Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Incident Response Labor zur Untersuchung von Computer-Vorfällen.

Ähnliche Präsentationen


Präsentation zum Thema: "Incident Response Labor zur Untersuchung von Computer-Vorfällen."—  Präsentation transkript:

1 Incident Response Labor zur Untersuchung von Computer-Vorfällen

2 2 Projektteilnehmer  Jan Menne  Julia Fix  Benjamin Hoherz  Silvio Krüger  Christoph Rößner  Kerstin Schwarze  Irina Tsalman  Jörg Ziemann  Nils Michaelsen  Christoph Buchwald  Torsten Sorger  Christopher Alm  Björn Bartels  Samira Razai Leitung: Prof. Dr. rer. nat. Klaus Brunnstein

3 letztes Semester Winter 2002 / 2003

4 4 Risk Exploit Incident Detection Analysis Response (incl. Avoidance) Incident Response Labor Aufgabenbereich eines IRL

5 5 Zwei Ansätze zum Incident Response 1. Dynamische Analyse: Vorgänge im System werde fortlaufend analysiert  File-Monitor, Registry-Monitor, Sniffer 2. Statische komparative Analyse: zwei Systemzustände werden verglichen  Live/Post Mortem Analyse

6 6 Incident-Arten 1. Malware (Viren, Trojaner, Würmer) 2. Nicht erlaubter Zugriff (z.B. unerlaubtes Einloggen in einen fremden Account) 3. Unerlaubte Nutzung von Diensten (z.B.: Verwendung des Netzwerk-Dateisystems (NFS), um auf das Dateisystem einer remote Server-Maschine zuzugreifen) 4. Versagen eines Dienstes (Benutzer verlassen sich auf Dienstleistungen, die durch ein Netzwerk bereitgestellt werden) 5. Missbrauch (z.B.: wenn jemand ein Computersystem für andere Zwecke benutzt, als offiziell beabsichtigt, z.B.: Spamming) 6. Spionage (Stehlen von Informationen, die im Interessen einer Korporation oder einer Regierung strengstens geheim bleiben sollten) 7. Hoaxes (unzutreffende Information über Vorfälle oder nicht existierende Bedrohungen wird verbreitet)

7

8 8 Schnelle Verbreitung durch mehrere Spreading-Mechanismen Bef ä llt Webserver Microsoft IIS Infektion von Windows 9x und NT/2000/XP u.U. allein durch Browsen mit IE 5.01, IE 5.5 ohne SP2, IE 6.0 Datei im Anhang:  konstante L ä nge von Bytes,  verschiedene Namen

9 9 Einige ausgenutzte Vulnerabilities Microsoft IIS/PWS Escaped Characters Decoding Command Execution Vulnerability (MS01-026) Microsoft IE MIME Header Attachment Execution Vulnerability (MS01-020) Microsoft IIS and PWS Extended Unicode Directory Traversal Vulnerability (MS00-078) Microsoft Office 2000 DLL Execution Vulnerability (MS02-052) Außerdem: CodeRed II-Hintertür

10 10 Allgemeine Testumgebung * mit diversen Monitoren (z.B. für Datei- und Registry-Operationen, Prozessbeobachtungen)

11 11 Nimda-Testumgebung Ergo Netzsniffer PhoebeKathy Hub Testumgebung Netzsniffer - Win 2000 SP3 - Ethereal - NAV Kathy, Phoebe: - W2000, IIS 5.0, SP1 - Internet Explorer Shares: Ein Verzeichnis auf C freigegeben - Process Monitor, File Monitor, Registry Monitor

12 12 Der erste Versuch… Verbreitungsarten von Nimda: Via offenen Network-Shares: von Client zu Client Über Scannen nach und ausnutzen von IIS4.0/5.0 Directory traversal vulnerability: von Client zu Web- Server Über Nimda-infizierte Webseiten: von Web-Server zu Client Via von Client zu Client Über von „Code Red II“ hinterlassene Backdoors: von Client zu Web-Server

13 13 Nimda Risk Exploit Incident Detection Analysis Response (incl. Avoidance) Schwächen von MIME, IIS, … Nimda-Wurm am im Labor Removal Tools, Patches, Neuinstallation? am

14 Linux/Slapper.Worm

15 15 Details Internet Wurm ISS Ranks Worms as Biggest Net Threat Quelle: Erstes Auftreten: (nai) Infiziert Linux mit Apache und mod_ssl Produkt aus PUD und openssl-too-open Exploit Payload: baut p2p-Netzwerk für DDoS auf

16 16 Schwachstelle KEY_ARG Buffer Overflow in OpenSSL beim SSLv2 Handshake Bekannt seid Ende Juli 2002 (CA ) Betroffen: open-ssl Libary < 0.96e / 0.97beta2 Existiert auch in anderen UNIX-Derivaten (BSD  Scalper, Solaris, MAC OS X) Exploit (bisher) nur unter Linux

17 17 Versuchsaufbau Sniffer (Daphne: Ethereal) Victim Attack (Ergo: Apache mit mod_ssl; tripwire)(Kathy: Slapper.A) Software: Red Hat Linux 7.3, individuelle Paketauswahl HUB

18 18 Arbeiten im „Dunstkreis“ des IRT Bac-Arbeit von Julia Fix und Ira Tsalman „Incident Response am Beispiel von Nimda“ Projektdokumentation von Jörg Ziemann Diplomarbeit von Jan Menne „Methoden der Vorfallserkennung und Analyse“ Diplomarbeit von Nils Michaelsen „Penetrationstest: Möglichkeiten und Auswirkungen“ Diplomarbeit von Benjamin Hoherz „Einfluss von Incident Response auf die Erstellung von Notfallkonzepten“ Diplomarbeit von Silvio Krüger „Superwürmer – Entdeckung und Gegenmaßnahmen“

19 Dieses Semester Sommer 2003

20 20 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT

21 21 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Risk = Bedrohung + Schwachstelle

22 22 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Exploit: Verwirklichte Ausnutzung einer Schwachstelle (z. B. Malware)

23 23 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Incident: Nutzung eines Exploit auf einem konkreten System (d.h. mit abgrenzbarer Umgebung)  Unterschreitung der Sicherheits- anforderungen Definition von Sicherheitsanforderungen: Vertraulichkeit Verfügbarkeit Integrität

24 24 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Detection: Feststellen eines Incident

25 25 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Analysis: Zerlegen der komplexen Gesamtaufgabe in einfache Teile und das Erschließen des Gesamtproblems aus diesen.

26 26 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Response: Gesamtheit der Maßnahmen und Konzepte, die sich aus den Ergebnissen der Analyse eines Incident ergeben (avoidance, measures)

27 27 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Reaction: Idealerweise entsprechend Notfallkonzept unmittelbares Ergreifen von Sicherungsmaßnahmen zum Erhalten von Werten.

28 28 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Avoidance: Beseitigung der Schwachstelle (z.B. Patch) oder Bekämpfung des Exploits (z.B. Virenscanner)

29 29 Hauptfragen dieses Semester Betrachtung von Vulnerability-Scannern zur qualitativen Beurteilung ihrer Arbeitsweise Verfeinerung der Mittel zur Incident- Analyse

30 30 Vulnerability-Scanner dienen zum Testen von Sicherheitsanforderungen testen automatisiert ein System auf bekannte Schwachstellen Penetration Test: Bewerten der gefundenen Schwachstellen (vulnerability, assessment) Hilfsmittel zum testen von IR

31 31 Mittel zur Incident-Analyse Vorhandensein eines Incident statische und dynamische Analyse zur Generierung der Response Erprobung eines neuen Tools (Dipl.-Arbeit von Jan Menne)


Herunterladen ppt "Incident Response Labor zur Untersuchung von Computer-Vorfällen."

Ähnliche Präsentationen


Google-Anzeigen