Thomas Macht Ausarbeitung Security-Test WS 09



Ähnliche Dokumente
Informatik für Ökonomen II HS 09

Thomas Macht Ausarbeitung Security-Test WS 10

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Programmiertechnik II

ITIL & IT-Sicherheit. Michael Storz CN8

So gelingt die sichere Kommunikation mit jedem Empfänger. -Verschlüsselung ist kein Hexenwerk

Schwachstellenanalyse 2012

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Herzlich willkommen zum Kurs "MS Outlook Verschlüsseln und digitales Signieren von Nachrichten

Registrierung am Elterninformationssysytem: ClaXss Infoline

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Integration von Zertifikaten in Benutzerverwaltungssysteme

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

Neue Kennwortfunktionalität. Kurzanleitung GM Academy. v1.0

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

-Verschlüsselung

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

Digital signierte Rechnungen mit ProSaldo.net

-Verschlüsselung viel einfacher als Sie denken!

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Sichere für Rechtsanwälte & Notare

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Dokumentenkontrolle Matthias Wohlgemuth Telefon Erstellt am

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Session Management und Cookies

Stammtisch Zertifikate

Sichere Kommunikation mit Ihrer Sparkasse

ERSTE SCHRITTE.

Kundeninformationen zur Sicheren

Leitfaden zur Nutzung von binder CryptShare

managed PGP Gateway Anwenderdokumentation

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Online-Prüfungs-ABC. ABC Vertriebsberatung GmbH Bahnhofstraße Neckargemünd

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

MH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4.

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Leichte-Sprache-Bilder

Anleitung Thunderbird Verschlu sselung

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter

Web Application Security

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Benutzung des NAM. Starten Sie Ihren Browser und rufen Sie folgende Adresse auf:

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Datenempfang von crossinx

OAuth Ein offener Standard für die sichere Autentifizierung in APIs

Hinweise bei Problemen mit Makros

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Schumacher, Chris Druckdatum :11:00

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Das Secure -System der Hamburger Sparkasse

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

-Verschlüsselung mit S/MIME

Datenaustausch mit Ihren Versicherten einfach und sicher über die Cloud

s versenden aber sicher! Secure . Kundenleitfaden. Sparkasse Landshut

-Verschlüsselung mit Geschäftspartnern

Treckerverein Monschauer Land e.v.

Ablauf Vorstellungsgespräch

Beschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing.

Mail encryption Gateway

Wie funktioniert das WWW? Sicher im WWW

estos UCServer Multiline TAPI Driver

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Elektronische Übermittlung von vertraulichen Dateien an den Senator für Wirtschaft, Arbeit und Häfen, Referat 24

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Risikoanalyse mit der OCTAVE-Methode

Leitfaden für die Mitgliederregistrierung auf der neuen Webseite des SFC-Erkelenz

So empfangen Sie eine verschlüsselte von Wüstenrot

SharePoint Demonstration

Kundenleitfaden Secure

Ist das so mit HTTPS wirklich eine gute Lösung?

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Cryptoparty: Einführung

Sichere Kommunikation mit Ihrer Sparkasse

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

NTT DATA Helpdesk Benutzerhandbuch

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Adressen der BA Leipzig

Sparkasse Duisburg. versenden aber sicher! Sichere . Anwendungsleitfaden für Kunden

Kundeninformation zum Secure . Sparkasse Neu-Ulm Illertissen. ganz in Ihrer Nähe

OP-LOG

e-books aus der EBL-Datenbank

Sparkasse Jerichower Land

Information Security Management System. Klausur Wintersemester 2009/10 Hochschule Albstadt-Sigmaringen

Import des persönlichen Zertifikats in Outlook Express

Clients in einer Windows Domäne für WSUS konfigurieren

Schnelleinstieg WebMail Interface

Gesicherter Dokumentenversand mit LiveCycle Rights Management

Serviceanweisung Austausch Globalsign Ausstellerzertifikate

Sparkasse Gießen. Seite 1 von Götz Schartner, 8com GmbH,,,Sicherheit im Internet.

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Softwaren Engineering I

Leitfaden zur Nutzung des System CryptShare

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Transkript:

Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren Schaden * Eintrittswahrscheinlichkeit Was versteht man unter Weakest Link? Der Schwächste Punkt wird am ehesten angegriffen. Was ist Vertraulichkeit? Die Nachricht ist nur für die vorgesehenen Empfänger zugänglich. Geschützt durch Verschlüsselung. Beschreiben eines Black Hole Angriffs (Netzwerk) DoS-Attacke; Es werden entweder Pakete an einen bestimmten Empfänger, alle x Sekunden ein Paket, alle oder zufällig gewählte Pakete verworfen. Welchen Zweck hat die Aufgabe Data Control bei einem Honeywall in einem Honeynet??? Erklären der Begriffe Authentisierung, Authentifizierung und Autorisierung Authentisierung: Vorlage eines Nachweises zur Identifikation (Benutzername, Passwort) Authentifizierung: Überprüfung eines Nachweises zur Identifikation Autorisierung: Überprüfung, ob Person/IT-Komponente/Anwendung zur Durchführung einer Aktion berechtigt Bsp für graphisches Passwort zb Strichmännchen auf Raster, Software registriert, welches Kästchen in welche Richtung durchkreuzt wurde Seite 1 von 6

Was soll man beim richtigen Umgang mit Passwörtern beachten? Klein-, Großbuchstaben, Sonderzeichen grafische Passwörter (Bildfolge, Punkte auf Bildern, Gesichter): leichter zu merken, schwieriger zu erraten Wechsel in bestimmten Abständen Mindestlänge, Mindestvorkommen bestimmter Zeichenklassen keine Default-Passwörter nicht aufschreiben vom Benutzer änderbar Angriffe: o Raten (Default-Passwörter) o Social Engineering o Brute Force o Wörterbuch-Attacken o Trojaner o Passwortdateien o Über die Schulter schauen o Sniffing (Verschlüsselung in Netzwerken) o elektromagnetische Strahlung, Wireless-Tastaturen o Preisgabe von Informationen: Username/Passwort falsch Soll der öffentliche Schlüssel bei asymmetrischer Verschlüsselung geheim bleiben? Wie der Name schon sagt, nein. Der private Schlüssel soll geheim bleiben. Öffentlicher Schlüssel: Verschlüsseln von Daten, Signatur prüfen Privater Schlüssel: Entschlüsseln von Daten, Signieren Funktion einer Certification Authority (CA) Ausstellung und Verwaltung der Zertifikate optional: Schlüsselerzeugung für Endbenutzer Personalisierung von Chipkarten Versenden der Infos an Endbenutzer (PIN-Brief, Chipkarte) Endbenutzer-Zertifikate durch CA-Zertifikat signiert Erstellen/Signieren von Sperrinfos besondere Anforderungen für sichere Betriebsumgebung: Speicherung, Zugriff auf private Schlüssel Kompromittierung des privaten Schlüssels einer CA alle ausgestellten Zertifikate und damit signierte Dokumente unsicher Erläutern Sie das Kerckhoffs Prinzip. Sicherheit kryptografischer Verfahren darf nur auf Geheimhaltung des Schlüssels, nicht des Algorithmus beruhen. Seite 2 von 6

Reflected XXS Angriff erklären XSS: unvalidierte Benutzereingaben Ausführung des Codes durch vertrauenswürdigen Server, Zertifikate und Verschlüsselung der Client-Server-Kommunikation bieten keinen Schutz ausgeführter Code direkt von vertrauter Domäne ausgeführt zb Versand präparierter URLs über E-Mails Arten: o Reflected: Server liefert Seite mit präpariertem Inhalt, Browser wertet sie aus o Stored: persistente Speicherung des präparierten Inhalts durch den Server Maßnahmen: o Benutzereingaben validieren o Kodieren (HTML, URL) von Benutzereingaben und gespeicherten Inhalten vor Ausgabe o Clientseitige Verhinderung durch Browser oder Client-Firewalls (Antworten nur an ursprüngliche Domäne erlauben) Cross Site Request Forgery erklären Das Sicherheitsproblem ist auf die Statuslosigkeit des HTTP-Protokolls zurückzuführen, da nach einmaliger Authentifizierung der Browser implizit jedes Mal seine Sitzungsdaten an den Server sendet. Trifft die Webanwendung keine Maßnahmen gegen CSRF-Angriffe, ist die Webanwendung verwundbar. Angreifer kann Benutzer durch untergeschobene präparierte URL zu Aktion am Server missbrauchen Aktionen wie Logout, Einträge erstellen, Passwort ändern durch vorhandenes Authentifizierungs-Cookie beim Benutzer kein Login erforderlich Angreifer kann Änderungen über IP-Adresse des Benutzers durchführen (Verschleierung) Maßnahmen: o Shared Secret: zu jeder internen URL und Formularen hinzufügen: geheimer Token, den nur Server und Client kennen bei jeder Anfrage vom Client übermittelt, bereits in einigen Web-Frameworks enthalten, bei unverschlüsselter Kommunikation Diebstahl durch Angreifer möglich o Verifizierung der Aktion durch Benutzer anfordern 2 Argumente warum "Penetrate and Patch" nicht ausreicht für sichere Software Sicherheitsfehler nur im Betrieb gefunden, mit Patches behoben nicht gemeldete Schwachstellen nicht behoben Patches beheben oft nur Symptome, nicht eigentliche Ursache Zeitfenster für Angriffe bis alle Systeme gepatcht (manche nie) Aus Patches können Angreifer Details über Schwachstellen ableiten. 2 Softwareentwicklungsmodelle zum Erstellen sicherer Software Microsoft Security Development Lifecycle (SDL) Seite 3 von 6

Kann eine Software ohne Schwachstellen durch Programmierfehler Schwachstellen in der Architektur haben, begründen. Sichere Architektur: kann durch Programmierfehler unsicher werden (zb fehlerhafte Prüfung von Zertifikaten) Sichere Programmierung: Software ohne Schwachstellen durch Programmierfehler kann Schwächen durch Architektur aufweisen (zb fehlerfreie telnet-implementierung durch unverschlüsselte Kommunikation angreifbar) Angriffsbaum beschreiben und 1 Bsp Attack Trees Technik zum Dokumentieren von Bedrohungen Identifizieren möglicher Bedrohungen mit iterativer Detaillierung Baumstruktur Knoten/Kanten zur Bewertung der Eintrittswahrscheinlichkeit einer Bedrohung bei größeren Systemen schnell unübersichtlich Seite 4 von 6

Was bedeutet "Double Blind" bei Penetration Tests 2 Konzepte bei Penetration Tests Sicherheitsüberprüfung: o Schwachstellen finden o Ausnutzbarkeit zeigen (Kunden, Management) o Durchführung im Betrieb o Überprüfen verschiedener Systemebenen (organisatorische Sicherheit durch Social Engineering) o je später, desto teurer o Berücksichtigung des gesamten Systems (OS, Datenbanken) o teilweise automatisierbar (Vulnerability Scanner) o wichtig: rechtliche Aspekte Testabdeckung: schwierig zu ermitteln (laufende Teilsysteme, Ports, Applikationen) methodische Vorgehensweisen Prozess: o Vorbereitung: Zielvereinbarung, Vertrag o Informationsbeschaffung o Testdurchführung o Dokumentation MC-Frage: Security Management gemäß ITIL ist positioniert auf welcher Ebene???? In welche Punkte gliedert sich ITIL??? Organisatorische Lösungen mit ITIL sind nicht ausreichend???? Seite 5 von 6

Welche inhaltlichen Punkte sollte eine Security Policy haben? Stellenwert der Informationssicherheit und Bedeutung der IT für die Aufgabenerfüllung Sicherheitsziele, Beschreibung der Sicherheitsstrategie Beschreibung der Organisationsstruktur Zusicherung, dass Sicherheitsrichtlinie von Leitungsebene durchgesetzt wird und Verstöße sanktioniert werden Aussagen zur periodischen Überprüfung der Sicherheitsmaßnahmen Aussagen zu Programmen zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen (Erhalt und Förderung der Awareness) Verantwortlichkeiten im Informationssicherheitsprozess Die 3 Sicherheitsziele nach Grundschutzhandbuch Vertraulichkeit Integrität Verfügbarkeit Erfüllung aller Maßnahmen im IT Grundschutz ist immer ausreichender Schutz? Nein, nur allgemeiner Leitfaden. Was versteht man unter dem Kumulationseffekt? Mehrere kleine Schäden führen zu einem Großen Verteilungseffekt: Redundanzen Maximumprinzip: schwerwiegendste Auswirkung Nennen sie die 2 Grundprinzipien im Social Engineering?? Nennen sie die 4 Phasen eines Social Engineering Angriffs Informationsbeschaffung Beziehungen aufbauen Beziehungen ausnutzen Ausführung Seite 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback