Überblick über die aktuelle IT-Sicherheitslage Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de
Inhalt Motivation Internet-Frühwarnsystem Herausforderungen in der IT Moderne IT-Sicherheitslösungsansätze Ausblick 2
Inhalt Motivation Internet-Frühwarnsystem Herausforderungen in der IT Moderne IT-Sicherheitslösungsansätze Ausblick 3
Lage der IT Sicherheit Motivation Veränderung, Fortschritt, Zukunft Entwicklung zur vernetzten Informations- und Wissensgesellschaft. IT-Sicherheit ist eine sich verändernde Herausforderung Das Internet geht über alle Grenzen und Kulturen hinaus Zeit und Raum werden überwunden! Die zu schützenden Werte steigen ständig Die Werte, die wir schützen müssen, ändern sich mit der Zeit! Die Angriffsmodelle innovieren und Angreifer werden professioneller IT-Sicherheitsmechanismen werden komplexer, intelligenter und verteilter Mit der Zeit werden die Sicherheitsprobleme immer größer! 4
Lage der IT Sicherheit ~ 1985: Kommunikationssicherheit IT-Trend: Mit dem PC kam eine Individualisierung und Dezentralisierung der IT. Der Wunsch, diese dezentralen IT-Systeme über Leitungen oder Daten- Netze, wie X.25-Netz zu verbinden. IT-Sicherheitstrend: Mit Leitungsverschlüsselung (Modem, 2 MBit/s, ) und X.25-Verschlüsselungsgeräten die neuen Sicherheitsprobleme lösen. Unsere Einstellung: Wir müssen uns beeilen, sonst sind alle IT-Sicherheitsprobleme gelöst. 5
Lage der IT Sicherheit ~ 1995: Perimeter Sicherheit IT-Trend: Unternehmen haben sich ans Internet angeschlossen, um am E-Mail- und Web-System teilhaben zu können. Zusätzlich wurden Niederlassungen über das Verbundnetz Internet einfach angebunden. IT-Sicherheitstrend: Abwehrmodell: Firewall- und VPN-Systeme Digitale Signatur, E-Mail-Sicherheit, PKI Unsere Einstellung: Wir haben die IT-Sicherheitsprobleme im Griff! 6
Lage der IT Sicherheit ~ 2005: Malware / Software-Updates IT-Trend: Immer mehr PCs, Notebooks, SmartPhones zunehmend über GSM, UMTS, (an der zentralen Firewall vorbei) ins Internet Die Anzahl der Schwachstellen durch Softwarefehler wird immer größer (die Marktführer im SW-Bereich erkennen, dass es einen SW- Entwicklungsprozess gibt :-) ) IT-Sicherheitstrend: Verteilte Softwareangriffe mit Hilfe von Trojanischen Pferden Anti-Malware, Software-Upgrades und Personal Firewalls Generierung der Sicherheitslage Unsere Einstellung: Die IT-Sicherheitsprobleme wachsen uns über den Kopf! 7
Inhalt Motivation Internet-Frühwarnsystem Herausforderungen in der IT Moderne IT-Sicherheitslösungsansätze Ausblick 8
Internet-Analyse-System (IAS) Idee Beobachtung der kritischen Infrastruktur Internet. Internet Sonden werden an ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die Kommunikationsleitungen eingebunden. Zählen von Header- Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales Auswertungssystem analysiert die Rohdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse dar. Sonde Sonde Sonde Auswertungssystem IAS Sonde 9
Internet-Analyse-System (IAS) Ziele 1) Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen. Schaffung einer Wissensbasis. 2) Überblick über den aktuellen Zustand des Internets 3) Erkennen von Angriffssituationen und Anomalien 4) Prognosen von Mustern und Angriffen 10
Prinzip der Rohdatengenerierung Zählen der Header Anzahl der Zähler z.zt: - Max: ca. 870.000 - Real-Ø: ca. 60.000 11
Prinzip der Rohdatengenerierung Rohdaten Zähler Werte Alle Informationen sind absolut anonym by Design! Zeit 12
Beispiele von Ergebnissen des IAS Wissensbasis: Erfahrungen Transport-Protokoll Verteilung (Profil) UDP 7% ESP TCP UDP IGMP GRE Wochenende TCP 89% ICMP 13
Beispiele von Ergebnissen des IAS Wissensbasis: Erfahrungen SMTP Content Type 60% text Mails 33 % attachments 4%: text/html 26%: text/plain 33%: multipart/mixed 30%: multipart/alternative 14
Beispiele von Ergebnissen des IAS Angriffssituationserkennung SMTP Content Type Zeitweise mehr E-Mail mit content-type multipart/mixed -> Mail-Virus? multipart/mixed 15
Beispiele von Ergebnissen des IAS Angriffssituationserkennung PDF Spam Welle Port 25 Application/PDF 16
Beispiele von Ergebnissen des IAS Zustellung unerwünschter Werbe-E-Mails Spam Empfänger pro E-Mail Während einer Spamwelle steigt die Anzahl der Empfänger pro E-Mail (Entspricht nicht den in der E-Mail angezeigten Empfängern) RCPT / (HELO + EHLO) RCPT = Anzahl Empfänger Spamwelle HELO/EHLO = Begrüßung Normal = 1,5-1,7 Spam ~ > 2 17
Beispiele von Ergebnissen des IAS Wissensbasis: Technologietrend Browserverteilung (Technologietrend) Tagesprofile, keine Serverstatistik, sondern Leitungsstatistik Unterschied zwischen manueller Nutzung (z.b. Internet Explorer und Firefox) und automatischer Nutzung (z.b. wget) zu erkennen. Firefox Internet Explorer 42 % Andere (wget, etc) 21 % Mozilla Firefox 32 % Internet Explorer Andere (wget, etc) 18
Beispiele von Ergebnissen des IAS Wissensbasis: Technologietrend (TLS)!! 0.1 %: RSA / Export (40) / SHA1 and 0.01 %: RSA / NULL / SHA1!! 60%: RSA / RC4 / MD5 33%: DHE_RSA AES / SHA1 6 %: RSA AES / SHA1 19
Beispiele von Ergebnissen des IAS Result: Technology trend (Firefox vs. IE) Firefox Internet-Explorer 20
Beispiele von Ergebnissen des IAS Result: Technology trend (TCP Dst Port 25) TCP Destination Port 25 (SMTP) 21
Beispiele von Ergebnissen des IAS Übersicht über den aktuellen Zustand DDoS-Attacke von unbekanntem Angreifer auf den Fachbereich Informatik der Fachhochschule Gelsenkirchen 10 Toleranzbereich 5 Minuten spätergrün dargestellt Hohe Deutliche Auslastung Zunahme von ICMP von Echo Abbildung ICMP Reque. Echo 1 Requests und zeigt TCP Zustand SYN Paketen vor (20 ) einer reduzieren DDoS-Attacke gesamten Netzwerkverkehr Darstellung geringer Anomalien Deutliche Zunahme bei weiteren von Soll-/Ist-Abweichungen TCP SYN Paketen (90 ) Diensten DNS(130 ) und SMTP(230 ) können ihre Arbeit nicht mehr im normalen Maße verrichten Wechseln ihren Zustand Abbildung 2 Abbildung 13 22
Prinzip der globalen Sichtweise Übersicht virtual probe local view local view P1 global view Generation of global view Central System global view global view local view P2 global view local view P3 local view local view probes 23
Protokollvergleiche/Trends Globale Darstellung von Protokollvergleichen und Beobachtung von Trends 11% Port 443 (TLS/SSL) 13% Port 443 (TLS/SSL) 89 % Port 80 (HTTP) 87 % Port 80 (HTTP) Lokale Sicht Globale Sicht 24
Anomalienerkennung/Malware Alarmierung vor Gefahren im Internet (Beispiel Malware: Anhang ZIP) 25
Inhalt Motivation Internet-Frühwarnsystem Herausforderungen in der IT Moderne IT-Sicherheitslösungsansätze Ausblick 26
Herausforderungen in der IT E-Mail Sicherheit Verschlüsselte E-Mails weniger als 4 % (S/MIME, PGP, Passphrase-gestützt, ) Signaturen unter E-Mails weniger als 6 % (Finanzbereich deutlich mehr) Spam-Anteil größer als 90 % (in der Infrastruktur) Was kommt in der Zukunft? DE-Mail (ab ~2010?) Bürgerportal Gesetz? SSL-Verschlüsselung zwischen den Gateways Zustell-Garantie Verpflichtende Authentifizierung Sichere Dokumentenablage 27
Spam Das Problem 28
McColo (US ISP) taken offline 11/11/2008 Sa So 29
DDoS on InternetX (Schlund NS) 21/11/2008 30
Herausforderungen in der IT Identity Management Passworte, Passworte, Passworte, sind das Mittel für eine Authentikation im Internet! Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international! Föderationen sind noch nicht verbreitet genug! Was kommt in D? epa (elektronischer Personalausweis mit Authentikationsfunktion) 31
Herausforderungen in der IT Webserver Sicherheit Schlechte Sicherheit auf den Webservern / Webseiten Heute wird Malware hauptsächlich über Webseiten verteilt Viele Webseiten sind nicht sicher aufgebaut Patches werden nicht oder sehr spät eingespielt (siehe Analyse if(is)) SSL nicht richtig verwendet Gründe Firmen geben kein Geld für IT-Sicherheit aus! Mitarbeiter haben keine Zeit (Geld) Verantwortliche kennen das Problem nicht! 32
IT Sicherheit und Vertrauenswürdigkeit Unser Problem (1/2) Bugs VPN - Gefahren / Angriffe - - Sicherheitsmechanismen - 33
IT Sicherheit und Vertrauenswürdigkeit Unser Problem (2/2) Wir rennen den IT-Angriffen hinterher! Anti-Malwareprodukte reichen nicht mehr aus! Millionen Rechner sind mit Trojanischen Pferden verseucht! Sehr große Botnetze kontrollieren unsere IT-Systeme (PCs, Notebook, ) Unsere IT-Systeme werden fremd-gesteuert und spammen werden für Pfishing Angriffe genutzt! sammeln Passworte werden als DDoS-Hilfsmittel verwendet Der Level an Vertrauenswürdigkeit unserer IT-Systeme ist ungenügend! 34
IT Sicherheit und Vertrauenswürdigkeit Unser Ziel (1/2) Bugs VPN - Gefahren / Angriffe - - Sicherheitsmechanismen - 35
IT Sicherheit und Vertrauenswürdigkeit Unser Ziel (2/2) angemessenes Sicherheitsniveau Bugs - Gefahren / Angriffe - VPN - Sicherheitsmechanismen - 36
Inhalt Motivation Internet-Frühwarnsystem Herausforderungen in der IT Moderne IT- Sicherheitslösungsansätze Ausblick 37
Sicherheitsplattform/Trusted Computing Motivation Wir brauchen eine vertrauenswürdige IT, realisierbar durch eine Sicherheitsplattform, die Sicherheitsprobleme existierender Rechnersysteme löst, bzw. die schädlichen Auswirkungen von z.b. Viren, Würmern, Trojanern, Phishing, Exploits, SW-Updates,, stark einschränkt. die eine vertrauenswürdige Verarbeitung von Informationen auf dem eigenen und auf fremden Rechnersystemen garantiert. die die Verwendung existierender Betriebssysteme unterstützt. die transparente Sicherheit (Vertrauenswürdigkeit) bietet. 38
Trusted Computing Idee Trusted Computing Group (TCG): Industriekonsortium bestehend aus den führenden 126 IT-Firmen (Hewlett-Packard, IBM, Intel, AMD, Microsoft, Sony, Sun, Infineon,...) Grundmotivation Entwicklung offener Spezifikationen für vertrauenswürdige IT-Systeme (Server, PC, eingebettet, usw.) Sicherheit verteilter Anwendungen mit wirtschaftlich vertretbarem Aufwand verbessern Keine massive Veränderung existierender Hard- bzw. Software Hauptidee Manipulationssichere Komponente in Hardware (sicherer als Software) Stärkung gegen Software-basierte Angriffe Sicherheit des Systems reduziert auf die Sicherheit eines Moduls Integrität und Authentizität eines IT Systems zuverlässig überprüfbar, auch aus der Distanz 39
Trusted Computing Funktionen (1/2) Trusted Platform Modules (TPM) Sicherer Zufallsgenerator (sichere kryptographische Schlüssel) Kryptographische Funktionen: Signatur (RSA), Hash (SHA-1) Erzeugung verschiedener kryptographischer Schlüssel Platform Configuration Register (PCR) Zur Speicherung der Systemkonfiguration Sicherer Speicher Erzeugung sicherer kryptographischer Schlüssel und Speicherung Schlüssel im Hardwaremodul Sealing (versiegeln) Kryptographische Schlüssel können an das IT-System und/oder eine bestimmte Softwarekonfiguration gebunden werden Schutz vor Manipulationen des Betriebssystems TPM 40
Trusted Computing Group Funktionen (2/2) (Remote) Attestation Aktuelle Systemkonfiguration des IT-Systems wird dargestellt Erkennung manipulierter IT-Systeme (Verteilte Systeme, Web-S.) Kommunikation nur mit vertrauenswürdigen IT-Systemen Access Control Durchsetzung von Zugriffsregeln in einem Netzwerk mit unbekannten IT- Systemen (TNC) Überprüfbares Booten Systemkonfiguration kann überprüft werden, z.b. mittels eines persönlichen Gerätes (Smarcard, USB-Stick, Handy, ) Verbreitung von TPMs 60 Millionen bis Ende 2007 130 Millionen bis Ende 2008 200 Millionen bis Ende 2009 TPM 41
Sicherheitsplattform Turaya Architektur und Technologie 1/3 Herkömmliche Hardware CPU / Hardware Devices TPM Höchster Schutz durch hardwarebasierte Sicherheit Vorteile der Trusted-Computing-Technologie nutzen 42
Sicherheitsplattform Turaya Architektur und Technologie 2/3 Virtualisierungslayer zur Isolation... Schutz der Applikationen Schutz der Anwenderdaten Schutz vor Manipulationen einer Applikation (bspw.: Browser)... mittels moderner Virtualisierungstechniken Mikrokern-Architektur Verwendbarkeit existierender Komponenten in Compartments 43
Sicherheitsplattform Turaya Architektur und Technologie 3/3 Sicherheitsplattform (Trusted Software Layer) Authentifikation einzelner Compartments Binden von Daten an einzelne Compartments Trusted Path Zwischen Anwender & Applikation / Applikation & Smartcard Sicheres Policy Enforcement 44
Sicherheitsplattform / TPM Ein Quantensprung in der IT-Sicherheit Mit Hilfe von Sicherheitsplattformen können wir das Risiko minimieren! Minimale SW-Basis für die Kontrolle der Ressourcen Kombiniert mit Sicherheitsanwendungen Mit der Kombination von TPMs und einer Sicherheitsplattform, z.b. Turaya können wir unsere IT-Systeme auf einem hohen Sicherheitslevel auf Integrität hin überprüfen und damit SW-Angriffe verhindern! Damit erreichen wir einen Quantensprung in der IT-Sicherheit und Vertrauenswürdigkeit für unsere IT-Systeme! Der Airbag für unsere IT-Systeme! 45
Inhalt Motivation Internet-Frühwarnsystem Herausforderungen in der IT Moderne IT-Sicherheitslösungsansätze Ausblick 46
Lage der IT Sicherheit Ausblick Schnellere Verbreitung von Informationen und Wissen Schnellere Innovationen Wie schützen wir Wissen? (Trend zum freien Mitarbeiter) Mehr Prozessoren, mehr Kommunikation Von überall auf alles Zugriff Neue IT-Sicherheitsarchitekturen sind notwendig (Sicherer Mikrokern, Trusted Computing, ) Sehr viel mehr Leistungen Erzeugt mehr nutzbare künstliche Intelligenz Jeder bekommt SW-Assistenten und kann optimierter arbeiten Sehr viel mehr Intelligenz steht zur Verfügung Neuer Wert (Intelligenz + Wissen), der geschützt werden muss 47
Lage der IT Sicherheit Zusammenfassung Wir müssen etwas tun, um unsere Zukunft sicherer und vertrauenswürdiger zu gestalten. Dazu brauchen wir einen Quantensprung in der Sicherheitstechnologie, in der Vorgehensweise und in der Zusammenarbeit mit anderen. Die Zukunft beginnt jetzt, also lassen Sie uns anfangen! 48
Überblick über die aktuelle IT-Sicherheitslage Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de