Angreifertypen, Bedrohungen I

Präsentation zum Thema: "Angreifertypen, Bedrohungen I"—  Präsentation transkript:

1 Angreifertypen, Bedrohungen I
Grundlagen Angreifertypen, Bedrohungen I

2 Angreifer-Typen Studien: über 80% der in Unternehmen, Firmen, Behörden bekannt gewordenen Angriffe durch Mitarbeiter. = Angriffe von innen Öffentliche Wahrnehmung: Hacker & Cracker. Entwicklung: zunehmend offene Systeme, folglich Anstieg auf ähnliches Niveau. Hacker Cracker Skript Kiddie Wirtschaftsspionage Mitarbeiter Geheimdienste (Bundes-Trojaner, Stuxnet) Dr. Wolf Müller

3 Hacker Technisch sehr versiert Ziel: Meist:
Schwachstellen, Verwundbarkeiten in IT Systemen aufdecken. Angriffe, Exploits entwickeln, die die Schwachstellen ausnutzen. Meist: Veröffentlichung der Exploits, um auf Schwachstellen aufmerksam zu machen. Keine persönlichen Vorteile, finanzielle Gewinne oder wirtschaftliche Schädigung Dritter. = Hacker-Ethik Oft Methoden illegal, außerhalb gesetzlicher Regelungen. Dr. Wolf Müller

4 „Hacker-Paragraph“ Neufassung § 202 c StGB:
Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang oder von geeigneten Computerprogrammen mit Geld- oder Freiheitsstrafe von bis zu einem Jahr bedroht. Rechtsausschuss des Bundestages Zusatzerklärung: … von der neuen Regelung nur Computerprogramme betroffen sind, die in erster Linie dafür ausgelegt sind oder hergestellt werden, um Straftaten aus dem Bereich der Computerkriminalität zu begehen. Unklar, inwieweit diese Erklärung in der Praxis oder der Bewertung der Gerichte noch Berücksichtigung finden wird. Dr. Wolf Müller

5 Cracker Ebenfalls technisch sehr versiert. Ziel jedoch:
Gezielte Angriffe zum eigenen Vorteil oder zum Nachteil Dritter Größeres Schadensrisiko als durch Hacker. Verkauf der Dienstleistungen. Dr. Wolf Müller

6 Skript Kiddie Viel Zeit. Nicht zwingend vertieftes Know-how.
Nutzung von frei verfügbaren Exploits. Motivation: Spieltrieb, Neugierde. Zunehmende Bedrohung durch Leichtigkeit vorgefertigte Exploits zu nutzen. Oft jedoch durch Patchen schnelles Schließen der Lücken möglich. Dr. Wolf Müller

7 Wirtschaftsspionage Top Kenntnisse / Ausrüstung.
Gezielte, speziell zugeschnittene Angriffe. In jüngster Zeit vermehrtes Abhören von Datenleitungen und ISDN- / Voip- Verbindungen. Wirtschaftsspionage Geheimdienste Echlon: NSA betreibt in den USA seit 80-er Jahren flächendeckende Überwachung von Telefonaten, , Fax, die über Satelliten, Kabel, Funktürme gesendet wurden. Aufgezeichnete Daten nach verdächtigen Begriffen durchsucht Verlust des Auftrags für Airbus von 3 Milliarden € an Saudi Arabien, da NSA Info an USA-Industrie weitergeleitet haben soll. Scheitern von ICE-Technologieverkauf von Siemens an Südkorea, hier soll der franz. Geheimdienst Nachrichten abgefangen haben; 2 Milliarden Schaden. Dr. Wolf Müller

8 Weitergabe von Passagier-Daten EUUSA
34 Informationen über Passagiere auf Transatlantik-Flügen: Namen, Geburtsort und -datum, Adresse, private und berufliche Telefonnummern, -Adressen, Kreditkartennummern, Auskünften über Reiseversicherungen bis zu Hin- und Rückreisedaten, Sitzplatznummer und Anzahl der Gepäckstücke. … EU-Parlament segnet Fluggastdaten-Transfer in die USA ab 15 Jahre Speicherung Dr. Wolf Müller

9 Mitarbeiter Schadensursachen: Lösungsansätze:
Mangelnde Kenntnisse der Systemgegebenheiten Mangelnde Kenntnisse der Sicherheitsmechanismen und deren Bedeutung Nachlässigkeit im Umgang mit dem System und den zu verwaltenden sensiblen Informationen Unterentwickeltes Problembewusstsein, sowohl bei Mitarbeitern als auch im Top-Management Überforderung, Stress Lösungsansätze: Ganzheitliches Sicherheitsmanagement (Gemeinsame Betrachtung der organisatorischen Strukturen, Geschäftsprozesse und technischen Komponenten) Dr. Wolf Müller

10 Mitarbeiter: Bedrohungen
Virus Viele Angriffe durch Viren, Würmer, Trojanische Pferde aufgrund fehlerhafter Implementierungen von Systemen. Häufig auch gezielt von Mitarbeitern platziert. Mobile Speichermedien, Laptop, Handy, … Social Engineering Nicht technischer Natur. Angreifer versucht Opfer dazu zu bringen, absichtlich oder unabsichtlich gutgläubige sensitive Informationen preiszugeben. Sich als Sysadmin auszugeben (Tel.) um Passwort abzufragen, um angeblich dringend notwendige Arbeiten durchzuführen. Entwicklung: Zukünftig weiterer Anstieg von Software-bedingten Bedrohungen, insbesondere Viren, Trojaner. Anstieg von durch Unkenntnis und Nachlässigkeit hervorgerufenen Schäden. Bedarf an Mitarbeiterschulungen. Dr. Wolf Müller

11 http://heise.de/-1517377 Firmenkennwörter sind Angestellten wenig wert
Bei einer britischen Umfrage gaben fast die Hälfte der Angestellten an, sie würden ihr Firmenkennwort für weniger als 5 Pfund an Dritte verkaufen. 30 Prozent würden sich sogar mit weniger als 1 Pfund begnügen. Weniger als ein Drittel weigerten sich kategorisch, ihr Firmenkennwort herauszugeben. Ihr privates Kennwort für Social-Media-Websites war den Befragten wesentlich teurer: Hier wurden 34 Prozent erst bei Beträgen oberhalb von 50 Pfund schwach. 80 Prozent gaben an, ihr privates Kennwort niemals weiterzugeben. Für die Studie wurden 2000 Verbraucher befragt. 34 Prozent gaben an, ihr Firmenkennwort schon weitergegeben zu haben. Andere Ergebnisse der Umfrage zeigen, woher bei den Auftraggebern der Wind weht: 60,5 Prozent gaben an, sie würden ihr Kennwort aufschreiben. Das ist grundsätzlich nicht weiter schlimm, sofern das Kennwort an einem sicheren Ort aufgeschrieben und aufbewahrt wird. Dr. Wolf Müller

12 Bedrohungen Virus Wurm Trojaner Rootkit Dr. Wolf Müller

13 Virus: Geschichte Jürgen Kraus Diplomarbeit: „Selbstreproduktion bei Programmen“ Vergleich: Programme können sich ähnlich biologischen Viren verhalten. Professor Leonard M. Adleman verwendet im Gespräch mit Fred Cohen erstmalig Begriff „Computervirus“. Fred Cohen liefert seine Doktorarbeit "Computer Viruses - Theory and Experiments“ (mit funktionierendem Virus für das Betriebssystem UNIX) ab. Über Mailboxen Trojanisches Pferd Gotcha (Programm, das Grafik verbessern soll) verteilt. Nach Start: Daten auf Festplatte gelöscht & auf Bildschirm der Schriftzug „Arf, arf, Gotcha.“ Zwei Software-Händler aus Pakistan: Erstes Virus für MS-DOS. Programm relativ harmlos, nur Inhaltsverzeichnis der befallenen Disketten in Brain umbenannt. Dr. Wolf Müller

14 Virus: Geschichte (2) Im Data-Becker Verlag: erste Buch zum Thema Computerviren "Das große Computervirenbuch" von Ralf Burger. Cascade-Virus lässt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen, wo sie sich zu einem kleinen Häufchen sammeln. Er vernichtete Dateien. Erster Baukasten für Viren (Virus Construction Kit) veröffentlicht.  Auch Anfängern möglich, Viren nach Maß zu erstellen. Mit V2Px erstes polymorphes Virus (Verschlüsselt sich selbst wieder neu, durch Antivirenprogramme nur schwer zu entdecken) Der Verband deutscher Virenliebhaber verbreitet erstes Virus Construction Kit für DOS. Dr. Wolf Müller

15 Virus: Geschichte (3) Erste Computerviren für Windows tauchen auf. Es erscheinen die ersten Makroviren. Erste Virus für das Betriebssystem Linux tritt in Erscheinung. Strange Brew, das erste Virus für Java, erscheint. Loveletter infiziert mehr PCs als jedes bisherige Virus. Das erste Virus für PocketPCs (mit dem Betriebssystem Windows CE) tauchte auf. Das erste Virus für die Programmiersprache Ruby wurde geschrieben. Das erste Virus für Handys (mit dem Betriebssystem Symbian OS) tauchte auf. … Dr. Wolf Müller

16 (Computer) Virus Keywords:
Befehlsfolge , die ein Wirtsprogramm zur Ausführung benötigt. Zur Reproduktion fähig. Dazu wird bei Ausführung eine Kopie (Reproduktion) oder eine modifizierte Variante (mutierender Virus) in einen Speicherbereich, der diese Befehlssequenz noch nicht enthält geschrieben. = Infektion Enthält in der Regel Schadensteil. Schadensteil kann unbedingt oder durch Auslöser aktiviert werden. Keywords: Programm Replikat Trigger  Auslöser Payload  Wirkteil Dr. Wolf Müller

17 Replikation Codierung der Befehlsfolge: Potenzielle Speicherbereiche:
Maschinensprache Kommandosprachen Skript Sprachen Hochsprachen Potenzielle Speicherbereiche: Code Ausführbarer Programme von Benutzern Bereiche des Betriebssystems Sektoren von Speichermedien Dokumente, Dateien (Office: Makroviren) Dr. Wolf Müller

18 Virus: Struktur Viruskennung PROCEDURE Virus BEGIN 1234 Infektionsteil
suche eine nicht infizierte Programmdatei IF (gesundes Programm gefunden) THEN copy Virus to Programm; Schadteil IF (Datum = „Freitag der 13.“) THEN formatiere Festplatte Sprung springe an Anfang des Wirtsprogramms; END. erste Zeile ≠ 1234 Allgemeine Struktur Beispiel Dr. Wolf Müller

19 Viren-Typen Erste Generation: Programm-Viren
Abkehr von Maineframe, hin zu PC Verbreitung über Disketten oder manuelle Installationen Abwehr: Quarantänestationen Programm-Viren Kopiert sich in ausführbare Datei Verbreitung bei Programmausführung Nach Infektion: ausführbares Programm: Führt nach Aufruf erst Virus aus Verschleierung: Veränderung der Strukturdaten der infizierten Datei Dr. Wolf Müller

20 Funktionsweise Beispiel Cascade 1701 Ver-/Ent-schlüsseln Sprung-befehl
Virus Programmdatei Dr. Wolf Müller

21 Viren-Typen (2) Boot-Viren
Befall der Bereiche der Festplatte / Diskette, die beim Booten in den Hauptspeicher geladen werden Ablauf: Boot, Rechner initialisiert CPU, startet Code zur Überprüfung der Hardware (aus ROM BIOS) Im nächsten Schritt werden Befehle aus dem Bootsektor geladen Boot-Virus meist vor Bootsektorprogramm gespeichert, wird zuerst geladen Residente Speicherung des Boot-Virus-Codes Kann sich als Event-Handler (z.B. für Mouse registrieren) Großer Schaden möglich Heute keine wesentliche Rolle Virus Code Lade Virus (resident) Virus-Kennung … Bootprogramm Lade OS Lade Treiber Lade Konfig. …. Dr. Wolf Müller

22 Viren-Typen (3) 2. Generation Übergang zu vernetzten Systemen
Keine Quarantäne mehr möglich; Isolierung, Abschottung = starke Einschränkung der Nutzbarkeit Vielzahl von Infektionskanälen (attachments) Java-Applets Elektronische Dokumente Postscript/PDF-Dateien Verbesserte Software-Werkzeuge → Verbreitung von Viren: viele Aktionen automatisch, transparent für den Nutzer Postscriptinterpreter, Textverarbeitungsprogramme, MIME-Interpreter führen eingebettete Befehle automatisch aus. Sicherheit  Komfort Funktionalität: 1G: oft destruktiv 2G: oft gezielte Angriffsvorbereitung: Sammeln sicherheitsrelevanter Informationen Gezielte Veränderung von Konfigurations- und Systemdateien Unterschied Virus / Wurm verschwimmt, Synonym Dr. Wolf Müller

23 Viren-Typen (4) Makro- oder Daten-Viren
GUI Anpassung durch eingebettete Befehle (Makros) Word, Excel Daten-Dateien  Objekte mit ausführbaren Bestandteilen auch nur lesbare Dateien potentielle Wirte für Viren Lesen einer Datei / reicht zur Infektion aus (Ausführung der Makros für Nutzer nicht unbedingt ersichtlich) In der Regel plattformunabhängig hohes Verbreitungspotential Dr. Wolf Müller

24 PDF-Angriffsvektoren
Quelle: Dr. Wolf Müller

25 Sobig Virus Anfang 2003, rasante Ausbreitung
klassisch: Social Engineering Attachement Subject: Re: Sample, Re: Document, Re Movies Body: … Please see the attached file for Details Attachment: Sample.pif Doppelklick = Infektion Infektionsteil: Kopie Winmgm32.exe in Windows-Verzeichnis Registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\“WindowsMGM“=C:\WINDOWS\Winmgm32.exe HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Opfersysteme gesucht in den Netzwerkfreigaben Dr. Wolf Müller

26 Sobig Virus (2) Schadensteil Fazit:
Verschicken seiner selbst als (Adressbücher des befallenen Rechners) Öffnen einer jpeg-Datei (Porno), um weitere Schadfunktion zu initiieren (Trojaner) Start des Trojaners Key-logger (key-logger.dll) Ausspähen von Registry-Einträgen TCP-Verbindung an geocities.com liefert URL für Ablieferung der Ergebnisse Öffnet Port 1180 für remote-Zugang Fazit: Klassiker schnelle Verbreitung über sorglose Benutzer, bekannte Absenderadresse, Neugier Windows-Registry zum automatischen Starten Nachladen weiterer Komponenten Prototyp für: Sobig-F (08/03), netsky (03/04) Variante: Attachment passwortgeschützte zip-Datei, Password dazu im Klartext oder als Bild gefährlich, Virenscanner nicht ausreichend Dr. Wolf Müller

27 Sobig-F Dr. Wolf Müller

28 Gegenmaßnahmen präventiv Konfiguration der Rechner: Verschlüsseln
Analyse der Eintrittspunkte Stark gefährdete Systeme: Internet, sehr viele verschiedene Benutzer Überwachungswerkzeuge, Viren-Scanner einsetzen Restriktive Ausführungs- und Rechteumgebungen Spielprogramme nur im TMP, chroot unter linux Virenschutz periodisch im Hintergrund aktiv Neue Software sollte nur in spezifisch dafür konfigurierte Bereiche geladen werden, eingehende Analyse vor der Verwendung Test in VM, aber Virenautoren reagieren darauf. Regelmäßiges Backup Verschlüsseln Virus kann verschlüsselte Dateien nicht befallen (EFS) Dr. Wolf Müller

29 Gegenmaßnahmen (2) Hashing Quarantäne Isolierung
Hash von Dateien, Hash muss schreibgeschützt aufbewahrt werden. Befall wird erkannt, nicht verhindert, aber Stop der Ausbreitung Backup benötigt. Quarantäne Verhinderung der automatischen Ausführung von Makros beim Lesen. Isolierung Viren-Scanner für (un)bekannte Im Zweifel löschen Dr. Wolf Müller

30 Antivieren-Tools Viren-Scanner Aktivitätskontrolle
Erkennung an Viren-Kennung Spezifischen Bytemuster Codesequenzen Wissen aus Datenbanken + Regeln, welche Dateien zu Untersuchen sind (.exe, .com, …) Nur bekannte Viren können erkannt werden. Update der Signaturen Wettlauf Versuch Heuristik anzuwenden: noch unbefriedigend Problem beim Erkennen von Mutationen Aktivitätskontrolle Programme werden bei ihrer Ausführung überwacht Wiederholter, modifizierender Zugriff auf ausführbare Dateien Versuch direkt auf externe Speichermedien zuzugreifen = einfache Versionen eines IDS Monitoring der Systemdateien und Konfiguration Dr. Wolf Müller

31 Retro-Viren Reaktion auf verbesserte Viren-Scantechniken
Biologie: Angriff auf das Imunsystem selbst Computer: Angriff auf Viren-Scanner Ziel: Deaktiverung der Viren-Überprüfung Modifikation der Config-Datei des Scanners (liegt in der Regel im Klartext vor) Modifikation der Datenbank Viren-Kennungen Scan-Regeln (.exe -> .exe1) Ursache: unzureichende Zugriffskontrolle bei Zugriffen auf Datenbanken, Datenbanken unverschlüsselt Dr. Wolf Müller

32 Wurm Ablauffähiges Programm mit Reproduktionsfähigkeit.
Meist aus mehreren Programmteilen = Wurmsegmenten Braucht keinen Wirt. Vervielfältigung selbständig, meist unter Kommunikation mit anderen Wurmsegmenten. Verbreitung insbesondere über Netzwerk Ausgangspunkt für Angriff: Systemprozesse (ständig oder regelmäßig aktiv) Bedrohungen: Integrität, Vertraulichkeit, Verfügbarkeit (hohe Speicher- / Netzlast) Dr. Wolf Müller

33 Wurm: Beispiel Internet Wurm ILOVEYOU
Attachment .vbs (Visual Basic Script) Voraussetzung: MS-Windows, Outlook Schaden: Gezielte Zerstörung von lokalen Dateien (jpeg, mp2, mp3) Lokale Passwortsuche Versuch der Übermittlung an Programmierer Dr. Wolf Müller

34 Historischer Rückblick: 1988 Internet Worm
© Helmut Reiser, Institut für Informatik, LMU Chronologie der Vorfälle an der University of Utah: Mittwoch 2. November 1988 17:01:59: Test oder Start des Wurms 17:04: Maschine an der Cornell University „befallen“ 20:49: Wurm infiziert VAX 8600 an der Univ. Utah (cs.utah.edu) 21:09: Wurm versucht von VAX aus andere Maschinen zu infizieren 21:21: Load (Anzahl der rechenbereiten Prozesse) von 5 21:41: Load von 7 22:01: Load von 16 22:06: Es können keine Prozesse mehr gestartet werden, Benutzer können sich nicht mehr anmelden 22:20: Systemadministrator terminiert den Wurm Prozess 22:41: Der Wurm ist zurück; Load 27 22:49: System shutdown, reboot 23:21: Der Wurm ist zurück; Load 37 Dr. Wolf Müller

35 Internet Wurm: „Wie er arbeitet“
- Wie befällt er neue Maschinen? sendmail Bug (seit langem bekannt) finger Bug; Buffer Overflow (nur VAX werden befallen) Remote execution (rsh, rexec) - Welche Accounts werden angegriffen? Offensichtliche Passwörter Leeres Passwort Benutzername Benutzername+Benutzername Infos aus GECOS-String Nachname Nachname rückwärts Build-In Wörterbuch (432 Wörter) /usr/dict/words (24’474 Wörter) Trusted Host Beziehung (.rhosts) - Welche hosts werden angegriffen? Maschinen in /.rhosts und /etc/host.equiv .forward Datei gebrochener Accounts .rhosts Datei gebr. Accounts Gateways aus der Routing-Tabelle Endpunkte von Point to Point Verbindungen Zufällig geratene Adressen Nur Sun und VAX - Was der Wurm NICHT tut: Versuchen root access zu erhalten Well-known Accounts angreifen Daten zerstören „Zeitbomben“ zurücklassen Dr. Wolf Müller

36 Internet Wurm: Programm Struktur
main Routine argv[0] := “sh”; /* rename process */ Is there already a worm? /* faults here causes mass infection */ Initialize clock; while (true) { cracksome(); /* attack accounts, try to find hosts*/ sleep(30); /* hide the worm */ Listen for other worms /* faults here causes mass infection */ create a new process, kill the old /* Camouflage */ try to attack some machines; sleep(120); /* hide the worm */ if (running > 12 hours) cleaning host List; /* reduce memory consumption */ if (pleasequit && wordcheck > 10) exit } Dr. Wolf Müller

37 Internet Wurm: Angriffsmaschine
Dr. Wolf Müller

38 Internet Wurm: Gelernte Lektionen
- Verursacher und rechtliche Folgen Robert T. Morris, 23, Cornell Student (Sohn des NSA Chief Scientist). Suspendierung von der Cornell University. Verurteilt zu $ und 400 Stunden gemeinnütziger Arbeit. - Lektionen (Lange) bekannte Bugs fixen, starke Passwörter benutzen. „Least privilege“ Prinzip (sowenig Rechte wie nötig), strenge Zugriffskontrolle. Logging und Auditing. Kontinuierliche Information von sich und anderen „Zentrales“ Security Repository. CERT (Computer Emergency Response Team) wurde gegründet Bundesregierung beschließt Sicherheitsstrategie für den Cyber-Raum Dr. Wolf Müller

39 Wurm: Beispiel (2) Lovesan- bzw. Blaster-Wurm
Sommer 2003 beträchtlicher Schaden Neben Server auch Heimanwender-PC angegriffen. Ziel: windowsupdate.com, DDoS SYN-Anfragen an Port 80 = Syn-Flood Attacke Mittel: Buffer-Overflow im DCOM RPC-Dienst (TCP,135) Suchen verwundbarer Systeme durch Scan des lokalen Klasse C-Subnetzes oder beliebigen IP-Bereich senden eines präparierten TCP-Pakets, Buffer-Overflow, ausführbarer Code in das System injiziert, mit root-Rechten remote shell (TCP,444), tftp (UDP,69) zum Ausgangsrechner msblast.exe Registry: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run windows auto update=msblast.exe I just want to say LOVE YOU SAN!! bill Absturz des RPC-Dienst, Reboot Dr. Wolf Müller

40 Wurm Bedrohung: Gegenmaßnahmen:
Hoch, beliebiger Code kann ausgeführt werden Gegenmaßnahmen: Patch Konfiguration, Schließen unbenötigter Ports / Dienste Minimale Rechte Dr. Wolf Müller

41 Infektionsmechanismen
Netzwerke USB-Stick, Wechselmedien Dubiose Software Mailboxen Shareware, Public Domain Dr. Wolf Müller

42 Historischer Rückblick : 2003 Slammer Wurm
© Helmut Reiser, Institut für Informatik, LMU - Chronologie Samstag, 25. Januar 2003: Kurz vor 5:30 Uhr (UTC), d.h. 6:30 Uhr (MEZ) taucht der Wurm auf Verbreitung des Wurm um 6:00 Uhr (UTC): Kreisdurchmesser  Anzahl infizierter Hosts (logarithmische Darstellung) Dr. Wolf Müller

43 SQL Slammer im Münchner Wissenschaftsnetz
Münchner Wissenschaftsnetz (MWN), verbindet u.a. alle Standorte der Münchner Universitäten, der FH und der Bayerischen Akademie der Wissenschaften: Massive Störungen von Samstag :30 Uhr bis :30 Uhr Verkehrsstatistik am zentralen Router des MWN (1 Woche)  eingehender Verkehr,  ausgehender Verkehr, Max. Peak im 5 Minuten Intervall (eingehend), Max. Peak im 5 Minuten Intervall (ausgehend) Dr. Wolf Müller

44 Slammer Verbreitung und Folgen
- Schnellster Wurm in der Geschichte 1. Minute: Verdopplung der Population alle 8,5 Sekunden (± 1 s) nach 3 Minuten: etwas verringerte Verbreitungsrate; Netzbandbreite wird zum beschränkenden Faktor. nach 10 Minuten: ca. 90 % aller anfälligen Hosts sind infiziert. - Folgen: Große Teile des Internets nicht mehr erreichbar. Steuerungssysteme für die Stromversorgung gestört. Funktionsstörungen bei Geldautomaten. Steuerrechner von zwei Atomkraftwerken in den USA betroffen. Dr. Wolf Müller

45 Slammer: Voraussetzungen
- SQL Server; Client Verbindungen über: NetBios (TCP Port 139/445) Sockets (TCP Port 1433) Monitor Port (UDP 1434) zur Ermittlung der Verbindungsart; Client schickt 0x02 an den Port; Server schickt Verbindungsinformationen - Buffer Overflow Bug im SQL Server Client setzt erstes Bit auf 0x04 im Bsp. \x04\x41\x41\x41\x41 (\x41 = „A“) SQL Monitor nimmt Rest der Daten und öffnet damit Registry HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion Über geeignet formatierte Daten kann hier ein Buffer Overflow herbeigeführt werden. - Problem: SW von Drittanbietern beinhaltet SQL-Server, Dies ist nicht allgemein bekannt. Dr. Wolf Müller

46 Wie funktioniert Slammer?
- Slammer passt in ein UDP Packet 376 Byte groß, geschrieben in Assembler, mit Header Informationen 404 Byte. - Slammer nutzt Buffer-Overflow an UDP Port 1434 - Nach Infektion: „Raten“ zufälliger IP-Adressen. Angriff über UDP. Keine Schadfunktionalität im eigentlichen Sinn. - Charakteristika: UDP verbindungsloses Protokoll; wird nur durch Bandbreite beschränkt. Höchste beobachtete „Probing“-Rate: Scans pro Sekunde. Aggressive Verbreitungsstrategie führt dazu, dass der Wurm mit anderen Würmern um Netzbandbreite konkurriert. Dr. Wolf Müller

47 Slammer im Münchener Wissenschaftsnetz
Monatsstatistik - Mind. 8 SQL-Server betroffen - Maßnahmen: Zugang zum MWN für diese Server gesperrt. Port 1434 gesperrt. Dr. Wolf Müller

48 Slammer: Gelernte Lektionen
Grundproblematik: Nicht behobene Bugs in Anwendungen (kein Einspielen von Patches). Bundling von Software: Anwender weiß u.U. nichts von Sicherheitsproblemen und notwendigen Patches. Angriffe über UDP können zu extrem schneller Verbreitung führen. - Gegenmaßnahmen: Filtern des entsprechenden Verkehrs (UDP Port 1434) über Firewall. Fehler und Schwächen beheben. Nicht notwendige Dienste abschalten. Dr. Wolf Müller

49 Vergleich Internet Worm und Slammer
Angegriffene Hosts/OS SUN und VAX / UNIX Microsoft Windows/SQL Server Angriffsstrategie Ziemlich komplex. Nutzt eine Vielzahl Bugs und fortschrittliche Strategien. Einfaches Assembler Programm nutzt Buffer Overflow. Schadfunktion Großer Load, viel Netzverkehr. Extremster Load und Netzverkehr. Verbreitung ~ Systeme Ziemlich schnell. Extrem schnell, 90% aller verwundbaren Systeme nach 10 Minuten infiziert. Dr. Wolf Müller

50 Was ist ein Trojaner? Programm Unterschied zu Viren
“.... ist ein Programm, welches dem Benutzer eine gewisse Funktion vorspiegelt (Tarnung), jedoch eine andere (schädliche) ausführt.” Zwei Teile: Trägerprogramm und (unbewußt ausgeführter) Hintergrundteil Unterschied zu Viren Ist selbständig Keine Replikation Trägerprogramm ist nur „Tarnung“ Dr. Wolf Müller

51 Trojanische Pferde Programm, dessen Ist-Funktionalität nicht mit Soll-Funktionalität übereinstimmt. Erfüllt eine Funktionalität, die Vertrauen erweckt, besitzt aber zusätzlich verborgene Funktionalität. Aktivierung Bei Programmstart oder spezielle Auslöser (logische Bombe) Dr. Wolf Müller

52 Trojaner: Bsp.: Zinsberechnung CAD-Demo 1992 T-Online 1998
Bank, Angestellter Zinsberechnung auf 3 Stellen genau Rundungsbeträge aufs eigene Konto CAD-Demo 1992 CadSoft, Demoprogramm erzeugt Bestellformular für Handbuchbestellung, übermittelt codiert Liste der installierten Produkte T-Online 1998 2 Schüler aus Köln 6000 Passworte geknackt T-Online PowerTools Sollfunktion: Automatisierung von Verwaltungsaufgaben Registrierung übermittelt Zugangsdaten+schwach verschlüsseltes Password Dr. Wolf Müller

53 Trojaner: Tarnung Unix: Windows:
Ersetzen von Befehlen ls, ps die häufig genutzt werden Firefox Plugins Keine Signatur Vertrauenswürdigkeit? Windows: Endung des Dateinamens fest, ob Datei ausführbar ist. .exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif. Standardkonfiguration: Dateiendungen werden nicht im Explorer angezeigt. Maskierung: „Bild.jpg.exe“ Wird Benutzer als „Bild.jpg“ angezeigt Icon einer Dr. Wolf Müller

54 Trojaner: Gegenmaßnahmen
Minimale Rechte Keine sensiblen Daten (PIN,TAN,…) im Klartext auf Speichermedien Kritische Dienste: Befehle zur Änderung von Schutzattributen Funktionen zum Lesen, Bearbeiten von Passwortdateien Anweisungen, um Netzverbindungen zu anderen Rechnern zu öffnen Anweisungen zum direkten Speicherzugriff Signieren von Programmen und Code Code Inspektion Gesundes Misstrauen! Dr. Wolf Müller

55 Haus-Aufgabe für 30.4. (Brückentag)
Vertiefung des Wissens bitte lesen & durchdenken: BSI-Analysen zur Cyber-Sicherheit: Grundlagen HTML VersionVersion vom Download [BSI-A-CS 001]: Register aktueller Cyber-Gefährdungen und -Angriffsformen BSI-A-CS 001 als PDF [BSI-A-CS 002]: Lebenszyklus einer Schwachstelle BSI-A-CS 002 als PDF Dr. Wolf Müller