Workshop IT-Sicherheit

Workshop IT-Sicherheit Ein kleiner Einblick in die Welt der IT-Sicherheit Christian Schlehuber Fachbereich Informatik TU Darmstadt

Workshop IT-Sicherheit Die Folien sind nach dem Workshop in der aktuellen Version online verfügbar unter: http://www.chris-schlehuber.de/publikationen/ 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 2

Einleitung Warum Private IT-Sicherheit? IT-Sicherheit ist ein sehr breites Feld Hier liegt der Fokus auf den Problemen, die einen Normalnutzer treffen können 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 3

Einleitung Warum dieser Workshop? IT-Sicherheit rückt mehr und mehr in den Fokus (diverse Medienberichte) Es kursieren viele Halbwahrheiten oder Gerüchte zu den Themen Hier soll ein gewisses Grundverständnis geschaffen werden Nach dem Workshop sollte jeder Teilnehmer in der Lage sein seinen Sicherheitsstandard deutlich (!) zu steigern 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 4

Einleitung 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 5

Einleitung Warum ist das Internet bzw. Software so anfällig? Historisch gewachsene Systeme: Entstand 1969 aus dem ARPANET IP Protocol (entstand 1981) DNS Protocol (entstand 1987) Zur Zeit der Entstehung dachte niemand an Angreifer Selbst heute ist bei SW-Entwicklern meist nur geringe IT-Sec Kenntnis vorhanden, daher: SQL Injections Buffer Overflows Etc. 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 6

Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 7

1. Gefahren Potenzielle Gefahren? Ideen? 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 8

1. Gefahren Potenzielle Gefahren? 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 9

Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 10

2. Basics Die 5 Schutzziele von IT-Security Integrität (Integrity) Vertraulichkeit (Confidentiality) Authentizität (Authenticity) Verfügbarkeit (Accessibility) Nicht-Abstreitbarkeit (Non-repudiation) 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 11

2. Basics Hash Funktion, die aus einer großen Quelle eine kleinere (meist) eindeutige Ausgabe erzeugt Der Hash-Wert kann zum Identifizieren/Prüfen von Dateien und anderem verwendet werden Netzwerkkommunikation Pakete werden immer an untere Ebene weitergereicht und gekapselt Bekannt? IP-Adresse Identifiziert einen Rechner auch außerhalb des aktuellen Subnetzes Wird z.b. auch im Internet ständig verwendet 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 12

2. Basics Symmetrische / Asymmetrische Kryptografie 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 13

2. Basics Signatur Es wird von einer Datei/Nachricht ein Hash-Wert gebildet Anschließend wird der Hash mittels priv. key verschlüsselt Nun kann mit dem pub. Key auf Validität geprüft werden SSL/TLS Dient zum Herstellen von einer sicheren und authentifizierten Verbindung zwischen einem Client und einem Server Basiert auf PKI (asymm. Krypto) Der Client kann sich durch Zertifikat über den Server informieren Die Kommunikation erfolgt verschlüsselt 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 14

Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 15

3. Der Angreifer Ein Beispiel The Robin Hood Hacker Adrian Lamo Hacked into Microsoft, Yahoo, New York Times, etc. Robin Hood, da er Schwachstellen den Unternehmen meldete und keinen Schaden anrichtete Gilt als einer der kreativsten Hacker, da er seine Angreifer auf den Verteidiger einstellt Beispiel: Excite@Home Hack Excite@Home ist ein sehr großer amerikan. Kabelbetreiber Entdeckte aus der Uni einen fehlkonfigurierten Proxy-Server, wodurch er Zugang zum internen Netz erhielt 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 16

3. Der Angreifer Ein Beispiel (2) Danach postete er eine Frage auf der internen Hilfsseite Durch die Antwort erhielt er weitere Informationen über das Netz Er wurde beim Betreten anderer Bereich nach keinerlei Authentifizierung gefragt Er erhielt dadurch auch Zugriff auf den Firmen-Webserver und das Ticketing-System Im Ticketing System konnten Kunden Fehler melden und z.t. wurden auch Nutzerdaten mitgesendet Auf all das hatte er direkt uneingeschränkten Zugriff Außerdem existierte ein Script zum Generieren von Auth- Cookies, wodurch man sich als Kunde ausgeben konnte (eigentlich für Techniker) 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 17

3. Der Angreifer. Ein Beispiel (3) Am Ende hatte er es sogar geschafft sich remote Zugriff auf vielen Mitarbeiter-PCs zu verschaffen Am Ende meldete er alles an das Unternehmen Vor Ort wurde ihm der der fehlkonfigurierte Proxy gezeigt Auf die Frage nach einer Sicherungsmöglichkeit, zerschnitt er das Netzwerkkabel! Now the machine s secure. Die ganze Geschichte kann man in The Art of Intrusion von Kevin Mitnick lesen. 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 18

3. Der Angreifer 1. Motivation Fokus in diesem Workshop auf: Kommilitonen Normale Personen Einfache Hacker Motivation daher: Informationsbeschaffung Interesse Spaß Schaden 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 19

3. Der Angreifer 2. Tools Es gibt mittlerweile ein Vielzahl an frei verfügbaren Tools, die für Angriffe nutzbar sind: Wireshark (Netzwerk Protokoll Analyzer) http://www.wireshark.org/ Erlaubt es den kompletten Netzwerkverkehr mitzuschneiden Network Stumbler (WLAN Auditing Tool) http://www.netstumbler.com/ Erkennung von WLANs, samt Konfiguration. Versteckte SSID ist irrelevant. 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 20

3. Der Angreifer 2. Tools Beispiel Netstumbler: 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 21 Quelle: Network Stumbler Homepage

3. Der Angreifer 2. Tools Nmap (Security Scanner for Network Exploration) http://nmap.org/ Erweiterter Portscanner und Analyse Tool für Netzwerke Aircrack (WEP/WPA key cracker) http://www.aircrack-ng.org/ Knackt WEP Schlüssel nach ca. 80 000 Paketen Diverse Online Datenbanken/Tools Whois.de IANA / RIPE http://mxtoolbox.com/ Etc. 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 22

3. Der Angreifer 3. Vorgehen Hängt jeweils vom Angriff ab: Normalerweise zuerst Reconnaisance Welches System nutzt das Ziel IP Adressen / offene Ports Eventuelle Services Danach wird versucht eine möglichst einfach Schwachstelle zu finden und sich Rechte zu verschaffen Als letztes folgt im Normalfall das verschleiern der Spuren Eine kleine Live Demo (am Beispiel der TU Darmstadt)! 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 23

Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 24

4. Gegenwehrmaßnahmen Potenzielle Gefahren? -> Gegenwehr 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 25

4. Gegenwehrmaßnahmen 1. Angriff: Hardware gestohlen Potenzielle Gefahren? -> Gegenwehr 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 26

4. Gegenwehrmaßnahmen 1. Angriff: Hardware gestohlen Zugriff auf Speichermedien Ziele: Confidentiality / Integrity Mittel: Verschlüsselung der Medien Lösung: TrueCrypt http://www.truecrypt.org/ Verschlüsselung von Partitionen und ganzen Laufwerken Verschlüsselte Container Auch versteckte Container/Partitionen möglich Versch. Verschlüsselungsalgorithmen und Hash-Algorithmen Hardwarebeschleunigung und Parallelberechnung möglich 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 27

4. Gegenwehrmaßnahmen 1. Angriff: Unauthorisierter Zugriff Zugriff auf Speichermedien (via Netzwerk, etc) Ziele: Confidentiality / Integrity Mittel: Verschlüsselung der Medien Lösung: Service Passwörter / Netzwerkfreigaben Setzen eines User Passworts Deaktivieren von ungenutzten Nutzer-Accs. 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 28

4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Potenzielle Gefahren? -> Gegenwehr 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 29

4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Passwortstrategien Ziele: Confidentiality / Integrity / Authenticity Mittel: Sichere Passwörter Ab wann ist ein Passwort sicher? Und warum sollte es sicher sein? 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 30

4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Passwortstrategien Ziele: Confidentiality / Integrity / Authenticity Mittel: Sichere Passwörter Angriffe auf Passwort meist via Brute-Force oder Dictionary Attacks Daher sollten diese Angriffe möglichst erschwert werden Ganz wichtig: Ein Passwort sollte nicht auf persönlichen Informationen basieren!!! Online Passwort Generator: http://www.gaijin.at/olspwgen.php 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 31

4. Gegenwehrmaßnahmen 2. Angriff: Passwort geknackt Ein kleines Rechenbeispiel: Passwort (6 Zeichen; 0-9) = 1 000 000 Kombinationen Passwort (6 Zeichen; a-z) = 308 915 776 Kombinationen Passwort (6 Zeichen; azaz) = 19 770 609 664 Kombinationen Passwort (6 Zeichen; azaz09) = 56 800 235 584 Kombinationen Und das noch ohne Sonderzeichen! Passwort (4 Zeichen; mit SZ) = 38 950 081 Kombinationen Passwort (5 Zeichen; mit SZ) = 3 077 056 399 Kombinationen Passwort (6 Zeichen; mit SZ) = 243 087 455 521 Kombinationen Bei 2*10^9 keys/sec Bei 10 Zeichen allerdings => 120 Sek. => 150 Jahre 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 32

4. Gegenwehrmaßnahmen 3. Angriff: E-Mail Kommunikation Potenzielle Gefahren? -> Gegenwehr 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 33

4. Gegenwehrmaßnahmen 3. Angriff: E-Mail Kommunikation E-Mail Kommunikation Ziele: Confidentiality / Integrity / Authenticity Mittel: Signatur, Verschlüsselung, SSL/TLS Exkurs: Betrügerischen Mails Können von jedermann mittels PHP oder ähnlichem versendet werden Befehl: bool mail ( string $to, string $subject, string $message [, string $additional_headers [, string $additional_parameters]] ) $headers.= From:wichtig@bundestag.de\n ; 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 34

4. Gegenwehrmaßnahmen 3. Angriff: E-Mail Kommunikation Wie kann man das erkennen? E-Mail Header! GMX IP = 213.165.64.x Vermutlich ist obiger Rechner ein sog. Zombie 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 35

4. Gegenwehrmaßnahmen 3. Angriff: E-Mail Kommunikation Wie erreicht man Vertraulichkeit und Sicherheit bei Mails? Lösung: Wahl des Mailservers Die meisten Anbieter bieten normale POP/SMTP Server an Zusätzlich werden meist aber auch POP/SMTP over HTTPS (SSL/TLS) Server angegeben Man sollte immer die letztgenannten verwenden, sofern diese angegeben sind! 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 36

4. Gegenwehrmaßnahmen 3. Angriff: E-Mail Kommunikation Wie erreicht man Vertraulichkeit und Sicherheit bei Mails? Lösung: Die Mail an sich Verwendung von kryptografischen Mitteln (PKI/asymm. Krypto) Beispiel: Enigmail für Thunderbird (http://www.enigmail.net) Ermöglicht Verschlüsselung mit dem pub. Key des Empfängers Auch das Signieren von Nachrichten ist möglich PGP-basiert 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 37

4. Gegenwehrmaßnahmen 4. Angriff: illeg. Zugriff auf Netzwerk Potenzielle Gefahren? -> Gegenwehr 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 38

4. Gegenwehrmaßnahmen 4. Angriff: illeg. Zugriff auf Netzwerk Zugriff auf Netzwerk Ziele: Confidentiality / Integrity / (Authenticity) Mittel: Sichere Verschlüsselung / Passwörter Lösung: Auf keinen Fall einfache Passwörter für Infrastruktur-HW nutzen Bei WLAN: Verwendung von WPA2 WEP mittlerweile unsicher (80 k Pakete für Crack nötig) WPA kann auch gebrochen werden, ist allerdings aufwendiger Bei Bedarf: restriktive Firewall, welche nur bekannte IPs erlaubt 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 39

4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Potenzielle Gefahren? -> Gegenwehr 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 40

4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Arbeiten in feindlichen Netzwerken Ziele: Confidentiality / Integrity Mittel: Nutzung von SSL oder Vermeiden von Credentials Beispiel: 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 41

4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Arbeiten in feindlichen Netzwerken Ziele: Confidentiality / Integrity Mittel: Nutzung von SSL oder Vermeiden von Credentials Lösung: Bei wichtigen Daten auf Verwendung von https:// achten 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 42

4. Gegenwehrmaßnahmen 5. Angriff: unsichere Netzwerke Noch eine Anmerkung: Es gibt gewisse Angriffe, welche auf schwache SSL Varianten zurückgreifen Daher möglichst darauf achten, dass in den Browsern die schwachen Varianten deaktiviert werden Bei Firefox sollte man zusätzlich auf aktives SSL 3.0 / TLS achten 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 43

4. Gegenwehrmaßnahmen 6. Angriff: Social Engineering Potenzielle Gefahren? -> Gegenwehr 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 44

4. Gegenwehrmaßnahmen Lösung: 6. Angriff: Social Engineering Skeptisch sein! Rückfragen stellen. 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 45

Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 46

Privacy im Internet Verschiedene Sicherheitsrisiken im Internet HTTP-Referer Tracking Cookies Webtiming Attacks CSS History Mining Etc. Generell keine Anonymität, da IP-Adressen eindeutig zugeordnet werden können 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 47

Privacy im Internet Einige Möglichkeiten zur Steigerung der Anonymität durch Browser Add-Ons: Ad-Blocker (für Firefox: Adblock Plus) Filtert Werbeinhalte und vermeidet Verfolgung durch eingebettete Inhalte JavaScript Blocker (für Firefox: NoScript) JavaScript Code kann geblockt/freigegeben werden, dadurch Vermeidung von vielen Problemen Opt-Out Cookies (für Firefox: TACO) Stellt dem Nutzer für die gängigsten Werber Opt-Out Cookies zur Verfügung 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 48

Privacy im Internet Einige Möglichkeiten zur Steigerung der Anonymität durch eigenes Verhalten: Vorsicht in Social Communities Google+, Facebook, etc. Gepostete Inhalte sollten durchdacht sein Diese Plattformen vergessen nichts Ein Großteil des Gewinns basiert auf personalisierter Werbung und dem Verkauf von anonymisierten Daten Wechselnde Benutzernamen/Passwörter 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 49

Privacy im Internet Manchmal genügen die vorherigen Verfahren nicht Szenario: Regimekritischer Blogger in China Für solche Fälle gibt es TOR (The Onion Router) TOR sorgt in einem feindlichen Netzwerk für eine gewisse Anonymität Absender und Empfänger können nur schwer verknüpft werden Wie funktioniert das? 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 50

Privacy im Internet Funktionsweise von TOR 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 51

Privacy im Internet Funktionsweise von TOR 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 52

Privacy im Internet Funktionsweise von TOR 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 53

Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 54

Diskussion / individuelle Themen 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 55

Überblick 1. Potenzielle Gefahren 2. Grundbegriffe 3. Der Angreifer 1. Motivation 2. Tools 3. Vorgehen 4. Gegenwehrmaßnahmen 5. Privacy im Internet 6. Diskussion / individuelle Themen 7. Abschluss 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 56

Abschluss Der Workshop kratzt nur an der Oberfläche Für Vertiefungen: In der Uni: Veranstaltungen aus dem Bereich Trusted Systems In Büchern: Matt Bishop Introduction to Computer Security Jon Erickson Hacking (Die Kunst des Exploits) Zum Thema Privacy im Internet: Seminarband Online Social Networks, 2009, TU Darmstadt http://www.p2p.tudarmstadt.de/fileadmin/user_upload/group_p2p/seminarband.pdf 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 57

Abschluss Außerdem ein lesenswertes Buch: Daemon von Daniel Suarez Autor ist IT-Consultant und SW-Entwickler Beschreibt eine Welt, die von einer KI übernommen wird Wissenschaftlich relativ plausible Vorgänge Schafft einen gewissen Eindruck, was alles bereits heute machbar ist Quelle: www.amazon.de 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 58

Vielen Dank für die Aufmerksamkeit! Fragen? 12.10.2012 Fachbereich Informatik Workshop IT-Sicherheit Christian Schlehuber 59