Schritt für Schritt zur IT-Spitzenleistung IT-Service und Security Management wirksam gestalten Oliver van de Kamp Security Eye, 14.09.2006, Köln w w w. t u v. c o m
Wegbegleiter TÜV Rheinland Secure it Wer wir sind. Tochtergesellschaft der TÜV Rheinland Group TÜV RG weltweit vertreten an 300 Standorten in 50 Ländern Secure it: internationale Spezialisten zur dauerhaften Sicherung von IT-Umgebungen: Analysieren Optimieren Zertifizieren Konzentration auf die Bereiche IT- Security IT-Prozesse IT-Services w w w. t u v. c o m 2/31
Portfolio-Übersicht IT-Security: IT-Security Management (u.a. Einführung von IT-Security Managementsystemen, Prozessmodell auf Basis ISO 27001, Gestellung CISO) IT-Security Testing (u.a. Application Testing, Hacking, Telekommunikations-Anlagen-Testing) IT-Security Zertifizierung (u.a. ISO 27001, SEP-sec, Common Criteria, IT Grundschutz) Datenschutz (u.a. Audit, Zertifizierung, Gestellung Datenschutzbeauftragter) IT-Prozesse: IT-Service Management (u.a. Einführung und Zertifizierung von IT-Service Managementsystemen (Prozessmodell auf Basis ITIL & ISO 20000) Software-Entwicklung und beschaffung (u.a. Assessment und Zertifizierung von Softwareentwicklungsprojekten auf Basis ISO 15504 (SPICE)) IT-Usability (u.a. Assessment/Zertifizierung des Usability Management innerhalb von Software-Entwicklungsprojekten auf Basis von ISO 13407) w w w. t u v. c o m 3/31
Erfolgreiche Unternehmen steigern Werte Unternehmen Analysieren Optimieren Zertifizieren Werte schaffen IT Prozesse Werte sichern IT Security IT als Rückgrat aller wirtschaftlichen Unternehmungen w w w. t u v. c o m 4/31
Angemessene Sicherheit auf allen Ebenen O R G A N I S A T O R I S C H Security Declaration Security Concepts Security Policies Security Tools w w w. t u v. c o m 5/31
Gefahrenpotential Phishing Engl: Abfischen ; (urspr. Phreaking (= phone freak)) Form des Trickbetrugs im Internet Versand einer E-Mail, die den User verleiten soll, auf einer gefälschten Website Zugangsdaten und Passwörter herauszugeben Die Folge bisher: 630 Mill. Dollar Schaden 2005 allein in den USA (Quelle: State-of-the-net 2006) w w w. t u v. c o m 6/31
Phishing : Beispiel Postbank Eine falsche E-Mail w w w. t u v. c o m 7/31
Phishing : Beispiel Postbank Eine falsche Website I/II w w w. t u v. c o m 8/31
Phishing : Beispiel Postbank Eine falsche Website II/II w w w. t u v. c o m 9/31
Phishing : Beispiel Postbank Noch eine falsche Website w w w. t u v. c o m 10/31
Neue Techniken für sichere Transaktionen PIN/TAN. Der Kunde autorisiert sich mit einer stets gleichen fünfstelligen Identifikationsnummer (PIN) und einer variablen Transaktionsnummer (TAN) auf der Website der Bank. Die TAN wählt er aus einer Liste von meist 100 Nummern. Nachteil: Späht ein Betrüger PIN und TAN aus, kann er problemlos Geld abheben. FAZIT: Leicht angreifbar durch Phishing oder Trojaner. itan. Wie bei PIN/TAN erhält der Kunde eine Liste mit Codes, die aber durchnummeriert sind. Der Anwender wählt die TAN nicht selbst. Die Bank gibt vor, welche er auf der Website eingeben muss. FAZIT: Basisschutz gegen klassische Phishing-Attacken, nicht aber gegen Trojaner, die Daten vom PC des Nutzers abgreifen. etan. Ein Generator im Taschenrechnerformat erzeugt ständig wechselnde TAN-Nummern. Der Kunde benötigt vor jedem Vorgang eine Kontrollnummer von Seiten der Bank. Ein so erzeugter Code gilt nur wenige Sekunden zu wenig Zeit für Betrüger, um das Konto abzuräumen. FAZIT: Sicherer und bedienungsfreundlicher als ITAN. mtan. Die Bank schickt die TAN per SMS auf das Handy des Kunden. Die Nummer ist wie beim etan- Verfahren nur kurze Zeit gültig. Zusammen mit der TAN werden weitere Transaktionsdetails versandt, Manipulationsversuche sind damit erkennbar. FAZIT: Das sicherste TAN-Verfahren. HBCI. Der Kunde meldet sich per Chip-Karte über ein externes Lesegerät an. Die Karte ist mit einer PIN geschützt, die er über eine Tastatur auf der Hardware eingibt. So können die Daten kaum ausgespäht werden. Preis des Kartenlesers: rund 100 Euro. FAZIT: Maximale Sicherheit, aber teuer und aufwändig. w w w. t u v. c o m 11/31
IT Service and Security Management Reference Model w w w. t u v. c o m 12/31
Angemessene Sicherheit auf allen Ebenen Security Declaration Security Concepts Security Policies Security Tools T E C H N I S C H w w w. t u v. c o m 13/31
Wege der Bedrohung 6 Wireless LAN, Bluetooth, 1Internet 5 Partnernetze (Zulieferer, Dienstleister, Service) IT ITK-Anlage 2 (Modem, ISDN, Wartungszugänge) 4 3 Interne MA oder externe MA RAS/VPN/ (intern) Laptops w w w. t u v. c o m 14/31
Bedrohung der IT Infrastruktur aus dem Internet durch Anwendungen Firewall Sicherheit Webserver Applikationsserver Datenbanken w w w. t u v. c o m 15/31
Bedrohung der IT Infrastruktur aus dem Internet durch Anwendungen Angriff wird selten behindert durch Firewall! Software anfälliger als FW-Software oder Dienstesoftware (Erfahrung der Entwickler) Angriffe werden auf einer höheren (intellektuellen oder logischen) Ebene ausgeführt (reizvoller). Impact ist wesentlich höher. man findet alte Bekannte (typische Fehler). w w w. t u v. c o m 16/31
Vielversprechende Ziele: Web Applikationen Die Anzahl (interaktiver) Web Applikationen steigt ständig Web Applikationen greifen häufig auf Backend Systeme zu Die Applikation wurde individuell entwickelt oder angepasst Sie wurde nicht ausreichend getestet Verschiedene Abteilungen sind beteiligt / verantwortlich Keine klaren Verantwortungen Auf Web Applikationen soll aus dem Internet zugegriffen werden Angriffe sind anspruchsvoller und somit auch interessanter für Hacker w w w. t u v. c o m 17/31
Angreifer Script Kiddies (viele Angreifer ohne tiefes Know-How, aber mit mächtigen Waffen) Hacker, Cracker Experten mit unterschiedlichen Motiven Professionelle Dienste Automatische Systeme: Würmer, Viren, Spy-Ware w w w. t u v. c o m 18/31
Beispiele aus den letzten Monaten Finanzdiensleister: Beliebige Finanzdaten von Kunden einsehbar. Medienunternehmen: Drei weitere (unbekannte) Netzwerkzugänge wurden identifiziert. Finanzdienstleister: Beliebige Code konnte im Webportal ausgeführt werden (Kompromittierung des gesamten Netzes). Kontrollbehörde: Komplette Datenbank konnte ausgelesen werden (Zugang über Modem)! Rüstungsbetrieb: Vollständiger Zugriff auf die B2B-Lösungen w w w. t u v. c o m 19/31
Beispiel SQL Injection Package myseverlets; [...] String sql = new String( SELECT * FROM WebUsers WHERE Username= + request.getparameter( username ) + AND Password= + request.getparameter( password ) + stmt = Conn.prepareStatement(sql) Rs = stmt.executequery() [...] w w w. t u v. c o m 20/31
Beispiel SQL Injection w w w. t u v. c o m 21/31
Durchgriff bis zur Datenbank Durch Fehler in der Applikation wird die Login-Abfrage zu: 1) SELECT * FROM `userlist WHERE `username = `$UserID AND `password = `$password 2) SELECT * FROM `userlist WHERE `username = `` OR `` = `` AND `password` = `` Die zweite Aussage ist immer wahr, also login. Wir kommunizieren jetzt nicht mehr mit Webserver oder Applikationsserver sondern direkt mit der Datenbank! (xp_cmdshell ;)) Ursache Designfehler in der Anwendung. (Abnahmeprozesse??) w w w. t u v. c o m 22/31
SQL Injection - Weitere Auswirkungen Zugriff auf andere Tabellen SELECT * FROM PRODUCT WHERE ProductName= test UNION select username, password from dba_users where a = a Löschen oder Ändern von Daten Ausführen von Befehlen SELECT * FROM PRODUCT WHERE ProductName= test UNION SELECT exec master.dbo.xp_cmdshell dir c:\ Zugriff auf das interne Netzwerk w w w. t u v. c o m 23/31
An allen Schrauben drehen w w w. t u v. c o m 24/31
Die Resultate anhand von Fehlermeldungen analysieren w w w. t u v. c o m 25/31
Schlussfolgerung Web Applikationen sind dankbare Ziele Die Entwickler denken im Kontext der abzubildenden Geschäftsprozesse... Hacker denken anders! Eine vielzahl möglicher Angriffsvektoren HTML oder SQL Injection Cookie Diebstahl Cross Site Scripting (XSS) Ändern interner Parameter etc. w w w. t u v. c o m 26/31
Zertifikat: Datensicherheit und Datenschutz Kombination aus: Penetrationstest Externer PEN Test Nicht autorisierter user Autorisierter user (3 Test Accounts) Interne technisch-organisatorische Analyse Datenschutzaudit Prüfaussage: Geprüfte Datensicherheit und Datenschutz w w w. t u v. c o m 27/31
Online-Sicherheit: 20 Banken im Vergleich Quelle: Capital 16/2006 w w w. t u v. c o m 28/31
Zertifikat: Datenschutz und Datensicherheit w w w. t u v. c o m 29/31
Ausgezeichnete Qualität als Marketinginstrument w w w. t u v. c o m 30/31
Schritt für Schritt an die Spitze Wir unterstützen unsere Kunden dabei. Vielen Dank für Ihre Aufmerksamkeit. Haben Sie Fragen? Oliver van de Kamp Tel.: 0221 / 806-2560 mobil: 0172 / 2492820 E-Mail: oliver.van.de.kamp@de.tuv.com w w w. t u v. c o m 31/31