IT-Sicherheit BS 2008/09 IAIK 1

Ähnliche Dokumente
IT-Sicherheit IAIK 1

Wiederholung: Informationssicherheit Ziele

Netzwerksicherheit. Teil 10: Authentifikation und Autorisierung. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

IT - Sicherheit und Firewalls

Sicherheit von Wearables

Wiederholung: Informationssicherheit Ziele

Mobile Smart Card-Anwendungen und biometrische Fingerprint- Authentifikation

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit

Dynamische Web-Anwendung

Lange Nacht der Wissenschaften Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

IT-Security Herausforderung für KMU s

Cyber War die Bedrohung der Zukunft Lehrerinformation

Rechnerarchitekturen und Betriebssysteme (CS201): Sicherheit: ACM und Passworte, OS-Timeline

BOLB - Installation Homebanking Kontakte

Anleitung zum Umgang:

ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN

Kundenleitfaden Secure

IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

Sicherheit durch und Sicherheit bei SmartCards

Sicherheit von PDF-Dateien

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 6. Übungsblattes Netzwerk-Sicherheit

Name: Matr.-Nr.: Seite: Geben Sie drei Klassifizierungsmerkmale aus dem Kurstext für den Begriff

Security. Peter Puschner Institut für Technische Informatik

Technischer Schutz von Bezahlinhalten

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter

Sicherheit von PDF-Dateien

Schwachstellenanalyse 2012

ELZPIRATEN EMMENDINGEN

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Einfache und zuverlässige Erkennung von Angriffen mit der honeybox

Sicher(lich) ebanking

Technische Universität München. Protokolldesign. Hauptseminar: Kryptographische Protokolle Autor: Franz Saller

Was sind die größten IT-Sicherheitsherausforderungen?

IT Security. Infos und Tipps von Sophos und Ihrem RZ-Team. Hochschule Amberg-Weiden

Benutzer- und Rechte-Verwaltung Teil 2

MAGIC AC1 XIP. Secure Login Update ab Version 5.x. Kontakt: Telefon AVT Audio Video Technologies GmbH

IT Sicherheit: Authentisierung

Herzlich Willkommen zum Vortrag: Sicherheit im Internet

Das Kerberos-Protokoll

Kapitel 12 Betriebssysteme & IT-Sicherheit

Kapitel 12 Betriebssysteme & IT-Sicherheit

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Umgang mit Passwörtern

Kampf den Schnüffelhunden

ZFVPN-Industrial. IP-SEC-Client 32/64bit. Installationsanleitung. für die ZF-Regionen AMERICA, APA, EMEA. Dokumenten-Version 1.

Seminar zur Kryptologie


Daten schützen und Daten sichern - wie geht das? (Teil 1) ***

P106: Hacking IP-Telefonie

Computersicherheit im Informationszeitalter / Seth Buchli

Andy s Hybrides Netzwerk

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 18. Oktober 2017 WS 2017/2018

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Netzwerksicherheit. Teil 7: Authentifikation und Autorisierung. Philipp Hagemeister. Sommersemester 2017 Heinrich-Heine-Universität Düsseldorf

Sicherheit in drahtlosen Netzwerken

Zweifaktor-Authentifizierung

SSL Secure Socket Layer Algorithmen und Anwendung

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

Übungen zur Vorlesung Systemsicherheit

Schwachstellenanalyse 2013

USB 2.0 Ultimate Card Reader

Benutzer- und Rechte-Verwaltung Teil 2

Die Software "Cherry SmartDevice Setup" unterstützt das Lesen und Schreiben von Chipkarten für folgende Cherry Produkte:

Benutzer und Rechte Teil 1, Paketverwaltung

Sicherheit im Internet

Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte. Warum ist Sicherheit überhaupt ein Thema?

Bedienungsanleitung htp Net Business VPN Remote Access

Faronics System Profiler Standard Benutzerhandbuch

W-LAN - Sicherheit. Cornelia Mayer Andreas Pollhammer Stefan Schwarz. 31. Jänner / 27

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken,

Verschlüsselung von USB Sticks mit TrueCrypt

Online-Banking Sicherheits- und Einstiegshinweise

Online-Banking Sicherheits- und Einstiegshinweise

I N T E R N E T. Einsteigerkurs Teil 3 Sicherheit

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die

Leistungsnachweis-Klausur Kurs Sicherheit im Internet I Ergänzungen Lösungshinweise

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme

Benutzer- und Rechtevergabe

Human Centric Innovation

EINFÜHRUNG IN LINUX DR. MATTHIAS M. HÖLZL

NFCrypt WIE NEAR FIELD COMMUNICATION UNSERE MOBILE SICHERHEIT VEREINFACHT!

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? , Frank Agerholm, Linux User Group Flensburg e.v.

Sicherheitslabor Einführung

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Merkblatt: Sichere -Kommunikation zur datenschutz cert GmbH

Überraschende Angriffsvektoren: Weit verbreitet, oft übersehen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

KeyPass Passwortverwaltung

Mobile ID für sichere Authentisierung im e-government

Mit PuTTY und WinSCP an der Pi

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

GESCHÜTZT MIT HL SECURE 4.0

Benutzer- und Rechte-Verwaltung Teil 1

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover.

Sicherheitsdienste. Schutz von Rechnern und Speichermedien vor

Transkript:

IT-Sicherheit BS 2008/09 IAIK 1

Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter Benutzung zu schützen IAIK 2

Begriffe Safety (Betriebssicherheit) Security (IT-Sicherheit) IAIK 3

Bedrohungen / Ziele Drei generelle Ziele Für jedes Ziel existiert Bedrohung Vertraulichkeit Aufdeckung (confidentiality) Integrität (integrity) Manipulation Verfügbarkeit (availability) Denial-of-Service IAIK 4

Angreifer Wer sind die Feinde? Passive Angreifer Wollen nur lesen Aktive Angreifer Wollen Ändern oder Zerstören IAIK 5

Angriffe Top Attacker: 138.121.23.4 Most Attacked Port: 137 Geographic Distribution of attack sources. Last 5 days IAIK 6

Angriffe IAIK 7

Kategorien Gelegentliches Herumschnüffeln zb Lesen von fremden Emails Neugierde, kein System Insider Oft hoch qualifiziert Herausforderung Wirtschaftlicher Nutzen Bestehlen des Dienstgebers Spionage (milit. oder Wirtschafssp.) IAIK 8

Aufwand Einfacher, den gelegentlichen Schnüffler abzuwehren als eine fremde Regierung Ausmaß an Sicherheit und Schutz gegen wen will ich mich schützen IAIK 9

Vulnerabilities Unmenge an Schwachstellen in gängiger Software nicht nur BS Http://www.us-cert.gov/cas/bulletins/SB09-005.html Vulnerabilities 29.12.-5.1. 37 high risk vulnerabilities 25 medium risk vulnerabilities Software: bpftp, kvm, phpweather, typo3, v3chat IAIK 10

Vulnerabilities Dezember 2008: 529 vulnerabilities Linux / Windows IAIK 11

Windows Vista IAIK 12

Windows XP IAIK 13

Linux IAIK 14

Incidents Aus US-Cert quarterly report Q3-2008 IAIK 15

Incidents IAIK 16

Zugriffsrechte Insider-Attacken enorm wichtig Kneed-to-know-Prinzip Zugriffsrechte auf Dateien etc. wgo rwx (Unix) ACL (Access Control Lists) IAIK 17

Unix Rechte für Owner Besitzer der Dateien Group Besitzer-Gruppe World alle anderen Rechte R read W write X - execute IAIK 18

Windows IAIK 19

Weitere Rechte IAIK 20

Benutzerauthentifikation Wichtig zu wissen, wer den Rechner benutzt festlegen, was er darf Identifikation: Benutzer-ID Authentifikation: Nachweis, dass man der ist der man vorgibt zu sein IAIK 21

Benutzerauthentifikation Drei Prinzipien durch etwas, das man weiß durch etwas, das man besitzt durch etwas, das man ist IAIK 22

Etwas, das man weiß Passwörter einfach zu verstehen einfach zu implementieren zentrale Liste (userid, password) IAIK 23

Passworteingabe ohne Echo!!! Windows: ******* Unix: *** verraten die Länge des Passworts! IAIK 24

Cracken ausprobieren von uid/pwd- Kombinationen User-Id oft leicht erratbar meist Namen / Name + Vorname Passwort muss auch erraten werden Wie leicht ist das? IAIK 25

Passworte knacken ist nicht sehr schwer ca 80-90% der Passworte sind einfache Begriffe telnet-angriff: Serie von IP-Adressen mit telnet a.b.c.d und geratenen Userids/Passworten attackieren schwache Passworte schlechter Schutz IAIK 26

Passwort-Sicherheit Passworte nie in unverschlüsselter Form speichern! Einwegfunktion auf Passwort h(pwd) abspeichern Login: h(eingabe) == h(pwd)? IAIK 27

Angriff darauf Liste möglicher Passworte generieren Wörterbücher Kombinationen und Variationen für alle Einträge h(eintrag) berechnen und speichern verschlüsseltes Passwort so knackbar IAIK 28

Lösung Salt n Bit Zufallszahl unverschlüsselt in Passwortdatei gespeichert wird h(salt+passwort) Angreifer muss 2 n mal so viele Einträge anlegen n muss groß genug sein! Hilft aber nichts gegen uid=martin, passwort=martin! IAIK 29

Passwortsicherheit ein Passwort soll mindestens 7 Zeichen lang besser 8 oder mehr manche Systeme: nur 8 Zeichen!!! aus Klein und Großbuchstaben bestehen mindestens eine Zahl + Sonderzeichen enthalten nicht in Wörterbüchern enthalten sein IAIK 30

Passwortsicherheit Prüfung der Qualität bei Änderung Zurückweisen bei Mangel ev. Vorschlag eines Passworts durch Software Passwort sollte aber auch merkbar sein egpkmslm,o? ein gutes passwort kann man sich leicht merken, oder? IAIK 31

Passwortgültigkeit Ablauf des Passworts zu oft: Benutzern fallen keine guten Passworte ein Qualität sinkt auch Qualitätskontrolle schwer merkbare Passworte werden aufgeschrieben IAIK 32

Einmal-Passworte Benutzer enthält Liste von Passworten kann Passwort nur einmal verwenden Abhören von Passworten: hilft nichts mehr TANs bei electronic banking IAIK 33

Challenge-Response Liste von Fragen/Antworten, Antworten (nur?) dem Benutzer bekannt Wer ist die Schwester von Marlene? wie hieß Ihre Volksschullehrerin? welches ist Ihre Lieblingspizza? Server wählt zufällige Frage Unterstützung durch Hardware (zb. Secure-ID) IAIK 34

Etwas, das man hat zb einen Schlüssel oder eine Chipkarte Einstecken der Karte Eingabe eines PIN wie beim Bankomat IAIK 35

Chipkarten zwei Arten: Speicherkarten Smart Cards: hat CPU Challenge-Response-Verfahren mit Smart-Card Kryptographische Verfahren einsetzbar IAIK 36

Smart Card IAIK 37

Biometrie Messen charakteristischer Merkmale des Benutzers Fingerabdruck Handgeometrie Netzhautmuster nicht wirklich zuverlässig und gut IAIK 38

Akzeptanz Akzeptanz wichtig Fingerabdruck assoziiert Verbrecher Iris-scan nicht angenehm Harn- oder Blutprobe???? für Hochsicherheitsanwendungen denkbar für ecommerce nicht IAIK 39

Andere Angriffe Viren Trojanische Pferde Login-Spoofing Logische Bomben Hintertüren IAIK 40

Pufferüberläufe IAIK 41

Betriebssystem absichern Virenschutz etc. Richtige Konfiguration Automatische Updates Sans.org hat liste von Literatur für gängige BS http://isc.sans.org/presentations/first_things_first.html IAIK 42

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback