Angreifertypen, Bedrohungen I Grundlagen Angreifertypen, Bedrohungen I

Angreifer-Typen Studien: über 80% der in Unternehmen, Firmen, Behörden bekannt gewordenen Angriffe durch Mitarbeiter. = Angriffe von innen Öffentliche Wahrnehmung: Hacker & Cracker. Entwicklung: zunehmend offene Systeme, folglich Anstieg auf ähnliches Niveau. Hacker Cracker Skript Kiddie Wirtschaftsspionage Mitarbeiter Geheimdienste (Bundes-Trojaner, Stuxnet) Dr. Wolf Müller

Hacker Technisch sehr versiert Ziel: Meist: Schwachstellen, Verwundbarkeiten in IT Systemen aufdecken. Angriffe, Exploits entwickeln, die die Schwachstellen ausnutzen. Meist: Veröffentlichung der Exploits, um auf Schwachstellen aufmerksam zu machen. Keine persönlichen Vorteile, finanzielle Gewinne oder wirtschaftliche Schädigung Dritter. = Hacker-Ethik Oft Methoden illegal, außerhalb gesetzlicher Regelungen. Dr. Wolf Müller

„Hacker-Paragraph“ Neufassung § 202 c StGB: Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang oder von geeigneten Computerprogrammen mit Geld- oder Freiheitsstrafe von bis zu einem Jahr bedroht. Rechtsausschuss des Bundestages Zusatzerklärung: … von der neuen Regelung nur Computerprogramme betroffen sind, die in erster Linie dafür ausgelegt sind oder hergestellt werden, um Straftaten aus dem Bereich der Computerkriminalität zu begehen. Unklar, inwieweit diese Erklärung in der Praxis oder der Bewertung der Gerichte noch Berücksichtigung finden wird. Dr. Wolf Müller

Cracker Ebenfalls technisch sehr versiert. Ziel jedoch: Gezielte Angriffe zum eigenen Vorteil oder zum Nachteil Dritter Größeres Schadensrisiko als durch Hacker. Verkauf der Dienstleistungen. Dr. Wolf Müller

Skript Kiddie Viel Zeit. Nicht zwingend vertieftes Know-how. Nutzung von frei verfügbaren Exploits. Motivation: Spieltrieb, Neugierde. Zunehmende Bedrohung durch Leichtigkeit vorgefertigte Exploits zu nutzen. Oft jedoch durch Patchen schnelles Schließen der Lücken möglich. Dr. Wolf Müller

Wirtschaftsspionage Top Kenntnisse / Ausrüstung. Gezielte, speziell zugeschnittene Angriffe. In jüngster Zeit vermehrtes Abhören von Datenleitungen und ISDN- / Voip- Verbindungen. Wirtschaftsspionage Geheimdienste Echlon: NSA betreibt in den USA seit 80-er Jahren flächendeckende Überwachung von Telefonaten, E-Mail, Fax, die über Satelliten, Kabel, Funktürme gesendet wurden. Aufgezeichnete Daten nach verdächtigen Begriffen durchsucht Verlust des Auftrags für Airbus von 3 Milliarden € an Saudi Arabien, da NSA Info an USA-Industrie weitergeleitet haben soll. Scheitern von ICE-Technologieverkauf von Siemens an Südkorea, hier soll der franz. Geheimdienst Nachrichten abgefangen haben; 2 Milliarden Schaden. Dr. Wolf Müller

Weitergabe von Passagier-Daten EUUSA 34 Informationen über Passagiere auf Transatlantik-Flügen: Namen, Geburtsort und -datum, Adresse, private und berufliche Telefonnummern, E-Mail-Adressen, Kreditkartennummern, Auskünften über Reiseversicherungen bis zu Hin- und Rückreisedaten, Sitzplatznummer und Anzahl der Gepäckstücke. … EU-Parlament segnet Fluggastdaten-Transfer in die USA ab http://heise.de/-1542874, 15 Jahre Speicherung http://de.wikipedia.org/wiki/Passenger_Name_Record Dr. Wolf Müller

Mitarbeiter Schadensursachen: Lösungsansätze: Mangelnde Kenntnisse der Systemgegebenheiten Mangelnde Kenntnisse der Sicherheitsmechanismen und deren Bedeutung Nachlässigkeit im Umgang mit dem System und den zu verwaltenden sensiblen Informationen Unterentwickeltes Problembewusstsein, sowohl bei Mitarbeitern als auch im Top-Management Überforderung, Stress Lösungsansätze: Ganzheitliches Sicherheitsmanagement (Gemeinsame Betrachtung der organisatorischen Strukturen, Geschäftsprozesse und technischen Komponenten) Dr. Wolf Müller

Mitarbeiter: Bedrohungen Virus Viele Angriffe durch Viren, Würmer, Trojanische Pferde aufgrund fehlerhafter Implementierungen von Systemen. Häufig auch gezielt von Mitarbeitern platziert. Mobile Speichermedien, Laptop, Handy, … Social Engineering Nicht technischer Natur. Angreifer versucht Opfer dazu zu bringen, absichtlich oder unabsichtlich gutgläubige sensitive Informationen preiszugeben. Sich als Sysadmin auszugeben (Tel.) um Passwort abzufragen, um angeblich dringend notwendige Arbeiten durchzuführen. Entwicklung: Zukünftig weiterer Anstieg von Software-bedingten Bedrohungen, insbesondere Viren, Trojaner. Anstieg von durch Unkenntnis und Nachlässigkeit hervorgerufenen Schäden. Bedarf an Mitarbeiterschulungen. Dr. Wolf Müller

http://heise.de/-1517377 Firmenkennwörter sind Angestellten wenig wert Bei einer britischen Umfrage gaben fast die Hälfte der Angestellten an, sie würden ihr Firmenkennwort für weniger als 5 Pfund an Dritte verkaufen. 30 Prozent würden sich sogar mit weniger als 1 Pfund begnügen. Weniger als ein Drittel weigerten sich kategorisch, ihr Firmenkennwort herauszugeben. Ihr privates Kennwort für Social-Media-Websites war den Befragten wesentlich teurer: Hier wurden 34 Prozent erst bei Beträgen oberhalb von 50 Pfund schwach. 80 Prozent gaben an, ihr privates Kennwort niemals weiterzugeben. Für die Studie wurden 2000 Verbraucher befragt. 34 Prozent gaben an, ihr Firmenkennwort schon weitergegeben zu haben. Andere Ergebnisse der Umfrage zeigen, woher bei den Auftraggebern der Wind weht: 60,5 Prozent gaben an, sie würden ihr Kennwort aufschreiben. Das ist grundsätzlich nicht weiter schlimm, sofern das Kennwort an einem sicheren Ort aufgeschrieben und aufbewahrt wird. Dr. Wolf Müller

Bedrohungen Virus Wurm Trojaner Rootkit Dr. Wolf Müller

Virus: Geschichte 1980 - Jürgen Kraus Diplomarbeit: „Selbstreproduktion bei Programmen“ Vergleich: Programme können sich ähnlich biologischen Viren verhalten. 1984 - Professor Leonard M. Adleman verwendet im Gespräch mit Fred Cohen erstmalig Begriff „Computervirus“. Fred Cohen liefert seine Doktorarbeit "Computer Viruses - Theory and Experiments“ (mit funktionierendem Virus für das Betriebssystem UNIX) ab. 1985 - Über Mailboxen Trojanisches Pferd Gotcha (Programm, das Grafik verbessern soll) verteilt. Nach Start: Daten auf Festplatte gelöscht & auf Bildschirm der Schriftzug „Arf, arf, Gotcha.“ 1986 - Zwei Software-Händler aus Pakistan: Erstes Virus für MS-DOS. Programm relativ harmlos, nur Inhaltsverzeichnis der befallenen Disketten in Brain umbenannt. Dr. Wolf Müller

Virus: Geschichte (2) 1987 - Im Data-Becker Verlag: erste Buch zum Thema Computerviren "Das große Computervirenbuch" von Ralf Burger. 1987 - Cascade-Virus lässt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen, wo sie sich zu einem kleinen Häufchen sammeln. Er vernichtete Dateien. 1988 - Erster Baukasten für Viren (Virus Construction Kit) veröffentlicht.  Auch Anfängern möglich, Viren nach Maß zu erstellen. 1989 - Mit V2Px erstes polymorphes Virus (Verschlüsselt sich selbst wieder neu, durch Antivirenprogramme nur schwer zu entdecken) 1990 - Der Verband deutscher Virenliebhaber verbreitet erstes Virus Construction Kit für DOS. Dr. Wolf Müller

Virus: Geschichte (3) 1993 - Erste Computerviren für Windows tauchen auf. 1995 - Es erscheinen die ersten Makroviren. 1997 - Erste Virus für das Betriebssystem Linux tritt in Erscheinung. 1998 - Strange Brew, das erste Virus für Java, erscheint. 2000 - Loveletter infiziert mehr PCs als jedes bisherige Virus. 2004 - Das erste Virus für PocketPCs (mit dem Betriebssystem Windows CE) tauchte auf. 2004 - Das erste Virus für die Programmiersprache Ruby wurde geschrieben. 2005 - Das erste Virus für Handys (mit dem Betriebssystem Symbian OS) tauchte auf. … Dr. Wolf Müller

(Computer) Virus Keywords: Befehlsfolge , die ein Wirtsprogramm zur Ausführung benötigt. Zur Reproduktion fähig. Dazu wird bei Ausführung eine Kopie (Reproduktion) oder eine modifizierte Variante (mutierender Virus) in einen Speicherbereich, der diese Befehlssequenz noch nicht enthält geschrieben. = Infektion Enthält in der Regel Schadensteil. Schadensteil kann unbedingt oder durch Auslöser aktiviert werden. Keywords: Programm Replikat Trigger  Auslöser Payload  Wirkteil Dr. Wolf Müller

Replikation Codierung der Befehlsfolge: Potenzielle Speicherbereiche: Maschinensprache Kommandosprachen Skript Sprachen Hochsprachen Potenzielle Speicherbereiche: Code Ausführbarer Programme von Benutzern Bereiche des Betriebssystems Sektoren von Speichermedien Dokumente, Dateien (Office: Makroviren) Dr. Wolf Müller

Virus: Struktur Viruskennung PROCEDURE Virus BEGIN 1234 Infektionsteil suche eine nicht infizierte Programmdatei IF (gesundes Programm gefunden) THEN copy Virus to Programm; Schadteil IF (Datum = „Freitag der 13.“) THEN formatiere Festplatte Sprung springe an Anfang des Wirtsprogramms; END. erste Zeile ≠ 1234 Allgemeine Struktur Beispiel Dr. Wolf Müller

Viren-Typen Erste Generation: Programm-Viren Abkehr von Maineframe, hin zu PC Verbreitung über Disketten oder manuelle Installationen Abwehr: Quarantänestationen Programm-Viren Kopiert sich in ausführbare Datei Verbreitung bei Programmausführung Nach Infektion: ausführbares Programm: Führt nach Aufruf erst Virus aus Verschleierung: Veränderung der Strukturdaten der infizierten Datei Dr. Wolf Müller

Funktionsweise Beispiel Cascade 1701 Ver-/Ent-schlüsseln Sprung-befehl Virus Programmdatei Dr. Wolf Müller

Viren-Typen (2) Boot-Viren Befall der Bereiche der Festplatte / Diskette, die beim Booten in den Hauptspeicher geladen werden Ablauf: Boot, Rechner initialisiert CPU, startet Code zur Überprüfung der Hardware (aus ROM BIOS) Im nächsten Schritt werden Befehle aus dem Bootsektor geladen Boot-Virus meist vor Bootsektorprogramm gespeichert, wird zuerst geladen Residente Speicherung des Boot-Virus-Codes Kann sich als Event-Handler (z.B. für Mouse registrieren) Großer Schaden möglich Heute keine wesentliche Rolle Virus Code Lade Virus (resident) Virus-Kennung … Bootprogramm Lade OS Lade Treiber Lade Konfig. …. Dr. Wolf Müller

Viren-Typen (3) 2. Generation Übergang zu vernetzten Systemen Keine Quarantäne mehr möglich; Isolierung, Abschottung = starke Einschränkung der Nutzbarkeit Vielzahl von Infektionskanälen E-Mail (attachments) Java-Applets Elektronische Dokumente Postscript/PDF-Dateien Verbesserte Software-Werkzeuge → Verbreitung von Viren: viele Aktionen automatisch, transparent für den Nutzer Postscriptinterpreter, Textverarbeitungsprogramme, MIME-Interpreter führen eingebettete Befehle automatisch aus. Sicherheit  Komfort Funktionalität: 1G: oft destruktiv 2G: oft gezielte Angriffsvorbereitung: Sammeln sicherheitsrelevanter Informationen Gezielte Veränderung von Konfigurations- und Systemdateien Unterschied Virus / Wurm verschwimmt, Synonym Dr. Wolf Müller

Viren-Typen (4) Makro- oder Daten-Viren GUI Anpassung durch eingebettete Befehle (Makros) Word, Excel Daten-Dateien  Objekte mit ausführbaren Bestandteilen auch nur lesbare Dateien potentielle Wirte für Viren Lesen einer Datei / E-Mail reicht zur Infektion aus (Ausführung der Makros für Nutzer nicht unbedingt ersichtlich) In der Regel plattformunabhängig hohes Verbreitungspotential Dr. Wolf Müller

PDF-Angriffsvektoren Quelle: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_rise_of_pdf_malware.pdf Dr. Wolf Müller

Sobig Virus Anfang 2003, rasante Ausbreitung klassisch: Social Engineering E-Mail Attachement Subject: Re: Sample, Re: Document, Re Movies Body: … Please see the attached file for Details Attachment: Sample.pif Doppelklick = Infektion Infektionsteil: Kopie Winmgm32.exe in Windows-Verzeichnis Registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\“WindowsMGM“=C:\WINDOWS\Winmgm32.exe HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Opfersysteme gesucht in den Netzwerkfreigaben Dr. Wolf Müller

Sobig Virus (2) Schadensteil Fazit: Verschicken seiner selbst als E-Mail (Adressbücher des befallenen Rechners) Öffnen einer jpeg-Datei (Porno), um weitere Schadfunktion zu initiieren (Trojaner) Start des Trojaners Key-logger (key-logger.dll) Ausspähen von Registry-Einträgen TCP-Verbindung an geocities.com liefert URL für Ablieferung der Ergebnisse Öffnet Port 1180 für remote-Zugang Fazit: Klassiker schnelle Verbreitung über E-Mail sorglose Benutzer, bekannte Absenderadresse, Neugier Windows-Registry zum automatischen Starten Nachladen weiterer Komponenten Prototyp für: Sobig-F (08/03), netsky (03/04) Variante: Attachment passwortgeschützte zip-Datei, Password dazu im Klartext oder als Bild gefährlich, Virenscanner nicht ausreichend Dr. Wolf Müller

Sobig-F Dr. Wolf Müller

Gegenmaßnahmen präventiv Konfiguration der Rechner: Verschlüsseln Analyse der Eintrittspunkte Stark gefährdete Systeme: Internet, sehr viele verschiedene Benutzer Überwachungswerkzeuge, Viren-Scanner einsetzen Restriktive Ausführungs- und Rechteumgebungen Spielprogramme nur im TMP, chroot unter linux Virenschutz periodisch im Hintergrund aktiv Neue Software sollte nur in spezifisch dafür konfigurierte Bereiche geladen werden, eingehende Analyse vor der Verwendung Test in VM, aber Virenautoren reagieren darauf. Regelmäßiges Backup Verschlüsseln Virus kann verschlüsselte Dateien nicht befallen (EFS) Dr. Wolf Müller

Gegenmaßnahmen (2) Hashing Quarantäne Isolierung Hash von Dateien, Hash muss schreibgeschützt aufbewahrt werden. Befall wird erkannt, nicht verhindert, aber Stop der Ausbreitung Backup benötigt. Quarantäne Verhinderung der automatischen Ausführung von Makros beim Lesen. Isolierung Viren-Scanner für (un)bekannte E-Mail Im Zweifel löschen Dr. Wolf Müller

Antivieren-Tools Viren-Scanner Aktivitätskontrolle Erkennung an Viren-Kennung Spezifischen Bytemuster Codesequenzen Wissen aus Datenbanken + Regeln, welche Dateien zu Untersuchen sind (.exe, .com, …) Nur bekannte Viren können erkannt werden. Update der Signaturen Wettlauf Versuch Heuristik anzuwenden: noch unbefriedigend Problem beim Erkennen von Mutationen Aktivitätskontrolle Programme werden bei ihrer Ausführung überwacht Wiederholter, modifizierender Zugriff auf ausführbare Dateien Versuch direkt auf externe Speichermedien zuzugreifen = einfache Versionen eines IDS Monitoring der Systemdateien und Konfiguration Dr. Wolf Müller

Retro-Viren Reaktion auf verbesserte Viren-Scantechniken Biologie: Angriff auf das Imunsystem selbst Computer: Angriff auf Viren-Scanner Ziel: Deaktiverung der Viren-Überprüfung Modifikation der Config-Datei des Scanners (liegt in der Regel im Klartext vor) Modifikation der Datenbank Viren-Kennungen Scan-Regeln (.exe -> .exe1) Ursache: unzureichende Zugriffskontrolle bei Zugriffen auf Datenbanken, Datenbanken unverschlüsselt Dr. Wolf Müller

Wurm Ablauffähiges Programm mit Reproduktionsfähigkeit. Meist aus mehreren Programmteilen = Wurmsegmenten Braucht keinen Wirt. Vervielfältigung selbständig, meist unter Kommunikation mit anderen Wurmsegmenten. Verbreitung insbesondere über Netzwerk Ausgangspunkt für Angriff: Systemprozesse (ständig oder regelmäßig aktiv) Bedrohungen: Integrität, Vertraulichkeit, Verfügbarkeit (hohe Speicher- / Netzlast) Dr. Wolf Müller

Wurm: Beispiel Internet Wurm ILOVEYOU E-Mail Attachment .vbs (Visual Basic Script) Voraussetzung: MS-Windows, Outlook Schaden: Gezielte Zerstörung von lokalen Dateien (jpeg, mp2, mp3) Lokale Passwortsuche Versuch der Übermittlung an Programmierer Dr. Wolf Müller

Historischer Rückblick: 1988 Internet Worm © Helmut Reiser, Institut für Informatik, LMU Chronologie der Vorfälle an der University of Utah: Mittwoch 2. November 1988 17:01:59: Test oder Start des Wurms 17:04: Maschine an der Cornell University „befallen“ 20:49: Wurm infiziert VAX 8600 an der Univ. Utah (cs.utah.edu) 21:09: Wurm versucht von VAX aus andere Maschinen zu infizieren 21:21: Load (Anzahl der rechenbereiten Prozesse) von 5 21:41: Load von 7 22:01: Load von 16 22:06: Es können keine Prozesse mehr gestartet werden, Benutzer können sich nicht mehr anmelden 22:20: Systemadministrator terminiert den Wurm Prozess 22:41: Der Wurm ist zurück; Load 27 22:49: System shutdown, reboot 23:21: Der Wurm ist zurück; Load 37 Dr. Wolf Müller

Internet Wurm: „Wie er arbeitet“ - Wie befällt er neue Maschinen? sendmail Bug (seit langem bekannt) finger Bug; Buffer Overflow (nur VAX werden befallen) Remote execution (rsh, rexec) - Welche Accounts werden angegriffen? Offensichtliche Passwörter Leeres Passwort Benutzername Benutzername+Benutzername Infos aus GECOS-String Nachname Nachname rückwärts Build-In Wörterbuch (432 Wörter) /usr/dict/words (24’474 Wörter) Trusted Host Beziehung (.rhosts) - Welche hosts werden angegriffen? Maschinen in /.rhosts und /etc/host.equiv .forward Datei gebrochener Accounts .rhosts Datei gebr. Accounts Gateways aus der Routing-Tabelle Endpunkte von Point to Point Verbindungen Zufällig geratene Adressen Nur Sun und VAX - Was der Wurm NICHT tut: Versuchen root access zu erhalten Well-known Accounts angreifen Daten zerstören „Zeitbomben“ zurücklassen Dr. Wolf Müller

Internet Wurm: Programm Struktur main Routine argv[0] := “sh”; /* rename process */ Is there already a worm? /* faults here causes mass infection */ Initialize clock; while (true) { cracksome(); /* attack accounts, try to find hosts*/ sleep(30); /* hide the worm */ Listen for other worms /* faults here causes mass infection */ create a new process, kill the old /* Camouflage */ try to attack some machines; sleep(120); /* hide the worm */ if (running > 12 hours) cleaning host List; /* reduce memory consumption */ if (pleasequit && wordcheck > 10) exit } Dr. Wolf Müller

Internet Wurm: Angriffsmaschine Dr. Wolf Müller

Internet Wurm: Gelernte Lektionen - Verursacher und rechtliche Folgen Robert T. Morris, 23, Cornell Student (Sohn des NSA Chief Scientist). Suspendierung von der Cornell University. Verurteilt zu $ 10.000 und 400 Stunden gemeinnütziger Arbeit. - Lektionen (Lange) bekannte Bugs fixen, starke Passwörter benutzen. „Least privilege“ Prinzip (sowenig Rechte wie nötig), strenge Zugriffskontrolle. Logging und Auditing. Kontinuierliche Information von sich und anderen „Zentrales“ Security Repository. CERT (Computer Emergency Response Team) wurde gegründet www.cert.org. Bundesregierung beschließt Sicherheitsstrategie für den Cyber-Raum http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2011/mitMarginalspalte/02/cyber.html?nn=109628 Dr. Wolf Müller

Wurm: Beispiel (2) Lovesan- bzw. Blaster-Wurm Sommer 2003 beträchtlicher Schaden Neben Server auch Heimanwender-PC angegriffen. Ziel: windowsupdate.com, DDoS 16.08.2003 SYN-Anfragen an Port 80 = Syn-Flood Attacke Mittel: Buffer-Overflow im DCOM RPC-Dienst (TCP,135) Suchen verwundbarer Systeme durch Scan des lokalen Klasse C-Subnetzes oder beliebigen IP-Bereich senden eines präparierten TCP-Pakets, Buffer-Overflow, ausführbarer Code in das System injiziert, mit root-Rechten remote shell (TCP,444), tftp (UDP,69) zum Ausgangsrechner msblast.exe Registry: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run windows auto update=msblast.exe I just want to say LOVE YOU SAN!! bill Absturz des RPC-Dienst, Reboot Dr. Wolf Müller

Wurm Bedrohung: Gegenmaßnahmen: Hoch, beliebiger Code kann ausgeführt werden Gegenmaßnahmen: Patch Konfiguration, Schließen unbenötigter Ports / Dienste Minimale Rechte Dr. Wolf Müller

Infektionsmechanismen Netzwerke USB-Stick, Wechselmedien Dubiose Software Mailboxen Shareware, Public Domain Dr. Wolf Müller

Historischer Rückblick : 2003 Slammer Wurm © Helmut Reiser, Institut für Informatik, LMU - Chronologie Samstag, 25. Januar 2003: Kurz vor 5:30 Uhr (UTC), d.h. 6:30 Uhr (MEZ) taucht der Wurm auf Verbreitung des Wurm um 6:00 Uhr (UTC): Kreisdurchmesser  Anzahl infizierter Hosts (logarithmische Darstellung) Dr. Wolf Müller

SQL Slammer im Münchner Wissenschaftsnetz Münchner Wissenschaftsnetz (MWN), verbindet u.a. alle Standorte der Münchner Universitäten, der FH und der Bayerischen Akademie der Wissenschaften: Massive Störungen von Samstag 25.01.03 6:30 Uhr bis 26.01.03 11:30 Uhr Verkehrsstatistik am zentralen Router des MWN (1 Woche)  eingehender Verkehr,  ausgehender Verkehr, Max. Peak im 5 Minuten Intervall (eingehend), Max. Peak im 5 Minuten Intervall (ausgehend) Dr. Wolf Müller

Slammer Verbreitung und Folgen - Schnellster Wurm in der Geschichte 1. Minute: Verdopplung der Population alle 8,5 Sekunden (± 1 s) nach 3 Minuten: etwas verringerte Verbreitungsrate; Netzbandbreite wird zum beschränkenden Faktor. nach 10 Minuten: ca. 90 % aller anfälligen Hosts sind infiziert. - Folgen: Große Teile des Internets nicht mehr erreichbar. Steuerungssysteme für die Stromversorgung gestört. Funktionsstörungen bei Geldautomaten. Steuerrechner von zwei Atomkraftwerken in den USA betroffen. Dr. Wolf Müller

Slammer: Voraussetzungen - SQL Server; Client Verbindungen über: NetBios (TCP Port 139/445) Sockets (TCP Port 1433) Monitor Port (UDP 1434) zur Ermittlung der Verbindungsart; Client schickt 0x02 an den Port; Server schickt Verbindungsinformationen - Buffer Overflow Bug im SQL Server Client setzt erstes Bit auf 0x04 im Bsp. \x04\x41\x41\x41\x41 (\x41 = „A“) SQL Monitor nimmt Rest der Daten und öffnet damit Registry HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion Über geeignet formatierte Daten kann hier ein Buffer Overflow herbeigeführt werden. - Problem: SW von Drittanbietern beinhaltet SQL-Server, Dies ist nicht allgemein bekannt. Dr. Wolf Müller

Wie funktioniert Slammer? - Slammer passt in ein UDP Packet 376 Byte groß, geschrieben in Assembler, mit Header Informationen 404 Byte. - Slammer nutzt Buffer-Overflow an UDP Port 1434 - Nach Infektion: „Raten“ zufälliger IP-Adressen. Angriff über UDP. Keine Schadfunktionalität im eigentlichen Sinn. - Charakteristika: UDP verbindungsloses Protokoll; wird nur durch Bandbreite beschränkt. Höchste beobachtete „Probing“-Rate: 26.000 Scans pro Sekunde. Aggressive Verbreitungsstrategie führt dazu, dass der Wurm mit anderen Würmern um Netzbandbreite konkurriert. Dr. Wolf Müller

Slammer im Münchener Wissenschaftsnetz Monatsstatistik - Mind. 8 SQL-Server betroffen - Maßnahmen: Zugang zum MWN für diese Server gesperrt. Port 1434 gesperrt. Dr. Wolf Müller

Slammer: Gelernte Lektionen Grundproblematik: Nicht behobene Bugs in Anwendungen (kein Einspielen von Patches). Bundling von Software: Anwender weiß u.U. nichts von Sicherheitsproblemen und notwendigen Patches. Angriffe über UDP können zu extrem schneller Verbreitung führen. - Gegenmaßnahmen: Filtern des entsprechenden Verkehrs (UDP Port 1434) über Firewall. Fehler und Schwächen beheben. Nicht notwendige Dienste abschalten. Dr. Wolf Müller

Vergleich Internet Worm und Slammer Angegriffene Hosts/OS SUN und VAX / UNIX Microsoft Windows/SQL Server Angriffsstrategie Ziemlich komplex. Nutzt eine Vielzahl Bugs und fortschrittliche Strategien. Einfaches Assembler Programm nutzt Buffer Overflow. Schadfunktion Großer Load, viel Netzverkehr. Extremster Load und Netzverkehr. Verbreitung ~ 6.000 Systeme Ziemlich schnell. Extrem schnell, 90% aller verwundbaren Systeme nach 10 Minuten infiziert. Dr. Wolf Müller

Was ist ein Trojaner? Programm Unterschied zu Viren “.... ist ein Programm, welches dem Benutzer eine gewisse Funktion vorspiegelt (Tarnung), jedoch eine andere (schädliche) ausführt.” Zwei Teile: Trägerprogramm und (unbewußt ausgeführter) Hintergrundteil Unterschied zu Viren Ist selbständig Keine Replikation Trägerprogramm ist nur „Tarnung“ Dr. Wolf Müller

Trojanische Pferde Programm, dessen Ist-Funktionalität nicht mit Soll-Funktionalität übereinstimmt. Erfüllt eine Funktionalität, die Vertrauen erweckt, besitzt aber zusätzlich verborgene Funktionalität. Aktivierung Bei Programmstart oder spezielle Auslöser (logische Bombe) Dr. Wolf Müller

Trojaner: Bsp.: Zinsberechnung CAD-Demo 1992 T-Online 1998 Bank, Angestellter Zinsberechnung auf 3 Stellen genau Rundungsbeträge aufs eigene Konto CAD-Demo 1992 CadSoft, Demoprogramm erzeugt Bestellformular für Handbuchbestellung, übermittelt codiert Liste der installierten Produkte T-Online 1998 2 Schüler aus Köln 6000 Passworte geknackt T-Online PowerTools Sollfunktion: Automatisierung von Verwaltungsaufgaben Registrierung übermittelt Zugangsdaten+schwach verschlüsseltes Password Dr. Wolf Müller

Trojaner: Tarnung Unix: Windows: Ersetzen von Befehlen ls, ps die häufig genutzt werden Firefox Plugins Keine Signatur Vertrauenswürdigkeit? Windows: Endung des Dateinamens fest, ob Datei ausführbar ist. .exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif. Standardkonfiguration: Dateiendungen werden nicht im Explorer angezeigt. Maskierung: „Bild.jpg.exe“ Wird Benutzer als „Bild.jpg“ angezeigt Icon einer Dr. Wolf Müller

Trojaner: Gegenmaßnahmen Minimale Rechte Keine sensiblen Daten (PIN,TAN,…) im Klartext auf Speichermedien Kritische Dienste: Befehle zur Änderung von Schutzattributen Funktionen zum Lesen, Bearbeiten von Passwortdateien Anweisungen, um Netzverbindungen zu anderen Rechnern zu öffnen Anweisungen zum direkten Speicherzugriff Signieren von Programmen und Code Code Inspektion Gesundes Misstrauen! Dr. Wolf Müller

Haus-Aufgabe für 30.4. (Brückentag) Vertiefung des Wissens bitte lesen & durchdenken: BSI-Analysen zur Cyber-Sicherheit: Grundlagen https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Analysen/Grundlagen/cs_Analysen_grundlagen_node.html HTML VersionVersion vom Download [BSI-A-CS 001]: Register aktueller Cyber-Gefährdungen und -Angriffsformen 2012-01-16 BSI-A-CS 001 als PDF [BSI-A-CS 002]: Lebenszyklus einer Schwachstelle 2012-03-02 BSI-A-CS 002 als PDF Dr. Wolf Müller