Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit in vernetzten Systemen Thema: Hostsicherheit.

Ähnliche Präsentationen


Präsentation zum Thema: "Sicherheit in vernetzten Systemen Thema: Hostsicherheit."—  Präsentation transkript:

1 Sicherheit in vernetzten Systemen Thema: Hostsicherheit

2 Begriff Hostsicherheit Erläuterung: Unter Hostsicherheit versteht man die Sicherheit eines einzelnen Rechners, unabhängig ob er an ein Netzwerk angeschlossen ist oder nicht. Sicherheit: - Verhindern ungewollter Aktivitäten an, mit oder durch den betreffenden Host. - Gewährleisten gewollter Aktivitäten an, mit oder durch den betreffenden Host.

3 Begriff Hostsicherheit Physikalische Sicherheit: - Diebstahl von Hardware - Zerstörung von Hardware - Re- /Umkonfiguration der Hardware - An- und Abschließen des Hosts an Netzwerk Netzwerksicherheit - (siehe Vortrag 2)

4 Begriff Hostsicherheit Softwaresicherheit: - Passwörter - Sicherheitslücken im Betriebssystem - Viren - Würmer - Trojaner -...

5 Klassifikation von Bedrohungen - technische / nichttechnische Bedrohungen - absichtliche / unabsichtliche Bedrohungen - aktive / passive Bedrohungen

6 Bedrohungen der Hostsicherheit Im Folgenden: - Pufferüberläufe – Sicherheitslücke im Betriebssystem - Viren - Würmer - Trojaner

7 Viren - Übersicht Virenarten: - Dateiviren - Makroviren - Bootviren Viruseigenschaften: - Speicherresidente Viren - Verschlüsselte Viren - Stealthviren - Polymorphe Viren - Multipartite Viren

8 Virenarten - Dateiviren - Definition: Ein Virus ist ein Programm, das sich replizieren kann, indem es sich an den Code von anderen Programmen anhängt. - infizieren i.d.R. ausführbare Dateien (*.exe, *.com, *.dll,...) - Zwei Teile: Verbreitungslogik und Schadfunktion - werden durch Hilfsprogramme (Dropper) in Umlauf gebracht

9 Virenarten - Dateiviren

10 Überschreibender Virus: -Virencode ersetzt Dateicode -Wirtsdatei wird beschädigt, ist nicht mehr ausführbar

11 Virenarten - Dateiviren Parasitärer Virus: - hängt sich an eine ausführbare Datei an - Wirtsdatei behält Funktionalität - Virus dadurch schwieriger zu entdecken

12 Virenarten - Dateiviren Parasitäre Infektion: Der Viruscode kann sich an beliebiger Stelle im Wirtsprogramm befinden

13 Virenarten – Makroviren - einfacher zu implementieren als Dateiviren - geschrieben mit Makrosprachen (z.B. Visual Basic) - es existieren Makroviren-Generations-Tools - eingebettet in Dokumenten-Makros - Verbreitung zumeist über -Anhang - plattformunabhängig, falls es für das betreffende Dokumenten- format Programme für jede Plattform gibt

14 Virenarten – Makroviren Beispiel: durch Makrovirus infiziertes Word-Dokument - Ausführung von Auto-Makros sorgen für Ausführung des Virencodes - Global Templates sorgen für Infektion neuer Dokumente

15 Virenarten - Bootviren Lebenszyklus eines Bootvirus: - infizierte Diskette muss nicht bootfähig sein, um einen Rechner beim Start zu infizieren. - vor Makroviren: >60% der Infektionen durch Bootviren, trotz <10% Gesamtanteil

16 Virenarten - Bootviren Bootviren – Funktionsweise:

17 Vireneigenschaften – Speicherresidente Viren - Nicht-speicherresidente Viren abhängig von Ausführen infizierter Dateien - speicherresidente Viren verbreiten sich schneller, da sie öfter aktiviert werden - schwieriger zu implementieren

18 Vireneigenschaften – Speicherresidente Viren Funktionsweise: - Virus lädt sich bei erster Ausführung in den Hauptspeicher und hängt sich dort hinter Interruptvektoren. - Interruptvektoren legen fest, welcher Code im Falle des ent- sprechenden Interrupts ausgeführt wird. - vorzugsweise wird der Systemaufruf-Interruptvektor angezapft, da dieser im Schnitt häufiger erfolgt als andere. - erfolgt ein Systemaufruf, so wird zunächst der Virencode ausgeführt.

19 Vireneigenschaften – Speicherresidente Viren Beispiel Bootvirus & Windows Betriebssystem: - Ziel des Bootvirus: Speicherresident sein nach Start des Betriebssystems - Ansatzpunkt: Virus im gefälschten Bootsektor aktiviert - lädt sich selbst in den Speicher - startet dann das Betriebssystem

20 Vireneigenschaften – Speicherresidente Viren - Betriebssystem-Schwäche: Windows lädt Gerätetreiber nacheinander, von denen sich dann jeder den benötigten Interrupt- vektor nimmt - Schritt 1: Bootvirus lädt sich hinter jeden Interruptvektor und startet dann das Betriebssystem (hier:Windows)

21 Vireneigenschaften – Speicherresidente Viren - Schritt 2: Windows-Betriebssystem wird gestartet - Gerätetreiber werden der Reihe nach geladen - hier: Druckertreiber überschreibt seinen Interruptvektor - daraus folgt: Virus verliert Kontrolle über Druckerinterrupt

22 Vireneigenschaften – Speicherresidente Viren - Schritt 3: Zwischendurch tritt Uhrinterrupt auf - Uhrinterrupt aktiviert Virus - Virus erkennt den Verlust des Druckerinterruptvektors - Virus überschreibt diesen Vektor erneut

23 Vireneigenschaften – Speicherresidente Viren - Schritt 4: Betriebssystem ist fertig geladen - Virus behält Interruptvektor für Systemaufrufe - Virus gibt alle anderen Interrupt- vektoren ab

24 Vireneigenschaften – Verschlüsselte Viren - Verteidigungsmaßnahme des Virus - Ziel: Verkleinern und Verschlüsseln der eigenen Signatur dadurch schwierigere Entdeckung durch Virenscanner

25 Vireneigenschaften – Verschlüsselte Viren - Resultat: Verschlüsselungsroutine wird zur Virensignatur - Virenscanner suchen nach Verschlüsselungsroutine - kleine Verschlüsselungsroutine effektiv gegen Virenscanner, trotzdem geringe Erfolgsaussichten, unerkannt zu bleiben - Erweiterung: Polymorphe Viren

26 Vireneigenschaften – Polymorphe Viren Schritte zu einem polymorphen Virus: a)ein nicht infiziertes, ausführbares Wirtsprogramm b)Programm aus a) ist durch Virus infiziert. Dadurch ist das Programm länger, Virus kann durch Virenscanner leicht entdeckt werden. c)Hinzugefügt: De-/Komprimierer. Virus und Wirtsprogramm werden komprimiert, müssen vor Ausführung dekomprimiert werden. Dadurch verringerte Programmgröße, Infektion ist nicht mehr offensichtlich. Aber: Virensignatur durch komprimiertes Virus immer noch vorhanden.

27 Vireneigenschaften – Polymorphe Viren d) Hinzugefügt: Ver-/Entschlüssler. Komprimiertes Virusprogramm wird verschlüsselt. Dadurch wird Virensignatur verschleiert. Aber: De-/Komprimierer und Ver-/Entschlüssler bieten neue Signatur für Virenscanner. e)Zusätzliches Verschlüsseln des De-/Komprimierers und des Verschlüsslers. Entschlüssler allein bietet noch eine Virensignatur an.

28 Vireneigenschaften – Polymorphe Viren

29 - Situation bei (e): nur der Entschlüssler bietet der Antiviren- Software noch eine Virensignatur, da er selbst nicht verschlüsselt werden darf. - Lösungsansatz: Bei jeder weiteren Verbreitung ändert der Virus den ausführbaren Code des Entschlüsslers. - beliebig viele Mutationen sind möglich. - Mutationsmaschine verändert Maschinenanweisungen, ohne die Funktionalität zu verändern. - Polymorphe Viren mutieren bei jeder Kopie.

30 Vireneigenschaften – Polymorphe Viren Beispiel: Entschlüsselungsroutine führt Berechnung X = (A + B + C – 4) durch. hier: Mutation des Assemblercodes eines generischen 2-Adress-Computers

31 Vireneigenschaften – Stealth Viren - Verteidigungsmaßnahme des Virus - Ziel: Verbergen der eigenen Existenz - verschiedene Methoden möglich - Beispiel 1: Eigenes Löschen, falls ein Scan durch Virenscanner erkannt wird. Datei wird nach Scan wieder infiziert. - Beispiel 2: Manipulation von Befehlrückgaben. (hier:DOS) Benutzer gibt dir ein, Befehl wird vom Virus zum DOS weitergeleitet, DOS berechnet Ergebnis. Ergebnis wird auf Rückweg vom Virus manipuliert. Benutzer erkennt dadurch nichts Außergewöhnliches.

32 Vireneigenschaften – Multipartite Viren - Verteidigungsmaßnahme des Virus - Ziel: Erhöhung des Schutzes vor Anti-Virensoftware durch Kombination verschiedener Vireneigenschaften

33 Schutz durch Betriebssystem Aufgabe des Betriebssystem - Schutz folgender Objekte: - Speicher - E/A Geräte - Programme - Daten Mögliches Spektrum: - Kein Schutz - Isolation - Alles oder nichts freigeben - Freigabe über Zugriffsbeschränkungen - Freigabe über dynamische Zugriffsberechtigungen

34 Abwehrmaßnahmen - Virenscanner 1.Erkennen - Feststellung einer Infektion - Lokalisierung des Virus 2.Identifizieren - Art des Virus ermitteln 3.Entfernen - Virus aus infiziertem Programm entfernen - Wiederherstellung des infizierten Programms - Virus aus infizierten Systemen entfernen

35 Abwehrmaßnahmen - Virenscanner Generische Entschlüsselung (Generic Decryption, GD) - CPU Emulator startet Übersetzung des Zielcodes - kontrollierte Simulationsumgebung => kein Schaden möglich - zwischendurch Unterbrechung durch Emulationskontrollmodul für Scan auf Virensignaturen - lange Emulation = hohe Erfolgswahrscheinlichkeit - aber: begrenzte Zeit und Ressourcen für Virenscanner

36 Abwehrmaßnahmen – Digitales Immunsystem 1 – Analysieren des Virenverhaltens in sicherer Umgebung 2 – Extrahieren der Signatur 3 – Herleiten eines Rezepts

37 Trojaner - geben vor, nützlich zu sein - enthalten eine andere, verborgene Funktion - Backdoor-Trojaner: Hacker kann in System einfallen und es fernsteuern - bestehen aus: - Server - Client - Konfigurationstool

38 Würmer - sich selbständig verbreitendes Programm - brauch kein Wirtsprogramm - gleicher Lebenszyklus wie ein Virus - Schlafphase - Verbreitungsphase - Auslösephase - Ausführungsphase - benutzt Netzwerkmedium für Verbreitung (z.B. , entferntes Einloggen...)

39 Pufferüberläufe Ansatz von Angriffen: Programmiersprache C prüft nicht auf Pufferüberläufe Folgendes Beispiel erzeugt keinen Compilerfehler: int i = 12000; char c[12]; char[i] = 0;

40 Pufferüberläufe

41 Pufferüberläufe - Angreifer gibt in Eingabefeld eigenes Programm ein - Eingabe erzeugt unbemerkten Pufferüberlauf - originale Rücksprungadresse wird überschrieben - und durch Startadresse des Hackerprogramms ersetzt

42 Zusammenfassung Behandelt wurden: - Begriff Hostsicherheit - Virenarten - Dateiviren - Makroviren - Bootviren - Vireneigenschaften - Speicherresidente Viren - Verschlüsselte Viren - Polymorphe Viren - Stealth Viren - Multipartite Viren - Pufferüberläufe -Schutz durch Betriebssystem - Virenscanner - Generische Entschlüsselung - Digitales Immunsystem

43 Quellen - Andrew S. Tanenbaum: Moderne Betriebssysteme 2., überarb. Auflage München William Stallings: Betriebssysteme 4., überarb. Auflage München Roger A. Grimes: Malicous Mobile Code Sebastopol Jürgen Schneiderer: mitp-Trainingsbuch SuSe Linux Sicherheit - Bernhard Esslinger: IT-Sicherheit organisatorische, rechtliche, technische und mathematische Aspekte WS 2003/2004


Herunterladen ppt "Sicherheit in vernetzten Systemen Thema: Hostsicherheit."

Ähnliche Präsentationen


Google-Anzeigen