Schutz und Sicherheit

Transkript

1 Schutz und Sicherheit Teil 2 Prof. Dr. Margarita Esponda Freie Universität Berlin - WS 2011/2012 1

2 Sicherheit vs. Schutz - Schutzmechanismen beziehen sich auf die spezifischen Mechanismen und Methoden des Betriebssystems, die verwendet werden, um die Informationen im Rechner zu schützen und damit Sicherheit zu erzielen. - Sicherheit ist ein allgemeinerer Begriff, der die ganze Problematik umfasst. - Ein Sicherheitssystem muss das Umfeld des Systems in Betracht ziehen, um die Ressourcen schützen zu können. 2

3 Sicherheitssysteme Um ein System sicher zu machen, müssen Sicherheitsmassnahmen auf 4 verschiedenen Ebenen stattfinden. - physikalisch - menschlich - Betriebssystem - Netzwerk "Security is as weak as the weakest chain" 3

4 Sicherheitsanforderungen Vertraulichkeit der Daten - Lesezugriff - Information über die Existenz der Daten Datenintegrität - Schreiben, Ändern, Löschen oder Erstellen von Objekten Systemverfügbarkeit - Betriebsmittel des Systems Authentizität - Die Identität eines Benutzers feststellen Sicherheit muss in erster Linie vom Betriebssystem gewährleistet werden 4

5 Sicherheitsverletzungen Kategorien Verstoß gegen die Vertraulichkeit Verstoß gegen die Datenintegrität Verstoß gegen die Verfügbarkeit von Information Diebstahl von Diensten Störung der Funktionalität, Dienste arbeitsunfähig zu machen 5

6 Das Sicherheitsproblem - Insider-Angriffe Hintertüren Logische Bomben - Angriffe von außen Angriffe Ausnutzung von Programmfehlern Brechen von Sicherheitssystemen absichtlich unbeabsichtigt oder zufällig 6

7 Standard-Sicherheitsangriffe Normaler Fluss Unterbrechung Mithören Veränderung Erzeugung 7

8 Malware-Programme Malware benötigt ein Host- Programm unabhängig Hintertüren Logische Bomben Trojanische Pferde Viren Wurm Zombie Taxonomie von Malware-Programmen nach W. Stallings 8

9 Anzahl der Malware-Signaturen Symantec Report Im Jahr 2011 mehr als 10 Millionen Malware-Signaturen 9

10 Logische Bombe Insider-Angriffe eingebetteter Programmcode, der nur unter bestimmten Bedingungen ausgeführt wird. ist oft von Programmierern benutzt worden, um Arbeitgeber zu erpressen. Beispiel: In einem bekannten Fall (in Spafford et all beschrieben) suchte eine logische Bombe nach dem ID eines bestimmten Angestellten, und wenn die ID zwei Mal hintereinander nicht in der Lohnabrechnung erschien, löste sie sich aus. 10

11 Logische Bombe Donald Gene Burleson, Programmierer an der Firma USPA & IRA, Ft. Worth, Texas wurde am entlassen am um 3 Uhr wurden Datensätze aus der Datenbank des Unternehmens gelöscht Das Programm wurde bei Wiederherstellung der gelöschten Datensätze gefunden Vor Gericht: Benson, who spent four days testifying about how he uncovered the scheme, said the destructive programs were created Sept. 2 and Sept. 3, 1985, on Burlesonʼs computer terminal by someone using Burlesonʼs computer password. Quelle: 11

12 Hintertüren Insider-Angriffe Eintrittsstelle eines Programms ohne die üblichen Sicherheitsprüfungen. Jahrelang "legal" verwendet von Entwicklern während der Testphasen von Programmen. Oft von Firmen benutzt, um Wartungsaufgaben durchführen zu können. Leider in der Vergangenheit oft von skrupellosen Programmierern missbraucht worden. Schwer vom Betriebssystem aus zu kontrollieren. Sicherheitsmaßnahmen müssen sich auf Software-Entwicklungsebene konzentrieren. 12

13 Beispiel: Insider-Angriffe Login-Code mit Hintertür aus Tanenbaum: Modern Operating Systems, 2001, S. 610 while (TRUE) { printf( "login: " ); get_string( name ); disable_echoing(); printf( "password: " ); get_string( password ); enable_echoing(); v = check_validity( name, password ); if (v strcmp( name, "zzzzz" ) == 0) break; } execute_shell( name ); } 13

14 Hintertüren 1983 Ken Thompson. "Reflections on Trusting Trust" (Turing Award lecture to the ACM) Hintertür in früheren UNIX-Versionen Der C-Compiler hat jedes Mal beim Übersetzen des login-programms ein Programmteil eingeführt, das ein Passwort, vom Thomson gewählt, erkannt hat. Der Compiler erkannte auch seine eigene Übersetzung und fügte jedes Mal in den neuen übersetzten Compiler den Teil des C-Compilers ein, der das Übersetzen des login-programms erkannte. Diese Hintertür blieb eine Weile aktiv und war nirgendwo im Quellprogramm sichtbar. 14

15 Hintertür Juni 2003 unbekannter Entwickler modifizierte (unautorisiert) die Linux-Kernel- Quellen die modifizierte Programmzeilen gehörten zur sys_wait4()-funktion oder wait4() Systemaufruf current->uid = 0 anstatt current->uid == 0 wenn jemand die wait4()-funktion mit der gesetzten Optionen WCLONE und WALL benutzte (illegale Kombination), bekam der aufrufende Prozess root-privilegien die zwei manipulierten Programmzeilen wurden entdeckt (casual checking) 15

16 Trojanische Pferde Angriffe von Außen - Meistens holen sich naive Benutzer den Angriff selber, indem sie Software aus unsicheren Quellen im eigenen Rechner installieren. - Ein Trojanisches Pferd ist ein scheinbar nützliches Programm, das einen verborgenen Programmcode enthält, der bei Aktivierung schädigende Funktionen ausführt. Beispiele: Spyware, Pop-Up-Fenster, Verdeckte Kanäle, usw. 16

17 NetBus in Delphi geschrieben - von Carl-Fredrik Neikter - nur für Pranks entwickelt - Client- und Server-Anteil - als Fernwartung-Programm verwendet - oft als Trojaner verwendet 17

18 Trojanische Pferde - Im Jahr 2006 waren mehr als 55 Prozent der vom Informationsverbund des Bundes registrierten Malware-Programme Trojanische Pferde. - Moderne Trojaner sind von Virenscannern nur noch schwer erkennbar. 9% 1% 3% Trojan 13% Worm Other Adware Spyware 74% Information aus Panda Q1 Report

19 Das Ausnutzen von Programmierfehlern Pufferüberlauf - Pufferüberlauf (buffer overflow) ist einer der meist ausgenutzten Programmierfehler. - Entstehung des Problems C-Compiler führen keine Überprüfung der Indexgrenzen eines Arrays durch. C-Programmierer kontrollieren die Indexgrenzen auch nicht. Folgendes C-Programm wird problemlos übersetzt. int main(){ char c[10]; c[1010] = 10; return 0; } Ein Byte, das 1000 Positionen vom ursprünglichen Array entfernt ist, wird überschrieben 19

20 Virtueller Adressraum Pufferüberlauf Lokale Variablen in Hauptprogramm Ausführung- Stapel Lokale Variablen in Hauptprogramm Lokale Variablen in Hauptprogramm Rücksprung-Adresse Rücksprung-Adresse Lokale Variablen von Funktion A Lokale Variablen von Funktion A x x Puffer X in A Programm Programm Programm Nachdem Funktion A aufgerufen wird Die Rücksprung-Adresse wird überschrieben 20

21 Pufferüberlauf #include <stdio.h> #define BUFFER SIZE 256 int main(int argc, char *argv[]) { char buffer[buffer SIZE]; if (argc < 2) return -1; else { strcpy(buffer,argv[1]); } return 0; } Hier kann als Argument ein String beliebiger Länge eingegeben werden. 21

22 Pufferüberlauf #include <stdio.h> int main( int argc, char *argv[]){ execvp("\bin\sh","\bin\sh",null); return 0; } Dieses Programm in übersetzter Form kann in dem Buffer gespeichert werden. Der Rest des Buffers kann bis einer Position vor der Rückgabeadresse mit NOPs ausgefüllt werden. Die Rückgabeadresse wird mit der Anfangsadresse des Buffers (Buffer[0]) überschrieben. Wenn die Funktion, wo der Buffer ist, beendet wird, geht die Ausführung in dem Programm weiter, das gerade in dem Buffer gespeichert worden ist. 22

23 Pufferüberlauf Rücksprung-Adresse Frame-Zeiger buffer[buffer_size-1]. buffer[1] buffer[0] - Rücksprung-Adresse des modifizierten Shell-Programms. NO_OPs Modifiziertes Shell-Programms Nachdem das ausführbare Programm kopiert worden ist. 23

24 Gegenmaßnahme #include <stdio.h> #define BUFFER_SIZE 256 int main(int argc, char *argv[]) { char buffer[buffer_size]; if (argc < 2) return -1; else { - Hier wird die Länge begrenzt strncpy( buffer, argv[1], sizeof(buffer)-1); } return 0; } 24

25 Gegenmaßnahme void input_line() { char line[10]; if ( gets(line) )... } - unsicher - sicherer void safe_input_line() { char line[10]; if ( fgets(line, sizeof line, stdin) )... } - fgets kontrolliert die Eingabelänge 25

26 Gegenmaßnahme Unterstützung durch den Compiler Lokale Variablen in Hauptprogramm Rücksprung-Adresse Zufallszahl-Barriere... buffer[2] buffer[1] buffer[0] - Neue GNU-Compiler bieten Übersetzungs-Optionen, um Überprüfungen zu aktivieren. - Eine Zahl vor der Rücksprung- Adresse wird vom Compiler erzeugt und als Überprüfungszahl verwendet. Canary- Zahl Programm 26

27 Gegenmaßnahme Unterstützung durch den Compiler Eine Sicherheitskopie der Rücksprung-Adresse wird erzeugt Lokale Variablen in Hauptprogramm Rücksprung-Adresse... buffer[2] buffer[1] buffer[0] Rücksprung-Adresse Sicherheitskopie Programm 27

28 Das Ausnutzen von Programmierfehlern Formatstring-Angriffe - Das Problem entsteht durch die Verwendung ungefilterter Benutzereingaben in C-Funktionen wie printf() - Eine ungefilterte Eingabe, die zuerst in buffer gespeichert ist, wird wie folgt ausgegeben: printf( buffer ); die Variable buffer wird als String mit Formatangabe interpretiert Besser wäre: printf("%s", buffer); die Variable buffer wird als einfache Zeichenkette ausgegeben 28

29 #include <stdio.h> #include <string.h> Formatstring-Angriffe int main(){ int i = 0; char line[20], greetings[20] = "Hello "; gets(line); strcat(greetings,line); printf(greetings, &i); printf("i=%d\n",i); return 0; } Eingabe: Peter %n Ausgabe: Hallo Peter i=12 Anzahl der Zeichen, die bis zu dieser Stelle ausgegeben wurden 29

30 Zufallsgestaltung des Adressraum-Aufbaus Address Space Layout Randomization ASLR - ASLR vergibt den Programmen zufällige Adressbereiche - das System ist nicht mehr deterministisch - Pufferüberlauf-Angriffe werden damit erschwert - zuerst in Open BSD - später im Windows Vista und Mac OS

31 Gegenmaßnahme Compiler und Compiler-Erweiterungen GNU-Compiler Erweiterungen: Der Stack Smashing Protector von IBM ehemals als ProPolice bekannt Der Stack Guard entwickelt an der Oregon Health and Science University und bei der Linux-Distribution Immunix Microsoft Visual Studio Option /GS ab GCC 4.1 GCC fstack-protector filename.c 31

32 Gegenmaßnahme mit Hardware-Unterstützung Die NX-Bit Abkürzung von No execute-bit ist eine einfache Hardware-Unterstützung zur Verbesserung der Sicherheit eines Computers. Zuerst von AMD mit dem Prozessor Athlon 64 x86-markt eingeführt mit dem Namen Enhanced Virus Protection (EVP) Intel verwendet in seinen neuesten Prozessoren die gleiche Technik mit der Bezeichnung XD-Bit (Execute Disable). Andere Firmen verwenden ähnliche Techniken. Mit dem NX-Bit können Speichersegmente mit Daten von Speichersegmenten mit Programmcode unterschieden werden. Dieser Schutz funktioniert allerdings nur mit Betriebssystemen, die die Unterstützung des NX-Bit ausnutzen. - ab Hier! 32