Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Orientierung, Problemstellung

Ähnliche Präsentationen


Präsentation zum Thema: "Orientierung, Problemstellung"—  Präsentation transkript:

1 Orientierung, Problemstellung
Grundlagen Orientierung, Problemstellung

2 Modul: IT-Sicherheit Grundlagen
Modul: IT-Sicherheit Grundlagen (wahlfreies Angebot) Voraussetzungen für die Teilnahme am Modul: Grundlegende Kenntnisse in der Programmierung (wie sie etwa in GdP vermittelt werden) Lehrveranstaltungen SWS SP und Beschreibung der Arbeitsleistung auf deren Grundlage die SP vergeben werden VL + UE 4 + 2 8 SP: Vorlesung (4 SWS) und Übungen (2SWS) Aktive Teilnahme an den Übungen, erfolgreiche Lösung der Aufgaben, Selbststudium. Voraussetzung für die Vergabe von Studienpunkten Übungsschein ist Voraussetzung für Zulassung zur Prüfung. Bei bestandener Prüfung am Ende des Semesters werden 8 Studienpunkte vergeben. Prüfung (Prüfungsform, Umfang/Dauer, SP) Mündliche Prüfung oder schriftliche Prüfung (wird am Anfang des jeweiligen Semesters bekannt gegeben) Häufigkeit des Angebotes Alle 2 Jahre Dauer des Moduls 1 Semester Dr. Wolf Müller

3 Termine Vorlesung: Übung: Dr. Wolf Müller Montag & Mittwoch
09:15 – 10:45 RUD 25, 3.301 Tel.: 3127 Übung: entweder Montag oder Mittwoch 11:00 – 12:30 RUD 25, 4.113 Erster Termin: Dr. Wolf Müller

4 SAR Website Teaching > IT Sicherheit - Grundlagen > [more]
https://www2.informatik.hu-berlin.de/sar/Itsec/ Materialien (Folien) Login: $InformatikLogin Password: $InformatikPasswort Dr. Wolf Müller

5 Regeln Für Prüfungszulassung Übungsschein nötig. Erwartung:
Regelmäßige Teilnahme Aktive Mitwirkung in Übung Gerne Anregungen für Vorlesung VL beginnt pünktlich Prüfung: Mündlich 30 min. Voraussichtlich: 8. / 9. August September vor IT-Security-Workshop Dr. Wolf Müller

6 Literatur Claudia Eckert IT-Sicherheit:
Konzepte - Verfahren – Protokolle (aktuell 7. Auflage) (70 €) IT-Sicherheit, Studienausgabe (29 €) Dr. Wolf Müller

7 Literatur 2 Dr. Wolf Müller

8 Literatur 3 Levente Buttyan and Jean-Pierre Hubaux Dr. Wolf Müller

9 Zielstellung Grundlegendes Verständnis für IT-Sicherheit
Kritisches Hinterfragen von Design, Abläufen, Software, Verhalten Lernen aus Beispielen Sicherheit ist vielschichtig Sicherheit ist nur temporär, bedarf Pflege, Überprüfung. Sicherheitsmechanismen müssen einfach zu nutzen sein. Privatsphäre, Anonymität, Datenschutz sollte/muss beachtet werden. Nutzerakzeptanz wichtig, oft schwächstes Glied. Dr. Wolf Müller

10 Agenda: Grundlagen 26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag) Orientierung, Problemstellung Schutzziele / Begriffe Sicherheitsmodelle / Zugriffskontrolle Sicherheitsmodelle / Informationsfluss Angreifertypen, Bedrohungen Dr. Wolf Müller

11 Agenda: Sicherer Kanal: Alice  Bob
Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie) Sicherheit von Kryptosystemen Symmetrische versus asymmetrische Verfahren Gruppenaufgabe: Themenvorstellung/ -vergabe Blockchiffren, Stromchiffren Integritätsschutz Digitale Signaturen PKI, Zertifikate, Alternativen & Grenzen Authentifizierung: Wissen, Haben Authentifizierung: Sein = Biometrie Protokolle I: Schlüsselaustausch, Bausteine Protokolle II: SSL/TLS, … Dr. Wolf Müller

12 Agenda: Sichere Implementierung
Systemsicherheit: Bufferoverflow, FormatString Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen (VLAN, IDS, VPN, IP-Sec, IPv6) Netzwerksicherheit II: drahtlos Websicherheit I Websicherheit II Testing / Zertifizierung Präsentation I: Gruppenaufgabe Präsentation II: Gruppenaufgabe Prinzipien des Security-Engineering Dr. Wolf Müller

13 Übungen: Mo, Mi Raum für Fragen, Anregungen, Diskussionen
Gelegenheit zum Überprüfen und Anwenden erworbenen Wissens 3 individuelle abzugebende Übungsaufgaben Elektronische Abgabe (wahrscheinlich Goya) 1 größere Gruppenübungsaufgabe Ziel: Beschäftigung in Praxis mit größerem Problem Darstellung der Ergebnisse vor allen Teilnehmern Gruppengröße: 3-5 (abhängig von Aufgabe) Dr. Wolf Müller

14 Fragen Dr. Wolf Müller

15 PRoblemstellung Dr. Wolf Müller

16 Kurzgeschichte des Computers
device penetration time Dr. Wolf Müller

17 Kurzgeschichte des Computers
1. Personal Desktop Computing device penetration 1978 time Dr. Wolf Müller

18 Kurzgeschichte des Computers
1. Personal Desktop Computing 2. Personal Ubiquitous Computing device penetration 1991 1993 time Dr. Wolf Müller

19 Kurzgeschichte des Computers
1. Personal Desktop Computing 2. Personal Ubiquitous Computing 3. Embedded Ubiquitous Computing device penetration time Dr. Wolf Müller

20 Kurzgeschichte des Computers
today device penetration time © Dirk Balfanz, Xerox Parc Dr. Wolf Müller

21 Computer Overload number of devices per person human capacity
device penetration human capacity time Dr. Wolf Müller

22 Requirements Nötige Sicherheitsmaßnamen Benötigte Fähigkeiten
Informationszeitalter Dr. Wolf Müller

23 Computerkriminalität
Dr. Wolf Müller

24 Computerkriminalität
© Dr. Wolf Müller

25 BSI-Bürgerumfrage zur Internetsicherheit
Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_ html Dr. Wolf Müller

26 BSI-Bürgerumfrage zur Internetsicherheit
Sicherheitsupdates und Administratorenrechte häufig unbeachtet https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_ html Dr. Wolf Müller

27 Lagebericht BSI 2007 Dr. Wolf Müller

28 Lagebericht BSI 2009 (1) nPA, ePass https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html Dr. Wolf Müller

29 Lagebericht BSI 2009 (2) Dr. Wolf Müller

30 Lagebericht BSI 2011 (1) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbf.pdf Dr. Wolf Müller

31 Lagebericht BSI 2011 (2) Supervisory Control and Data Acquisition:
STUXNET Dr. Wolf Müller

32 Lagebericht BSI 2011 (3) Dr. Wolf Müller

33 BSI: Quartalslagebericht 4.2010 (1)
Hacker nutzen RTF-Dateien für Angriffe Dr. Wolf Müller

34 Einige Schutzziele Schutz der Daten vor Kompromittierung Kopie
Unberechtigte dürfen private Daten nicht einsehen Kopie Urheberrechtlich geschützte Daten sollen nicht kopiert werden können Verlust oder Veränderung Verhinderung des Abhandenkommens wichtiger Daten Verhinderung der Manipulation wichtiger Daten Dr. Wolf Müller

35 Bedrohungen Durch Andere Durch den Nutzer selbst
Böswillige („kriminelle“) Angriffe mit unterschiedlichen Motiven Mögliche Lösungen: Firewalls, Verschlüsselung Durch den Nutzer selbst Durch unabsichtliche Fehler von Benutzern Verursachte Probleme Mögliche Lösungen: Vorschriften, Back-ups, Redundanz Durch den Ausfall von Systemen Durch „Pannen“ verursachte Datenverluste oder Kompromittierungen von privaten Daten Dr. Wolf Müller

36 Bedrohungen in der analogen Welt
Physische Verbrechen Freiheitsberaubung Körperverletzung Mord / Totschlag Materielle Verbrechen Steuerhinterziehung Betrug / Untreue Fälschung Diebstahl Erpressung Vandalismus / Zerstörung Immaterielle Vergehen Ruhestörung Verkehrsdelikte Beleidigung Dr. Wolf Müller

37 Analogien Diebstahl Körperverletzung Erpressung
Kaffeefahrt → Trojanisches Pferd Brechstange → Brute-Force Angriff Banktresor → Datenbank mit Kontoständen Geldbörse → Nummer der Kreditkarte Körperverletzung Körper → Computersystem DoS Erpressung Foto mit der Geliebten → Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln Dr. Wolf Müller

38 Kosten und Nutzen Durchschnittlicher Erfolg Kosten Bankraub 1500 €
Einzelner Betrug bei eBay 9000 € (Quelle BMSI 2003) Kosten Schneidbrenner, Brechstange, Fluchtwagen, Skimaske, wochenlange Vorbereitung und Beobachtung stehen gegenüber Computer, Netzanschluss und ein wenig Zeit Dr. Wolf Müller

39 Zugriffsmöglichkeiten
Reichweite der Einbrecher Lokal Bankeinbruch Global Hacking einer Bank Dr. Wolf Müller

40 Spuren eines Einbruchs
Bankeinbruch Zerstörungen Fingerabdrücke DNA-Spuren Elektronischer Bankdiebstahl Absender-Adresse Log-Dateien Dr. Wolf Müller

41 Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns
Betrug SPAM Geistiger Diebstahl / Raubkopien Identitätsdiebstahl / IP Spoofing Markendiebstahl / Markenpiraterie Dr. Wolf Müller

42 Nutzung des Rechtssystems
Szenario Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei es nicht gewesen. Banken behaupten, Kunde wollte betrügen, wenn mit gültiger PIN Geld abgehoben wurde. Kunde findet Experten, der die Unsicherheit der PIN darlegt. Wer bekommt vor Gericht Recht? Dr. Wolf Müller

43 Verfolgung Strafverfolgung schwierig: Gesetze fehlen.
Ländergrenzen werden überschritten. Urheber nicht nachvollziehbar. Fachkundiges Personal fehlt. Verfolgung oft zu spät. Dr. Wolf Müller

44 Fazit: Digitale Verbrechen ABER: Wir sind (und bleiben) die Guten!
Kostengünstig und lohnend. Erfordern einfache, verfügbare Technologie: Standard PC, Standard Komponenten Überall in einem Netzwerk ausführbar. Leicht zu verschleiern. Leicht zu automatisieren. Schwer zu verfolgen. ABER: Wir sind (und bleiben) die Guten! Dr. Wolf Müller

45 Asymmetrische Bedrohung:
: Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Effektiven Angriffsvektor Geringe Kosten. Dr. Wolf Müller

46 Beispiel: Einkaufen im Internet
Dr. Wolf Müller

47 Sofortueberweisung.de Einführung zum Thema Sicherheit
Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes Argument für die bevorzugte Nutzung von Sofortüberweisung. Komponenten des Sicherheitskonzeptes sind: Hoher Schutz der Identität dank » PIN/TAN System Das fälschungssichere» SSL-Zertifikat Verschlüsselte » SSL-Verbindungen Geschützte PayNet » Serverumgebung Die» Versicherung einer renommierten deutschen Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftet Kontinuierliche » Prüfung durch das TÜV Saarland » Prüfungen durch Grosskunden , die bezüglich Sicherheit keine Kompromisse eingehen. Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt. Dr. Wolf Müller

48 Sofortueberweisung.de Dr. Wolf Müller

49 Sammlung: Angriffspunkte
Gefälschter Firefox Trojaner Plugin Falscher Server Manipulation OS Angriff DNS Eigene Trusted Root CA Keylogger SW/HW X-site scripting Gewalt Dr. Wolf Müller

50 SSL-GAU zwingt Browser-Hersteller zu Updates
SSL-GAU zwingt Browser-Hersteller zu Updates Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. …. Dr. Wolf Müller

51 Angeblicher E-TAN-Generator für Paypal
Dr. Wolf Müller


Herunterladen ppt "Orientierung, Problemstellung"

Ähnliche Präsentationen


Google-Anzeigen