IT-Sicherheit Prof. Dr. Claudia Eckert Technische Universität München Organisatorisches: integriert: Übung und Vorlesung Umfang 4 SWS, : 5 Credit-Points Mi 12:00 13:30 Uhr, 00.04.011, MI HS 2 (Vorlesung / Übung) Do 12:00 13:30 Uhr, 00.04.011, MI HS 2 (Vorlesung / Übung) Übungsaufgabe: begleitend und vertiefend Modul im Gebiet: Verteilte Systeme, Rechnernetze, Sicherheit Leistungsnachweis: Klausur Materialien zur Vorlesung: Folien und Literaturhinweise Folien im Moodle vorab Übungsleitung: Dipl.-Inf. Thomas Kittel Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 1
Die Verantwortlichen Vorlesung: Prof. Claudia Eckert Lehrstuhl für Sicherheit in der Informatik, I20 Fakultät für Informatik Direktorin des Fraunhofer Instituts für Angewandte und Integrierte Sicherheit (AISEC), München/Garching Übungsleitung: Thomas Kittel Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 2
Lehrstuhl Sicherheit in der Informatik, I20 Technische Universität München Einige Forschungsthemen: 1. Methoden und Werkzeuge zur Angriffserkennung: nicht umgehbare Virtual-Machine Introspection (VMI), Malware-Analyse Framework (u.a. Reverse-Eng), Erweiterte maschinelle Lerntechniken 2. Unterstützung sicherer Ausführumgebungen: Sicherheitsarchitekturen eingebetteter Geräte (TrustZone, SMM) 3. Statische Analyse von Software: Finden von Software Bugs durch Annotation und symbolische Ausführung Information Exposure Checker, Infinite Loop Checker, Race Condition Checker Finden von Fehlern bereits in der Designphase Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 3
Fraunhofer AISEC: Angewandte und Integrierte Sicherheit Garching-Hochbrück, Parkring 4, dritter Stock MitarbeiterInnen: >110, weiter wachsend Themen: Sicherheits-Testing, Embedded Security, Automotive Security Netzwerksicherheit, Web-Sicherheit, Android-Härtung Angebote für Studierende: HiWi-Tätigkeiten, Mitarbeit in laufenden Projekten,. Bachelor- und Masterarbeiten Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 4
Lehrveranstaltungen zum Themenfeld IT-Sicherheit IT-Sicherheit: jedes WS Vertiefungsvorlesungen: u.a. Sichere Eingebettete und Mobile Systeme (im SS) Netzwerksicherheit (Lehrstuhl Prof. Carle) Kryptographie (Prof. Esparza) Praktika: jedes unterschiedliche Themen WS15/16 6 Praktika: Hacking, Binary Exploitation I, II, Anomaly Detection, Web-Application Security, Rootkit Seminare: jedes Semester, Themen aus dem Bereich IT-Sicherheit WS15/16: Bug Fixing, Reverse Code Engineering, Krypto Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 5
Einordnung und Ziele der Vorlesung IT-Sicherheit Vorkenntnisse: Grundlagenkenntnisse zu Betriebssystemen, Rechnernetzen und Verteilte Systeme sind wünschenswert Ziele der Vorlesung: Kennenlernen der wichtigsten Bedrohungen und Schwachstellen Überblick über gängige Techniken, Methoden und Konzepte zur Erhöhung der IT-Sicherheit Verständnis für Ursachen von Sicherheitsproblemen Fähigkeit zur kritischen Bewertung der Qualität und Grenzen von Sicherheitslösungen Fähigkeit zur kritischen Reflektion von Medienberichten Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 6
Beispiele; Sicherheitsprobleme Apple Goto Fail Problem in der Zertifikatsprüfung aller ios Geräte Darstellung!= Inhalt Heartbleed Redundante Informationen im TLS Keep-Alive Protokoll ermöglichen das Auslesen des Serverspeichers. Technische Universität München Shellshock Der Inhalt einer Variable wird ausgeführt, wenn die Variable einen bestimmten Präfix besitzt. ( var = () { :;}; rm rf / ; echo Ups ) - Bug oder Feature? Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 7
Safety versus Security Safety: Funktions- und Betriebssicherheit, Zuverlässigkeit Ziel: Erkennen und Abwehr von Störungen, die die korrekte Funktionalität, die Betriebssicherheit beeinträchtigen. Störungen: in Software: durch Programmierfehler, ansonsten: durch Materialermüdung, Hardware-Fehler etc. Störungen von Innen Vorgehen: Spezifikation der gewünschten Funktionalität und Erkennen von Abweichungen vom gewünschten Verhalten Maßnahmen, Mechanismen? Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 8
Security: Daten und Informations-Sicherheit, IT-Sec, Cyber-Sec: Ziel: nach ISO/IEC 2382-1: Minimierung der Verwundbarkeit von Werten u. Ressourcen, Bewahren eines Systems vor Beeinträchtigung und Missbrauch Störungen: gezielte oder unabsichtliche Angriffe: Manipulation, Datenmissbrauch, Funktionsstörung Störungen von Außen Vorgehen: Spezifikation von zulässigen Zugriffen (was, durch wen, wann), Spezifikation von erwartetem Verhalten, Erkennen u. Abwehr von unzulässigen Zugriffen, abweichendem Verhalten Maßnahmen, Mechanismen? Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 9
Inhaltsverzeichnis Grobüberblick Technische Universität München 1. Einleitung Grundlegende Begriffe, Schutzziele, Sicherheitsprobleme, aktuelle gesetzliche Rahmenbedingungen 2. Kryptographische Grundlagen Prinzipien, AES, RSA, ECC, Hashfunktionen (SHA-3), Signatur, fortgeschrittene Ansätze: Homomorphe Verschlüsselung 3. Schlüsselmanagement Schlüsselaustausch-Protokolle (DH, Hybrid), Zertifikate, PKI Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 10
4. Digitale Identität Inhaltsverzeichnis Grobüberblick Technische Universität München (One-time) Passworte, Token-basiert (FIDO), Biometrie, TPM 5. Zugriffs- und Informationsflusskontrolle Modelle, Schutzkonzepte, Kontrolldienste 6. System-Sicherheit Betriebssysteme-Ebene, Virtualisierung, VMI, Container-Ansätze 7. Netzwerk- und Anwendungssicherheit Protokolle (SSL/TLS, IPSEC. DNSEC, Secure Mail) 8. Security Engineering, Sicherheitsevaluierung Sicherheitsmanagement, Common Criteria, Protection Profiles Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 11
Literatur 1. C. Eckert IT-Sicherheit, De Gruyter Verlag, 2014, 9. Auflage Das Buch ist auch als ebook verfügbar 2. Christof Paar: Understanding Crytography, Springer, 2010 3. M. Bishop: Introduction to Computer Security, Addison-Wesley, 2004 4. B. Schneier, Applied Cryptography, John Wiley & Sons, 1996 5. W. Stallings, Lawrie Brown: Computer Security: Principles and Practice, 3rd Edition, Published Jul 8, 2014 by Pearson 6. W. Stallings, Network Security Essentials Applications and Standards, 5th Edition, Published Mar 6, 2013 by Pearson 7. G. Hoglund und G. McGraw, Exploiting Software, how to break code, Addison Wesley, 2004 Vorlesung IT-Sicherheit, WS 15/16, C. Eckert, Kapitel 0: Organisation 12