Orientierung, Problemstellung Grundlagen Orientierung, Problemstellung

Modul: IT-Sicherheit Grundlagen Modul: IT-Sicherheit Grundlagen (wahlfreies Angebot) Voraussetzungen für die Teilnahme am Modul: Grundlegende Kenntnisse in der Programmierung (wie sie etwa in GdP vermittelt werden) Lehrveranstaltungen SWS SP und Beschreibung der Arbeitsleistung auf deren Grundlage die SP vergeben werden VL + UE 4 + 2 8 SP: Vorlesung (4 SWS) und Übungen (2SWS) Aktive Teilnahme an den Übungen, erfolgreiche Lösung der Aufgaben, Selbststudium. Voraussetzung für die Vergabe von Studienpunkten Übungsschein ist Voraussetzung für Zulassung zur Prüfung. Bei bestandener Prüfung am Ende des Semesters werden 8 Studienpunkte vergeben. Prüfung (Prüfungsform, Umfang/Dauer, SP) Mündliche Prüfung oder schriftliche Prüfung (wird am Anfang des jeweiligen Semesters bekannt gegeben) Häufigkeit des Angebotes Alle 2 Jahre Dauer des Moduls 1 Semester Dr. Wolf Müller

Termine Vorlesung: Übung: Dr. Wolf Müller Montag & Mittwoch 09:15 – 10:45 RUD 25, 3.301 Wolf.Mueller@informatik.hu-berlin.de Tel.: 3127 Übung: entweder Montag oder Mittwoch 11:00 – 12:30 RUD 25, 4.113 Erster Termin: 16.04.2012 Dr. Wolf Müller

SAR Website Teaching > IT Sicherheit - Grundlagen > [more] https://www2.informatik.hu-berlin.de/sar/Itsec/ Materialien (Folien) Login: $InformatikLogin Password: $InformatikPasswort Dr. Wolf Müller

Regeln Für Prüfungszulassung Übungsschein nötig. Erwartung: Regelmäßige Teilnahme Aktive Mitwirkung in Übung Gerne Anregungen für Vorlesung VL beginnt pünktlich Prüfung: Mündlich 30 min. Voraussichtlich: 8. / 9. August September vor IT-Security-Workshop Dr. Wolf Müller

Literatur Claudia Eckert IT-Sicherheit: Konzepte - Verfahren – Protokolle (aktuell 7. Auflage) (70 €) IT-Sicherheit, Studienausgabe (29 €) Dr. Wolf Müller

Literatur 2 Dr. Wolf Müller

Literatur 3 Levente Buttyan and Jean-Pierre Hubaux Dr. Wolf Müller

Zielstellung Grundlegendes Verständnis für IT-Sicherheit Kritisches Hinterfragen von Design, Abläufen, Software, Verhalten Lernen aus Beispielen Sicherheit ist vielschichtig Sicherheit ist nur temporär, bedarf Pflege, Überprüfung. Sicherheitsmechanismen müssen einfach zu nutzen sein. Privatsphäre, Anonymität, Datenschutz sollte/muss beachtet werden. Nutzerakzeptanz wichtig, oft schwächstes Glied. Dr. Wolf Müller

Agenda: Grundlagen 26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag) Orientierung, Problemstellung Schutzziele / Begriffe Sicherheitsmodelle / Zugriffskontrolle Sicherheitsmodelle / Informationsfluss Angreifertypen, Bedrohungen Dr. Wolf Müller

Agenda: Sicherer Kanal: Alice  Bob Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie) Sicherheit von Kryptosystemen Symmetrische versus asymmetrische Verfahren Gruppenaufgabe: Themenvorstellung/ -vergabe Blockchiffren, Stromchiffren Integritätsschutz Digitale Signaturen PKI, Zertifikate, Alternativen & Grenzen Authentifizierung: Wissen, Haben Authentifizierung: Sein = Biometrie Protokolle I: Schlüsselaustausch, Bausteine Protokolle II: SSL/TLS, … Dr. Wolf Müller

Agenda: Sichere Implementierung Systemsicherheit: Bufferoverflow, FormatString Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen (VLAN, IDS, VPN, IP-Sec, IPv6) Netzwerksicherheit II: drahtlos Websicherheit I Websicherheit II Testing / Zertifizierung Präsentation I: Gruppenaufgabe Präsentation II: Gruppenaufgabe Prinzipien des Security-Engineering Dr. Wolf Müller

Übungen: Mo, Mi Raum für Fragen, Anregungen, Diskussionen Gelegenheit zum Überprüfen und Anwenden erworbenen Wissens 3 individuelle abzugebende Übungsaufgaben Elektronische Abgabe (wahrscheinlich Goya) 1 größere Gruppenübungsaufgabe Ziel: Beschäftigung in Praxis mit größerem Problem Darstellung der Ergebnisse vor allen Teilnehmern Gruppengröße: 3-5 (abhängig von Aufgabe) Dr. Wolf Müller

Fragen Dr. Wolf Müller

PRoblemstellung Dr. Wolf Müller

Kurzgeschichte des Computers device penetration time Dr. Wolf Müller

Kurzgeschichte des Computers 1. Personal Desktop Computing device penetration 1978 time Dr. Wolf Müller

Kurzgeschichte des Computers 1. Personal Desktop Computing 2. Personal Ubiquitous Computing device penetration 1991 1993 time Dr. Wolf Müller

Kurzgeschichte des Computers 1. Personal Desktop Computing 2. Personal Ubiquitous Computing 3. Embedded Ubiquitous Computing device penetration time Dr. Wolf Müller

Kurzgeschichte des Computers today device penetration time © Dirk Balfanz, Xerox Parc Dr. Wolf Müller

Computer Overload number of devices per person human capacity device penetration human capacity time Dr. Wolf Müller

Requirements Nötige Sicherheitsmaßnamen Benötigte Fähigkeiten Informationszeitalter Dr. Wolf Müller

Computerkriminalität Dr. Wolf Müller

Computerkriminalität © http://www.symantec.com/region/de/avcenter/cybercrime/bots_page2.html Dr. Wolf Müller

BSI-Bürgerumfrage zur Internetsicherheit Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html Dr. Wolf Müller

BSI-Bürgerumfrage zur Internetsicherheit Sicherheitsupdates und Administratorenrechte häufig unbeachtet https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html Dr. Wolf Müller

Lagebericht BSI 2007 Dr. Wolf Müller

Lagebericht BSI 2009 (1) nPA, ePass https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html Dr. Wolf Müller

Lagebericht BSI 2009 (2) Dr. Wolf Müller

Lagebericht BSI 2011 (1) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbf.pdf Dr. Wolf Müller

Lagebericht BSI 2011 (2) Supervisory Control and Data Acquisition: STUXNET Dr. Wolf Müller

Lagebericht BSI 2011 (3) Dr. Wolf Müller

BSI: Quartalslagebericht 4.2010 (1) Hacker nutzen RTF-Dateien für Angriffe Dr. Wolf Müller

Einige Schutzziele Schutz der Daten vor Kompromittierung Kopie Unberechtigte dürfen private Daten nicht einsehen Kopie Urheberrechtlich geschützte Daten sollen nicht kopiert werden können Verlust oder Veränderung Verhinderung des Abhandenkommens wichtiger Daten Verhinderung der Manipulation wichtiger Daten Dr. Wolf Müller

Bedrohungen Durch Andere Durch den Nutzer selbst Böswillige („kriminelle“) Angriffe mit unterschiedlichen Motiven Mögliche Lösungen: Firewalls, Verschlüsselung Durch den Nutzer selbst Durch unabsichtliche Fehler von Benutzern Verursachte Probleme Mögliche Lösungen: Vorschriften, Back-ups, Redundanz Durch den Ausfall von Systemen Durch „Pannen“ verursachte Datenverluste oder Kompromittierungen von privaten Daten Dr. Wolf Müller

Bedrohungen in der analogen Welt Physische Verbrechen Freiheitsberaubung Körperverletzung Mord / Totschlag Materielle Verbrechen Steuerhinterziehung Betrug / Untreue Fälschung Diebstahl Erpressung Vandalismus / Zerstörung Immaterielle Vergehen Ruhestörung Verkehrsdelikte Beleidigung Dr. Wolf Müller

Analogien Diebstahl Körperverletzung Erpressung Kaffeefahrt → Trojanisches Pferd Brechstange → Brute-Force Angriff Banktresor → Datenbank mit Kontoständen Geldbörse → Nummer der Kreditkarte Körperverletzung Körper → Computersystem DoS Erpressung Foto mit der Geliebten → Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln Dr. Wolf Müller

Kosten und Nutzen Durchschnittlicher Erfolg Kosten Bankraub 1500 € Einzelner Betrug bei eBay 9000 € (Quelle BMSI 2003) Kosten Schneidbrenner, Brechstange, Fluchtwagen, Skimaske, wochenlange Vorbereitung und Beobachtung stehen gegenüber Computer, Netzanschluss und ein wenig Zeit Dr. Wolf Müller

Zugriffsmöglichkeiten Reichweite der Einbrecher Lokal Bankeinbruch Global Hacking einer Bank Dr. Wolf Müller

Spuren eines Einbruchs Bankeinbruch Zerstörungen Fingerabdrücke DNA-Spuren Elektronischer Bankdiebstahl Absender-Adresse Log-Dateien Dr. Wolf Müller

Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns Betrug SPAM Geistiger Diebstahl / Raubkopien Identitätsdiebstahl / IP Spoofing Markendiebstahl / Markenpiraterie Dr. Wolf Müller

Nutzung des Rechtssystems Szenario Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei es nicht gewesen. Banken behaupten, Kunde wollte betrügen, wenn mit gültiger PIN Geld abgehoben wurde. Kunde findet Experten, der die Unsicherheit der PIN darlegt. Wer bekommt vor Gericht Recht? Dr. Wolf Müller

Verfolgung Strafverfolgung schwierig: Gesetze fehlen. Ländergrenzen werden überschritten. Urheber nicht nachvollziehbar. Fachkundiges Personal fehlt. Verfolgung oft zu spät. Dr. Wolf Müller

Fazit: Digitale Verbrechen ABER: Wir sind (und bleiben) die Guten! Kostengünstig und lohnend. Erfordern einfache, verfügbare Technologie: Standard PC, Standard Komponenten Überall in einem Netzwerk ausführbar. Leicht zu verschleiern. Leicht zu automatisieren. Schwer zu verfolgen. ABER: Wir sind (und bleiben) die Guten! Dr. Wolf Müller

Asymmetrische Bedrohung: : Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Effektiven Angriffsvektor Geringe Kosten. Dr. Wolf Müller

Beispiel: Einkaufen im Internet Dr. Wolf Müller

Sofortueberweisung.de Einführung zum Thema Sicherheit Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes Argument für die bevorzugte Nutzung von Sofortüberweisung. Komponenten des Sicherheitskonzeptes sind: Hoher Schutz der Identität dank » PIN/TAN System Das fälschungssichere» SSL-Zertifikat Verschlüsselte » SSL-Verbindungen Geschützte PayNet » Serverumgebung Die» Versicherung einer renommierten deutschen Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftet Kontinuierliche » Prüfung durch das TÜV Saarland » Prüfungen durch Grosskunden , die bezüglich Sicherheit keine Kompromisse eingehen. Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt. Dr. Wolf Müller

Sofortueberweisung.de Dr. Wolf Müller

Sammlung: Angriffspunkte Gefälschter Firefox Trojaner Plugin Falscher Server Manipulation OS Angriff DNS Eigene Trusted Root CA Keylogger SW/HW X-site scripting Gewalt Dr. Wolf Müller

SSL-GAU zwingt Browser-Hersteller zu Updates 23.03.11 http://heise.de/-1212986 SSL-GAU zwingt Browser-Hersteller zu Updates Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. …. Dr. Wolf Müller

Angeblicher E-TAN-Generator für Paypal Dr. Wolf Müller