Präsentation herunterladen
1
Sicherheit in vernetzten Systemen
Thema: Hostsicherheit
2
Begriff Hostsicherheit
Erläuterung: Unter Hostsicherheit versteht man die Sicherheit eines einzelnen Rechners, unabhängig ob er an ein Netzwerk angeschlossen ist oder nicht. Sicherheit: - Verhindern ungewollter Aktivitäten an, mit oder durch den betreffenden Host. Gewährleisten gewollter Aktivitäten an, mit oder durch den betreffenden Host.
3
Begriff Hostsicherheit
Physikalische Sicherheit: Diebstahl von Hardware Zerstörung von Hardware Re- /Umkonfiguration der Hardware An- und Abschließen des Hosts an Netzwerk Netzwerksicherheit - (siehe Vortrag 2)
4
Begriff Hostsicherheit
Softwaresicherheit: Passwörter Sicherheitslücken im Betriebssystem Viren Würmer Trojaner ...
5
Klassifikation von Bedrohungen
- technische / nichttechnische Bedrohungen absichtliche / unabsichtliche Bedrohungen aktive / passive Bedrohungen
6
Bedrohungen der Hostsicherheit
Im Folgenden: Pufferüberläufe – Sicherheitslücke im Betriebssystem Viren Würmer Trojaner
7
Viren - Übersicht Virenarten: Dateiviren Makroviren Bootviren
Viruseigenschaften: Speicherresidente Viren Verschlüsselte Viren - Stealthviren - Polymorphe Viren - Multipartite Viren
8
Virenarten - Dateiviren
Definition: Ein Virus ist ein Programm, das sich replizieren kann, indem es sich an den Code von anderen Programmen anhängt. - infizieren i.d.R. ausführbare Dateien (*.exe, *.com, *.dll, ...) Zwei Teile: Verbreitungslogik und Schadfunktion - werden durch Hilfsprogramme („Dropper“) in Umlauf gebracht
9
Virenarten - Dateiviren
10
Virenarten - Dateiviren
Überschreibender Virus: Virencode ersetzt Dateicode Wirtsdatei wird beschädigt, ist nicht mehr ausführbar
11
Virenarten - Dateiviren
Parasitärer Virus: hängt sich an eine ausführbare Datei an Wirtsdatei behält Funktionalität Virus dadurch schwieriger zu entdecken
12
Virenarten - Dateiviren
Parasitäre Infektion: Der Viruscode kann sich an beliebiger Stelle im Wirtsprogramm befinden
13
Virenarten – Makroviren
einfacher zu implementieren als Dateiviren geschrieben mit Makrosprachen (z.B. Visual Basic) es existieren Makroviren-Generations-Tools eingebettet in Dokumenten-Makros Verbreitung zumeist über -Anhang plattformunabhängig, falls es für das betreffende Dokumenten- format Programme für jede Plattform gibt
14
Virenarten – Makroviren
Beispiel: durch Makrovirus infiziertes Word-Dokument Ausführung von Auto-Makros sorgen für Ausführung des Virencodes Global Templates sorgen für Infektion neuer Dokumente
15
Virenarten - Bootviren
Lebenszyklus eines Bootvirus: infizierte Diskette muss nicht bootfähig sein, um einen Rechner beim Start zu infizieren. vor Makroviren: >60% der Infektionen durch Bootviren, trotz <10% Gesamtanteil
16
Virenarten - Bootviren
Bootviren – Funktionsweise:
17
Vireneigenschaften – Speicherresidente Viren
- Nicht-speicherresidente Viren abhängig von Ausführen infizierter Dateien speicherresidente Viren verbreiten sich schneller, da sie öfter „aktiviert“ werden schwieriger zu implementieren
18
Vireneigenschaften – Speicherresidente Viren
Funktionsweise: Virus lädt sich bei erster Ausführung in den Hauptspeicher und hängt sich dort hinter Interruptvektoren. Interruptvektoren legen fest, welcher Code im Falle des ent- sprechenden Interrupts ausgeführt wird. vorzugsweise wird der Systemaufruf-Interruptvektor angezapft, da dieser im Schnitt häufiger erfolgt als andere. erfolgt ein Systemaufruf, so wird zunächst der Virencode ausgeführt.
19
Vireneigenschaften – Speicherresidente Viren
Beispiel Bootvirus & Windows Betriebssystem: Ziel des Bootvirus: Speicherresident sein nach Start des Betriebssystems - Ansatzpunkt: Virus im gefälschten Bootsektor aktiviert lädt sich selbst in den Speicher startet dann das Betriebssystem
20
Vireneigenschaften – Speicherresidente Viren
Betriebssystem-Schwäche: Windows lädt Gerätetreiber nacheinander, von denen sich dann jeder den benötigten Interrupt- vektor nimmt Schritt 1: Bootvirus lädt sich hinter jeden Interruptvektor und startet dann das Betriebssystem (hier:Windows)
21
Vireneigenschaften – Speicherresidente Viren
Schritt 2: Windows-Betriebssystem wird gestartet Gerätetreiber werden der Reihe nach geladen hier: Druckertreiber überschreibt seinen Interruptvektor daraus folgt: Virus verliert Kontrolle über Druckerinterrupt
22
Vireneigenschaften – Speicherresidente Viren
Schritt 3: Zwischendurch tritt Uhrinterrupt auf Uhrinterrupt aktiviert Virus Virus erkennt den Verlust des Druckerinterruptvektors Virus überschreibt diesen Vektor erneut
23
Vireneigenschaften – Speicherresidente Viren
Schritt 4: Betriebssystem ist fertig geladen Virus behält Interruptvektor für Systemaufrufe Virus gibt alle anderen Interrupt- vektoren ab
24
Vireneigenschaften – Verschlüsselte Viren
Verteidigungsmaßnahme des Virus Ziel: Verkleinern und Verschlüsseln der eigenen Signatur dadurch schwierigere Entdeckung durch Virenscanner
25
Vireneigenschaften – Verschlüsselte Viren
Resultat: Verschlüsselungsroutine wird zur Virensignatur Virenscanner suchen nach Verschlüsselungsroutine kleine Verschlüsselungsroutine effektiv gegen Virenscanner, trotzdem geringe Erfolgsaussichten, unerkannt zu bleiben Erweiterung: Polymorphe Viren
26
Vireneigenschaften – Polymorphe Viren
Schritte zu einem polymorphen Virus: ein nicht infiziertes, ausführbares Wirtsprogramm Programm aus a) ist durch Virus infiziert. Dadurch ist das Programm länger, Virus kann durch Virenscanner leicht entdeckt werden. Hinzugefügt: De-/Komprimierer. Virus und Wirtsprogramm werden komprimiert, müssen vor Ausführung dekomprimiert werden. Dadurch verringerte Programmgröße, Infektion ist nicht mehr offensichtlich. Aber: Virensignatur durch komprimiertes Virus immer noch vorhanden.
27
Vireneigenschaften – Polymorphe Viren
d) Hinzugefügt: Ver-/Entschlüssler. Komprimiertes Virusprogramm wird verschlüsselt. Dadurch wird Virensignatur verschleiert. Aber: De-/Komprimierer und Ver-/Entschlüssler bieten neue Signatur für Virenscanner. Zusätzliches Verschlüsseln des De-/Komprimierers und des Verschlüsslers. Entschlüssler allein bietet noch eine Virensignatur an.
28
Vireneigenschaften – Polymorphe Viren
29
Vireneigenschaften – Polymorphe Viren
Situation bei (e): nur der Entschlüssler bietet der Antiviren- Software noch eine Virensignatur, da er selbst nicht verschlüsselt werden darf. Lösungsansatz: Bei jeder weiteren Verbreitung ändert der Virus den ausführbaren Code des Entschlüsslers. beliebig viele Mutationen sind möglich. Mutationsmaschine verändert Maschinenanweisungen, ohne die Funktionalität zu verändern. - Polymorphe Viren mutieren bei jeder Kopie.
30
Vireneigenschaften – Polymorphe Viren
Beispiel: Entschlüsselungsroutine führt Berechnung X = (A + B + C – 4) durch. hier: Mutation des Assemblercodes eines generischen 2-Adress-Computers
31
Vireneigenschaften – Stealth Viren
Verteidigungsmaßnahme des Virus Ziel: Verbergen der eigenen Existenz verschiedene Methoden möglich Beispiel 1: Eigenes Löschen, falls ein Scan durch Virenscanner erkannt wird. Datei wird nach Scan wieder infiziert. Beispiel 2: Manipulation von Befehlrückgaben. (hier:DOS) Benutzer gibt „dir <enter>“ ein, Befehl wird vom Virus zum DOS weitergeleitet, DOS berechnet Ergebnis. Ergebnis wird auf Rückweg vom Virus manipuliert. Benutzer erkennt dadurch nichts Außergewöhnliches.
32
Vireneigenschaften – Multipartite Viren
Verteidigungsmaßnahme des Virus Ziel: Erhöhung des Schutzes vor Anti-Virensoftware durch Kombination verschiedener Vireneigenschaften
33
Schutz durch Betriebssystem
Aufgabe des Betriebssystem - Schutz folgender Objekte: - Speicher - E/A Geräte - Programme - Daten Mögliches Spektrum: - Kein Schutz Isolation Alles oder nichts freigeben Freigabe über Zugriffsbeschränkungen Freigabe über dynamische Zugriffsberechtigungen
34
Abwehrmaßnahmen - Virenscanner
Erkennen - Feststellung einer Infektion - Lokalisierung des Virus Identifizieren - Art des Virus ermitteln Entfernen - Virus aus infiziertem Programm entfernen - Wiederherstellung des infizierten Programms - Virus aus infizierten Systemen entfernen
35
Abwehrmaßnahmen - Virenscanner
Generische Entschlüsselung (Generic Decryption, GD) CPU Emulator startet Übersetzung des Zielcodes - kontrollierte Simulationsumgebung => kein Schaden möglich zwischendurch Unterbrechung durch Emulationskontrollmodul für Scan auf Virensignaturen lange Emulation = hohe Erfolgswahrscheinlichkeit aber: begrenzte Zeit und Ressourcen für Virenscanner
36
Abwehrmaßnahmen – Digitales Immunsystem
1 – Analysieren des Virenverhaltens in sicherer Umgebung 2 – Extrahieren der Signatur 3 – Herleiten eines Rezepts
37
Trojaner - geben vor, nützlich zu sein
enthalten eine andere, verborgene Funktion Backdoor-Trojaner: Hacker kann in System einfallen und es fernsteuern bestehen aus: - Server - Client - Konfigurationstool
38
Würmer sich selbständig verbreitendes Programm
brauch kein Wirtsprogramm gleicher Lebenszyklus wie ein Virus - Schlafphase - Verbreitungsphase - Auslösephase - Ausführungsphase benutzt Netzwerkmedium für Verbreitung (z.B. , entferntes Einloggen...)
39
Pufferüberläufe Ansatz von Angriffen:
Programmiersprache C prüft nicht auf Pufferüberläufe Folgendes Beispiel erzeugt keinen Compilerfehler: int i = 12000; char c[12]; char[i] = 0;
40
Pufferüberläufe
41
Pufferüberläufe Angreifer gibt in Eingabefeld eigenes Programm ein
Eingabe erzeugt unbemerkten Pufferüberlauf originale Rücksprungadresse wird überschrieben und durch Startadresse des Hackerprogramms ersetzt
42
Zusammenfassung Behandelt wurden: Begriff Hostsicherheit Virenarten
Dateiviren Makroviren Bootviren Vireneigenschaften Speicherresidente Viren Verschlüsselte Viren Polymorphe Viren Stealth Viren Multipartite Viren Pufferüberläufe Schutz durch Betriebssystem Virenscanner Generische Entschlüsselung Digitales Immunsystem
43
Quellen Andrew S. Tanenbaum: Moderne Betriebssysteme
2., überarb. Auflage München 2003 William Stallings: Betriebssysteme 4., überarb. Auflage München 2003 Roger A. Grimes: Malicous Mobile Code Sebastopol 2001 Jürgen Schneiderer: mitp-Trainingsbuch SuSe Linux Sicherheit Bernhard Esslinger: IT-Sicherheit organisatorische, rechtliche, technische und mathematische Aspekte WS 2003/2004
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.