Lehrstuhl für Praktische Informatik 1. Überblick und Forschungsthemen

Transkript

1 Lehrstuhl für Praktische Informatik 1 Überblick und Forschungsthemen Prof. Dr. Felix Freiling Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 1

2 Das Team Felix Freiling Sabine Braak (Sekretariat) Jürgen Jaap (Technik) Michael Becher Zina Benenson Markus Engelberth Christian Gorecki Thorsten Holz Martin Mink Lucia Draque Penso, PhD (bis Januar 2008) Philipp Trinius Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 2

3 Das Forschungsthema des Lehrstuhls Verlässlichkeit (dependability) als Kombination von safety und security Ein System ist verlässlich, wenn man berechtigterweise Vertrauen in die Leistung setzen kann, die es erbringt. Notwendig: Quantifizierbare Attribute der Verlässlichkeit Methoden zur ingenieursmäßigen Entwicklung verlässlicher Systeme Schutz gegen absichtliches und unabsichtliches Fehlverhalten Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 3

4 Vorlesungen: Lehrangebot Betriebssysteme (V4 + Ü2, jedes Wintersemester) Angewandte Computersicherheit (V4 + Ü2) Computerforensik (V2 + Ü1) Principles of Dependable Systems (V4 + Ü2) Fallstudien verlässlicher Systeme (V2 + Ü2) Praktika: Hacker-Praktikum Fehlertoleranz-Praktikum Seminare zu Themen der Verlässlichkeit Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 4

5 Forschungsthemen im Überblick Offensive Aspekte von Computersicherheit Computerforensik Sicherheit in Sensornetzen Metriken von Verlässlichkeit Sicherheit mobiler Systeme Honeynets Fehlertolerante und sichere verteilte Algorithmen... jeder Punkt ein eigenes Vortragsthema... Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 5

6 Forschungsthemen im Überblick Offensive Aspekte von Computersicherheit Computerforensik Sicherheit in Sensornetzen Metriken von Verlässlichkeit Sicherheit mobiler Systeme Honeynets Fehlertolerante und sichere verteilte Algorithmen Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 6

7 Offensive Computersicherheit Neubetrachtung des klassischen Lehrparadigmas der IT-Sicherheit Die Angreiferperspektive einnehmen Methoden des Hacking selbstverständlich lehren Arbeitshypothese: Offensive Lehre erzeugt bessere Security-Experten Nachweis durch Experimente mit Studierenden Motivationsfaktor: Capture-the-Flag-Wettbewerbe Unsere Projektgruppen in Aachen/Mannheim regelmäßig unter den Top 3 Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 7

8 Offensiv vs. Defensiv Woraus besteht der offensive Lehransatz? Verfahren zum Angriff auf Verfügbarkeit, Integrität und Vertraulichkeit von Informationen: Denial of Service Passwort Cracker Netzwerk-Sniffer Woraus besteht der defensive Lehransatz? Verfahren und Richtlinien, um Informationen zu schützen: Firewalls Intrusion Detection Systeme Kryptographie Passwortsicherheit Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 8

9 Inhalte der Kurse 1. Einführung - Linux Grundlagen - C- Programmierung - Netzwerkgrundlagen 4. Netzwerksicherheit 1 - Sniffen - Port Scanning 7. Webanw.- Sicherheit - SQL Injection - Webgoat - Schwachstellen 2. Unix- Sicherheit - Passwortsicherheit - Zugriffskontrolle 5. Netzwerksicherheit 2 - Spoofing - Denial of Service - SSH 8. Malware - Viren - Würmer - Trojaner 3. Softwaresicherheit - Buffer Overflows - Race Conditions 6. Firewalls - Architektur - Konfiguration 9. Abschlussprüfung Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 9

10 Abgrenzung der Übungen Unix- Sicherheit Software- Sicherheit Netzwerk- Sicherheit 1 Netzwerk- Sicherheit 2 Malware Defensiv Gute Passwort- Policy Passwortalterung Passwort- Checker Spuren suchen Formatstrings Race Conditions Programme prüfen Sniffer detektieren Scannen nach offenen Ports Einrichten v on SSH PK Authentifizierung E- Mailverschlüsselung Aufspüren von Rootkits Tripwire Analyse eines Wurms Offensiv Sudo (chmod) J ohn plus Wörterbuch Spuren verwischen Detaillierte Betrachtung v on Buffer Ov erflows Sniffen Arp- Spoofing Idle- Scanning MAC- Cloning ARP- Spoofing Netzwerk- Scannen Installation und Testen von LRK und Adore Login- Trojaner Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 10

11 Defensivkurs Strategien der Teilnehmer Offensivkurs Schwache Passwörter Rootkits (LRK) Firewallskript Firewallskript Offene Ports Schwache Passwörter Root-User Rootkits (Arobia) Rootkit (LRK) Root-User SUID-Bits Offene Ports Sudo-Fehler SSH konfigurieren Sudo-Aufgabe Sudo-Fehler Syncookies Aktiver Sniffer Aktiver Sniffer SUID-Bits SSH konfigurieren Promiscuous Mode Rootkit (Arobia) Sudo-Aufgabe Tripwire Syncookies Promiscuous Mode / Log-Files Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 11

12 Fazit Sicherheitsausbildung Offensiv ist besser als Defensiv? Bisher keine Aussage möglich Aussage möglich: Viel Vorwissen ist besser als wenig Vorwissen Überlegung: Differentielle Wirkung Defensivkurs ist besser bei wenig Vorwissen, Offensivkurs ist besser bei viel Vorwissen Weitere Experimente notwendig... Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 12

13 German Honeynet Project Honeypot: Netzwerkkomponente, deren Wert darin besteht, angegriffen und kompromitiert zu werden Honeynet: Netzwerk von Honeypots German Honeynet Project Gegründet von Thorsten Holz (zunächst RWTH Aachen, jetzt Uni Mannheim) Koordination deutscher Honeynet-Aktivitäten Zentrale Beiträge/Erkenntnisse: Nepenthes-System Botnet-Tracking-Methode Entdeckung und Analyse aktueller Malware-Trends im Internet (z.b. Fast Flux, Storm Worm) Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 13

14 Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 14

15 InMAS-Projektübersicht Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 15

16 BEAN-Webschnittstelle Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 16

17 Fast-Flux: Hochverfügbarkeit für Kriminelle Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 17

18 Interessante DNS-Antworten Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 18

19 Normale HTTP-Anfrage Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 19

20 HTTP-Anfrage über Fast-Flux Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 20

21 Fast-Flux-Erkennung Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 21

22 RWTH-Malware-Studie Großes Honeynet innerhalb des Uni-Netzes der RWTH Aachen (3 Class-B-Netze) Nepenthes-Sensoren auf ca IP-Adressen Nahezu gleichverteilt im Adressraum Sammelt Malware auf bekannten Schwachstellen Zeitraum Dezember 2006-Januar 2007 Fragen: Was tut die Malware? Wie effektiv sind aktuelle Virenscanner? Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 22

23 Ergebnisse Mehr als 13 Millionen Infektionen Mehr als 2000 unterschiedliche Arten von Malware Alles vertreten: Bots, Würmer, Trojaner,... Analyse mit CWSandbox Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 23

24 Installierte Dienste und Kernel-Treiber Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 24

25 Weitere Ergebnisse Erkennungsraten von AV-Produkten Gute Korrelation zwischen Honeypot-Messungen und Messungen am zentralen RWTH-Gateway Bezogen auf die Art und Menge der Malware- Infektionen Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 25

26 Ideen für Zusammenarbeit Ausbildung: Aktuelles Hacker-Praktikum: CERT-Simulation Mögliche weitere Themen: Pentesting, Forensik Awareness, z.b. Vorträge beim Dies Academicus Verteilung von Honeypots im Uni-Netz Analyse des Netzverkehrs Fernziel: modernes Uni-weites IDS Offen für weitere Ideen Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 26

27 Quellen Storm Worm: Thorsten Holz, Felix Freiling, Moritz Steiner, Frederic Dahl, Ernst Biersack: Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm. First USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET 08) Fast Flux: Thorsten Holz, Christian Gorecki, Felix Freiling, Konrad Rieck: Measuring and Detecting Fast- Flux Service Networks. In: Proceedings of 15th Network & Distributed System Security Conference (NDSS 2008) Messungen im Netzwerk der RWTH Aachen: Thorsten Holz, Jan Goebel, Carsten Willems: Measurement and Analysis of Autonomous Spreading Malware in a University Environment. 4th GI International Conference on Detection of Intrusions & Malware, and Vulnerability Assessment (DIMVA 2007) Nepenthes: Thorsten Holz, Maximillian Dornseif, Felix Freiling, Paul Baecher, Markus Koetter: The Nepenthes Platform: An Efficient Approach to Collect Malware. 9th International Symposium on Recent Advances in Intrusion Detection (RAID 2006) Botnet Tracking: Felix Freiling, Thorsten Holz, Georg Wicherski: Botnet Tracking: Exploring a Root-Cause Methodology to Prevent Distributed Denial-of-Service Attacks. In:Computer Security - ESORICS 2005, 10th European Symposium on Research in Computer Security, 2005 CWSandbox: Thorsten Holz, Felix Freiling, Carsten Willems: Toward Automated Dynamic Malware Analysis Using CWSandbox. In: IEEE Security & Privacy, 5, 2, 32-39, 2007 IT-Sicherheitsausbildung: Martin Mink: Ist Angriff besser als Verteidigung? Der richtige Weg für IT- Sicherheitsausbildung. In: Innovationsmotor IT-Sicherheit, 10. Deutscher IT-Sicherheitskongress des BSI, , Bundesamt für Sicherheit in der Informationstechnik, Bonn, 2007 Diese und andere Literatur unter pi1.informatik.uni-mannheim.de Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 27

28 Zusatzfolien Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 28

29 Sicherheit in Sensornetzen (Benenson) Neubetrachtung von Sicherheitsprotokollen in Sensornetzen Wenig Ressourcen, sparsame Protokolle Massive Verteilung, hohe Redundanz Konzentration auf probabilistische Authentifikationsprotokolle für Anfrageverteilung Projekt ZeuS (gemeinsam mit Universität Karlsruhe, gefördert durch Landesstiftung BW) Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 29

30 Sicherheitsmetriken (Freiling) Wie sicher ist ein System im Vergleich zu einem anderen System? Ansätze: Klassische Kryptographie, theoretische Maße Empirisches Messen mittels IDS und Honeynets Standards und best practices Ökonomische Maße (ROSI, vulnerability markets, etc.) GI-Dagstuhl-Forschungsseminar 2005 Sammelband mit Überblicksartikeln erscheint voraussichtlich Ende 2006 Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 30

31 Computerforensik (Dornseif, Wood) Sichern von Beweismitteln aus digitalen Geräten Steigende Bedeutung in der Praxis Forschungsfragen: Potential der Automatisierung Wissenschaftliche Fundierung der best practice Methoden Qualitätssicherung forensischer Ergebnisse Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 31

32 Kooperationen Kooperationspartner (Auswahl): T-Mobile, Bonn Deutsche Börse AG, Frankfurt Symantec AG, Gelsenkirchen Universität des Baskenlandes, San Sebastian, Spanien Universität Paris 7, Frankreich Universität Karlsruhe RWTH Aachen BKA, BSI, LKA Niedersachsen Etwa ein Spin-Off pro Jahr: IDev/Secos (Diplomarbeit Michael Mertens, 2004) RedTeam Pentesting (CTF-Projektgruppe, 2005) CWSandbox (Diplomarbeit Carsten Willems, 2006) Donnerstag, 7. September 2006 pi1.informatik.uni-mannheim.de Seite 32