Sicherheitssysteme für den Eigenbedarf Balázs Bárány, PGP und Verschlüsselungstechnologien Firewalls Client-Sicherheit (Einbruch in die Privatsphäre; Server-Sicherheit)

PGP und Verschlüsselungstechnologien + Verschlüsselung: was ist das? + Begriffe und Konzepte + Anwendungen für Verschlüsselung + Verbreitete Systeme

Verschlüsselung: was ist das? + Mathematische Methoden für den Schutz von Daten + meist auf Primfaktorenzerlegung basierend + kein absoluter Schutz, nur "ausreichend sicher" + Nur den berechtigten Parteien, die einen geheimen "Schlüssel" kennen, zugänglich + Als "Steganographie" nicht nachweisbar

Begriffe und Konzepte Schlüssel + möglichst nicht zu erratende, aus den Nutzdaten nicht zu ermittelnde Daten + Symmetrische Schlüssel + beide Parteien verwenden den selben Schlüssel - Schlüsselaustausch ein Problem + Asymmetrische Schlüssel + "Private" und "Öffentliche" Schlüssel

Begriffe und Konzepte Zertifikat + beweist, daß eine Partei im Besitz des echten Schlüssels ist + Signatur + beweist, daß eine Botschaft von der genannten Partei stammt und nicht verändert wurde

Anwendungen für Verschlüsselung + , instant messaging + PGP, S/MIME + LICQ, Lotus SameTime + Übertragung sensibler Daten im e-commerce + HTTPS/SSL/TLS + Generell: gesicherte Datenübertragung + für beliebige Daten

Verbreitete Systeme für + PGP / OpenPGP / GPG + Erstes verbreitetes System für + Als OpenPGP standardisiert + "Trust of web" - Vertrauensmodell durch BenutzerInnen + S/MIME + In Outlook und Netscape integriert + Kostenpflichtige Zertifikate => kaum verbreitet

Grafische Oberfläche zu GPG

Weitere verbreitete Systeme + Dateiverschlüsselung im Betriebssystem + Windows 2000, MacOS, Freie Unixe + SSL - nicht nur im Browser + Gesicherte Übertragung sensibler Daten + Als TLS standardisiert + SSH - secure shell + sichere Fernbedienung für Unix-Rechner

Firewalls + Blockieren unerwünschten Netzwerkverkehr + Kein vollständiger Schutz! + Firewalls für Netzwerke + zentral verwaltet, für BenutzerInnen transparent + "Personal firewalls" + für den eigenen Rechner + Kenntnisse und/oder Lernbereitschaft notwendig!

Beispiel für Personal Firewall © Anzeige für Netzwerkverkehr + Möglichkeit, Verkehr sofort zu stoppen + Zugelassene Programme + "Alerts": Bericht über "Angriffe"

Firewalls - Umfeld + "Application firewall": "versteht" den Netzwerkverkehr und überprüft, ob die Daten im richtigen Format sind + Zensurproxy: blockiert den Zugang zu unerwünschten Webseiten und anderen Inhalten + Online-Virenscanner: sucht in s und am Server gespeicherten Dateien nach Viren

Client-Sicherheit + Browser - Bedrohung durch aktive Inhalte + Schlechtes Sicherheitsdesign + Implementationsfehler + -Client + Ausführbare Attachments + Aktive Inhalte in HTML-Mails

Weitere Bedrohungen + "Virus" + verbreitet sich selbsttätig weiter + eventuell Schadensroutine + am häufigsten: Makroviren (Word.doc und VBS) + "Trojaner" + installiert sich möglichst unauffällig + öffnet Zugriffsmöglichkeit für den Cracker

Sicherheitsprobleme: Browser + Trend zu mehr Funktionalität auf Kosten der Sicherheit + z.B. ActiveX: Control hat vollen Zugriff auf Rechner und Betriebssystem + z.B. JavaScript: wiederholt Implementations- fehler; "nervende" Features + z.B. Java: Sicherheitsmodell gut durchdacht, gelegentlich Implementationsfehler

Sicherheitsprobleme: -Client + Standardeinstellungen der verbreiteten Mail-Clients unsicher! + Attachments, die ausgeführt werden + automatisch durch Scripting (HTML-Mails) + durch uninformierte BenutzerInnen + durch Täuschung (z.B. Loveletter.txt.vbs) + Aktive Inhalte in HTML-Mails + z.B. Cookies; Sicherheitslücken wie im Browser

Eingriffe in die Privatsphäre + Können sicherheitsrelevant werden! + z.B. "Referrer"-Probleme bei GMX im Juli Methoden: + Cookies (Banner-Netzwerke) + Referrer ("wo war ich vorher?") + HTML-Mail (bei Spam: Gewißheit, daß die Mail gelesen wurde)

Maßnahmen für den Schutz der Privatsphäre + Filterproxy verwenden (z.B. Internet JunkBuster) + Cookies abschalten + -Programm sicher konfigurieren + Proxy des Providers verwenden + für sensible Bereiche eventuell Anonymizer + verschlüsseln

Server-Sicherheit + Angriffsflächen + Was kann angegriffen werden? + Angriffsmethoden + Wie gehen CrackerInnen vor? + Häufige Fehler +... und ihre Vermeidung + Verantwortung

Angriffsflächen + Server/Services: "Dienste" + Diese erbringen die gewünschte Leistung, müssen daher im Internet stehen. + z.B. Webserver + Paßwörter + Abhören => Verschlüsselung verwenden! + Erraten => "gute" Paßwörter verwenden + etc.

Angriffsmethoden + "Buffer overflow": unerwartet große Textmenge überschreibt Programmcode + Ausnutzung von Programmfehlern + in kommerzieller Software + in selbstgeschriebenen Programmen (z.B. CGI) + etc...

Häufige Fehler + Veraltete Software + Sicherheits-Mailingliste verfolgen, Sicherheits-Patches einspielen! + "Wir haben eh eine Firewall" + Angriffe über die nicht gesicherten Dienste + Standardpaßwörter und Generalpaßwörter + Sicherheits-unerfahrene ProgrammiererInnen

Verantwortung + Schadenersatzforderungen + z.B. wegen Verstoßes gegen das Datenschutzgesetz + Gecracktes System wird als Angriffsplattform benutzt

Fazit + Sicherheitsbewußtsein notwendig + Beim en Gehirn eingeschaltet lassen + Hersteller-Infos verfolgen, Updates einspielen + Beim Betrieb von Servern muß Sicherheit hohe Priorität haben, Kenntnisse (eigene oder zugekaufte) absolut notwendig