Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Angreifertypen,

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Angreifertypen,"—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Angreifertypen, Bedrohungen I

2 IT-Sicherheit Grundlagen Dr. Wolf Müller 2 Angreifer-Typen Studien: über 80% der in Unternehmen, Firmen, Behörden bekannt gewordenen Angriffe durch Mitarbeiter. = Angriffe von innen Öffentliche Wahrnehmung: Hacker & Cracker. Entwicklung: zunehmend offene Systeme, folglich Anstieg auf ähnliches Niveau. Hacker Cracker Skript Kiddie Wirtschaftsspionage Mitarbeiter Geheimdienste (Bundes-Trojaner, Stuxnet)

3 IT-Sicherheit Grundlagen Dr. Wolf Müller 3 Hacker Technisch sehr versiert Ziel: –Schwachstellen, Verwundbarkeiten in IT Systemen aufdecken. –Angriffe, Exploits entwickeln, die die Schwachstellen ausnutzen. Meist: –Veröffentlichung der Exploits, um auf Schwachstellen aufmerksam zu machen. –Keine persönlichen Vorteile, finanzielle Gewinne oder wirtschaftliche Schädigung Dritter. = Hacker-Ethik Oft Methoden illegal, außerhalb gesetzlicher Regelungen.

4 IT-Sicherheit Grundlagen Hacker-Paragraph Neufassung § 202 c StGB: Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang oder von geeigneten Computerprogrammen mit Geld- oder Freiheitsstrafe von bis zu einem Jahr bedroht. Rechtsausschuss des Bundestages Zusatzerklärung: … von der neuen Regelung nur Computerprogramme betroffen sind, die in erster Linie dafür ausgelegt sind oder hergestellt werden, um Straftaten aus dem Bereich der Computerkriminalität zu begehen. Unklar, inwieweit diese Erklärung in der Praxis oder der Bewertung der Gerichte noch Berücksichtigung finden wird. Dr. Wolf Müller 4

5 IT-Sicherheit Grundlagen Dr. Wolf Müller 5 Cracker Ebenfalls technisch sehr versiert. Ziel jedoch: –Gezielte Angriffe zum eigenen Vorteil oder zum Nachteil Dritter Größeres Schadensrisiko als durch Hacker. Verkauf der Dienstleistungen.

6 IT-Sicherheit Grundlagen Dr. Wolf Müller 6 Skript Kiddie Viel Zeit. Nicht zwingend vertieftes Know-how. Nutzung von frei verfügbaren Exploits. Motivation: Spieltrieb, Neugierde. Zunehmende Bedrohung durch Leichtigkeit vorgefertigte Exploits zu nutzen. Oft jedoch durch Patchen schnelles Schließen der Lücken möglich.

7 IT-Sicherheit Grundlagen Dr. Wolf Müller 7 Wirtschaftsspionage Top Kenntnisse / Ausrüstung. Gezielte, speziell zugeschnittene Angriffe. In jüngster Zeit vermehrtes Abhören von Datenleitungen und ISDN- / Voip- Verbindungen. –Wirtschaftsspionage –Geheimdienste Echlon: –NSA betreibt in den USA seit 80-er Jahren flächendeckende Überwachung von Telefonaten, , Fax, die über Satelliten, Kabel, Funktürme gesendet wurden. –Aufgezeichnete Daten nach verdächtigen Begriffen durchsucht –Verlust des Auftrags für Airbus von 3 Milliarden an Saudi Arabien, da NSA Info an USA-Industrie weitergeleitet haben soll. Scheitern von ICE-Technologieverkauf von Siemens an Südkorea, hier soll der franz. Geheimdienst Nachrichten abgefangen haben; 2 Milliarden Schaden.

8 IT-Sicherheit Grundlagen Weitergabe von Passagier-Daten EU USA 34 Informationen über Passagiere auf Transatlantik-Flügen: Namen, Geburtsort und -datum, Adresse, private und berufliche Telefonnummern, -Adressen, Kreditkartennummern, Auskünften über Reiseversicherungen bis zu Hin- und Rückreisedaten, Sitzplatznummer und Anzahl der Gepäckstücke. … EU-Parlament segnet Fluggastdaten-Transfer in die USA ab 15 Jahre Speicherung Dr. Wolf Müller 8

9 IT-Sicherheit Grundlagen Dr. Wolf Müller 9 Mitarbeiter Schadensursachen: –Mangelnde Kenntnisse der Systemgegebenheiten –Mangelnde Kenntnisse der Sicherheitsmechanismen und deren Bedeutung –Nachlässigkeit im Umgang mit dem System und den zu verwaltenden sensiblen Informationen –Unterentwickeltes Problembewusstsein, sowohl bei Mitarbeitern als auch im Top-Management –Überforderung, Stress Lösungsansätze: –Ganzheitliches Sicherheitsmanagement (Gemeinsame Betrachtung der organisatorischen Strukturen, Geschäftsprozesse und technischen Komponenten)

10 IT-Sicherheit Grundlagen Dr. Wolf Müller 10 Mitarbeiter: Bedrohungen Virus –Viele Angriffe durch Viren, Würmer, Trojanische Pferde aufgrund fehlerhafter Implementierungen von Systemen. –Häufig auch gezielt von Mitarbeitern platziert. –Mobile Speichermedien, Laptop, Handy, … Social Engineering –Nicht technischer Natur. –Angreifer versucht Opfer dazu zu bringen, absichtlich oder unabsichtlich gutgläubige sensitive Informationen preiszugeben. –Sich als Sysadmin auszugeben (Tel.) um Passwort abzufragen, um angeblich dringend notwendige Arbeiten durchzuführen. Entwicklung: –Zukünftig weiterer Anstieg von Software-bedingten Bedrohungen, insbesondere Viren, Trojaner. –Anstieg von durch Unkenntnis und Nachlässigkeit hervorgerufenen Schäden. –Bedarf an Mitarbeiterschulungen.

11 IT-Sicherheit Grundlagen Firmenkennwörter sind Angestellten wenig wert Bei einer britischen Umfrage gaben fast die Hälfte der Angestellten an, sie würden ihr Firmenkennwort für weniger als 5 Pfund an Dritte verkaufen. 30 Prozent würden sich sogar mit weniger als 1 Pfund begnügen. Weniger als ein Drittel weigerten sich kategorisch, ihr Firmenkennwort herauszugeben. Ihr privates Kennwort für Social-Media-Websites war den Befragten wesentlich teurer: Hier wurden 34 Prozent erst bei Beträgen oberhalb von 50 Pfund schwach. 80 Prozent gaben an, ihr privates Kennwort niemals weiterzugeben. Für die Studie wurden 2000 Verbraucher befragt. 34 Prozent gaben an, ihr Firmenkennwort schon weitergegeben zu haben. Andere Ergebnisse der Umfrage zeigen, woher bei den Auftraggebern der Wind weht: 60,5 Prozent gaben an, sie würden ihr Kennwort aufschreiben. Das ist grundsätzlich nicht weiter schlimm, sofern das Kennwort an einem sicheren Ort aufgeschrieben und aufbewahrt wird. Dr. Wolf Müller 11

12 IT-Sicherheit Grundlagen Bedrohungen Dr. Wolf Müller 12 Virus Wurm Trojaner Rootkit

13 IT-Sicherheit Grundlagen Dr. Wolf Müller 13 Virus: Geschichte Jürgen Kraus Diplomarbeit: Selbstreproduktion bei Programmen Vergleich: Programme können sich ähnlich biologischen Viren verhalten Professor Leonard M. Adleman verwendet im Gespräch mit Fred Cohen erstmalig Begriff Computervirus. Fred Cohen liefert seine Doktorarbeit "Computer Viruses - Theory and Experiments (mit funktionierendem Virus für das Betriebssystem UNIX) ab Über Mailboxen Trojanisches Pferd Gotcha (Programm, das Grafik verbessern soll) verteilt. Nach Start: Daten auf Festplatte gelöscht & auf Bildschirm der Schriftzug Arf, arf, Gotcha Zwei Software-Händler aus Pakistan: Erstes Virus für MS-DOS. Programm relativ harmlos, nur Inhaltsverzeichnis der befallenen Disketten in Brain umbenannt.

14 IT-Sicherheit Grundlagen Dr. Wolf Müller 14 Virus: Geschichte (2) Im Data-Becker Verlag: erste Buch zum Thema Computerviren "Das große Computervirenbuch" von Ralf Burger Cascade-Virus lässt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen, wo sie sich zu einem kleinen Häufchen sammeln. Er vernichtete Dateien Erster Baukasten für Viren (Virus Construction Kit) veröffentlicht. Auch Anfängern möglich, Viren nach Maß zu erstellen Mit V2Px erstes polymorphes Virus (Verschlüsselt sich selbst wieder neu, durch Antivirenprogramme nur schwer zu entdecken) Der Verband deutscher Virenliebhaber verbreitet erstes Virus Construction Kit für DOS.

15 IT-Sicherheit Grundlagen Dr. Wolf Müller 15 Virus: Geschichte (3) Erste Computerviren für Windows tauchen auf Es erscheinen die ersten Makroviren Erste Virus für das Betriebssystem Linux tritt in Erscheinung Strange Brew, das erste Virus für Java, erscheint Loveletter infiziert mehr PCs als jedes bisherige Virus Das erste Virus für PocketPCs (mit dem Betriebssystem Windows CE) tauchte auf Das erste Virus für die Programmiersprache Ruby wurde geschrieben Das erste Virus für Handys (mit dem Betriebssystem Symbian OS) tauchte auf. …

16 IT-Sicherheit Grundlagen Dr. Wolf Müller 16 (Computer) Virus Befehlsfolge, die ein Wirtsprogramm zur Ausführung benötigt. Zur Reproduktion fähig. Dazu wird bei Ausführung eine Kopie (Reproduktion) oder eine modifizierte Variante (mutierender Virus) in einen Speicherbereich, der diese Befehlssequenz noch nicht enthält geschrieben. = Infektion Enthält in der Regel Schadensteil. Schadensteil kann unbedingt oder durch Auslöser aktiviert werden. Keywords: –Programm –Replikat –Trigger Auslöser –Payload Wirkteil

17 IT-Sicherheit Grundlagen Dr. Wolf Müller 17 Replikation Codierung der Befehlsfolge: –Maschinensprache –Kommandosprachen –Skript Sprachen –Hochsprachen Potenzielle Speicherbereiche: –Code Ausführbarer Programme von Benutzern –Bereiche des Betriebssystems –Sektoren von Speichermedien –Dokumente, Dateien (Office: Makroviren)

18 IT-Sicherheit Grundlagen Dr. Wolf Müller 18 Virus: Struktur Viruskennung PROCEDURE Virus BEGIN 1234 Infektionsteil suche eine nicht infizierte Programmdatei IF (gesundes Programm gefunden) THEN copy Virus to Programm; SchadteilIF (Datum = Freitag der 13.) THEN formatiere Festplatte Sprung springe an Anfang des Wirtsprogramms; END. erste Zeile 1234 Allgemeine StrukturBeispiel

19 IT-Sicherheit Grundlagen Dr. Wolf Müller 19 Viren-Typen Erste Generation: –Abkehr von Maineframe, hin zu PC –Verbreitung über Disketten oder manuelle Installationen –Abwehr: Quarantänestationen Programm-Viren –Kopiert sich in ausführbare Datei –Verbreitung bei Programmausführung –Nach Infektion: ausführbares Programm: Führt nach Aufruf erst Virus aus –Verschleierung: Veränderung der Strukturdaten der infizierten Datei

20 IT-Sicherheit Grundlagen Dr. Wolf Müller 20 Funktionsweise Beispiel Cascade 1701 ProgrammdateiVirus Sprung- befehl Ver-/Ent- schlüsseln

21 IT-Sicherheit Grundlagen Dr. Wolf Müller 21 Viren-Typen (2) Boot-Viren –Befall der Bereiche der Festplatte / Diskette, die beim Booten in den Hauptspeicher geladen werden –Ablauf: Boot, Rechner initialisiert CPU, startet Code zur Überprüfung der Hardware (aus ROM BIOS) Im nächsten Schritt werden Befehle aus dem Bootsektor geladen Boot-Virus meist vor Bootsektorprogramm gespeichert, wird zuerst geladen Residente Speicherung des Boot-Virus-Codes –Kann sich als Event-Handler (z.B. für Mouse registrieren) –Großer Schaden möglich –Heute keine wesentliche Rolle Virus CodeLade Virus (resident) Virus-Kennung … BootprogrammLade OS Lade Treiber Lade Konfig. ….

22 IT-Sicherheit Grundlagen Dr. Wolf Müller 22 Viren-Typen (3) 2. Generation –Übergang zu vernetzten Systemen –Keine Quarantäne mehr möglich; Isolierung, Abschottung = starke Einschränkung der Nutzbarkeit –Vielzahl von Infektionskanälen (attachments) Java-Applets Elektronische Dokumente Postscript/PDF-Dateien –Verbesserte Software-Werkzeuge Verbreitung von Viren: viele Aktionen automatisch, transparent für den Nutzer –Postscriptinterpreter, Textverarbeitungsprogramme, MIME-Interpreter führen eingebettete Befehle automatisch aus. Sicherheit Komfort –Funktionalität: 1G: oft destruktiv 2G: oft gezielte Angriffsvorbereitung: –Sammeln sicherheitsrelevanter Informationen –Gezielte Veränderung von Konfigurations- und Systemdateien –Unterschied Virus / Wurm verschwimmt, Synonym

23 IT-Sicherheit Grundlagen Dr. Wolf Müller 23 Viren-Typen (4) Makro- oder Daten-Viren –GUI Anpassung durch eingebettete Befehle (Makros) –Word, Excel –Daten-Dateien Objekte mit ausführbaren Bestandteilen auch nur lesbare Dateien potentielle Wirte für Viren Lesen einer Datei / reicht zur Infektion aus (Ausführung der Makros für Nutzer nicht unbedingt ersichtlich) –In der Regel plattformunabhängig hohes Verbreitungspotential

24 IT-Sicherheit Grundlagen PDF-Angriffsvektoren Dr. Wolf Müller 24 Quelle: the_rise_of_pdf_malware.pdf the_rise_of_pdf_malware.pdf

25 IT-Sicherheit Grundlagen Dr. Wolf Müller 25 Sobig Virus Anfang 2003, rasante Ausbreitung klassisch: Social Engineering – Attachement –Subject: Re: Sample, Re: Document, Re Movies –Body: … Please see the attached file for Details –Attachment: Sample.pif –Doppelklick = Infektion Infektionsteil: –Kopie Winmgm32.exe in Windows-Verzeichnis –Registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\WindowsMGM=C:\WINDOWS\Winmgm32.exe HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\WindowsMGM=C:\WINDOWS\Winmgm32.exe –Opfersysteme gesucht in den Netzwerkfreigaben

26 IT-Sicherheit Grundlagen Dr. Wolf Müller 26 Sobig Virus (2) Schadensteil –Verschicken seiner selbst als (Adressbücher des befallenen Rechners) –Öffnen einer jpeg-Datei (Porno), um weitere Schadfunktion zu initiieren (Trojaner) Start des Trojaners Key-logger (key-logger.dll) Ausspähen von Registry-Einträgen TCP-Verbindung an geocities.com liefert URL für Ablieferung der Ergebnisse Öffnet Port 1180 für remote-Zugang Fazit: –Klassiker schnelle Verbreitung über sorglose Benutzer, bekannte Absenderadresse, Neugier Windows-Registry zum automatischen Starten Nachladen weiterer Komponenten –Prototyp für: Sobig-F (08/03), netsky (03/04) Variante: Attachment passwortgeschützte zip-Datei, Password dazu im Klartext oder als Bild –gefährlich, Virenscanner nicht ausreichend

27 IT-Sicherheit Grundlagen Dr. Wolf Müller 27 Sobig-F

28 IT-Sicherheit Grundlagen Dr. Wolf Müller 28 Gegenmaßnahmen präventiv –Konfiguration der Rechner: Analyse der Eintrittspunkte Stark gefährdete Systeme: Internet, sehr viele verschiedene Benutzer Überwachungswerkzeuge, Viren-Scanner einsetzen Restriktive Ausführungs- und Rechteumgebungen –Spielprogramme nur im TMP, chroot unter linux Virenschutz periodisch im Hintergrund aktiv Neue Software sollte nur in spezifisch dafür konfigurierte Bereiche geladen werden, eingehende Analyse vor der Verwendung –Test in VM, aber Virenautoren reagieren darauf. Regelmäßiges Backup –Verschlüsseln Virus kann verschlüsselte Dateien nicht befallen (EFS)

29 IT-Sicherheit Grundlagen Dr. Wolf Müller 29 Gegenmaßnahmen (2) –Hashing Hash von Dateien, Hash muss schreibgeschützt aufbewahrt werden. Befall wird erkannt, nicht verhindert, aber Stop der Ausbreitung Backup benötigt. –Quarantäne Verhinderung der automatischen Ausführung von Makros beim Lesen. –Isolierung Viren-Scanner für (un)bekannte Im Zweifel löschen

30 IT-Sicherheit Grundlagen Dr. Wolf Müller 30 Antivieren-Tools Viren-Scanner –Erkennung an Viren-Kennung Spezifischen Bytemuster Codesequenzen –Wissen aus Datenbanken + Regeln, welche Dateien zu Untersuchen sind (.exe,.com, …) –Nur bekannte Viren können erkannt werden. Update der Signaturen Wettlauf Versuch Heuristik anzuwenden: noch unbefriedigend Problem beim Erkennen von Mutationen Aktivitätskontrolle Programme werden bei ihrer Ausführung überwacht –Wiederholter, modifizierender Zugriff auf ausführbare Dateien –Versuch direkt auf externe Speichermedien zuzugreifen = einfache Versionen eines IDS Monitoring der Systemdateien und Konfiguration

31 IT-Sicherheit Grundlagen Dr. Wolf Müller 31 Retro-Viren Reaktion auf verbesserte Viren-Scantechniken –Biologie: Angriff auf das Imunsystem selbst –Computer: Angriff auf Viren-Scanner Ziel: Deaktiverung der Viren-Überprüfung –Modifikation der Config-Datei des Scanners (liegt in der Regel im Klartext vor) –Modifikation der Datenbank Viren-Kennungen Scan-Regeln (.exe ->.exe1) –Ursache: unzureichende Zugriffskontrolle bei Zugriffen auf Datenbanken, Datenbanken unverschlüsselt

32 IT-Sicherheit Grundlagen Dr. Wolf Müller 32 Wurm Ablauffähiges Programm mit Reproduktionsfähigkeit. Meist aus mehreren Programmteilen = Wurmsegmenten Braucht keinen Wirt. Vervielfältigung selbständig, meist unter Kommunikation mit anderen Wurmsegmenten. Verbreitung insbesondere über Netzwerk Ausgangspunkt für Angriff: Systemprozesse (ständig oder regelmäßig aktiv) Bedrohungen: –Integrität, Vertraulichkeit, Verfügbarkeit (hohe Speicher- / Netzlast)

33 IT-Sicherheit Grundlagen Dr. Wolf Müller 33 Wurm: Beispiel Internet Wurm ILOVEYOU – Attachment.vbs (Visual Basic Script) –Voraussetzung: MS-Windows, Outlook –Schaden: Gezielte Zerstörung von lokalen Dateien (jpeg, mp2, mp3) Lokale Passwortsuche Versuch der Übermittlung an Programmierer

34 IT-Sicherheit Grundlagen Dr. Wolf Müller 34 Historischer Rückblick: 1988 Internet Worm Chronologie der Vorfälle an der University of Utah: Mittwoch 2. November 1988 – 17:01:59: Test oder Start des Wurms – 17:04: Maschine an der Cornell University befallen – 20:49: Wurm infiziert VAX 8600 an der Univ. Utah (cs.utah.edu) – 21:09: Wurm versucht von VAX aus andere Maschinen zu infizieren – 21:21: Load (Anzahl der rechenbereiten Prozesse) von 5 – 21:41: Load von 7 – 22:01: Load von 16 – 22:06: Es können keine Prozesse mehr gestartet werden, Benutzer können sich nicht mehr anmelden – 22:20: Systemadministrator terminiert den Wurm Prozess – 22:41: Der Wurm ist zurück; Load 27 – 22:49: System shutdown, reboot – 23:21: Der Wurm ist zurück; Load 37 © Helmut Reiser, Institut für Informatik, LMU

35 IT-Sicherheit Grundlagen Dr. Wolf Müller 35 Internet Wurm: Wie er arbeitet - Wie befällt er neue Maschinen? – sendmail Bug (seit langem bekannt) – finger Bug; Buffer Overflow (nur VAX werden befallen) – Remote execution ( rsh, rexec ) - Welche Accounts werden angegriffen? – Offensichtliche Passwörter Leeres Passwort Benutzername Benutzername+Benutzername Infos aus GECOS-String Nachname Nachname rückwärts – Build-In Wörterbuch (432 Wörter) – /usr/dict/words (24474 Wörter) – Trusted Host Beziehung (.rhosts ) - Welche hosts werden angegriffen? – Maschinen in /.rhosts und /etc/host.equiv –.forward Datei gebrochener –Accounts –.rhosts Datei gebr. Accounts – Gateways aus der Routing-Tabelle – Endpunkte von Point to Point Verbindungen – Zufällig geratene Adressen – Nur Sun und VAX - Was der Wurm NICHT tut: – Versuchen root access zu erhalten – Well-known Accounts angreifen – Daten zerstören – Zeitbomben zurücklassen

36 IT-Sicherheit Grundlagen Dr. Wolf Müller 36 Internet Wurm: Programm Struktur main Routine argv[0] := sh; /* rename process */ Is there already a worm? /* faults here causes mass infection */ Initialize clock; while (true) { cracksome(); /* attack accounts, try to find hosts*/ sleep(30); /* hide the worm */ Listen for other worms /* faults here causes mass infection */ create a new process, kill the old /* Camouflage */ try to attack some machines; sleep(120); /* hide the worm */ if (running > 12 hours) cleaning host List; /* reduce memory consumption */ if (pleasequit && wordcheck > 10) exit }

37 IT-Sicherheit Grundlagen Dr. Wolf Müller 37 Internet Wurm: Angriffsmaschine

38 IT-Sicherheit Grundlagen Dr. Wolf Müller 38 Internet Wurm: Gelernte Lektionen - Verursacher und rechtliche Folgen – Robert T. Morris, 23, Cornell Student (Sohn des NSA Chief Scientist). – Suspendierung von der Cornell University. – Verurteilt zu $ und 400 Stunden gemeinnütziger Arbeit. - Lektionen –(Lange) bekannte Bugs fixen, starke Passwörter benutzen. –Least privilege Prinzip (sowenig Rechte wie nötig), strenge Zugriffskontrolle. –Logging und Auditing. –Kontinuierliche Information von sich und anderen Zentrales Security Repository. –CERT (Computer Emergency Response Team) wurde gegründet –Bundesregierung beschließt Sicherheitsstrategie für den Cyber-Raum

39 IT-Sicherheit Grundlagen Dr. Wolf Müller 39 Wurm: Beispiel (2) Lovesan- bzw. Blaster-Wurm –Sommer 2003 beträchtlicher Schaden –Neben Server auch Heimanwender-PC angegriffen. –Ziel: windowsupdate.com, DDoS SYN-Anfragen an Port 80 = Syn-Flood Attacke –Mittel: Buffer-Overflow im DCOM RPC-Dienst (TCP,135) Suchen verwundbarer Systeme durch Scan des lokalen Klasse C-Subnetzes oder beliebigen IP-Bereich senden eines präparierten TCP-Pakets, –Buffer-Overflow, ausführbarer Code in das System injiziert, mit root-Rechten »remote shell (TCP,444), »tftp (UDP,69) zum Ausgangsrechner msblast.exe »Registry: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run windows auto update=msblast.exe I just want to say LOVE YOU SAN!! bill »Absturz des RPC-Dienst, Reboot

40 IT-Sicherheit Grundlagen Dr. Wolf Müller 40 Wurm Bedrohung: –Hoch, beliebiger Code kann ausgeführt werden Gegenmaßnahmen: –Patch –Konfiguration, Schließen unbenötigter Ports / Dienste –Minimale Rechte

41 IT-Sicherheit Grundlagen Dr. Wolf Müller 41 Infektionsmechanismen Netzwerke USB-Stick, Wechselmedien Dubiose Software Mailboxen Shareware, Public Domain

42 IT-Sicherheit Grundlagen Dr. Wolf Müller 42 Historischer Rückblick : 2003 Slammer Wurm - Chronologie – Samstag, 25. Januar 2003: Kurz vor 5:30 Uhr (UTC), d.h. 6:30 Uhr –(MEZ) taucht der Wurm auf – Verbreitung des Wurm um 6:00 Uhr (UTC): © Helmut Reiser, Institut für Informatik, LMU Kreisdurchmesser Anzahl infizierter Hosts (logarithmische Darstellung)

43 IT-Sicherheit Grundlagen Dr. Wolf Müller 43 SQL Slammer im Münchner Wissenschaftsnetz –Münchner Wissenschaftsnetz (MWN), verbindet u.a. alle Standorte der Münchner Universitäten, der FH und der Bayerischen Akademie der Wissenschaften: Massive Störungen von Samstag :30 Uhr bis :30 Uhr – Verkehrsstatistik am zentralen Router des MWN (1 Woche) eingehender Verkehr, ausgehender Verkehr, Max. Peak im 5 Minuten Intervall (eingehend), Max. Peak im 5 Minuten Intervall (ausgehend)

44 IT-Sicherheit Grundlagen Dr. Wolf Müller 44 Slammer Verbreitung und Folgen - Schnellster Wurm in der Geschichte –1. Minute: Verdopplung der Population alle 8,5 Sekunden (± 1 s) –nach 3 Minuten: etwas verringerte Verbreitungsrate; Netzbandbreite wird zum beschränkenden Faktor. –nach 10 Minuten: ca. 90 % aller anfälligen Hosts sind infiziert. - Folgen: – Große Teile des Internets nicht mehr erreichbar. – Steuerungssysteme für die Stromversorgung gestört. – Funktionsstörungen bei Geldautomaten. – Steuerrechner von zwei Atomkraftwerken in den USA betroffen.

45 IT-Sicherheit Grundlagen Dr. Wolf Müller 45 Slammer: Voraussetzungen - SQL Server; Client Verbindungen über: – NetBios (TCP Port 139/445) – Sockets (TCP Port 1433) – Monitor Port (UDP 1434) zur Ermittlung der Verbindungsart; Client schickt 0x02 an den Port; Server schickt Verbindungsinformationen - Buffer Overflow Bug im SQL Server –Client setzt erstes Bit auf 0x04 im Bsp. \x04\x41\x41\x41\x41 ( \x41 = A ) – SQL Monitor nimmt Rest der Daten und öffnet damit Registry HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion – Über geeignet formatierte Daten kann hier ein Buffer Overflow herbeigeführt werden. - Problem: – SW von Drittanbietern beinhaltet SQL-Server, – Dies ist nicht allgemein bekannt.

46 IT-Sicherheit Grundlagen Dr. Wolf Müller 46 Wie funktioniert Slammer? - Slammer passt in ein UDP Packet –376 Byte groß, geschrieben in Assembler, –mit Header Informationen 404 Byte. - Slammer nutzt Buffer-Overflow an UDP Port Nach Infektion: –Raten zufälliger IP-Adressen. –Angriff über UDP. –Keine Schadfunktionalität im eigentlichen Sinn. - Charakteristika: –UDP verbindungsloses Protokoll; wird nur durch Bandbreite beschränkt. –Höchste beobachtete Probing-Rate: Scans pro Sekunde. –Aggressive Verbreitungsstrategie führt dazu, dass der Wurm mit anderen Würmern um Netzbandbreite konkurriert.

47 IT-Sicherheit Grundlagen Dr. Wolf Müller 47 Slammer im Münchener Wissenschaftsnetz Monatsstatistik - Mind. 8 SQL-Server betroffen - Maßnahmen: –Zugang zum MWN für diese Server gesperrt. –Port 1434 gesperrt.

48 IT-Sicherheit Grundlagen Dr. Wolf Müller 48 Slammer: Gelernte Lektionen -Grundproblematik: Nicht behobene Bugs in Anwendungen (kein Einspielen von Patches). -Bundling von Software: Anwender weiß u.U. nichts von Sicherheitsproblemen und notwendigen Patches. -Angriffe über UDP können zu extrem schneller Verbreitung führen. - Gegenmaßnahmen: –Filtern des entsprechenden Verkehrs (UDP Port 1434) über Firewall. –Fehler und Schwächen beheben. –Nicht notwendige Dienste abschalten.

49 IT-Sicherheit Grundlagen Dr. Wolf Müller 49 Vergleich Internet Worm und Slammer Internet WormSlammer Angegriffene Hosts/OSSUN und VAX / UNIXMicrosoft Windows/SQL Server AngriffsstrategieZiemlich komplex. Nutzt eine Vielzahl Bugs und fortschrittliche Strategien. Einfaches Assembler Programm nutzt Buffer Overflow. SchadfunktionGroßer Load, viel Netzverkehr. Extremster Load und Netzverkehr. Verbreitung~ Systeme Ziemlich schnell. Extrem schnell, 90% aller verwundbaren Systeme nach 10 Minuten infiziert.

50 IT-Sicherheit Grundlagen Dr. Wolf Müller 50 Was ist ein Trojaner? Programm Unterschied zu Viren –Ist selbständig –Keine Replikation Trägerprogramm ist nur Tarnung

51 IT-Sicherheit Grundlagen Dr. Wolf Müller 51 Trojanische Pferde Programm, dessen Ist- Funktionalität nicht mit Soll- Funktionalität übereinstimmt. Erfüllt eine Funktionalität, die Vertrauen erweckt, besitzt aber zusätzlich verborgene Funktionalität. Aktivierung –Bei Programmstart –oder spezielle Auslöser (logische Bombe)

52 IT-Sicherheit Grundlagen Dr. Wolf Müller 52 Trojaner: Bsp.: Zinsberechnung –Bank, Angestellter –Zinsberechnung auf 3 Stellen genau –Rundungsbeträge aufs eigene Konto CAD-Demo 1992 –CadSoft, –Demoprogramm erzeugt Bestellformular für Handbuchbestellung, übermittelt codiert Liste der installierten Produkte T-Online 1998 –2 Schüler aus Köln –6000 Passworte geknackt –T-Online PowerTools Sollfunktion: Automatisierung von Verwaltungsaufgaben Registrierung übermittelt Zugangsdaten+schwach verschlüsseltes Password

53 IT-Sicherheit Grundlagen Trojaner: Tarnung Unix: –Ersetzen von Befehlen ls, ps die häufig genutzt werden –Firefox Plugins Keine Signatur Vertrauenswürdigkeit? Windows: –Endung des Dateinamens fest, ob Datei ausführbar ist. –.exe,.com,.scr,.bat,.cmd,.vbs,.wfs,.jse,.shs,.shb,.lnk oder.pif. –Standardkonfiguration: Dateiendungen werden nicht im Explorer angezeigt. –Maskierung: Bild.jpg.exe Wird Benutzer als Bild.jpg angezeigt Icon einer Dr. Wolf Müller 53

54 IT-Sicherheit Grundlagen Dr. Wolf Müller 54 Trojaner: Gegenmaßnahmen Minimale Rechte Keine sensiblen Daten (PIN,TAN,…) im Klartext auf Speichermedien Kritische Dienste: –Befehle zur Änderung von Schutzattributen –Funktionen zum Lesen, Bearbeiten von Passwortdateien –Anweisungen, um Netzverbindungen zu anderen Rechnern zu öffnen –Anweisungen zum direkten Speicherzugriff Signieren von Programmen und Code Code Inspektion Gesundes Misstrauen!

55 IT-Sicherheit Grundlagen Haus-Aufgabe für (Brückentag) Vertiefung des Wissens bitte lesen & durchdenken: BSI-Analysen zur Cyber-Sicherheit: Grundlagen https://www.bsi.bund.de/DE/Themen/Cyber- Sicherheit/Analysen/Grundlagen/cs_Analysen_grundlagen_ node.html Dr. Wolf Müller 55 HTML VersionVersionvomDownload [BSI-A-CS 001]: Register aktueller Cyber- Gefährdungen und -Angriffsformen BSI-A-CS 001 als PDF [BSI-A-CS 002]: Lebenszyklus einer Schwachstelle BSI-A-CS 002 als PDF


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Angreifertypen,"

Ähnliche Präsentationen


Google-Anzeigen