Incident Response Labor zur Untersuchung von Computer-Vorfällen.

Slides:



Advertisements
Ähnliche Präsentationen
Be.as WEB Technologie
Advertisements

Von Florian Wirths und Fabian Janik
Studiengang Informatik FHDW
Surfen im Internet.
Was sind Trojaner?? - Kein Virus !! - Dienen zum Überwachen und Spionieren - Verstecken sich in nützlichen Programmen - Verstecken sich z.B. in Registry.
Systemverwaltung wie es Ihnen gefällt.
Datenbankzugriff im WWW (Kommerzielle Systeme)
Schwachstellenanalyse in Netzen
Konfiguration eines VPN Netzwerkes
Oracle WebServer - Einführung. © Prof. T. Kudraß, HTWK Leipzig Oracle Web Application Server HTML WebServer ® File system Static HTML PL/SQL Packages.
Framework für ein Intrusion Detection System
Das Build-Tool ANT ETIS SS05. ETIS SS05 - Nadine FröhlichANT 2 Gliederung Motivation Build - Datei –Allgemeiner Aufbau –Project –Target –Task –Properties.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Sicher durchs Internet
Sicherheit in vernetzten Systemen
Angriffe erkennen und abwehren - Intrusion Protection im Einsatz
Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellsten Stand. 2. WICHTIG: Installieren Sie.
1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
FH-Hof HTML - Einführung Richard Göbel. FH-Hof Komponenten des World Wide Webs WWW Browser HyperText Transfer Protocol (HTTP) via Internet WWW Server.
Computerviren Hugo, Oskar, Nadia, Tony, Kevin, Leah
Internetwürmer Von: Björn Bongers, Gerrit Knop, Yan Rudall, David Gniewkiewicz und Tim Schürmann.
Intrusion Detection Systems
Sicherheit Quelle: Aus einem Referat der ASTALAVISTA Group
Angriffe durch Viren, Würmer und Trojaner
Computerviren Inhaltsverzeichnis.
Spionage auf dem PC - wie wehre ich mich dagegen
Labor zur Untersuchung von Computer-Vorfällen
Erstellen einer Webseitenstatistik mithilfe eines OLAP-Servers
Grundlagen: Client-Server-Modell
Bedeutung von Internet-Technologien
Cooperation unlimited © Zühlke Juni 2009 Hansjörg Scherer Folie 1 Cooperation unlimited TFS als BackEnd für Visual Studio und Eclipse.
Inhaltsverzeichnis Was ist Malware Folie 3 Worms Folie 4
Von Patrik, Yannik, Marc und Luca
Viren, Würmer und anderes Ungeziefer
Präsentation von Lukas Sulzer
Sind Migrationen ein Kinderspiel ?
Dedizierte Systeme Typo3 Installation Dedizierte Systeme – Typo3 Installation – Christoph Stollwerk IT Zertifikat der Philosophischen Fakultät WS 2008/2009.
Zero Administration Kit für Microsoft® Windows® Jörg Kramer University Support Center.
Gefährliche Post Eine kurze Präsentation über die Gefahren von -Anhängen. Klicken Sie hier einmal und lehnen Sie sich zurück.
Client-Server-Modell
Attack Tool Kit (ATK) Project Marc Ruef Alle Rechte vorbehalten – Kopieren erlaubt.
Network Security Klausur an der Hochschule Karlsruhe - Technik und Wirtschaft Sommersemester 2013, Mittwoch, , 14:00 Uhr Name: ___________________.
Schwachstellen im Netzwerk Rocco van der Zwet - Senior Consultant.
Viren, Würmer und anderes „Ungeziefer“
XAMPP X: Linux, Windows, MacOS X, Solaris Apache Webserver MySQL Perl PHP.
Internet-Grundtechnologien. Client / Server Client („Kunde“): fordert Information / Datei an im Internet: fordert Internetseite an, z.B.
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Uli Schäfer WinNT Pool Physik ca. 8 PCs in Raum Betriebssystem Windows-NT in Instituts-Domäne Nutzerdaten zentral auf Server (Laufwerk U:\) 1 Drucker.
Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.
Das Internet Ein Netzwerk, das viele Rechner miteinander verbindet
Ferngesteuerte Spam-Armeen 1. Verbreitung Verbreitung 2. Zweck Zweck 3. Herkunft Herkunft 4. Schutz Schutz.
Arten von Viren Es gibt verschiedene Arten von Viren.
Raphael Ender Tobias Breuß Bernhard Lang
Computerviren Sie verursachen Schäden in Milliardenhöhe und die Zahl der Virenattakten steigt jährlich.
Arten von Hacker und Virenangriffen
Arten von Viren Es gibt verschiedene Arten von Viren.
Arten von Viren Es gibt verschiedene Arten von Viren.
Es gibt verschiedene Arten von Viren. Hier haben wir einige angeführt.
Arten von Hacker und Virenangriffen:
Übersicht und Neuerungen
Passwortsicherheit Tim S, Nils B und Felix R..
ARIS Web Publisher Schnelle und weltweite Informationsbereitstellung Additional Release.
Beispiele aus der Praxis Pascal Schmid CEO, netrics AG Die Bedrohung aus dem Netz – Was kann ich tun?
Praktische Anwendung von CAcert. Was macht CAcert? CAcert stellt Zertifikate aus.
29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney
Praktische Anwendung von CAcert
CIP-Raum CC1 - Allgemeines
Computerwurm.
 Präsentation transkript:

Incident Response Labor zur Untersuchung von Computer-Vorfällen

2 Projektteilnehmer  Jan Menne  Julia Fix  Benjamin Hoherz  Silvio Krüger  Christoph Rößner  Kerstin Schwarze  Irina Tsalman  Jörg Ziemann  Nils Michaelsen  Christoph Buchwald  Torsten Sorger  Christopher Alm  Björn Bartels  Samira Razai Leitung: Prof. Dr. rer. nat. Klaus Brunnstein

letztes Semester Winter 2002 / 2003

4 Risk Exploit Incident Detection Analysis Response (incl. Avoidance) Incident Response Labor Aufgabenbereich eines IRL

5 Zwei Ansätze zum Incident Response 1. Dynamische Analyse: Vorgänge im System werde fortlaufend analysiert  File-Monitor, Registry-Monitor, Sniffer 2. Statische komparative Analyse: zwei Systemzustände werden verglichen  Live/Post Mortem Analyse

6 Incident-Arten 1. Malware (Viren, Trojaner, Würmer) 2. Nicht erlaubter Zugriff (z.B. unerlaubtes Einloggen in einen fremden Account) 3. Unerlaubte Nutzung von Diensten (z.B.: Verwendung des Netzwerk-Dateisystems (NFS), um auf das Dateisystem einer remote Server-Maschine zuzugreifen) 4. Versagen eines Dienstes (Benutzer verlassen sich auf Dienstleistungen, die durch ein Netzwerk bereitgestellt werden) 5. Missbrauch (z.B.: wenn jemand ein Computersystem für andere Zwecke benutzt, als offiziell beabsichtigt, z.B.: Spamming) 6. Spionage (Stehlen von Informationen, die im Interessen einer Korporation oder einer Regierung strengstens geheim bleiben sollten) 7. Hoaxes (unzutreffende Information über Vorfälle oder nicht existierende Bedrohungen wird verbreitet)

8 Schnelle Verbreitung durch mehrere Spreading-Mechanismen Bef ä llt Webserver Microsoft IIS Infektion von Windows 9x und NT/2000/XP u.U. allein durch Browsen mit IE 5.01, IE 5.5 ohne SP2, IE 6.0 Datei im Anhang:  konstante L ä nge von Bytes,  verschiedene Namen

9 Einige ausgenutzte Vulnerabilities Microsoft IIS/PWS Escaped Characters Decoding Command Execution Vulnerability (MS01-026) Microsoft IE MIME Header Attachment Execution Vulnerability (MS01-020) Microsoft IIS and PWS Extended Unicode Directory Traversal Vulnerability (MS00-078) Microsoft Office 2000 DLL Execution Vulnerability (MS02-052) Außerdem: CodeRed II-Hintertür

10 Allgemeine Testumgebung * mit diversen Monitoren (z.B. für Datei- und Registry-Operationen, Prozessbeobachtungen)

11 Nimda-Testumgebung Ergo Netzsniffer PhoebeKathy Hub Testumgebung Netzsniffer - Win 2000 SP3 - Ethereal - NAV Kathy, Phoebe: - W2000, IIS 5.0, SP1 - Internet Explorer Shares: Ein Verzeichnis auf C freigegeben - Process Monitor, File Monitor, Registry Monitor

12 Der erste Versuch… Verbreitungsarten von Nimda: Via offenen Network-Shares: von Client zu Client Über Scannen nach und ausnutzen von IIS4.0/5.0 Directory traversal vulnerability: von Client zu Web- Server Über Nimda-infizierte Webseiten: von Web-Server zu Client Via von Client zu Client Über von „Code Red II“ hinterlassene Backdoors: von Client zu Web-Server

13 Nimda Risk Exploit Incident Detection Analysis Response (incl. Avoidance) Schwächen von MIME, IIS, … Nimda-Wurm am im Labor Removal Tools, Patches, Neuinstallation? am

Linux/Slapper.Worm

15 Details Internet Wurm ISS Ranks Worms as Biggest Net Threat Quelle: Erstes Auftreten: (nai) Infiziert Linux mit Apache und mod_ssl Produkt aus PUD und openssl-too-open Exploit Payload: baut p2p-Netzwerk für DDoS auf

16 Schwachstelle KEY_ARG Buffer Overflow in OpenSSL beim SSLv2 Handshake Bekannt seid Ende Juli 2002 (CA ) Betroffen: open-ssl Libary < 0.96e / 0.97beta2 Existiert auch in anderen UNIX-Derivaten (BSD  Scalper, Solaris, MAC OS X) Exploit (bisher) nur unter Linux

17 Versuchsaufbau Sniffer (Daphne: Ethereal) Victim Attack (Ergo: Apache mit mod_ssl; tripwire)(Kathy: Slapper.A) Software: Red Hat Linux 7.3, individuelle Paketauswahl HUB

18 Arbeiten im „Dunstkreis“ des IRT Bac-Arbeit von Julia Fix und Ira Tsalman „Incident Response am Beispiel von Nimda“ Projektdokumentation von Jörg Ziemann Diplomarbeit von Jan Menne „Methoden der Vorfallserkennung und Analyse“ Diplomarbeit von Nils Michaelsen „Penetrationstest: Möglichkeiten und Auswirkungen“ Diplomarbeit von Benjamin Hoherz „Einfluss von Incident Response auf die Erstellung von Notfallkonzepten“ Diplomarbeit von Silvio Krüger „Superwürmer – Entdeckung und Gegenmaßnahmen“

Dieses Semester Sommer 2003

20 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT

21 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Risk = Bedrohung + Schwachstelle

22 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Exploit: Verwirklichte Ausnutzung einer Schwachstelle (z. B. Malware)

23 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Incident: Nutzung eines Exploit auf einem konkreten System (d.h. mit abgrenzbarer Umgebung)  Unterschreitung der Sicherheits- anforderungen Definition von Sicherheitsanforderungen: Vertraulichkeit Verfügbarkeit Integrität

24 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Detection: Feststellen eines Incident

25 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Analysis: Zerlegen der komplexen Gesamtaufgabe in einfache Teile und das Erschließen des Gesamtproblems aus diesen.

26 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Response: Gesamtheit der Maßnahmen und Konzepte, die sich aus den Ergebnissen der Analyse eines Incident ergeben (avoidance, measures)

27 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Reaction: Idealerweise entsprechend Notfallkonzept unmittelbares Ergreifen von Sicherungsmaßnahmen zum Erhalten von Werten.

28 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Avoidance: Beseitigung der Schwachstelle (z.B. Patch) oder Bekämpfung des Exploits (z.B. Virenscanner)

29 Hauptfragen dieses Semester Betrachtung von Vulnerability-Scannern zur qualitativen Beurteilung ihrer Arbeitsweise Verfeinerung der Mittel zur Incident- Analyse

30 Vulnerability-Scanner dienen zum Testen von Sicherheitsanforderungen testen automatisiert ein System auf bekannte Schwachstellen Penetration Test: Bewerten der gefundenen Schwachstellen (vulnerability, assessment) Hilfsmittel zum testen von IR

31 Mittel zur Incident-Analyse Vorhandensein eines Incident statische und dynamische Analyse zur Generierung der Response Erprobung eines neuen Tools (Dipl.-Arbeit von Jan Menne)

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.