IT-Sicherheit BS 2008/09 IAIK 1
Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter Benutzung zu schützen IAIK 2
Begriffe Safety (Betriebssicherheit) Security (IT-Sicherheit) IAIK 3
Bedrohungen / Ziele Drei generelle Ziele Für jedes Ziel existiert Bedrohung Vertraulichkeit Aufdeckung (confidentiality) Integrität (integrity) Manipulation Verfügbarkeit (availability) Denial-of-Service IAIK 4
Angreifer Wer sind die Feinde? Passive Angreifer Wollen nur lesen Aktive Angreifer Wollen Ändern oder Zerstören IAIK 5
Angriffe Top Attacker: 138.121.23.4 Most Attacked Port: 137 Geographic Distribution of attack sources. Last 5 days IAIK 6
Angriffe IAIK 7
Kategorien Gelegentliches Herumschnüffeln zb Lesen von fremden Emails Neugierde, kein System Insider Oft hoch qualifiziert Herausforderung Wirtschaftlicher Nutzen Bestehlen des Dienstgebers Spionage (milit. oder Wirtschafssp.) IAIK 8
Aufwand Einfacher, den gelegentlichen Schnüffler abzuwehren als eine fremde Regierung Ausmaß an Sicherheit und Schutz gegen wen will ich mich schützen IAIK 9
Vulnerabilities Unmenge an Schwachstellen in gängiger Software nicht nur BS Http://www.us-cert.gov/cas/bulletins/SB09-005.html Vulnerabilities 29.12.-5.1. 37 high risk vulnerabilities 25 medium risk vulnerabilities Software: bpftp, kvm, phpweather, typo3, v3chat IAIK 10
Vulnerabilities Dezember 2008: 529 vulnerabilities Linux / Windows IAIK 11
Windows Vista IAIK 12
Windows XP IAIK 13
Linux IAIK 14
Incidents Aus US-Cert quarterly report Q3-2008 IAIK 15
Incidents IAIK 16
Zugriffsrechte Insider-Attacken enorm wichtig Kneed-to-know-Prinzip Zugriffsrechte auf Dateien etc. wgo rwx (Unix) ACL (Access Control Lists) IAIK 17
Unix Rechte für Owner Besitzer der Dateien Group Besitzer-Gruppe World alle anderen Rechte R read W write X - execute IAIK 18
Windows IAIK 19
Weitere Rechte IAIK 20
Benutzerauthentifikation Wichtig zu wissen, wer den Rechner benutzt festlegen, was er darf Identifikation: Benutzer-ID Authentifikation: Nachweis, dass man der ist der man vorgibt zu sein IAIK 21
Benutzerauthentifikation Drei Prinzipien durch etwas, das man weiß durch etwas, das man besitzt durch etwas, das man ist IAIK 22
Etwas, das man weiß Passwörter einfach zu verstehen einfach zu implementieren zentrale Liste (userid, password) IAIK 23
Passworteingabe ohne Echo!!! Windows: ******* Unix: *** verraten die Länge des Passworts! IAIK 24
Cracken ausprobieren von uid/pwd- Kombinationen User-Id oft leicht erratbar meist Namen / Name + Vorname Passwort muss auch erraten werden Wie leicht ist das? IAIK 25
Passworte knacken ist nicht sehr schwer ca 80-90% der Passworte sind einfache Begriffe telnet-angriff: Serie von IP-Adressen mit telnet a.b.c.d und geratenen Userids/Passworten attackieren schwache Passworte schlechter Schutz IAIK 26
Passwort-Sicherheit Passworte nie in unverschlüsselter Form speichern! Einwegfunktion auf Passwort h(pwd) abspeichern Login: h(eingabe) == h(pwd)? IAIK 27
Angriff darauf Liste möglicher Passworte generieren Wörterbücher Kombinationen und Variationen für alle Einträge h(eintrag) berechnen und speichern verschlüsseltes Passwort so knackbar IAIK 28
Lösung Salt n Bit Zufallszahl unverschlüsselt in Passwortdatei gespeichert wird h(salt+passwort) Angreifer muss 2 n mal so viele Einträge anlegen n muss groß genug sein! Hilft aber nichts gegen uid=martin, passwort=martin! IAIK 29
Passwortsicherheit ein Passwort soll mindestens 7 Zeichen lang besser 8 oder mehr manche Systeme: nur 8 Zeichen!!! aus Klein und Großbuchstaben bestehen mindestens eine Zahl + Sonderzeichen enthalten nicht in Wörterbüchern enthalten sein IAIK 30
Passwortsicherheit Prüfung der Qualität bei Änderung Zurückweisen bei Mangel ev. Vorschlag eines Passworts durch Software Passwort sollte aber auch merkbar sein egpkmslm,o? ein gutes passwort kann man sich leicht merken, oder? IAIK 31
Passwortgültigkeit Ablauf des Passworts zu oft: Benutzern fallen keine guten Passworte ein Qualität sinkt auch Qualitätskontrolle schwer merkbare Passworte werden aufgeschrieben IAIK 32
Einmal-Passworte Benutzer enthält Liste von Passworten kann Passwort nur einmal verwenden Abhören von Passworten: hilft nichts mehr TANs bei electronic banking IAIK 33
Challenge-Response Liste von Fragen/Antworten, Antworten (nur?) dem Benutzer bekannt Wer ist die Schwester von Marlene? wie hieß Ihre Volksschullehrerin? welches ist Ihre Lieblingspizza? Server wählt zufällige Frage Unterstützung durch Hardware (zb. Secure-ID) IAIK 34
Etwas, das man hat zb einen Schlüssel oder eine Chipkarte Einstecken der Karte Eingabe eines PIN wie beim Bankomat IAIK 35
Chipkarten zwei Arten: Speicherkarten Smart Cards: hat CPU Challenge-Response-Verfahren mit Smart-Card Kryptographische Verfahren einsetzbar IAIK 36
Smart Card IAIK 37
Biometrie Messen charakteristischer Merkmale des Benutzers Fingerabdruck Handgeometrie Netzhautmuster nicht wirklich zuverlässig und gut IAIK 38
Akzeptanz Akzeptanz wichtig Fingerabdruck assoziiert Verbrecher Iris-scan nicht angenehm Harn- oder Blutprobe???? für Hochsicherheitsanwendungen denkbar für ecommerce nicht IAIK 39
Andere Angriffe Viren Trojanische Pferde Login-Spoofing Logische Bomben Hintertüren IAIK 40
Pufferüberläufe IAIK 41
Betriebssystem absichern Virenschutz etc. Richtige Konfiguration Automatische Updates Sans.org hat liste von Literatur für gängige BS http://isc.sans.org/presentations/first_things_first.html IAIK 42