Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Orientierung, Problemstellung
Grundlagen Orientierung, Problemstellung
2
Modul: IT-Sicherheit Grundlagen
Modul: IT-Sicherheit Grundlagen (wahlfreies Angebot) Voraussetzungen für die Teilnahme am Modul: Grundlegende Kenntnisse in der Programmierung (wie sie etwa in GdP vermittelt werden) Lehrveranstaltungen SWS SP und Beschreibung der Arbeitsleistung auf deren Grundlage die SP vergeben werden VL + UE 4 + 2 8 SP: Vorlesung (4 SWS) und Übungen (2SWS) Aktive Teilnahme an den Übungen, erfolgreiche Lösung der Aufgaben, Selbststudium. Voraussetzung für die Vergabe von Studienpunkten Übungsschein ist Voraussetzung für Zulassung zur Prüfung. Bei bestandener Prüfung am Ende des Semesters werden 8 Studienpunkte vergeben. Prüfung (Prüfungsform, Umfang/Dauer, SP) Mündliche Prüfung oder schriftliche Prüfung (wird am Anfang des jeweiligen Semesters bekannt gegeben) Häufigkeit des Angebotes Alle 2 Jahre Dauer des Moduls 1 Semester Dr. Wolf Müller
3
Termine Vorlesung: Übung: Dr. Wolf Müller Montag & Mittwoch
09:15 – 10:45 RUD 25, 3.301 Tel.: 3127 Übung: entweder Montag oder Mittwoch 11:00 – 12:30 RUD 25, 4.113 Erster Termin: Dr. Wolf Müller
4
SAR Website Teaching > IT Sicherheit - Grundlagen > [more]
Materialien (Folien) Login: $InformatikLogin Password: $InformatikPasswort Dr. Wolf Müller
5
Regeln Für Prüfungszulassung Übungsschein nötig. Erwartung:
Regelmäßige Teilnahme Aktive Mitwirkung in Übung Gerne Anregungen für Vorlesung VL beginnt pünktlich Prüfung: Mündlich 30 min. Voraussichtlich: 8. / 9. August September vor IT-Security-Workshop Dr. Wolf Müller
6
Literatur Claudia Eckert IT-Sicherheit:
Konzepte - Verfahren – Protokolle (aktuell 7. Auflage) (70 €) IT-Sicherheit, Studienausgabe (29 €) Dr. Wolf Müller
7
Literatur 2 Dr. Wolf Müller
8
Literatur 3 Levente Buttyan and Jean-Pierre Hubaux Dr. Wolf Müller
9
Zielstellung Grundlegendes Verständnis für IT-Sicherheit
Kritisches Hinterfragen von Design, Abläufen, Software, Verhalten Lernen aus Beispielen Sicherheit ist vielschichtig Sicherheit ist nur temporär, bedarf Pflege, Überprüfung. Sicherheitsmechanismen müssen einfach zu nutzen sein. Privatsphäre, Anonymität, Datenschutz sollte/muss beachtet werden. Nutzerakzeptanz wichtig, oft schwächstes Glied. Dr. Wolf Müller
10
Agenda: Grundlagen 26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag) Orientierung, Problemstellung Schutzziele / Begriffe Sicherheitsmodelle / Zugriffskontrolle Sicherheitsmodelle / Informationsfluss Angreifertypen, Bedrohungen Dr. Wolf Müller
11
Agenda: Sicherer Kanal: Alice Bob
Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie) Sicherheit von Kryptosystemen Symmetrische versus asymmetrische Verfahren Gruppenaufgabe: Themenvorstellung/ -vergabe Blockchiffren, Stromchiffren Integritätsschutz Digitale Signaturen PKI, Zertifikate, Alternativen & Grenzen Authentifizierung: Wissen, Haben Authentifizierung: Sein = Biometrie Protokolle I: Schlüsselaustausch, Bausteine Protokolle II: SSL/TLS, … Dr. Wolf Müller
12
Agenda: Sichere Implementierung
Systemsicherheit: Bufferoverflow, FormatString Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen (VLAN, IDS, VPN, IP-Sec, IPv6) Netzwerksicherheit II: drahtlos Websicherheit I Websicherheit II Testing / Zertifizierung Präsentation I: Gruppenaufgabe Präsentation II: Gruppenaufgabe Prinzipien des Security-Engineering Dr. Wolf Müller
13
Übungen: Mo, Mi Raum für Fragen, Anregungen, Diskussionen
Gelegenheit zum Überprüfen und Anwenden erworbenen Wissens 3 individuelle abzugebende Übungsaufgaben Elektronische Abgabe (wahrscheinlich Goya) 1 größere Gruppenübungsaufgabe Ziel: Beschäftigung in Praxis mit größerem Problem Darstellung der Ergebnisse vor allen Teilnehmern Gruppengröße: 3-5 (abhängig von Aufgabe) Dr. Wolf Müller
14
Fragen Dr. Wolf Müller
15
PRoblemstellung Dr. Wolf Müller
16
Kurzgeschichte des Computers
device penetration time Dr. Wolf Müller
17
Kurzgeschichte des Computers
1. Personal Desktop Computing device penetration 1978 time Dr. Wolf Müller
18
Kurzgeschichte des Computers
1. Personal Desktop Computing 2. Personal Ubiquitous Computing device penetration 1991 1993 time Dr. Wolf Müller
19
Kurzgeschichte des Computers
1. Personal Desktop Computing 2. Personal Ubiquitous Computing 3. Embedded Ubiquitous Computing device penetration time Dr. Wolf Müller
20
Kurzgeschichte des Computers
today device penetration time © Dirk Balfanz, Xerox Parc Dr. Wolf Müller
21
Computer Overload number of devices per person human capacity
device penetration human capacity time Dr. Wolf Müller
22
Requirements Nötige Sicherheitsmaßnamen Benötigte Fähigkeiten
Informationszeitalter Dr. Wolf Müller
23
Computerkriminalität
Dr. Wolf Müller
24
Computerkriminalität
© Dr. Wolf Müller
25
BSI-Bürgerumfrage zur Internetsicherheit
Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken Dr. Wolf Müller
26
BSI-Bürgerumfrage zur Internetsicherheit
Sicherheitsupdates und Administratorenrechte häufig unbeachtet Dr. Wolf Müller
27
Lagebericht BSI 2007 Dr. Wolf Müller
28
Lagebericht BSI 2009 (1) nPA, ePass Dr. Wolf Müller
29
Lagebericht BSI 2009 (2) Dr. Wolf Müller
30
Lagebericht BSI 2011 (1) Dr. Wolf Müller
31
Lagebericht BSI 2011 (2) Supervisory Control and Data Acquisition:
STUXNET Dr. Wolf Müller
32
Lagebericht BSI 2011 (3) Dr. Wolf Müller
33
BSI: Quartalslagebericht 4.2010 (1)
Hacker nutzen RTF-Dateien für Angriffe Dr. Wolf Müller
34
Einige Schutzziele Schutz der Daten vor Kompromittierung Kopie
Unberechtigte dürfen private Daten nicht einsehen Kopie Urheberrechtlich geschützte Daten sollen nicht kopiert werden können Verlust oder Veränderung Verhinderung des Abhandenkommens wichtiger Daten Verhinderung der Manipulation wichtiger Daten Dr. Wolf Müller
35
Bedrohungen Durch Andere Durch den Nutzer selbst
Böswillige („kriminelle“) Angriffe mit unterschiedlichen Motiven Mögliche Lösungen: Firewalls, Verschlüsselung Durch den Nutzer selbst Durch unabsichtliche Fehler von Benutzern Verursachte Probleme Mögliche Lösungen: Vorschriften, Back-ups, Redundanz Durch den Ausfall von Systemen Durch „Pannen“ verursachte Datenverluste oder Kompromittierungen von privaten Daten Dr. Wolf Müller
36
Bedrohungen in der analogen Welt
Physische Verbrechen Freiheitsberaubung Körperverletzung Mord / Totschlag Materielle Verbrechen Steuerhinterziehung Betrug / Untreue Fälschung Diebstahl Erpressung Vandalismus / Zerstörung Immaterielle Vergehen Ruhestörung Verkehrsdelikte Beleidigung Dr. Wolf Müller
37
Analogien Diebstahl Körperverletzung Erpressung
Kaffeefahrt → Trojanisches Pferd Brechstange → Brute-Force Angriff Banktresor → Datenbank mit Kontoständen Geldbörse → Nummer der Kreditkarte Körperverletzung Körper → Computersystem DoS Erpressung Foto mit der Geliebten → Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln Dr. Wolf Müller
38
Kosten und Nutzen Durchschnittlicher Erfolg Kosten Bankraub 1500 €
Einzelner Betrug bei eBay 9000 € (Quelle BMSI 2003) Kosten Schneidbrenner, Brechstange, Fluchtwagen, Skimaske, wochenlange Vorbereitung und Beobachtung stehen gegenüber Computer, Netzanschluss und ein wenig Zeit Dr. Wolf Müller
39
Zugriffsmöglichkeiten
Reichweite der Einbrecher Lokal Bankeinbruch Global Hacking einer Bank Dr. Wolf Müller
40
Spuren eines Einbruchs
Bankeinbruch Zerstörungen Fingerabdrücke DNA-Spuren Elektronischer Bankdiebstahl Absender-Adresse Log-Dateien Dr. Wolf Müller
41
Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns
Betrug SPAM Geistiger Diebstahl / Raubkopien Identitätsdiebstahl / IP Spoofing Markendiebstahl / Markenpiraterie Dr. Wolf Müller
42
Nutzung des Rechtssystems
Szenario Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei es nicht gewesen. Banken behaupten, Kunde wollte betrügen, wenn mit gültiger PIN Geld abgehoben wurde. Kunde findet Experten, der die Unsicherheit der PIN darlegt. Wer bekommt vor Gericht Recht? Dr. Wolf Müller
43
Verfolgung Strafverfolgung schwierig: Gesetze fehlen.
Ländergrenzen werden überschritten. Urheber nicht nachvollziehbar. Fachkundiges Personal fehlt. Verfolgung oft zu spät. Dr. Wolf Müller
44
Fazit: Digitale Verbrechen ABER: Wir sind (und bleiben) die Guten!
Kostengünstig und lohnend. Erfordern einfache, verfügbare Technologie: Standard PC, Standard Komponenten Überall in einem Netzwerk ausführbar. Leicht zu verschleiern. Leicht zu automatisieren. Schwer zu verfolgen. ABER: Wir sind (und bleiben) die Guten! Dr. Wolf Müller
45
Asymmetrische Bedrohung:
: Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Effektiven Angriffsvektor Geringe Kosten. Dr. Wolf Müller
46
Beispiel: Einkaufen im Internet
Dr. Wolf Müller
47
Sofortueberweisung.de Einführung zum Thema Sicherheit
Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes Argument für die bevorzugte Nutzung von Sofortüberweisung. Komponenten des Sicherheitskonzeptes sind: Hoher Schutz der Identität dank » PIN/TAN System Das fälschungssichere» SSL-Zertifikat Verschlüsselte » SSL-Verbindungen Geschützte PayNet » Serverumgebung Die» Versicherung einer renommierten deutschen Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftet Kontinuierliche » Prüfung durch das TÜV Saarland » Prüfungen durch Grosskunden , die bezüglich Sicherheit keine Kompromisse eingehen. Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt. Dr. Wolf Müller
48
Sofortueberweisung.de Dr. Wolf Müller
49
Sammlung: Angriffspunkte
Gefälschter Firefox Trojaner Plugin Falscher Server Manipulation OS Angriff DNS Eigene Trusted Root CA Keylogger SW/HW X-site scripting Gewalt Dr. Wolf Müller
50
SSL-GAU zwingt Browser-Hersteller zu Updates
SSL-GAU zwingt Browser-Hersteller zu Updates Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. …. Dr. Wolf Müller
51
Angeblicher E-TAN-Generator für Paypal
Dr. Wolf Müller
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.