Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Incident Response Labor zur Untersuchung von Computer-Vorfällen.

Veröffentlicht von:Heini Becker Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Incident Response Labor zur Untersuchung von Computer-Vorfällen."—  Präsentation transkript:

1 Incident Response Labor zur Untersuchung von Computer-Vorfällen

2 2 Projektteilnehmer  Jan Menne  Julia Fix  Benjamin Hoherz  Silvio Krüger  Christoph Rößner  Kerstin Schwarze  Irina Tsalman  Jörg Ziemann  Nils Michaelsen  Christoph Buchwald  Torsten Sorger  Christopher Alm  Björn Bartels  Samira Razai Leitung: Prof. Dr. rer. nat. Klaus Brunnstein

3 letztes Semester Winter 2002 / 2003

4 4 Risk Exploit Incident Detection Analysis Response (incl. Avoidance) Incident Response Labor Aufgabenbereich eines IRL

5 5 Zwei Ansätze zum Incident Response 1. Dynamische Analyse: Vorgänge im System werde fortlaufend analysiert  File-Monitor, Registry-Monitor, Sniffer 2. Statische komparative Analyse: zwei Systemzustände werden verglichen  Live/Post Mortem Analyse

6 6 Incident-Arten 1. Malware (Viren, Trojaner, Würmer) 2. Nicht erlaubter Zugriff (z.B. unerlaubtes Einloggen in einen fremden Account) 3. Unerlaubte Nutzung von Diensten (z.B.: Verwendung des Netzwerk-Dateisystems (NFS), um auf das Dateisystem einer remote Server-Maschine zuzugreifen) 4. Versagen eines Dienstes (Benutzer verlassen sich auf Dienstleistungen, die durch ein Netzwerk bereitgestellt werden) 5. Missbrauch (z.B.: wenn jemand ein Computersystem für andere Zwecke benutzt, als offiziell beabsichtigt, z.B.: Spamming) 6. Spionage (Stehlen von Informationen, die im Interessen einer Korporation oder einer Regierung strengstens geheim bleiben sollten) 7. Hoaxes (unzutreffende Information über Vorfälle oder nicht existierende Bedrohungen wird verbreitet)

7 W32/Nimda.A@MM

8 8 Schnelle Verbreitung durch mehrere Spreading-Mechanismen Bef ä llt Webserver Microsoft IIS Infektion von Windows 9x und NT/2000/XP u.U. allein durch Browsen mit IE 5.01, IE 5.5 ohne SP2, IE 6.0 Datei im Anhang:  konstante L ä nge von 57344 Bytes,  verschiedene Namen

9 9 Einige ausgenutzte Vulnerabilities Microsoft IIS/PWS Escaped Characters Decoding Command Execution Vulnerability (MS01-026) Microsoft IE MIME Header Attachment Execution Vulnerability (MS01-020) Microsoft IIS and PWS Extended Unicode Directory Traversal Vulnerability (MS00-078) Microsoft Office 2000 DLL Execution Vulnerability (MS02-052) Außerdem: CodeRed II-Hintertür

10 10 Allgemeine Testumgebung * mit diversen Monitoren (z.B. für Datei- und Registry-Operationen, Prozessbeobachtungen)

11 11 Nimda-Testumgebung Ergo Netzsniffer PhoebeKathy Hub Testumgebung Netzsniffer - Win 2000 SP3 - Ethereal - NAV Kathy, Phoebe: - W2000, IIS 5.0, SP1 - Internet Explorer 5.0 - Shares: Ein Verzeichnis auf C freigegeben - Process Monitor, File Monitor, Registry Monitor

12 12 Der erste Versuch… Verbreitungsarten von Nimda: Via offenen Network-Shares: von Client zu Client Über Scannen nach und ausnutzen von IIS4.0/5.0 Directory traversal vulnerability: von Client zu Web- Server Über Nimda-infizierte Webseiten: von Web-Server zu Client Via email: von Client zu Client Über von „Code Red II“ hinterlassene Backdoors: von Client zu Web-Server

13 13 Nimda Risk Exploit Incident Detection Analysis Response (incl. Avoidance) Schwächen von MIME, IIS, … Nimda-Wurm am 18.09.2001 im Labor Removal Tools, Patches, Neuinstallation? am 18.09.2001

14 Linux/Slapper.Worm

15 15 Details Internet Wurm ISS Ranks Worms as Biggest Net Threat Quelle: http://www.4peeps.com/modules.php?name=News&file=article&sid=1695http://www.4peeps.com/modules.php?name=News&file=article&sid=1695 Erstes Auftreten: 13.09.2002 (nai) Infiziert Linux mit Apache und mod_ssl Produkt aus PUD und openssl-too-open Exploit Payload: baut p2p-Netzwerk für DDoS auf

16 16 Schwachstelle KEY_ARG Buffer Overflow in OpenSSL beim SSLv2 Handshake Bekannt seid Ende Juli 2002 (CA-2002-23) Betroffen: open-ssl Libary < 0.96e / 0.97beta2 Existiert auch in anderen UNIX-Derivaten (BSD  Scalper, Solaris, MAC OS X) Exploit (bisher) nur unter Linux

17 17 Versuchsaufbau Sniffer (Daphne: Ethereal) Victim Attack (Ergo: Apache 1.3.23 mit mod_ssl; tripwire)(Kathy: Slapper.A) Software: Red Hat Linux 7.3, individuelle Paketauswahl HUB

18 18 Arbeiten im „Dunstkreis“ des IRT Bac-Arbeit von Julia Fix und Ira Tsalman „Incident Response am Beispiel von Nimda“ Projektdokumentation von Jörg Ziemann Diplomarbeit von Jan Menne „Methoden der Vorfallserkennung und Analyse“ Diplomarbeit von Nils Michaelsen „Penetrationstest: Möglichkeiten und Auswirkungen“ Diplomarbeit von Benjamin Hoherz „Einfluss von Incident Response auf die Erstellung von Notfallkonzepten“ Diplomarbeit von Silvio Krüger „Superwürmer – Entdeckung und Gegenmaßnahmen“

19 Dieses Semester Sommer 2003

20 20 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT

21 21 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Risk = Bedrohung + Schwachstelle

22 22 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Exploit: Verwirklichte Ausnutzung einer Schwachstelle (z. B. Malware)

23 23 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Incident: Nutzung eines Exploit auf einem konkreten System (d.h. mit abgrenzbarer Umgebung)  Unterschreitung der Sicherheits- anforderungen Definition von Sicherheitsanforderungen: Vertraulichkeit Verfügbarkeit Integrität

24 24 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Detection: Feststellen eines Incident

25 25 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Analysis: Zerlegen der komplexen Gesamtaufgabe in einfache Teile und das Erschließen des Gesamtproblems aus diesen.

26 26 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Response: Gesamtheit der Maßnahmen und Konzepte, die sich aus den Ergebnissen der Analyse eines Incident ergeben (avoidance, measures)

27 27 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Reaction: Idealerweise entsprechend Notfallkonzept unmittelbares Ergreifen von Sicherungsmaßnahmen zum Erhalten von Werten.

28 28 Verfeinerte Sicht von IR Risk Exploit Incident Detection Analysis Response Avoidance Reaction Task IRT Task Corp. CERT Avoidance: Beseitigung der Schwachstelle (z.B. Patch) oder Bekämpfung des Exploits (z.B. Virenscanner)

29 29 Hauptfragen dieses Semester Betrachtung von Vulnerability-Scannern zur qualitativen Beurteilung ihrer Arbeitsweise Verfeinerung der Mittel zur Incident- Analyse

30 30 Vulnerability-Scanner dienen zum Testen von Sicherheitsanforderungen testen automatisiert ein System auf bekannte Schwachstellen Penetration Test: Bewerten der gefundenen Schwachstellen (vulnerability, assessment) Hilfsmittel zum testen von IR

31 31 Mittel zur Incident-Analyse Vorhandensein eines Incident statische und dynamische Analyse zur Generierung der Response Erprobung eines neuen Tools (Dipl.-Arbeit von Jan Menne)

Herunterladen ppt "Incident Response Labor zur Untersuchung von Computer-Vorfällen."

Ähnliche Präsentationen

Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Von Florian Wirths und Fabian Janik

Von Florian Wirths und Fabian Janik
Studiengang Informatik FHDW

Studiengang Informatik FHDW
Surfen im Internet.

Surfen im Internet.
Was sind Trojaner?? - Kein Virus !! - Dienen zum Überwachen und Spionieren - Verstecken sich in nützlichen Programmen - Verstecken sich z.B. in Registry.

Was sind Trojaner?? - Kein Virus !! - Dienen zum Überwachen und Spionieren - Verstecken sich in nützlichen Programmen - Verstecken sich z.B. in Registry.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Oracle WebServer - Einführung. © Prof. T. Kudraß, HTWK Leipzig Oracle Web Application Server HTML WebServer ® File system Static HTML PL/SQL Packages.

Oracle WebServer - Einführung. © Prof. T. Kudraß, HTWK Leipzig Oracle Web Application Server HTML WebServer ® File system Static HTML PL/SQL Packages.
Framework für ein Intrusion Detection System

Framework für ein Intrusion Detection System
Das Build-Tool ANT ETIS SS05. ETIS SS05 - Nadine FröhlichANT 2 Gliederung Motivation Build - Datei –Allgemeiner Aufbau –Project –Target –Task –Properties.

Das Build-Tool ANT ETIS SS05. ETIS SS05 - Nadine FröhlichANT 2 Gliederung Motivation Build - Datei –Allgemeiner Aufbau –Project –Target –Task –Properties.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Sicher durchs Internet

Sicher durchs Internet
Sicherheit in vernetzten Systemen

Sicherheit in vernetzten Systemen
Angriffe erkennen und abwehren - Intrusion Protection im Einsatz

Angriffe erkennen und abwehren - Intrusion Protection im Einsatz
Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellsten Stand. 2. WICHTIG: Installieren Sie.

Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellsten Stand. 2. WICHTIG: Installieren Sie.
1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
FH-Hof HTML - Einführung Richard Göbel. FH-Hof Komponenten des World Wide Webs WWW Browser HyperText Transfer Protocol (HTTP) via Internet WWW Server.

FH-Hof HTML - Einführung Richard Göbel. FH-Hof Komponenten des World Wide Webs WWW Browser HyperText Transfer Protocol (HTTP) via Internet WWW Server.

Ähnliche Präsentationen

Google-Anzeigen