Zur Sicherheitslage 28. November 2005 Sicherheitstage WS 2005/2006 Hergen Harnisch
Übersicht 1. Statistik / Vorfälle Uni Hannover 2. Bedrohungen: a) Bot-Netze b) Bruteforce-SSH c) social Engineering d) mobile IT-Systeme Hergen Harnisch Sicherheitslage 28.11.05 Folie 2
Statistik / Vorfälle Hergen Harnisch Sicherheitslage 28.11.05 Folie 3
Statistik / Vorfälle Aufteilung nach Vorfallsarten 1-12/2004 1-10/2005 Hergen Harnisch Sicherheitslage 28.11.05 Folie 4
Bedrohungen: BOT-Netze (Funktionsweise) Die C&C-Hosts beherbergen spezielle IRC-Kanäle Quelle: DFN-CERT Der Botmaster kontrolliert das Botnetz mittels IRC-Kommandos. Die Bothosts melden sich in den IRC-Kanälen an und erwarten die Befehle ihres Botmasters. Hergen Harnisch Sicherheitslage 28.11.05 Folie 5
Bedrohungen: BOT-Netze (Bsp. DDoS) Quelle: DFN-CERT.ddos.syn 199.99.x.x 21 300.ddos.syn 199.99.x.x 21 300 Alle Rechner im Botnetz fluten das Opfer für 300 Sekunden mit TCP-SYN Paketen Hergen Harnisch Sicherheitslage 28.11.05 Folie 6
Bedrohungen: BOT-Netze (Funktionen) Rootkit / Anti- Antivirus Keylogger / Sniffer Quelle: DFN-CERT IRC-Client Update (HTTP, (T)FTP, DCC) [...] SOCKS- Proxy Hergen Harnisch Sicherheitslage 28.11.05 Folie 7 HTTP/FTP- Server
Bedrohungen: BOT-Netze (Schadfunktionen) Quelle: DFN-CERT SPAM-Versand DDoS Keylogging Scannen und Weiterverbreitung Identitäts-Klau Phishing (inkl. Website) und, und, und,... Kennungen und Passworte sniffen Hergen Harnisch Sicherheitslage 28.11.05 Folie 8
Bedrohungen: BOT-Netze Anwendungen von BOT-Netzen DDoS-Angriffe Spam-Versand ( Spam-Zombie ) Krieg zwischen Bot-Armeen Manipulation von Online-Abstimmungen Motivation für Betreiber wie früher: Ansehen in der Szene Erpressung (angeblich 6.000-7.000 Firmen Lösegeld bis zu 40.000 $) Vermietung zunehmend kriminelle und kommerzielle Interessen Beispiele / Trends: größter DDoS-Angriff seit 3 Jahren (andauernd), bis zu 40 GBit/s Bis zu 750.000 Bot-Hosts in einem Bot-Netz Trend zu mehr Netzen mit weniger Hosts Hergen Harnisch Sicherheitslage 28.11.05 Folie 9
Bedrohungen: BOT-Netze Angriffe gegen Bezahlung: Quelle: DFN-CERT Hergen Harnisch Sicherheitslage 28.11.05 Folie 10
Bedrohungen: BOT-Netze Verbreitung: wie bei Viren, Würmern etc. Besonderheiten: Zeitversatz zwischen Befall und Auffälligkeit bewusste Steuerung des Bot-Host Nachladen von Schad-Software mehrfache, verschiedenartige Angriffe von Bot-Host ausgehend Gegenmaßnahmen: wie bei Viren, Würmern etc. (Virenscanner, Firewall, Updates ) verdachtsunabhängiges Scannen: von sauberem System aus, z.b. Live-CD (wie Koppicillin der c t); vgl. auch Stealth-Viren, Rootkit Traffic-Scan, Auffinden / Analyse der C&C-Hosts, Honeynet Hergen Harnisch Sicherheitslage 28.11.05 Folie 11
Bedrohungen: BOT-Netze (Aufspüren) Passiver Ansatz: Quelle: DFN-CERT Angriffspunkte und Schwachstellen bei Botnetzen Kontaktaufnahme zum C&C-Server (Flows) Kommunikation C&C <-> Bots (IRC-Befehle) Datenverkehr während der Weiterverbreitung Datenverkehr während laufender Angriffe Performancemessungen durch Bots DNS Hergen Harnisch Sicherheitslage 28.11.05 Folie 12
Bedrohungen: BOT-Netze (Aufspüren) Aktiver Ansatz: Quelle: DFN-CERT / http://www-i4.informatik.rwth-aachen.de/lufg/honeynet Hergen Harnisch Sicherheitslage 28.11.05 Folie 13
Bedrohungen: Bruteforce SSH Automatisiertes Durchprobieren von Benutzerkennungen / Passwörtern Syslog-Auszug (einmal Standard-Kennungen, einmal Wörterbuch ): Nov 7 10:21:50 5E:onyx3 sshd(pam_unix)[1415064]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=218.108.26.122 user=root Nov 7 10:21:50 6E:onyx3 sshd[1415064]: Failed password for root from 218.108.26.122 port 11305 ssh2 Nov 7 10:21:54 6E:onyx3 sshd[1414987]: Illegal user admin from 218.108.26.122 Nov 7 10:21:57 6E:onyx3 sshd[1415059]: Illegal user test from 218.108.26.122 Nov 7 10:22:05 6E:onyx3 sshd[1415108]: Illegal user guest from 218.108.26.122 Nov 7 10:22:15 5E:onyx3 sshd(pam_unix)[1415087]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=218.108.26.122 user=root Nov 7 10:22:15 6E:onyx3 sshd[1415087]: Failed password for root from 218.108.26.122 port 11881 ssh2 Nov 7 10:22:16 6E:onyx3 sshd[1415092]: Illegal user webmaster from 218.108.26.122 Nov 7 10:22:18 6E:onyx3 sshd[1415111]: Illegal user admin from 218.108.26.122 Nov 7 10:22:21 6E:onyx3 sshd[1415088]: Illegal user test from 218.108.26.122 Nov 7 14:48:22 6E:onyx3 sshd[1420938]: Did not receive identification string from 213.239.221.43 Nov 7 14:48:25 6E:onyx3 sshd[1421442]: Did not receive identification string from 213.239.221.43 Nov 7 15:11:14 6E:onyx3 sshd[1422451]: Illegal user andrew from 213.239.221.43 Nov 7 15:11:20 6E:onyx3 sshd[1422499]: Illegal user adam from 213.239.221.43 Nov 7 15:11:20 6E:onyx3 sshd[1422431]: Illegal user trial from 213.239.221.43 Nov 7 15:11:20 6E:onyx3 sshd[1421727]: Illegal user calendar from 213.239.221.43 Nov 7 15:11:24 6E:onyx3 sshd[1421819]: Illegal user poq from 213.239.221.43 Nov 7 15:11:24 6E:onyx3 sshd[1421552]: Illegal user pgsql from 213.239.221.43 (usw.) keine Sicherheitslücke von SSH Hergen Harnisch Sicherheitslage 28.11.05 Folie 14
Bedrohungen: Bruteforce SSH Gegenmaßnahmen: Einschränkung der Zugangsanzahl: nicht alle Rechner (zumindest nicht von überall her) nicht alle Nutzer freischalten nur personalisierte Zugänge (kein ssh-zugang für root) Einschränkung von Versuchen Nach fehlgeschlagenen Versuchen Source-IP vorübergehend sperren: PAM-Modulpam_tally Schlüssel statt Passwort Public- und Private-Key-Verfahren nutzen, Passwortverwendung in sshd.conf verbieten sichere Passwörter regelmäßige Kontrolle mit crack o.ä. Komplexitätsforderung bei Passwortvergabe & -änderung: PAM-Modulpam_cracklib bzw. Windows-Sicherheitsrichtlinie Hergen Harnisch Sicherheitslage 28.11.05 Folie 15
Bedrohungen: social Engineering Sicherheitslücke vor dem Computer : Telefonanruf: Bin Admin und brauche Ihr Passwort Phishing-E-Mails Spyware/Trojaner in nutzergewünschter Anwendung: manuell geöffneter E-Mail-Anhang Programm-Installation (z.b. Bildschirmschoner) Gegenmaßnahmen: stripped-down oder locked-down Systeme Arbeiten nicht als Administrator (nur so viele Rechte wie nötig) Spyware- und Virenscanner, Spam-Filter (Personal-) Firewall zur Schadensbegrenzung aber diese traditionellen Ansätze nur begrenzt wirksam, das Wichtigste: informierte Anwender! Hergen Harnisch Sicherheitslage 28.11.05 Folie 16
Spam-Abwehr mit PureMessage Für alle Mail-Accounts, die über die RRZN-Mailserver gehen: Eingehende Mails werden mit PureMessage von Sophos gescannt: Viren landen in Quarantäne Spam-Schutz muss aktiviert werden (i.allg. vom einzelnen Empfänger): 1. per Web Zugangsdaten anfordern 2. Zugangsdaten kommen per Mail 3. per Web Pure-Message konfigurieren Beschreibung unter http://www.rrzn.uni-hannover.de/puremessage.html (oder über RRZN-Webseite / Netz Mail-Service / PureMessage) Nutzer über die Möglichkeit informieren [ keine zentrale Vorgabe wegen rechtlicher Probleme ] Hergen Harnisch Sicherheitslage 28.11.05 Folie 17
mobile IT-Systeme: Gefährdungen Notebooks, Mobiltelefone, USB-Sticks, Kameras bringen neue Risiken 1. für die Institutsnetze und angeschlossene Rechner: Umgehung einer Firewall verstärkter Datenaustausch unauthorisierte Geräte im LAN (Institutsnetz), Nutzer mit Admin-Rechten am LAN 2. für die mobilen Geräte selbst: automatische Updates & Wartung schwierig Betrieb in unsicherer Umgebung (z.b. auch lokales WLan-Netz) verstärkter Datenaustausch mit anderen Systemen Beispiel Symbos_Cardtrp.A: Handy-Schädling schreibt Autorun.inf auf Flash Hergen Harnisch Sicherheitslage 28.11.05 Folie 18
mobile IT-Systeme: Maßnahmen Zusätzlich zu den üblichen Maßnahmen für alle Rechner: Personal-Firewall Autostart für alle Wechselmedien deaktivieren für Notebooks: auf Update von System & Virenscanner achten Irda, Bluetooth, WLAN deaktivieren lokales System mit Passwort sichern (BIOS, OS) Daten ggf. verschlüsselt ablegen (z.b. PGP, EFS) Datenbackup häufig manuell nötig Sonstiges: Dienste nicht unnötig wegen mobiler Anforderungen weltweit freischalten, sondern VPN, SSH etc. propagieren; https statt http anbieten Hergen Harnisch Sicherheitslage 28.11.05 Folie 19
Literatur Bot-Netz DFN-Mitteilungen Nr. 68, Juni 2005, S. 21-23 RUS-CERT: http://cert.uni-stuttgart.de/doc/netsec/bots.php Knoppicillin: zuletzt in c t 23/2005 Sicherheits-CD von Microsoft unter https://www.sicher-im-netz.de/ SSH Überblick PAM: http://www.dfn-cert.de/infoserv/dib/dib-2003-01-pam/ PAM unter Linux: http://www.kernel.org/pub/linux/libs/pam/ social Engineering Bsp. Anwenderinfo: http://www.us-cert.gov/cas/tips/st04-014.html mobile IT-Systeme Handy-Windows-Virus: http://www.heise.de/security/news/meldung/64196 Hergen Harnisch Sicherheitslage 28.11.05 Folie 20