Orientierung, Problemstellung Grundlagen Orientierung, Problemstellung
Modul: IT-Sicherheit Grundlagen Modul: IT-Sicherheit Grundlagen (wahlfreies Angebot) Voraussetzungen für die Teilnahme am Modul: Grundlegende Kenntnisse in der Programmierung (wie sie etwa in GdP vermittelt werden) Lehrveranstaltungen SWS SP und Beschreibung der Arbeitsleistung auf deren Grundlage die SP vergeben werden VL + UE 4 + 2 8 SP: Vorlesung (4 SWS) und Übungen (2SWS) Aktive Teilnahme an den Übungen, erfolgreiche Lösung der Aufgaben, Selbststudium. Voraussetzung für die Vergabe von Studienpunkten Übungsschein ist Voraussetzung für Zulassung zur Prüfung. Bei bestandener Prüfung am Ende des Semesters werden 8 Studienpunkte vergeben. Prüfung (Prüfungsform, Umfang/Dauer, SP) Mündliche Prüfung oder schriftliche Prüfung (wird am Anfang des jeweiligen Semesters bekannt gegeben) Häufigkeit des Angebotes Alle 2 Jahre Dauer des Moduls 1 Semester Dr. Wolf Müller
Termine Vorlesung: Übung: Dr. Wolf Müller Montag & Mittwoch 09:15 – 10:45 RUD 25, 3.301 Wolf.Mueller@informatik.hu-berlin.de Tel.: 3127 Übung: entweder Montag oder Mittwoch 11:00 – 12:30 RUD 25, 4.113 Erster Termin: 16.04.2012 Dr. Wolf Müller
SAR Website Teaching > IT Sicherheit - Grundlagen > [more] https://www2.informatik.hu-berlin.de/sar/Itsec/ Materialien (Folien) Login: $InformatikLogin Password: $InformatikPasswort Dr. Wolf Müller
Regeln Für Prüfungszulassung Übungsschein nötig. Erwartung: Regelmäßige Teilnahme Aktive Mitwirkung in Übung Gerne Anregungen für Vorlesung VL beginnt pünktlich Prüfung: Mündlich 30 min. Voraussichtlich: 8. / 9. August September vor IT-Security-Workshop Dr. Wolf Müller
Literatur Claudia Eckert IT-Sicherheit: Konzepte - Verfahren – Protokolle (aktuell 7. Auflage) (70 €) IT-Sicherheit, Studienausgabe (29 €) Dr. Wolf Müller
Literatur 2 Dr. Wolf Müller
Literatur 3 Levente Buttyan and Jean-Pierre Hubaux Dr. Wolf Müller
Zielstellung Grundlegendes Verständnis für IT-Sicherheit Kritisches Hinterfragen von Design, Abläufen, Software, Verhalten Lernen aus Beispielen Sicherheit ist vielschichtig Sicherheit ist nur temporär, bedarf Pflege, Überprüfung. Sicherheitsmechanismen müssen einfach zu nutzen sein. Privatsphäre, Anonymität, Datenschutz sollte/muss beachtet werden. Nutzerakzeptanz wichtig, oft schwächstes Glied. Dr. Wolf Müller
Agenda: Grundlagen 26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag) Orientierung, Problemstellung Schutzziele / Begriffe Sicherheitsmodelle / Zugriffskontrolle Sicherheitsmodelle / Informationsfluss Angreifertypen, Bedrohungen Dr. Wolf Müller
Agenda: Sicherer Kanal: Alice Bob Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie) Sicherheit von Kryptosystemen Symmetrische versus asymmetrische Verfahren Gruppenaufgabe: Themenvorstellung/ -vergabe Blockchiffren, Stromchiffren Integritätsschutz Digitale Signaturen PKI, Zertifikate, Alternativen & Grenzen Authentifizierung: Wissen, Haben Authentifizierung: Sein = Biometrie Protokolle I: Schlüsselaustausch, Bausteine Protokolle II: SSL/TLS, … Dr. Wolf Müller
Agenda: Sichere Implementierung Systemsicherheit: Bufferoverflow, FormatString Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen (VLAN, IDS, VPN, IP-Sec, IPv6) Netzwerksicherheit II: drahtlos Websicherheit I Websicherheit II Testing / Zertifizierung Präsentation I: Gruppenaufgabe Präsentation II: Gruppenaufgabe Prinzipien des Security-Engineering Dr. Wolf Müller
Übungen: Mo, Mi Raum für Fragen, Anregungen, Diskussionen Gelegenheit zum Überprüfen und Anwenden erworbenen Wissens 3 individuelle abzugebende Übungsaufgaben Elektronische Abgabe (wahrscheinlich Goya) 1 größere Gruppenübungsaufgabe Ziel: Beschäftigung in Praxis mit größerem Problem Darstellung der Ergebnisse vor allen Teilnehmern Gruppengröße: 3-5 (abhängig von Aufgabe) Dr. Wolf Müller
Fragen Dr. Wolf Müller
PRoblemstellung Dr. Wolf Müller
Kurzgeschichte des Computers device penetration time Dr. Wolf Müller
Kurzgeschichte des Computers 1. Personal Desktop Computing device penetration 1978 time Dr. Wolf Müller
Kurzgeschichte des Computers 1. Personal Desktop Computing 2. Personal Ubiquitous Computing device penetration 1991 1993 time Dr. Wolf Müller
Kurzgeschichte des Computers 1. Personal Desktop Computing 2. Personal Ubiquitous Computing 3. Embedded Ubiquitous Computing device penetration time Dr. Wolf Müller
Kurzgeschichte des Computers today device penetration time © Dirk Balfanz, Xerox Parc Dr. Wolf Müller
Computer Overload number of devices per person human capacity device penetration human capacity time Dr. Wolf Müller
Requirements Nötige Sicherheitsmaßnamen Benötigte Fähigkeiten Informationszeitalter Dr. Wolf Müller
Computerkriminalität Dr. Wolf Müller
Computerkriminalität © http://www.symantec.com/region/de/avcenter/cybercrime/bots_page2.html Dr. Wolf Müller
BSI-Bürgerumfrage zur Internetsicherheit Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html Dr. Wolf Müller
BSI-Bürgerumfrage zur Internetsicherheit Sicherheitsupdates und Administratorenrechte häufig unbeachtet https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html Dr. Wolf Müller
Lagebericht BSI 2007 Dr. Wolf Müller
Lagebericht BSI 2009 (1) nPA, ePass https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html Dr. Wolf Müller
Lagebericht BSI 2009 (2) Dr. Wolf Müller
Lagebericht BSI 2011 (1) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbf.pdf Dr. Wolf Müller
Lagebericht BSI 2011 (2) Supervisory Control and Data Acquisition: STUXNET Dr. Wolf Müller
Lagebericht BSI 2011 (3) Dr. Wolf Müller
BSI: Quartalslagebericht 4.2010 (1) Hacker nutzen RTF-Dateien für Angriffe Dr. Wolf Müller
Einige Schutzziele Schutz der Daten vor Kompromittierung Kopie Unberechtigte dürfen private Daten nicht einsehen Kopie Urheberrechtlich geschützte Daten sollen nicht kopiert werden können Verlust oder Veränderung Verhinderung des Abhandenkommens wichtiger Daten Verhinderung der Manipulation wichtiger Daten Dr. Wolf Müller
Bedrohungen Durch Andere Durch den Nutzer selbst Böswillige („kriminelle“) Angriffe mit unterschiedlichen Motiven Mögliche Lösungen: Firewalls, Verschlüsselung Durch den Nutzer selbst Durch unabsichtliche Fehler von Benutzern Verursachte Probleme Mögliche Lösungen: Vorschriften, Back-ups, Redundanz Durch den Ausfall von Systemen Durch „Pannen“ verursachte Datenverluste oder Kompromittierungen von privaten Daten Dr. Wolf Müller
Bedrohungen in der analogen Welt Physische Verbrechen Freiheitsberaubung Körperverletzung Mord / Totschlag Materielle Verbrechen Steuerhinterziehung Betrug / Untreue Fälschung Diebstahl Erpressung Vandalismus / Zerstörung Immaterielle Vergehen Ruhestörung Verkehrsdelikte Beleidigung Dr. Wolf Müller
Analogien Diebstahl Körperverletzung Erpressung Kaffeefahrt → Trojanisches Pferd Brechstange → Brute-Force Angriff Banktresor → Datenbank mit Kontoständen Geldbörse → Nummer der Kreditkarte Körperverletzung Körper → Computersystem DoS Erpressung Foto mit der Geliebten → Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln Dr. Wolf Müller
Kosten und Nutzen Durchschnittlicher Erfolg Kosten Bankraub 1500 € Einzelner Betrug bei eBay 9000 € (Quelle BMSI 2003) Kosten Schneidbrenner, Brechstange, Fluchtwagen, Skimaske, wochenlange Vorbereitung und Beobachtung stehen gegenüber Computer, Netzanschluss und ein wenig Zeit Dr. Wolf Müller
Zugriffsmöglichkeiten Reichweite der Einbrecher Lokal Bankeinbruch Global Hacking einer Bank Dr. Wolf Müller
Spuren eines Einbruchs Bankeinbruch Zerstörungen Fingerabdrücke DNA-Spuren Elektronischer Bankdiebstahl Absender-Adresse Log-Dateien Dr. Wolf Müller
Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns Betrug SPAM Geistiger Diebstahl / Raubkopien Identitätsdiebstahl / IP Spoofing Markendiebstahl / Markenpiraterie Dr. Wolf Müller
Nutzung des Rechtssystems Szenario Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei es nicht gewesen. Banken behaupten, Kunde wollte betrügen, wenn mit gültiger PIN Geld abgehoben wurde. Kunde findet Experten, der die Unsicherheit der PIN darlegt. Wer bekommt vor Gericht Recht? Dr. Wolf Müller
Verfolgung Strafverfolgung schwierig: Gesetze fehlen. Ländergrenzen werden überschritten. Urheber nicht nachvollziehbar. Fachkundiges Personal fehlt. Verfolgung oft zu spät. Dr. Wolf Müller
Fazit: Digitale Verbrechen ABER: Wir sind (und bleiben) die Guten! Kostengünstig und lohnend. Erfordern einfache, verfügbare Technologie: Standard PC, Standard Komponenten Überall in einem Netzwerk ausführbar. Leicht zu verschleiern. Leicht zu automatisieren. Schwer zu verfolgen. ABER: Wir sind (und bleiben) die Guten! Dr. Wolf Müller
Asymmetrische Bedrohung: : Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Effektiven Angriffsvektor Geringe Kosten. Dr. Wolf Müller
Beispiel: Einkaufen im Internet Dr. Wolf Müller
Sofortueberweisung.de Einführung zum Thema Sicherheit Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes Argument für die bevorzugte Nutzung von Sofortüberweisung. Komponenten des Sicherheitskonzeptes sind: Hoher Schutz der Identität dank » PIN/TAN System Das fälschungssichere» SSL-Zertifikat Verschlüsselte » SSL-Verbindungen Geschützte PayNet » Serverumgebung Die» Versicherung einer renommierten deutschen Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftet Kontinuierliche » Prüfung durch das TÜV Saarland » Prüfungen durch Grosskunden , die bezüglich Sicherheit keine Kompromisse eingehen. Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt. Dr. Wolf Müller
Sofortueberweisung.de Dr. Wolf Müller
Sammlung: Angriffspunkte Gefälschter Firefox Trojaner Plugin Falscher Server Manipulation OS Angriff DNS Eigene Trusted Root CA Keylogger SW/HW X-site scripting Gewalt Dr. Wolf Müller
SSL-GAU zwingt Browser-Hersteller zu Updates 23.03.11 http://heise.de/-1212986 SSL-GAU zwingt Browser-Hersteller zu Updates Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. …. Dr. Wolf Müller
Angeblicher E-TAN-Generator für Paypal Dr. Wolf Müller