologische Akzeptanz (Psychological Acceptability) Usability Einsatz von Sicherheitsmechanismen durch einfach bedienbare Benutzerschnittstellen begünstigt Reduzierung der Sicherheit wenn nicht benutzbar (Aufschreiben von PINs) Seite 21 von 32

22 Sichere Programmierung Sichere Architektur: kann durch Programmierfehler unsicher werden (zb fehlerhafte Prüfung von Zertifikaten) Sichere Programmierung: Software ohne Schwachstellen durch Programmierfehler kann Schwächen durch Architektur aufweisen (zb fehlerfreie telnet-implementierung durch unverschlüsselte Kommunikation angreifbar) häufigste Sicherheitsfehler: o OWASP: Top Ten Web Vulnerabilites o CWE und SANS: TOP 25 Most Dangerous Programming Errors Programmierrichtlinien: o CERT Secure Coding Standards o Secure Coding Guidelines for the Java Programming Language Sicherheitskonzepte von Programmiersprachen: automatische Längenprüfung und Speicherverwaltung SQL Injection: Ablauf: Test mit einfachem Hochkomma: Schwachstelle erkennbar Verwenden von Tautologien Auslesen weiterer Tabellen mittels Union, Sub Queries Maßnahmen: alle Eingaben Validieren (nicht nur Formularfelder) Ausfiltern spezieller Datenbankzeichen Blacklist Filtering Whitelist Filtering: zu bevorzugen, Prüfung auf gültige Zeichen Precompiled Statements verwenden: in Datenbank mit Platzhaltern kompiliert, spätere Manipulation nicht möglich Principle of Least Privilege: Minimierung der notwendigen rechte in der Datenbank, verkleinert nur möglichen Schaden Command Injection: Eingabe ohne ausreichende Validierung für System Call verwendet Maßnahmen: Eingabevalidierung Verwenden der Funktionen von Programmiersprachen zum Lesen von Dateien Beschränkung der Zugriffsrechte auf Dateien durch Rechtevergabe oder chroot Minimieren der ausführbaren Dateien Berücksichtigung der System-Konfiguration (zb PHP) Seite 22 von 32

23 Cross Site Scripting (XSS): unvalidierte Benutzereingaben Ausführung des Codes durch vertrauenswürdigen Server, Zertifikate und Verschlüsselung der Client-Server-Kommunikation bieten keinen Schutz ausgeführter Code direkt von vertrauter Domäne ausgeführt zb Versand präparierter URLs über s Arten: o Reflected: Servier liefert Seite mit präpariertem Inhalt, Browser wertet sie aus o Stored: persistente Speicherung des präparierten Inhalts durch Server Maßnahmen: o Benutzereingaben validieren o Kodieren (HTML, URL) von Benutzereingaben und gespeicherten Inhalten vor Ausgabe o Clientseitige Verhinderung durch Browser oder Client-Firewalls (Antworten nur an ursprüngliche Domäne erlauben) Cross Site Request Forgery = Fälschung (CSRF): Angreifer kann Benutzer durch untergeschobenen präparierte URL zu Aktion am Server missbrauchen Aktionen wie Logout, Einträge erstellen, Passwort ändern durch vorhandenes Authentifizierungs-Cookie beim Benutzer kein Login erforderlich Angreifer kann Änderungen über IP-Adresse des Benutzers durchführen (Verschleierung) Maßnahmen: Shared Secret zu jeder internen URL und Formularen hinzufügen: geheimer Token, den nur Server und Client kennen, bei jeder Anfrage vom Client übermittelt, bereits in einigen Web- Frameworks enthalten, bei unverschlüsselter Kommunikation Diebstahl durch Angreifer möglich Verifizierung der Aktion durch Benutzer anfordern Seite 23 von 32

24 Buffer Overflows: Programmierfehler, keine oder falsche Längenüberprüfung beim Schreiben in Buffer Low-Level-Programiersprachen ohne automatisches Bounds Checking überschreibt nachfolgende Speicherbereiche Mögliche Auswirkungen: o Absturz der Applikation mittels Exception/Segfault o ungewöhnliches Systemverhalten o keine Auswirkungen wenn überschriebener Speicher nicht mehr verwendet o Ausführen von eingeschleustem Code Maßnahmen: o Eingabevalidierung, Längenüberprüfung o Programmiersprachen mit automatischer Längenüberprüfung o Testmethoden zum Finden von Buffer Overflows im Quellcode (Statische Codeanalyse, Fuzzing, ) o gefährdete Funktionen vermeiden (zb strcpy() strncpy()) o Betriebssysteme mit nonexecutable Stacks o Verwendung von canary zur Erkennung von Buffer Overflows (Compiler-Optionen) o Adressräume im System zufällig vergeben Seite 24 von 32

25 7. Testing Vergleich aktueller Zustand geplanter Zustand Validierung: richtiges Produkt? (Kundenwünsche Applikation) Verifikation: Produkt richtig erzeugt? (Anforderungen Applikation) Test: erfolgreich, wenn Fehler gefunden Testziele: Funktionalität, Sicherheit, Usability Security Features (Sicherheitsrelevante Funktionalitäten): Anforderungen mit sicherheitskritischen Aspekten Funktionale Fehler haben Auswirkung auf Sicherheit Durchführung funktionaler Tests zb: Authentifizierung, Public Key Infrastructure Secure Features (Sichere Funktionen): Sicherheitsfehler können in jeder Funktionalität auftreten Testen der Robustheit gegen Angriffe zb Fehlende Eingabevalidierung Sicherheitstests: 1000 Codezeilen: 5 15 Bugs (nach dem Testen) bleiben oft unentdeckt haben keine Auswirkung auf restliche Funktionalität stellen mögliche Sicherheitsfehler dar gezielte Suche erforderlich Test: Momentaufnahme, zeitlich beschränkt Angreifer hat beliebig Zeit Testen allein nicht ausreichend für sicheres System, aber Teil der Erstellung Testabdeckung: Wieviele Teile eines Systems getestet? Berechnung nach Zeilen, Anweisungen, Datenvariablen Wer kann Sicherheitstests durchführen? Entwickler/Tester: fehlendes Wissen über Sicherheit und aktuelle Schwachstellen oft übersehen Augenmerk auf Funktionalität und testen dieser Verwendung des Systems aus Benutzersicht Funktionen Sicherheitsexperte: fehlendes Wissen über Domäne und Implementierungsdetails Wissen über Schwachstellen und aktuelle Entwicklungen im Sicherheitsbereich (zb Testtools) Verwendung des Systems aus Angreifersicht Schwachstellen Sicherheitstests im Lebenszyklus: White-Box-Tests: Seite 25 von 32

26 Wissen über Systemdetails für Tests herangezogen (Source Code, Dokumentationen, Ableiten von Ein- und Ausgabewerten) Testtechniken: Statische Analyse, Code Reviews Black-Box-Tests: Umsetzungsdetails nicht für Tests herangezogen Übergeben der Eingabedaten, Betrachtung der Ausgabe (Vergleich mit erwarteter) nicht alle Datenvarianten möglich (zb Verwendung eines Vertreters aus Menge der positiven und negativen Integer) Gay-Box-Testing: Kombination, bevorzugtes Verfahren: Optimierung der Tests durch Informationen, Ermittlung der Testabdeckung erleichtert Datenvarianten anhand interner Details identifizieren (White-Box-Tests) Tests mit ermittelten Datenvarianten durchführen (Black-Box-Tests) Seite 26 von 32

27 Secure Code Review: kostenintensiv, aber sehr effektiv Top-Down-Ansatz: Wissen über Schwachstellen, erforderliches Detailwissen über Code gering Bottom-Up-Ansatz: Wissen über Code, höherer Aufwand als bei Top-Down Walkthrough: Testfälle am Papier durchführen Inspection: Überprüfung anhand von Checklisten/Coding Standards Einfaches Design: vereinfacht Review Statische Codeanalyse: Untersuchung des Codes ohne Ausführung bei Compilern und in IDEs verwendet: Type Check Style Check (zb Verwendung von Codierrichtlinien) Bug Finding (zb Ermittlung der Verwendung nicht initialisierter Variablen) zur Unterstützung von Secure Code Reviews unterschiedliche Algorithmen Problem: hohe false-positiv-rate Varianten: Signaturbasiert: Suche nach definierten Mustern wie strcpy Kontrollfluss-Analyse: Kontrollfluss = Ausführungsreihenfolge der einzelnen Instruktionen Intra-Prozedural vs. Inter-Prozedural (Call Graph) Datenfluss-Analyse: Zusammenhang Erzeuger Verbraucher von Daten Vertrauenswürdigkeit der Quellen Vulnerability Scanning: Suche nach Schwachstellen ohne weitere Ausnutzung dieser regelmäßige Wiederholung erster Schritt möglicher Angreifer automatisierbar Seite 27 von 32

28 Penetration Testing: Sicherheitsüberprüfung: o Schwachstellen finden o Ausnutzbarkeit zeigen (Kunde, Management) o Durchführung im Betrieb o Überprüfen unterschiedlicher Systemebenen (organisatorische Sicherheit durch Social Engineering) o je später, desto teurer o Berücksichtigung des gesamten Systems (OS, Datenbanken, ) o teilweise automatisierbar (Vulnerability Scanner) o wichtig: rechtliche Aspekte Testabdeckung: schwierig zu ermitteln (laufende Teilsysteme, Ports, Applikationen) methodische Vorgehensweisen Prozess: o Vorbereitung: Zielvereinbarung, Vertrag o Informationsbeschaffung o Testdurchführung o Dokumentation Seite 28 von 32

29 Fuzzing: Random Testing Automatisiertes Ausführen mit zufällig generierten oder vordefinierten Werten Testen der Datenfelder, Struktur und Ablauf Fuzzer für unterschiedliche Eingabeformate/Protokolle vorhanden Dateien: Bilder, HTML, XML, DOC, SWF, Netzwerkprotokolle: TCP/IP, RTP, Arten: Template/Block Fuzzer: einfache Protokolle, Berücksichtigung der Prüfmechanismen eines Protokolls (zb Checksummen, Schemavalides XML) Mutation Based Fuzzer: Verwendung bestehender Daten, Abwandlung Generation Based Fuzzer: spezielle Implementierung pro Format/Protokoll, aufwendiger bei Erstellung Model Based Fuzzer: Umsetzung eines komplexeren Ablaufs, zb Handshake Eingabedatengenerierung: zufällig generierte Daten: kein Wissen über spezielles Format erforderlich Ableitung der Werte von typischen Angriffswerten Fuzz-Vektor: XSS, SQL Injection, Erzeugung und Ausführung automatisierbar, große Anzahl von Datenvarianten möglich/erforderlich Fehlererkennung: Veränderungen eines Systems: Prozessorleistung, Einträge in Log-Dateien Überwachen des Prozesses durch Debugger Fehler der Applikation beobachten segfault Fehlerlokalisierung: Durch welchen Testfall verursacht? Seite 29 von 32

30 10. Chipkarten und RFID RFID = Radio Frequency Identification: RFID ist Übertragungsmedium (Alternative zu Bluetooth, Infrarot) keine Sichtverbindung erforderlich, zuverlässig, schnell bestimmte Materialien, andere Wellen können Funktionalität beeinträchtigen Systeme bestehen aus Reader + Tags/Chipkarten Reader immer aktiv, Tags meist passiv (keine eigene Stromquelle) RFID Setup: Reader Tagged Items im Feld des Readers Verbindung Reader (zum Teil offline) Server Herausforderungen: Echtzeit (zb U-Bahn Tokyo) Zuverlässigkeit (zb Logistik) Security (zb Payment) Tags: 1-Bit-Transponder (Diebstahlsicherung) ID-Tags (64 Bit) & Speicherkarten (ab 1 KB) Prozessorkarten (Crypto-Chip, Standard: ab 64 KB) Übertragungsverfahren: Vollduplex (FDX) Halbduplex (HDX) Sequentielle Verfahren (SEQ) Seite 30 von 32

31 Middleware: anwendungsneutrale Programme, die so zwischen Anwendungen vermitteln, dass die Komplexität dieser Applikationen und ihrer Infrastruktur verborgen bleibt Datenmanagement: Welche Daten wie oft an wen und wann? Lesegeräte-Management: Welcher Leser?, Authentifizierung Routing und Integration (Welche Datensenke bekommt welche Daten?) Segmentierung: Edge Tier: Reader Operational Tier: Aggregation, Routing Enterprise Tier: Prozesse, Kontext Warum RFID-System angreifen? WM-Tickets Oyster Card (London) Reisepass kontaktlose Zahlung Zutrittssysteme Besitz (Tier-Kennzeichnung) Gefahren der Übertragung über Luftweg: Abhören Stören/Blockieren (DoS) Verändern Zerstörung/Vandalismus (Privatsphäre) Angriffe: Tags: am ehesten für Angreifer zugänglich Zerstörung: Hammer, Säure, starkes Feld Abschirmen des Transponders (zb Folie) Klonen/Emulieren von Tags (einfach nur über Hardware) Angriffe gegenüber Transpondern Man in the Middle: Abhören der Kommunikation Störsender: Angriff auf Antikollision = Blocker-Tag: simuliert unterschiedlichste IDs Maßnahmen: kryptografische Sicherung des Kanals: gegenseitige symmetrische Authentifizierung Authentifizierung des Lesergeräts/Tags (Reisepass) Zugriffsrechte-Management auf Speicher im Chip Kostendruck sehr hoch Chipkarten: beliebtes Angriffsziel Smartcards: CPU, Crypto Engine Einsatz: Reisepass, Kreditkarten, Bankomatkarten (Magnetstreifen) Seite 31 von 32

32 Magnetstreifen: Daten von jedem lesbar (Reader: 60 Euro, Schreibgerät: 500 Euro) Daten teilweise als Hash oder verschlüsselt (PIN bei Bankomatkarten) Kreditkarten: Nummer im Klartext auf Karte 11. Social Hacking Social Engineer: hohe soziale Fähigkeiten hohe Selbstkontrolle kann spontan auf veränderte Situationen reagieren selbstbewusst, willensstark perfektionistisch Ablehnung von Tradition und Routine schnell gelangweilt Verlangen, sich mit Neuem zu beschäftigen Menschliche Faktoren von Social Engineering: Verhalten Beschreibung Beispiel Reziprozität Man fühlt sich verpflichtet, Gefall Kauf nach Gratisprobe zurückzuzahlen Konsistenz Übereinstimmung mit früherem Verhalten Zusage kann nur schwer gebrochen werden. Soziale Bewährtheit Orientierung an anderen Produkte als Top Seller beworben Symphatie Sympathischen Menschen hilft man lieber. attraktive Models in der Werbung Autorität Anweisungen von Autoritäten weniger in Arzt Frage gestellt Knappheit Knappe Ressourcen haben höheren Wert. nur mehr ein Stück auf Lager Social Engineering-Angriff: Angriffsziele: Geld Informationsbeschaffung Beziehungen aufbauen Beziehungen ausnutzen Ausführung Ego Unterhaltung Streitsachen (zb politische Auffassungen, Rache) Zugehörigkeit Status Seite 32 von 32

Thomas Macht Ausarbeitung Security-Test WS 10

Thomas Macht Ausarbeitung Security-Test WS 10 Sicherheit definieren mit Grenzrisiko und Grenzrisiko definieren. Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Kryptographische Anonymisierung bei Verkehrsflussanalysen Kryptographische Anonymisierung bei Verkehrsflussanalysen Autor: Andreas Grinschgl copyright c.c.com GmbH 2010 Das System besteht aus folgenden Hauptkomponenten: Sensorstationen Datenbankserver Anonymisierungsserver

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

17 Ein Beispiel aus der realen Welt: Google Wallet

17 Ein Beispiel aus der realen Welt: Google Wallet 17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über

Mehr

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der

Mehr

E-Mail-Verschlüsselung viel einfacher als Sie denken!

E-Mail-Verschlüsselung viel einfacher als Sie denken! E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz

Mehr

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Sichere E-Mail für Rechtsanwälte & Notare

Sichere E-Mail für Rechtsanwälte & Notare Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

E-Mail-Verschlüsselung mit S/MIME

E-Mail-Verschlüsselung mit S/MIME E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Daten Monitoring und VPN Fernwartung

Daten Monitoring und VPN Fernwartung Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Datenempfang von crossinx

Datenempfang von crossinx Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Nachrichten- Verschlüsselung Mit S/MIME

Nachrichten- Verschlüsselung Mit S/MIME Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder

Mehr

Grundlagen der Verschlüsselung

Grundlagen der Verschlüsselung (Email & Festplatten & Kurznachrichten) 8 Mai 2015 base on: https://githubcom/kaimi/cryptoparty-vortrag/ Übersicht 1 2 3 4 5 1 2 3 4 5 Verlust des Geräts / der Festplatte Notebook verloren Einbruch alle

Mehr

OP-LOG www.op-log.de

OP-LOG www.op-log.de Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server

Mehr

Man liest sich: POP3/IMAP

Man liest sich: POP3/IMAP Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Zeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI

Zeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI Zeitstempel für digitale Dokumente Ein neuer Dienst in der DFN-PKI DFN-Betriebstagung 26. Februar 2008 Gerti Foest (pki@dfn.de) Was ist ein Zeitstempel? Zeitstempel sind gemäß [ISO18014-1] digitale Daten,

Mehr

SSL Secure Socket Layer Algorithmen und Anwendung

SSL Secure Socket Layer Algorithmen und Anwendung SSL Secure Socket Layer Algorithmen und Anwendung Präsentation vom 03.06.2002 Stefan Pfab 2002 Stefan Pfab 1 Überblick Motivation SSL-Architektur Verbindungsaufbau Zertifikate, Certification Authorities

Mehr

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol CCNA Exploration Network Fundamentals ARP Address Resolution Protocol ARP: Address resolution protocol 1. Eigenschaften ARP-Cache Aufbau 2. Ablauf Beispiel Flussschema 3. ARP-Arten 4. Sicherheit Man-In-The-Middle-Attacke

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch Unified Communications Security Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch 2 Geschäftseinheiten CASSARiUS Fortune Business und Informatik im Einklang. CASSARiUS

Mehr

Sparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden

Sparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden Sparkasse Duisburg E-Mail versenden aber sicher! Sichere E-Mail Anwendungsleitfaden für Kunden ,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität.

Mehr

Port-Weiterleitung einrichten

Port-Weiterleitung einrichten Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen

Mehr

Sparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1

Sparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1 Secure E-Mail Datensicherheit im Internet Sparkasse Kundenleitfaden Sparkasse Kundeninformation Secure E-Mail 1 Willkommen bei Secure E-Mail In unserem elektronischen Zeitalter ersetzen E-Mails zunehmend

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

U3L Ffm Verfahren zur Datenverschlüsselung

U3L Ffm Verfahren zur Datenverschlüsselung U3L Ffm Verfahren zur Datenverschlüsselung Definition 2-5 Symmetrische Verschlüsselung 6-7 asymmetrischer Verschlüsselung (Public-Key Verschlüsselung) 8-10 Hybride Verschlüsselung 11-12 Hashfunktion/Digitale

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15 Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Einführung in die Netzwerktechnik

Einführung in die Netzwerktechnik Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Endgeräteunabhängige Schlüsselmedien

Endgeräteunabhängige Schlüsselmedien Endgeräteunabhängige Schlüsselmedien Seminarvortrag Caroline Schüller 864128 19-01-2015 Inhalt Motivation Grundlagen Schlüsselmedien Evaluation der Schlüsselmedien Fazit 2 Motivation CIRRUS 3 Grundlagen

Mehr

Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)

Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit) Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit) 1. Einleitung Die Elektronische Unterschrift (EU) dient zur Autorisierung und Integritätsprüfung von

Mehr

Ist das so mit HTTPS wirklich eine gute Lösung?

Ist das so mit HTTPS wirklich eine gute Lösung? SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1 Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Infrastruktur: Vertrauen herstellen, Zertifikate finden TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,

Mehr

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien Sie haben von der VR DISKONTBANK GmbH ein signiertes PDF-Dokument (i.d.r. eine Zentralregulierungsliste mit dem Status einer offiziellen Rechnung) erhalten und möchten nun die Signatur verifizieren, um

Mehr

Guide DynDNS und Portforwarding

Guide DynDNS und Portforwarding Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch

Mehr

Formular»Fragenkatalog BIM-Server«

Formular»Fragenkatalog BIM-Server« Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument

Mehr

E-Mail Adressen der BA Leipzig

E-Mail Adressen der BA Leipzig E-Mail Adressen der BA Jeder Student der BA bekommt mit Beginn des Studiums eine E-Mail Adresse zugeteilt. Diese wird zur internen Kommunikation im Kurs, von der Akademie und deren Dozenten zur Verteilung

Mehr

Eine Praxis-orientierte Einführung in die Kryptographie

Eine Praxis-orientierte Einführung in die Kryptographie Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit

Mehr

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen Verbindung zur Bank Rufen Sie für die E-Banking-Loginseite ausschliesslich über unsere Webseite http://www.zugerkb.ch oder via Direktlink https://wwwsec.ebanking.zugerkb.ch auf. Sollten Sie per E-Mail

Mehr

estos UCServer Multiline TAPI Driver 5.1.30.33611

estos UCServer Multiline TAPI Driver 5.1.30.33611 estos UCServer Multiline TAPI Driver 5.1.30.33611 1 estos UCServer Multiline TAPI Driver... 4 1.1 Verbindung zum Server... 4 1.2 Anmeldung... 4 1.3 Leitungskonfiguration... 5 1.4 Abschluss... 5 1.5 Verbindung...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen Einführung in die Informationstechnik VII Handyviren Anonym im Netz surfen 2 Handyschadsoftware erster Handyvirus: 2004 für SymbianOS: Cabir Verbreitung über Bluetooth Ab Herbst 2004 Trojaner Mosquit.a:

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten Tobias Hahn Fraunhofer Institut für sichere Informationstechnologie (SIT) Vorstellung Tobias Hahn Wissenschaftlicher

Mehr

Administrator Handbuch

Administrator Handbuch SPTools Extension Keys: sptools_fal_base sptools_fal_driver SPTools Version: 1 Extension Version: 1.0.2 Inhaltsverzeichnis... 1 1. Einleitung... 2 2. Systemanforderungen... 3 3. SPTools FAL Installation...

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote Seite 1 von 7 ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In größeren Firmenumgebungen

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Wireless & Management

Wireless & Management 4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung

Mehr

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil D2:

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil D2: Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails (Kerstin Ehrhardt) München 02.05.2007 1 1 Nutzung Sicherer E-Mail...

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo

Mehr

Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015

Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015 Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015 Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Vertrauliche Informationen dürfen von und zur

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen Ziel Kennenlernen des Netzwerkprotokolls Http mit unterschiedlichen Formen der Authentifizierung sowie Absicherung des Netzwerkverkehrs

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms: Webdesigner Handbuch Copyright 2006 crm-now Versionsgeschichte Version 01 2006-08-21 Release Version crm-now c/o im-netz Neue

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Zertifikatssperrliste(n) in Active Directory veröffentlichen

Zertifikatssperrliste(n) in Active Directory veröffentlichen [Geben Sie Text ein] Zertifikatssperrliste(n) in Active Directory veröffentlichen Zertifikatssperrliste(n) in Active Directory veröffentlichen Inhalt Zertifikatssperrliste(n) in Active Directory veröffentlichen...

Mehr

Datenübertragungsportal

Datenübertragungsportal Datenübertragungsportal seite zwei Inhalt Inhalt seite zwei Datenübertragungsportal seite drei Erreichte Schutzziele seite acht seite drei Datenübertragungsportal Die Firmengruppe Melter stellt Ihren Kunden

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

HowTo: Einrichtung & Management von APs mittels des DWC-1000

HowTo: Einrichtung & Management von APs mittels des DWC-1000 HowTo: Einrichtung & Management von APs mittels des DWC-1000 [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.1.0.2 und höher 2. Kompatibler AP mit aktueller Firmware 4.1.0.8 und höher (DWL-8600AP,

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr