Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Bedrohungen II, Bedrohungsbaum

Ähnliche Präsentationen


Präsentation zum Thema: "Bedrohungen II, Bedrohungsbaum"—  Präsentation transkript:

1 Bedrohungen II, Bedrohungsbaum
Grundlagen Bedrohungen II, Bedrohungsbaum

2 Rootkit Besonderes Gefahrenpotenzial.
Klasse von Angriffen auf IT-Systeme die: schnell, vollautomatisch, auch ohne Expertenwissen, mit hoher Wahrscheinlichkeit erfolgreich unter Nutzung frei verfügbarer Angriffs-Software durchgeführt werden. Ziel: Erlangung von Administrator- (Root-) Rechten Volle Systemkontrolle durch den Angreifer Verstecken vor legitimen Benutzer oder Administrator. Dr. Wolf Müller

3 Rootkit: Vorbereitung
Systematische Schachstellenanalyse auf Basis von Expertenwissen (z.B. aus öffentlichen Datenbanken) Datenbanken enthalten Infos über gängige Betriebssysteme, systemnahe Dienste und deren Verwundbarkeiten. Exploit sucht nach Rechnern mit bekannten Schwachstellen. Portscans nach offenen Ports FTP, HTTP, maild, inetd und Portfingerprints. 2a. Abgleich der gefundenen Daten mit Schwachstellendatenbank 2b. Alternativ: Suche nach Schwachstellen in Systemkonfiguration Kennungen ohne Passworte Standardpassworte für Standardkennungen (Gast:Gast) Dr. Wolf Müller

4 Rootkit: Installation 4, 5
Ist Schwachstelle identifiziert: Einschleusen von Angriffscode in das System (häufig über Buffer-Overflow). Verschleierung der Aktivitäten des Rootkits Säubern von Logfiles. Manipulation von Dienstprogrammen, die Systemaktivitäten beschreiben (ps, netstat, lsmod, ls). Nachhaltige Unterwanderung des Zielsystems Schaffung von Möglichkeiten zur wiederholten unentdeckten Kontrolle / Übernahme des Systems. Häufig dynamisches Nachladen von Systemprogrammen, vorgefertigte Versionen von Standard-Systemdiensten (ls, find, netstat, syslogd, login, ftp). Nachladen von Sniffern, um Passworte abzulauschen. Dr. Wolf Müller

5 VM-Rootkit Lab Research und der University of Michigan: Prototype für Rootkit, das auf virtueller Maschine beruht. Proof-of-concept „SubVirt“ nutzt Schachstellen und etabliert VMM (virtual machine monitor) unter einer Windows- oder Linux-Installation. Schwer erkennbar, da Sicherheitssoftware nur im “Gastsystem” läuft. Heutige Anti-Rootkit-Werkzeuge vergleichen Registy und Filesystem-API Unstimmigkeiten, um User- oder Kernel-Mode Rootkits zu finden. Rutowska „Blue Pill“ Ist die VM völlig transparent, sieht VM exakt aus wie die reale Maschine? Details: NEIN: Latenz, Laufzeit unterschiede bei privilegierten Befehlen. Virtuelle Hardware  Hardware. Parallelität (Mehrere Prozessoren, DMA) unterscheidet sich. Wo werden persistente Daten abgelegt? Ist die Platte noch genauso groß? Dr. Wolf Müller

6 W32.Stuxnet Verbreitung: Rootkit Weg:
Schadprogramm für Siemens-SCADA-Systeme. Ziel: Uranzentifugen-Steuerung Weg: Ausnutzung von teilweise unbekannten Sicherheitslücken von Windows 2000 … Windows 7. Rootkit-Installation, unter Nutzung gestohlener Treibersignaturen Realtek und Jmicron. Genaue Kenntnisse des Prozessvisualisierungssystems WinCC zur Überwachung und Steuerung technischer Prozesse mit Simatic S7 Installation eines weiteren Rootkits in der Steuerung einer solchen PCS-7-Anlage. © © Quelle: Wikipedia Dr. Wolf Müller

7 Rootkit: Fazit Nutzt in der Regel bekannte Systemsoftwarefehler aus.
Schwer zu entdecken, gefährlich. Abwehr: Regelmäßige Prüfung der Systemkonfiguration. Neuster Sicherheitsstandard (Patches). Verfolgung von verdächtigen Portscans (IDS). Verschlüsselung, kryptografische Prüfsummen. Differenzierte Zugriffskontrollen (Root nicht zwingend alle Rechte an allen Dateien). Fremdbooten zur sicheren Erkennung VM-Rootkits. Dr. Wolf Müller

8 (Weitere) Angriffsstrategien:
Social Engineering Ausnutzung menschlicher Schwachstellen, Manipulation Ziel: Preisgabe vertraulicher Informationen Benutzer soll Security-Policies verletzen Ansatz: Hilfsbereitschaft, Eitelkeiten, Neugier Phishing Fischen nach persönlichen Z.B. Verschicken authentisch aussehender s (massiv) Falsche Login-Seiten, … Dr. Wolf Müller

9 Angriffsstrategien (2)
Pharming „Phishing ohne Köder“ Kein Locken, sondern aktives Umleiten auf gefälschte Web Seiten (DNS, oder installiertes Schadprogramm) ohne Wissen des Nutzers Vergleichbar mit gefälschten Wegweisern, um Autofahrer in die Irre zu führen Umleitung des Anwenders an eine nachgemachte Website (meist handelt es sich um kopierte Homepages von Banken oder anderen Finanz-Institutionen) um. Reverse Proxy Man-in-the-Middle Benutzer gibt Passwörter und andere finanzielle Informationen ein, die an Betrüger weitergeleitet werden. Dr. Wolf Müller

10 Pharming aktuell: http://www.spiegel.de/netzwelt/web/0,1518,829504,00.html
Bundesgerichtshof Kunden haften für Fehler beim Online-Banking Online-Banking: Wer Tan-Nummern preisgibt, haftet selbst Wer beim Online-Banking leichtfertig auf Betrüger hereinfällt, muss selbst für den Schaden haften. Das hat der Bundesgerichtshof entschieden. Im konkreten Fall wurde ein Rentner um 5000 Euro geprellt. Er hatte zehn Tan-Nummern weitergegeben. Hintergrund: DNS-Spoofing oder Pharming Dr. Wolf Müller

11 Phishing-Gefahr: 65% der Bankwebseiten sind Fälschungen
Online-Kriminelle stellen pro Woche rund neue falsche Webseiten ins Netz. Authentizität ? Quelle: Dr. Wolf Müller

12 Angriffsstrategien (3)
Spyware Programme, die sich im Verborgenen, ohne Wissen des Computerbenutzers persönliche Informationen sammeln. Synonym für Adware oder Malware Verschiedene Techniken: Aufzeichnen aller Tastendrücke Profiling Diebstahl von Passwörtern Durchsuchen der Festplatte nach interessanten Daten Dr. Wolf Müller

13 Angriffsstrategien (4)
Vishing Ausnutzung von VoIP „Voice Phishing“ Erstkontakt meist wieder über erfolgt. Opfer soll bestimmte Telefonnummer der jeweiligen Bank oder Finanzinstitution anzurufen, um Angaben zur Kreditkarte zu bestätigen oder zu ändern… Eingabe persönlicher Daten über Tastatur des Telefons oder verbal Problem: angegebene Telefonnummer nicht authentisch. Dr. Wolf Müller

14 Angriffsstrategien (5)
Trashing oder Dumpster Diving Kriminelle durchsuchen Abfallbehälter von Büros oder Privathaushalten nach: Kontoauszügen Kreditkarten-Abrechnungen Rechnungen, Quittungen Durchschriften von Kreditkarten-Transaktionen Elektronische Speichermedien Dr. Wolf Müller

15 Rechtslage (1) § 202a StGB Ausspähen von Daten Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Dr. Wolf Müller

16 Rechtslage (2) § 202a StGB Datenveränderung Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar. Dr. Wolf Müller

17 Rechtslage (3) §202a des Strafgesetzbuches verbietet Ausspähen von fremden Daten, wenn diese „gegen unberechtigten Zugang besonders gesichert sind“ Bundestag: Zugangskontrolldiensteschutzgesetz: Ziel: Unberechtigte Nutzung kostenpflichtiger Angebote (Rundfunk, Fernsehen) durch Umgehen technischer Vorsperr- und Verschlüsselungsverfahren zu unterbinden. Zugangskontrolldienste: Hardware-Lösungen (Decoder, Smartcard) Software-implementierte Verschlüsselungsmechanismen Freiheitsstrafe bis zu einem Jahr, wer Einrichtungen zum Umgehen dieser zu gewerblichen Zwecken einführt, herstellt oder verbreitet. Bis zu 50000€ für gewerblichen Besitz, Einrichtung, Wartung, Austausch der Cracker Werkzeuge. Fokus: Pay-TV, Video-on-Demand, gewerbsmäßig handelnde Personen Nicht betroffen: elektronische Signatur, Kopierschutz von Dateien. Private Nutzung: §265a StGB „Erschleichung von Leistungen“. Kein vollständiger Überblick, Entwicklung ist noch im Fluss. Dr. Wolf Müller

18 Computer Forensik (Beweissicherung)
Nachweis und Aufklärung von ggf. strafbaren Handlungen durch Auswertung digitaler Spuren Für Gerichtsverwertbarkeit: Analyse auf Kopie, nicht auf Original „never touch original“ Ergebnisse neutral, überprüfbar, nachvollziehbar. Im read only Modus Originalsysteme möglichst sicher verwahren Beweismaterial so wenig wie möglich bewegen Beweismittelkette muss gewahrt werden Lückenlose Dokumentation Maßnahmen shutdown / boot, kann schon Spuren vernichten (Zeitstempel von Dateien) Notfall-, Alarmierungsplan nötig Keine Veränderungen am System Kein Löschen von Viren, Trojanern, … Dr. Wolf Müller

19 Computer Forensik: Tools
Erstellung eines korrekten 1:1 Abbilds (image) nötig Moderne Produkte zur Festplattenspiegelung ungeeignet (wegen Optimierung=Modifikation) Drive Image. dd, AccessData FTK Explorer, EnCase (je nach Betriebssystem) mit dcfldd wird gleichzeitig ein MD5 hash berechnet, der die Daten authentifiziert. AIR-Tool ähnlich wie dd, aber komfortabler. Dr. Wolf Müller

20 Computer Forensik: Analyse
Analyse der Kopie auch read-only Modus, schließt versehentliches Ändern aus. Linux: Enhanced Linux Loopback-Tool (Programm zum ro-mounten von dd-Images). ftp://ftp.hq.nasa.gov/pub/ig/ccd/enhanced_loopback/ Analysetools grep, stings, find, file, hexedit mit großen Datenmengen überfordert. Sleuth Kit + GUI Autopsy Verwendbar unter UNIX / Linux für DOS-, BDS-, MAC-Partitionen, sowie NTFS, FAT, FFS, ext2fs, ext3fs Dateisysteme. Untersuchung aller Dateien zeitaufwändig (Win 2k mehr als 6000 Bilddateien). US-Regierung betreibt Datenbank mit Hashwerten bekannter Dateien (http://nsl.nist.gov), diese können dann mit Analyse-Tools schnell aussortiert werden. Suche nach bestimmten Dateitypen (Bilder, Filme, Word, Excel) anhand von Header / Footer-Signaturen durch Foremost. Dr. Wolf Müller

21 Computer Forensik: Analyse 2
Interessante Festplattenbereiche: tmp-Dateien, Cache, Logdateien, Registry, gelöschte Bereiche Zugriffszeiten (Modification, Access, Change) Fazit: Gewinnt wegen wachsender Zahl an Delikten an Bedeutung. Möglicher Konflikt mit Datenschutz. Professionelle Hilfe empfehlenswert. Bundes-Trojaner: Wie gerichtsfest sind die übermittelten Daten? Wurden die Daten durch den Trojaner modifiziert? Sind die Daten authentisch? Dr. Wolf Müller

22 Bedrohungsanalyse Systematische Ermittlung der potentiellen organisatorischen, technischen und benutzerbedingten Ursachen für Bedrohungen, die Schäden verursachen können. Visualisierung über Bedrohungs-/ Angriffsbäume (attack tree) Wurzel definiert mögliches Angriffsziel Zwischenziele zur Erreichung des Gesamtziels geben die nächste Ebene Verwendung von UND- und ODER- Knoten, um Bedingungen zu formulieren, was Erreichen von Zwischenzielen bedeutet. Äste verknüpfen Zwischenziele mit höheren Zielen Blätter des Baumes beschreiben einzelnen Angriffsschritt Dr. Wolf Müller

23 Bedrohungsmatix Zeilen: Gefährdungsbereiche
Spalten: potentieller Auslöser Programmierer interner Benutzer externer Benutzer mobiler Code Externe Angriffe Vandalismus Beobachtung der Passwort-eingabe Interne Angriffe Direkter Speicherzugriff Logische Bomben Passwort cracken Viren Trojaner Verfügbarkeit Speicher belegen Prozesse erzeugen Netzlast generieren Monopolisierung der CPU Abstreiten Transaktionen Accounting Rechtemiss-brauch Manuipulation von Daten Dr. Wolf Müller

24 Bedrohungsbaum für Maskierungsangriff mit PDA
Angriffsziel Entscheidungsknoten Angriffsschritt nicht technisch abwehrbar Angriffsziel Maskierung bei der Ausführung der Authentifikationsprozedur lokaler Login entfernter Login UND korrekter Login Besitz des Mobilen Geräts ohne Authentifikation Authentifikation erforderlich Stehlen Bedrohen Erpressen Inbesitznahme UND Erlangen der Authentifikationstokens z.B. Smartcard Erlangen der Authentifikationsdaten unbeaufsichtigtes Gerät ohne Mitwirkung des Besitzers mit Mitwirkung des Besitzers ohne Biometrie Biometrie-basiert Kein Token notwendig Token fälschen Stehlen Bedrohen Erpressen Inbesitznahme Bedrohen Erpressen Fälschen verlorenes Gerät unbeaufsichtigtes Gerät überlassenes Gerät Dr. Wolf Müller

25 Möglicher Angriffspfad
Angriffsziel Entscheidungsknoten Angriffsschritt nicht technisch abwehrbar Angriffsziel Maskierung bei der Ausführung der Authentifikationsprozedur lokaler Login UND korrekter Login Besitz des Mobilen Geräts ohne Authentifikation Inbesitznahme unbeaufsichtigtes Gerät Dr. Wolf Müller

26 Risikoanalyse (risk assessment)
Risikobewertung anhand der Wahrscheinlichkeiten für das Eintreten der verschiedenen Bedrohungen sowie der potentiellen Schadenshöhe Eintretenswahrscheinlichkeit: Geschätzter Aufwand zur Angriffsdurchführung Nutzen für den Angreifer Motive des Angreifers, Angreifertyp Script Kiddie Hacker Mitarbeiter Wirtschaftsspion Ressourcen / Kenntnisse des Angreifers Dr. Wolf Müller

27 Attributierung des Prozessbaums
Gegeben sei ein Bedrohungsbaum T mit der Menge K seiner Knoten. A sei die Menge von Attributen. Eine Abbildung f: KA, oder f: K2A heißt Attributierung von T. Attribute: Kosten / Aufwand zur Angriffsdurchführung Notwendigkeit spezieller Hardware für Angriff Beispiel: A={U,M} (U unmöglich, M möglich) Attributierung f für ODER-Knoten kK: Attributierung f für UND-Knoten kK: Mögliche Angriffe: Pfade von Blättern zur Wurzel die mit M attributiert sind. Dr. Wolf Müller

28 des Benutzerpassworts
Risikoberechnung Ausspähen des Benutzerpassworts Risiko = sehr hoch ODER Ausspähen der Terminaleingabe unverschlüsselte Übertragung über das Netz Zugriff auf gespeicherte Passwortdaten Risiko = gering Risiko = sehr hoch Risiko = hoch Schlussfolgerung: Auch bei einfachem Angreifermodell sehr hohes Risiko, Passworte sollten nur verschlüsselt übertragen werden! Dr. Wolf Müller

29 Penetrationstests Abschätzung der Erfolgsaussichten eines vorsätzlichen Angriffs. Innentäter: whitebox-Ansatz Angreifer besitzt detaillierte Kenntnisse der internen Struktur, Anwendungen, Dienste Außentäter: blackbox-Ansatz Täter hat nur geringe, über öffentliche Kanäle leicht zugängige Informationen über das System Dr. Wolf Müller

30 Penetrationstests: Vorgehensweise
Internetrecherche nach Informationen über das System, z.B. Menge der erreichbaren IP-Adressen Portscans, Ermittlung der durch das System angebotenen Dienste, Rückschlüsse, welche Dienste an welche Ports gekoppelt sind. Fingerprinting-Methoden, Informationen über OS, dessen Version, Hardware, installierte Anwendungen E.g. Webserver Abgleich mit Expertenwissen in Schwachstellendatenbanken, Identifizierung von Schwachstellen der System-, Anwendungssoftware Versuch, identifizierte Schwachstellen auszunutzen, systematisch unberechtigten Zugriff auf das Zielsystem zu erlangen, Vorbereitung weiterer Angriffe Dr. Wolf Müller

31 Penetrationstests: rechtlicher Rahmen
Durchführung nicht unproblematisch Sicherstellen, dass produktiver Betrieb des Systems nicht nachhaltig gestört wird, kein irreparable Schaden verursacht wird. Nur in (schriftlicher) Absprache mit Betreiber und zuständigem Datenschutzbeauftragten. Möglicher Konflikt mit Zugangskontrollschutzgesetz (ZKDSG) auch Password-geschützte WWW, FTP Server Geldbuße bis 50000€ Dr. Wolf Müller

32 Modellierung, Entwurf und Betrieb
Sicherheitsstrategie und –modell Bedrohungs- und Risikoanalyse beschreiben Ist-Zustand Vergleich mit Soll-Zustand der Schutzbedarf beschreibt Ergebnis: Maßnahmen zur Abwehr der Bedrohungen Klassifizierung der Maßnahmen nach Wichtigkeit Kosten Aufwand Erfassung der erforderlichen Maßnahmen zur Erfüllung des Schutzbedarfs in Sicherheitsstrategie (security policy) informell oder präzise formalisiert Klassen von Anwendungen haben ähnliche Schutzbedürfnisse, deshalb können allgemeine Sicherheitsgrundfunktionen eingesetzt werden. Kriterienkataloge wie europäische ITSEC oder internationale Common Criteria definieren Funktionsklassen für dezidierte Anwendungsszenarien. Anwender sollte klären ob seine Sicherheitsanforderungen bereits von einer dieser Klassen abgedeckt wird, bzw. welche Kombination von Grundfunktionen er braucht. Dr. Wolf Müller

33 Modellierung, Entwurf und Betrieb (2)
Systemarchitektur, Architekturgrobentwurf Identifikation der zu schützenden Komponenten Definition der Sicherheitskomponenten Feinentwurf Verfeinerung und detaillierte Spezifikation der Komponenten präziser Rahmen für Implementierung Wahl der nötigen Datenstrukturen, Algorithmen Nutzung von Standardmechanismen (kryptografische Protokolle, Passwortschutz, ACLs, Protokolle zur Schlüsselverteilung,…) Validierung / Evaluierung Testen Methodisches Testen des implementierten Systems Wenn möglich: Verifizierung der sicherheitsrelevanten Funktionen Testziele, -pläne, -verfahren festlegen, dokumentieren. Vollständigkeit der Tests Code Review Evaluierung durch Dritte Dr. Wolf Müller

34 Modellierung, Entwurf und Betrieb (3)
Aufrechterhaltung im laufenden Betrieb Prozess des SE endet nicht mit Abschluss der Evaluation und Installation beim Kunden! Prüfung während laufenden Betriebs, ob Sicherheitsmaßnahmen ausreichend sind. Monitoring und Kontrollieren der Systemaktivitäten um insbesondere auf neue Bedrohungen schnell reagieren zu können. Nutzung von Analysetools Problem für Sysadmins, Sicherheitsbeauftragte: Viele spezielle Werkzeuge, die konfiguriert werden müssen, kompliziert, aufwendig. Folge: Kontinuierliche Überprüfung des Sicherheitszustandes heutiger Systeme stark vernachlässigt! Dr. Wolf Müller

35 Sicherheitsgrundfunktionen
= Baukasten Identifikation und Authentifikation Objekte / Subjekte müssen eindeutig identifizierbar sein, ihre Identität nachweisen können Abwehr von Maskierungsangriffen und von unautorisierten Zugriffen Sicherheitsanforderungen legen fest, ob und wenn ja, welche Subjekte zwar zu identifizieren, aber nicht zu authentifizieren sind. Bei OS: Authentifikation nur bei Login, Gültigkeit späterer Aktionen beruhen auf Gültigkeit dieser Kontrolle Internet-Banking Authentifikation bei jeder relevanten Aktion (TAN) Angabe, welche Aktionen zur Abwehr systematischer Angriffsversuche ergriffen werden. Protokollieren, Sperrung der Kennung Dr. Wolf Müller

36 Sicherheitsgrundfunktionen (2)
Rechteverwaltung Basis zur Abwehr von Bedrohung der Integrität und Vertraulichkeit Sicherheitsanforderungen legen Rechte für zu schützende Objekte fest Vergabe (UNIX: owner-Prinzip) Wahrnehmung Rechteprüfung Zugriffskontrolle Bei welchen Aktionen muss Rechteprüfung stattfinden? Vollständigkeitsprinzip: Jeder Zugriff sollte kontrolliert werden Oft prüfen nur beim öffnen einer Datei Danach Konformitätsprüfung: Wenn lesen, dann weiterlesen. File Handles Ausnahmen: Welche Aktionen bei unautorisierten Zugriffen permission denied Dr. Wolf Müller

37 Sicherheitsgrundfunktionen (3)
Beweissicherung Nichtabstreitbarkeit Protokollierung Computer-Forensik Wiederaufbereitung Maßnahmen zur Wiederaufbereitung von gemeinsam aber exklusiv nutzbaren Betriebsmitteln Prozessor, Register, Cache Gewährleistung der Funktionalität Maßnahmen zur Gewährleistung der Verfügbarkeit Abwehr von DoS Priorisierung von Funktionalitäten Dr. Wolf Müller

38 Bewertungskriterien Kriterienkataloge stellen Bewertungsschema zur Verfügung Zertifikate Nationale internationale Kataloge Orange Book (US 1980) Grünbuch (DE) ITSEC Information Technology Security Evaluation Criteria (Europa) Common Criteria (international , 1998) IT-Grundschutz (BSI) https://www.bsi.bund.de/ContentBSI/Publikationen/BSI_Standard/it_grundschutzstandards.html Dr. Wolf Müller


Herunterladen ppt "Bedrohungen II, Bedrohungsbaum"

Ähnliche Präsentationen


Google-Anzeigen