Datensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter

Transkript

1 Datensicherheit Vorlesung 7: Wintersemester 2017/2018 h_da, Lehrbeauftragter

2 Teil 2: Datensicherheit Themenübersicht der Vorlesung 1. Einführung / Grundlagen der Datensicherheit / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP und S/MIME 3. Netzwerksicherheit / TLS 4. Softwaresicherheit / Malware / Firewalls 5. Einführung in den Datenschutz / Privatsphäre / Anonymität 6. BDSG / DSGVO / Technische und organisatorische Maßnahmen 7. Evaluation / Was ist sichere Software? / Hacking / Live-Hacking x. Beispielklausur durchgehen / Wiederholung Datensicherheit

3 Welche Software ist sicher und welche ist unsicher?

4 Welche Software ist sicher und welche ist unsicher? Eigentlich gibt es nur Software, von der bekannt ist, dass sie unsicher ist und solche, von der noch nicht bekannt ist, ob sie unsicher ist.

5 Welche Software ist sicher und welche ist unsicher? Eigentlich gibt es nur Software, von der bekannt ist, dass sie unsicher ist und solche, von der noch nicht bekannt ist, ob sie unsicher ist. D.h. es gibt Software, von der aus Erfahrung gesagt werden kann, dass sie laut den bisher bekannten Informationen relativ sicher ist. Absolut sichere Software gibt es nicht.

6 Was macht sichere Software aus? Sicherheit wurde bei der Anforderungsanalyse berücksichtigt Sicherheit wurde beim Entwurf berücksichtigt Sicherheit wurde bei der Implementierung berücksichtigt Sicherheit wurde bei der Überprüfung berücksichtigt Sicherheit wurde bei der Installation und Abnahme berücksichtigt Sicherheit wurde bei Betrieb und Wartung berücksichtigt Datensicherheit

7 Was macht sichere Software aus? Sicherheit wurde bei der Anforderungsanalyse berücksichtigt Sicherheit wurde beim Entwurf berücksichtigt Sicherheit wurde bei der Implementierung berücksichtigt Sicherheit wurde bei der Überprüfung berücksichtigt Sicherheit wurde bei der Installation und Abnahme berücksichtigt Sicherheit wurde bei Betrieb und Wartung berücksichtigt Sicherheit wurde in allen Phasen der Software- Entwicklung berücksichtigt das Security by Design -Prinzip wurde berücksichtigt Datensicherheit

8 Sicherheit in allen Phasen des Wasserfallmodells Anforderungsanalyse Entwurf Implementierung Überprüfung Installation + Abnahme Betrieb + Wartung Datensicherheit

9 Sicherheit in allen Phasen des Scrum-Kreislaufs Anforderungsanalyse: Kunden Sprint Daily Standup (10 Minuten) Implementieren Überprüfen Dokumentieren (mehrere Tage) priorisierte Anforderungsliste Anforderungsanalyse + Entwurf (wenige Stunden) Abnahme (1 Stunde) lauffähige Software Retrospektive (1 Stunde) Datensicherheit

10 Wer stellt sichere Software her? die meiste Software wird heute so schnell und so günstig wie möglich hergestellt da bleibt wenig Zeit, um Sicherheit ernst zu nehmen da in den letzten Jahren die Anzahl von Sicherheitsvorfällen ständig steigt, sind aber immer mehr Software-Firmen gezwungen, nun doch mehr Zeit in Sicherheit zu investieren nur selten wird aber das Security by Design -Prinzip befolgt, sondern der Hauptfokus liegt auf der Überprüfung >> umfangreiche Tests werden eingesetzt, um die schlimmsten Sicherheitsprobleme aufzudecken Datensicherheit

11 Entwicklung sicherer Software es existieren verschiedene Herangehensweisen, wie sichere(re) Software entwickelt werden kann einige fokusieren eher darauf, dass Sicherheit überhaupt in den verschiedenen Phasen der Software Entwicklung adressiert wird z.b. Open Software Assurance Maturity Model (OpenSAMM) andere beschreiben konkrete Schritte und Verfahren, die bei der Software-Entwicklung angewandt werden sollen - z.b. Security Development Lifecycle (SDL) von Microsoft Datensicherheit

12 Open Software Assurance Maturity Model (OpenSAMM) Datensicherheit

13 Security Development Lifecycle (SDL) Datensicherheit

14 Sicherheitsüberprüfung Softwarefirmen setzen verschiedene Sicherheitstests ein, um die schlimmsten Sicherheitsprobleme in der Software zu finden, bevor sie ein Black-Hat-Hacker findet die Sicherheitstests untersuchen die Software nach bekannten Mustern und Funktionalitäten, die auf eine Schwachstelle oder Verwundbarkeit hindeuten es wird grundsätzlich unterschieden zwischen automatischen und manuellen Tests und zwischen White-Box- und Black-Box-Tests ein White-Box-Test hat Zugriff auf die Interna einer Software, also auf den Quellcode und auf die Konfigurationen ein Black-Box-Test betrachtet die Software nur von außen und hat keine Informationen über die Interna einer Software Datensicherheit

15 Typen von Sicherheitsüberprüfungen Statische Analyse automatisierte White-Box-Tests, die gegen den Quellcode oder die Binärdateien einer Software-Anwendung laufen findet Schwachstellen Dynamische Analyse Fuzzing automatisierte Black-Box-Tests gegen eine laufende Anwendung findet Verwundbarkeiten automatisierte Black-Box-Tests gegen eine laufende Anwendung findet Verwundbarkeiten im Bereich Verfügbarkeit und Stabilität Penetrationstests normalerweise eine Kombination aus den oben aufgeführten Tests in Kombination mit einer detaillierten manuellen Analyse Datensicherheit

16 Vergleich der Sicherheit von Software wie am Anfang erwähnt, kann nur beurteilt werden, wie unsicher eine Software ist und nicht wie sicher sie ist, weil nur bekannte Probleme bewertet werden können und nicht die unbekannten PC-Betriebssysteme: Windows MacOS (OS X) Linux Smartphone-Betriebssysteme: Windows ios Android Browser: Firefox InternetExplorer Chrome Safari Telco: Skype Mumble Mobil-Instant-Messaging: WhatsApp Threema Messenger Office: Microsoft Office OpenOffice LibreOffice Datensicherheit

17 Hacken / Hacker die Begriffe Hacken und Hacker werden vielseitig eingesetzt grundsätzlich bedeutet Hacken das Ausprobieren verschiedener Lösungsansätze, bis eine passende Lösung gefunden wurde im Kontext von Datensicherheit bezeichnet Hacken das Suchen nach Sicherheitslöchern in IT-Systemen ein Hacker kann dabei eine Person sein, die im Auftrag eines Systembetreibers nach Sicherheitslöchern sucht (wird dann als White-Hat bezeichnet) oder jemand, der/die mit kriminellem Hintergrund nach Sicherheitslöchern sucht ( Black-Hat ) die Hacker-Aktivitäten von White-Hats werden meist auch als Penetrations-Tests bezeichnet Datensicherheit

18 Vorgehensweisen beim Hacking normalerweise ist das System, welches untersucht wird, eine Black-Box, also ein System, über das erst einmal nichts oder nur wenig bekannt ist als erstes wird versucht, möglichst viel über die Beschaffenheit des Systems in Erfahrung zu bringen also z.b. welche Ports benutzt werden, welche Protokolle unterstützt werden, welche Software auf dem System installiert ist (Betriebssystem, Datenbanken, -Server, Web-Server,...),... diese Basisinformationen werden dann genutzt, um nach bekannten Schwachstellen zu suchen wenn solche Suchen nicht erfolgreich sind, werden verschiedene Tools eingesetzt, um gängige Probleme nacheinander auszuprobieren nachdem verschiedene kleiner Sicherheitslücken aufgedeckt wurden, wird versucht, diese so zu kombinieren, damit gravierendere Lücken aufgedeckt werden dieses schrittweise Herantasten an die gravierenden Probleme, ist das eigentliche Hacken Datensicherheit

19 Hacker-Tools Hacken erfordert einiges an Erfahrung mit allgemeinen Programmier- und Netzwerktechniken diverse Tools existieren, um die Arbeit zu erleichtern Port-Scanner schickt Anfragen an alle Ports auf einem System und versucht zu ermitteln, welche Dienste dort laufen (z.b. HTTP-Client da viele Schwachstellen über die Webschnittstelle gefunden werden können, wird oft mit einem normalen Web-Browser oder einem HTTP-Proxy (z.b. BURP) gesucht Dynamische Anwendungs-Scanner schicken gängige Angriffsmuster an eine Anwendung und bestimmen anhand der Antworten, ob eine Anwendung anfällig ist weitere spezielle Programme viele weitere Tools existieren, um z.b. nach speziellen Blind-SQL-Injection- Schwachstellen zu suchen oft müssen auch kleine Hilfsprogramm selber programmiert werden... Datensicherheit