Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis

Transkript

1 Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis Dipl.-Inform. Martin Mink Lehr- und Forschungsgebiet Informatik 4 Verlässliche Verteilte Systeme Tag der Informatik

2 Meldungen und Vorfälle dieser Woche Internet-Bezahlsystem Payflow Link angreifbar Änderung des zu zahlenden Betrages möglich Virus für Mobiltelefone Trojaner zerstört Funktionalität Spyware leitet Verkehr um SSL-verschlüsselte Verbindungen lesbar Server des CCC gehackt bisher unbekannte Sicherheitslücke in Software SCO Web Defacement Veränderungen an den WWW-Seiten der Firma Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 2

3 SCO Web Defacement Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 3

4 Vorfälle dieser Woche (2) Microsoft veröffentlicht Patch für Internet Explorer Reaktion auf Angriffe über Werbe-Server Ungeschützte PCs nach 4 Minuten gehackt Ergebnis einer Untersuchung mit Honey-Pots Mehr Spam als erwünschte s Rate beträgt bis 85% Spiele-Engine anfällig für Denial-of-Service Internet-Spiele-Server können abstürzen Lücke in procfs für FreeBSD Angreifer können das System zum Absturz bringen Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 4

5 Vorfälle dieser Woche (3) Buffer Overflow in Suns Ping-Befehl Sicherheitslücke in Groupware PHProjekt Cross-Site-Scripting-Schwachstelle in Linux- Firewall IPCop DMS POP3 Server stürzt bei zu langen Nutzernamen ab Mehrere Buffer Overflows in FTP-Server WS_FTP Windows-Namensdienst verwundbar Forscher spähen Satelliten-Internet-Zugänge aus Firmencomputer Spyware-verseucht Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 5

6 Vorfälle dieser Woche (4) Multiple buffer overflows exist in Mercury/32 Disclosure of file system information in Mozilla Firefox and Opera Browser NFS statd vulnerability imagemagick vulnerabilities Spam Outnumbers Legit Messages Almost 9 to 1 Cisco CNS Network Registrar Denial of Service Vulnerability The Cost of Virus Protection Rises Multiple vulnerabilities in Kreed 1.05 Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 6

7 Fazit Es gibt viele sicherheitsrelevante Vorfälle Schäden, die durch den Missbrauch von IT- Systemen entstehen, sind beachtlich Bewußtsein für IT-Sicherheit ist da aber nur teilweise (Medien) Nachholbedarf im Bereich IT-Sicherheits- Ausbildung Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 7

8 Stand der IT- Sicherheitsausbildung an deutschen Universitäten immer noch wenige Lehrstühle, die sich mit IT-Sicherheit beschäftigen Inhalte theoretische Grundlagen defensive Techniken forschungsorientiert Unsere Angebote Vorlesung Verlässliche Verteilte Systeme I Seminar Hacker-Seminar Vorlesung Computer-Forensik Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 8

9 Praxis Theorie ist wichtig, aber: praktische Anwendung unerlässlich Speziell: offensive Herangehensweise inzwischen verbreitet und anerkannt Lücken finden in Computern, Software, Systemen in eigenem Wissen Praktische Erfahrungen in einer Umgebung, die sonst nicht legal möglich Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 9

10 Das Hacker-Praktikum Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 10

11 Hacker Praktikum Idee: "know your enemy" Kennenlernen der Methoden der Angreifer, um sich effizient vor Angriffen schützen zu können Sensibilisierung durch Erfahrung Beispiel: "sniffen" eines POP3-Passwortes Erprobung von Angriff und Verteidigung in einem klinischen Netzwerk Arbeit in Teams Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 11

12 Beispielhafter Ablauf Ablauf in Phasen Installation der Betriebssysteme und Schließen von Sicherheitslücken Angriffe und Verteidigung Konfiguration einer Firewall Angriffe durch (und auf) die Firewall Jeweils Besprechung der Ergebnisse und Erkenntnisse in der Großgruppe Zukünftige Erweiterungen: mobile Sicherheit, Intrusion Detection, Biometrie, Datenschutz,... Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 12

13 Praktikumsziele Kritische Auseinandersetzung mit den Grundsätzen des "Hackens" und den prinzipiellen Angriffskonzepten Studierende für die Gefahren im Netzwerk sensibilisieren sowie ausbilden, die Gefahren zu erkennen und abzuwehren Keinesfalls: Schreiben von Viren/Würmern Entwicklung neuer Exploits Erste Erfahrungen: hohe Motivation, viel Arbeit Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 13

14 Sommerschule IT-Sicherheit Weiterführung des Praktikums Sicherheitsprobleme im Kontext verstehen Wissen systematisch erarbeiten, wie Systeme in der Praxis versagen Nachwuchswissenschaftler fördern Durchführung: 15 Tage, jeweils vormittags Vorlesung, danach praktische Anwendung 14 Teilnehmer aus 3 Ländern, 4 Betreuer Veranstaltung im Rahmen der Exzellenz- Komponente des B-IT Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 14

15 Fazit Im Bereich IT-Sicherheit gibt es noch große Herausforderungen Probleme sind nicht ausschließlich technisch lösbar Nur durch eine verbesserte Ausbildung und Professionalisierung des Gebietes kann man die Probleme wirklich angehen Idealerweise IT-Sicherheit nicht nur in spezialisierten Lehrveranstaltungen, sondern in jeder relevanten Grundstudium: Sicheres Programmieren Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 15

16 Capture the Flag Contest Anti-Hacker-Wettbewerb, organisiert durch die University of California in Santa Barbara (UCSB) Weltweit verteilte Teams testen ihre Sicherheitskenntnisse Jedes Team betreut einen Server Absichern des eigenen Servers Angriffe auf die Server der anderen Teams erobern von Marken (flags) Bringt die Teilnehmer in eine Krisensituation in einer Lehrveranstaltung nicht möglich Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 16

17 Capture the Flag Contest Ein Team der RWTH beteiligt sich 15 Studenten, von unserem Lehrgebiet organisiert Im Seminarraum des Lehrstuhls Informatik 4 Heute ab 19 Uhr: Absicherung 20 1 Uhr: Angriffe Herzliche Einladung an alle Interessierten Unser Motto: nur nicht letzter auf jeden Fall: Teilnehmer haben viel gelernt Martin Mink Das Hacker-Praktikum: IT-Sicherheit zwischen Lehre und Praxis 17