3 GefŠhrdungen auf Softwareebene Tronisches Pferd (Tron horse) 3.1 Typische Gefahren Programmfehler (Bug) Bug ist der englische saloppe Ausdruck fÿr einen Programmfehler, d.h. eine Abweichung des realen vom intendierten Verhalten des Programms. Bugs entstehen beim Entwurf oder bei der Implementierung. Bei Bekanntwerden eines solchen Fehlers wird der Hersteller des Programms zunšchst eine ãreparaturò direkt im Maschinencode vornehmen (ãpatchò). In der nšchsten Programmversion (ãreleaseò) sind die bis zum jeweiligen Zeitpunkt bekanntgewordenen Fehler in der Regel behoben. Zur Beurteilung der Fehlerhaftigkeit von Programmen sollte man berÿcksichtigen: QualitŠtsstandard des Herstellers KomplexitŠt des Codes ãreifeò des Programms Fehlerhistorie 3-1 Ein Tronisches Pferd ist ein (Dienstleistungs)programm, das Ÿber seine spezifizierte Funktion hinaus unzulšssige und vom Manipulateur beabsichtigte Nebenwirkungen hat Beispiele: Ein copy-programm, das unbemerkt eine weitere Kopie der Datei an einem bestimmen Ort ablegt. Ein WWW-Browser, der unbemerkt dem Management eine Nachricht schickt, wenn ein Benutzer bestimmte URLs anwšhlt Ein VerschlŸsselungsprogramm, das sich nebenbei den SchlŸssel in einer geheimen Datei merkt Ein Installationsprogramm fÿr Netzsoftware, das nebenbei das Dateisystem absucht und dem Hersteller eine Liste der installierten Software zuschickt. Tronische Pferde treten auf vor allem als: shell-, awk-, Perl-scripts, Tex- oder Postscript-Dateien, MIME-encoded Mail. Ma nahme: Misstrauisch sein, Programme das erste Mal in ãsichererò Umgebung starten, auf keinen Fall als ãrootò 3-2 Logische Bombe (logical bomb) FalltŸr (trap door) Definition: Beispiel: Eine logische Bombe ist ein lauffšhiges Programm, das seine spezifizierte Funktion so lange korrekt ausfÿhrt, bis durch ErfŸllen einer vorgegebenen Bedingung ein (vom Programmierer gewolltes) Fehlverhalten entsteht Definition: Eine FalltŸr bezeichnet die (vom Programmierer absichtlich eingebaute) Mšglichkeit der Umgehung der Zugangs- oder Zugriffskontrolle, um unautorisiert privilegierte Funktionen auszufÿhren Beispiel: Eingabe Benutzername Personalbuchhaltung Datum = Monatserster? Name = "simsalabim"? Ludwig Bomber auf Gehaltsliste? Lösche Kundendatei Eingabe Paßwort Name und Paßwort korrekt? Abweisung Zugang zum System 3-3 3-4
Viren Viren Ein Computervirus ist eine Befehlsfolge, die bewirkt, dass eine Kopie ihrer selbst in einem anderen Speicherbereich, der sie noch nicht enthšlt, abgelegt wird. Neben der Reproduktion kann die Befehlsfolge noch weitere (schšdliche) Funktionen enthalten, z.b. eine logische Bombe. Beispiel procedure virus; begin Kennung:= 3728593 suche eine nicht infizierte Programmdatei; if (gesundes Programm gefunden) then kopiere Virus in dieses Programm if (Datum = Freitag, der 13.) then formatiere Festplatte springe an den Anfang des Wirtsprogramms Viruskennung Reproduktion Schaden Sprung Die BinŠr-Viren liegen in Maschinencode vor und infizieren Maschinenprogramme Es gibt sie seit ca. 1986 vor allem fÿr die PC-Plattform (MS-DOS, Windows 95) Mittlerweile sind einige zig Tausend verschiedene PC-Viren bekannt. Sie verbreiten sich von Rechner zu Rechner Ÿber infizierte Programme oder Disketten. Typen: Ein Schalen-Virus (shell-virus) bildet eine Schale um das infizierte Programm. Es tritt an die Stelle des Programms, das dann als internes Unterprogramm aufgerufen wird. Ein additiver Virus (add-on virus) wird an das Programm angehšngt und verlšngert es. Die Startadresse wird auf den Viruscode umgelenkt. Nach AusfŸhrung des Virus wird zur ursprÿnglichen Startadresse gesprungen Ein ersetzender Virus (intrusive virus) Ÿberschreibt einen Teil (z.b. ein Unterprogramm) des infizierten Programms mit seinem Code. Die LŠnge des Programms bleibt konstant. Das Programm wird jedoch nicht mehr so funktionieren wie vorher 3-5 3-6 Programme mit Virusbefall Generationen von Viren 1. Generation: Einfache Viren Im wesentlichen nur Replikation, ohne zusštzliche Ma nahmen, nicht entdeckt zu werden infiz. Prog infiz. Prog infiz. Prog 2. Generation: Selbsterkennung Erkennt, ob ein Programm bereits infiziert. 3. Generation: ãtarnkappenò-viren Versuchen, durch Gegenma nahmen eine Entdeckung zu verhindern 4. Generation: ãpanzerungò Enthalten unsinnigen und ŸberflŸssigen Code, um Erkennung zu erschweren. FŸhren Gegenangriff auf Anti-Viren-Programme Schalen-Virus additiver Virus ersetzender Virus 5. Generation: Polymorphie Selbstmutierende Viren, die das Programm z.b. mit einer verschlÿsselten Version hrer selbst infizieren. 3-7 3-8
Schutz gegen Viren Makro-Viren Scanner: Programm, das sšmtliche Speicherblšcke liest und prÿft, ob ein bestimmtes Bitmuster auftritt. Das Bitmuster ist charakteristisch fÿr den jeweiligen Virus. Das Scanner-Programm kann daher nur bekannte Viren finden und muss stšndig aktualisiert werden. Au erdem kommt es hšufig zu Fehlalarm. Activity Monitor: Residente Systemprogramme, die alle AktivitŠten Ÿberwachen und Alarm schlagen, wenn z.b. Systemtabellen (Interruptvektor in DOS) oder der Boot-Sektor eines DatentrŠgers modifiziert werden. Integrity checker: Programme, die fÿr Programmdateien PrŸfsummen berechnen (CRC, Hash-Werte, etc.) Jede nderung des Programm kann dadurch erkannt werden. Makro-Viren treten auf der Ebene von Makro- oder Skriptsprachen auf und kšnnen an Dokumente (MS-Word) geheftet werden. Sie sind z.t. nicht an Prozessor/Betriebssystem-Plattformen gebunden und kšnnen sich daher leicht Ÿber das Internet ausbreiten. GefŠhrdung bei MS-Word-Dokumenten Postscript-Files MIME-encoded Mail HTML-Dokumente mit Applets (Java) Windows Systeme mit ActiveX Falls sie nicht Ÿber Reproduktionsmechanismen verfÿgen, stellen sie Tronische Pferde dar. 3-9 3-10 Wurm (Worm) 3.2 Klassifikation Ein Wurm(segment) ist ein lauffšhiges Programm (oder eine Menge davon), das sich Ÿber ein Netz von Rechnern vervielfšltigen kann. Dies geschieht durch Kommunikation zwischen den Segmenten. Ein Wurm als Gesamtheit aller Wurmsegmente ist daher ein verteiltes Programm. Es muss die FŠhigkeit besitzen, in fremde Rechner einzudringen und sich von dort als Kopie zu anderen Rechnern zu verschicken. Der berÿhmteste Wurm (Internet-Wurm, 1988) benutzte mehrere Sicherheitslšcher in der Systemsoftware sowie ein Passwort-Crack-Programm und ãverstopfteò weite Teile des Internet Rabbits, Bacterias Rabbits sind Programme, die keinen weiteren Schaden anrichten au er sich selbst zu replizieren (im Hauptspeicher, auf der Platte) Durch das exponentielle Wachstum sind nach kurzer Zeit alle Systemressourcen aufgebraucht. HŠufig bricht dann auch Betriebssystem zusammen 3-11 Gruppierung der Gefahren Nach Ursache Unbeabsichtigt Hardwarefehler Bedienungsfehler Programmfehler Beabsichtigt Sabotage Spionage Nicht autorisierte Nutzung Nach Wirkung Zerstšrung von Daten / Programmen nderung von Daten / Programmen Offenlegen von Daten / Programmen Verhindern der Nutzung (denial of service) 3-12
Einige Zahlen (Quelle: Computer Security Institute, March 2000) #5 Has your organization experienced unauthorized use of computer systems in the last year? (512) Yes 319 61% 62% No 87 17% 17% I don't know 106 20% 21% Answered question 512 98% 100% #6 If yes, how many incidents? (327) 1 to 5 112 21% 34% 6 to 10 73 14% 22% 11 to 30 24 5% 7% 31 to 60 7 1% 2% Over 60 15 3% 5% Don't know 96 18% 29% Answered question 327 63% 100% #7 How many of these were from outside the organziation? (280) 1 to 5 121 23% 43% 6 to 10 23 4% 8% 11 to 30 14 3% 5% 31 to 60 3 1% 1% Over 60 9 2% 3% Don't know 110 21% 39% Answered question 280 54% 100% #8 How many of these were from inside the organziation? (308) 1 to 5 113 22% 37% 6 to 10 49 9% 16% 11 to 30 28 5% 9% 31 to 60 2 0% 1% Over 60 7 1% 2% Don't know 109 21% 35% Answered question 308 59% 100% 3-13 #9 On a scale from 1-4, indicate the rate of frequency with which the following systmes have been attacked. Less frequent More frequent total Internal systems 159 164 323 49% 51% 62% Remote dial-in 216 84 300 72% 28% 58% Internet access 140 184 324 43% 57% 62% #10. Indicate each of the following as likely sources of attack. Unlikely Likely Totals Foreign gov. 332 90 422 79% 21% 81% Foreign corp. 297 130 427 70% 30% 82% Independent Hackers 117 336 453 26% 74% 87% US competitor 201 227 428 47% 53% 82% Disgruntled employee 64 396 460 14% 86% 88% 3-14 #11. Which of the following types of electronic attack or misuse has your organiziation detected in the last year? (405) Theft of proprietary info 104 20% 26% Sabotage of data or networks 78 15% 19% Telecom eavesdropping 53 10% 13% System penetration by outsider 124 24% 31% Insider abuse of net access 394 76% 97% Financial fraud 58 11% 14% Denial of service 128 25% 32% Virus contamination 365 70% 90% Unauthorized access to info by insider 223 43% 55% Telecom fraud 70 13% 17% Active wiretapping 9 2% 2% Laptop theft 280 54% 69% Answered question 405 78% 100% #12 Which of the following types of electronic attack or misuse has caused your organization financial loss? (265) Theft of proprietary info 61 12% 23% Sabotage of data or networks 49 9% 18% Telecom eavesdropping 12 2% 5% System penetration by outsider 52 10% 20% Inseder abuse of net access 182 35% 69% Financial fraud 53 10% 20% Denial of service 74 14% 28% Virus contamination 231 44% 87% Unauthorized access to info by insider 85 16% 32% Telecom fraud 48 9% 18% Active wiretapping 2 0% 1% Laptop theft 249 48% 94% Answered question 265 51% 100% #13 Indicate the approximate $ value that you've lost. Theft of proprietary info $42,496,000 34% Sabotage of data or networks $4,421,000 4% Telecom eavesdropping $765,000 1% System penetration by outsider 2,888,000 2% Insider abuse of net access $7,576,000 6% Financial fraud $39,706,000 32% Denial of service 3,255,000 3% Virus contamination $5,274,000 4% Unauthorized access to info by insider $3,567,000 3% Telecom fraud $773,000 1% Active wiretapping $20,000 0% Laptop theft $13,038,000 11% TOTALS: $123,779,000 100% % of #13 CONTNUED Number answered answered (163) Theft of proprietary info 23 14% Sabotage of data or networks 27 17% Telecom eavesdropping 10 6% System penetration by outsider 28 17% Inseder abuse of net access 81 50% Financial fraud 27 17% Denial of service 28 17% Virus contamination 116 71% Unauthorized access to info by insider 25 15% Telecom fraud 29 18% Active wiretapping 1 1% Laptop theft 150 92% TOTAL Answered 163 100% 3-15 3-16
#14 Does your organization have a WWW site? (513) Yes 490 94% 96% No 23 4% 4% Answered question 513 98% 100% #15 Does your organization provide electronic commerce services via WWW site? (510) Yes 151 29% 30% No 358 69% 70% Answered question 510 98% 100% #17 Has your WWW site suffered unauthorized access or misuse within the last 12 months? (479) Yes 95 18% 20% No 227 44% 47% Don't know 156 30% 33% Answered question 479 92% 100% #18. If yes, how many incidents? (92) one 28 5% 30% 2 to 5 35 7% 38% 5 to 9 3 1% 3% 10 or more 26 5% 28% Answered question 92 18% 100% #19. If yes, did the attacks come from insiders or outsiders? (159) Inside 9 2% 7% Outside 47 9% 38% Both 51 10% 41% Don't know 18 3% 14% Answered question 125 24% 100% #20 If yes, please specify the type of unauthorized access or misuse. (44) Vandalism 43 8% 98% Financial fraud 12 2% 27% Denial of service 41 8% 93% Theft of transaction info 11 2% 25% TOTAL 44 8% 100% #22 Would your organzation consider hiring as consultants reformed hackers? (506) Yes 85 16% 17% No 327 63% 65% Don't know 94 18% 19% Answered question 506 97% 100% #23 If your organzation has expericned computer intrusions within the last 12 months, what did you do? Did your best to patch security holes 283 54% 96% Did not report intrusions 142 27% 48% Reported intrusions to law enforcement 95 18% 32% Reported intrusions to legal counsel 87 17% 29% Answered question 295 57% 100% 3-17 3-18 Schutzmechanismen Physische Zugangskontrolle Kontrolle beim Zugang zu RechnerrŠumen 3.3 Rechtliche Aspekte System-Zugangskontrolle Kontrolle beim Zugang zum System (login) Die Nutzung von Rechenanlagen unterliegt diversen rechtlichen Bestimmungen. Identifizierung Wer ist der Benutzer? Authentisierung Ist der Benutzer tatsšchlich der, der er zu sein vorgibt? Zugriffskontrolle Kontrolle, wer auf was wie zugreift Viele Gesetze wurden in den letzten Jahren angepasst oder neu verabschiedet, um Missbrauch und SchŠden entgegenwirken zu kšnnen Im Zusammenhang mit dieser Vorlesung sei vor allem auf die strafrechtliche Konsequenzen von ãangriffenò hingewiesen. Nutzungskontrolle VerschlŸsselung Protokollierung Kontrolle des Umfangs der Inanspruchnahme des Systems Wenn Zugriff auf Daten nicht sicher kontrolliert werden kann, dann wenigstens Informationsgehalt schÿtzen Wenn schon kein zuverlšssiger Schutz mšglich, dann wenigstens Schutzverletzungen protokollieren (Hilfe bei AufklŠrung, Abschreckung) Die Ÿblicherweise vorgebrachte ãhacker-ethikò: ã.. wollte nur auf vorhandene SicherheitslŸcken aufmerksam machen..ò schÿtzt nicht vor Strafverfolgung. ãangriffeò nur im Auftrag und mit Wissen der zustšndigen Stellen des Systembetreibers 3-19 3-20
Strafgesetzbuch Strafgesetzbuch 202 a [AusspŠhen von Daten] (1) Wer unbefugt Daten, die nicht fÿr ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder Ÿbermittelt werden. 263 a [Computerbetrug] (1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermšgensvorteil zu verschaffen, das Vermšgen eines anderen dadurch beschšdigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollstšndiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheitsstrafe bis zu fÿnf Jahren oder mit Geldstrafe bestraft. 3-21 265 a [Erschleichen von Leistungen] (1) Wer die Leistung eines Automaten oder eines šffentlichen Zwecken dienenden Fernmeldenetzes, die Befšrderung durch ein Verkehrsmittel oder den Zutritt zu einer Veranstaltung oder einer Einrichtung in der Absicht erschleicht, das Entgelt nicht zu entrichten, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. 269 FŠlschung beweiserheblicher Daten (1) Wer zur TŠuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder veršndert, dass bei ihrer Wahrnehmung eine unechte oder verfšlschte Urkunde vorliegen wÿrde, oder derart gespeicherte oder veršnderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fÿnf Jahren oder mit Geldstrafe bestraft. 270 TŠuschung im Rechtsverkehr bei Datenverarbeitung Der TŠuschung im Rechtsverkehr steht die fšlschliche Beeinflussung einer Datenverarbeitung im Rechtsverkehr gleich. 3-22 Strafgesetzbuch 303 a [DatenverŠnderung] (1) Wer rechtswidrig Daten ( 202 a Abs. 2) lšscht, unterdrÿckt, unbrauchbar macht oder veršndert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 303 b [Computersabotage] (1) Wer eine Datenverarbeitung, die fÿr einen fremden Betrieb, ein fremdes Unternehmen oder eine Behšrde von wesentlicher Bedeutung ist, dadurch stšrt, dass er 1. eine Tat nach 303 a Abs. 1 begeht oder 2. eine Datenverarbeitungsanlage oder einen DatentrŠger zerstšrt, beschšdigt, unbrauchbar macht, beseitigt oder veršndert, wird mit Freiheitsstrafe bis zu fÿnf Jahren oder mit Geldstrafe bestraft. 3-23