Sicherheit im Internet 1-Heft 1 PDF

Preview

Summary

Download Sicherheit im Internet 1-Heft 1 PDF

Description

Sicherheit im Internet – Kurs I Computer-Emergency-Response Team = nehmen Sicherheitsvorfallsmeldungen an und informieren über mögliche Abwehrmaßnahmen. www.cert.org

Deutsches Forschungsnetz (DFN) = stellt Inofmrationen über Sicherheitsvorfälle und Hilfsmittel zur Bekämpfung von Sicherheitsproblemen. Außerdem betreibt sie eine Zertifizierungsstelle. www.cert.dfn.de Gründe für die steigende Anzahl von Sicherheitsvorfällen; 1) Breite Verfügbarkeit von „hacker tools“ (u.a. von Script-Kiddies genutzt) 2) Spam (die meistens durch das erfolgreiche Angreifen anderer Rechner und Ausnutzen dieser als Versender, meistens Privatrechner). Diese Bot-Netze werden von Hackern an Spamversender verkauft. Top Risks – nach SANS Institute 1) Client-side Vulnerabilities (Browser, Office-Software, Email-Clients, Mediaplayer etc.) 2) Server-side Vulnerabilities (Webapps, Windows Services , UNIX und Mac OS Services, Backupsoftware, Antivirussoftware, Management- und Databasesoftware). 3) Security-Policy and Personell (Excessive User Rights, Unathorized Devices, Phishing, Unencrypted Laptops and Removeable Media) 4) Application-Abuse (Instant Messaging, Peer to Peer Programs) 5) Network Devices (VOIP Servers and Phones etc). 6) Zero Day Attacks Top 3 Most Dangerous Software ERRORS 1) Insecure Inteaction between Components (unsicher Übertragung zwischen Programmen, Programm und Komponente, zwischen Prozessthreads und zwischen Systemen) 2) Risky Resource Management  Schlechte Erstellung, Übertragung, Löschung von wichtigen Ressourcen eines Systems 3) Porous Defenses = falsch realisierte/vergessene Sicherheitsmaßnahmen Top Critical Security Controls  Zählen wichtigste Sicherheitsmaßnahmen auf, wie man seine IT schützen sollte. Cornficker/Downadup (Wurm) -

-

Nutzt einige Sicherheitsfehler in Windows 2000 – 2008 Server aus. Der Remote Procedure Call Dienst (RPC) (in Datei- und Druckfreigabe) enthält einen Fehler, der es dem Angreifer erlaubt eine spezielle Nachricht an den PC zu schicken und die vollständige Kontrolle darüber zu erhalten. Der Wurm kopiert sich als DLL Datei ins Betriebssystem, schreibt sich selbst in die REGISTRY ein, damit er bei jedem Start auch mitgestartet wird. Er öffnet bestimmte Porte und agiert als Webserver und lässt andere Computer den Wurm runterladen, somit werden auch andere Computer infiziert und wird somit zum neuen Verteiler für den Wurm.

-

Er versucht sich auch an angeschlossene USB Devices zu verteilen.

KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) -

Gesetzt verpflichtet seit 1. Mai 1998 börsennortierte Aktiengesellschaften dazu, sich mit Risiken die durch ihre IT-Systeme entstehen, auseinanderzusetzen.

BASEL II und BASEL III -

Ein Kreditnehmer, dessen Geschäfte stark von der IT abhängen, und der wenig IT Sicherheitsvorkehrungen trifft, muss mit höheren Kreditkosten rechnen.

Angriffsziele 1) Angriff auf Kommunikationswege 2) Angriff auf Computer 3) Angriff auf Daten Bedrohungen A) Technische und nicht-technische Bedrohungen Technische: Strahlung, elektrische Probleme auf Übertragungsleitungen (Lösung: Einführung von Redundanz z.B: Prüfbits oder fehlerkorrigierende Codes). Nicht-technische Bedrohungen: Datenverfälschung durch einen User (Lösung: Vier-Augen-Prinzip) B) Beabsichtigt und unbeabsichtigt Unbeabsichtigt: Jemand lässt einen Post-It Zettel mit dem Passwort am PC kleben. Beabsichtigt: Spionage, Denial-Of-Service-Attack (durch Systemünberlastung werden bestimmte Dienste für befähigte User nicht zugänglich gemacht) C) Aktiv und Passiv Passiv: Abhören (Funkübertragungen lassen sich durch eine zusätzliche Antenne mitschneiden, beeinträchtigten den Empfang jedoch dabei nicht). Ethernet: Ein PC kann so manipuliert werden, dass er Datenpakete an einen anderen Computer im Netz mitprotokolliert. Aktiv: Erzeugen neuer Nachrichten, Unterdrücken oder Verzögern und Fälschung von Nachrichten durch Angreifer. Passive Bedrohungen sind schwieriger zu entdecken als Aktive! Klassische Bedrohungen 1. Unbefugter Informationsgewinn – Angriff auf die Vertraulichkeit (confidentiality) Angriff auf: Datenübertragung oder auch auf einen PC. Die meisten Server werden in verschlossenen Räumen aufbewahrt, aber Sicherungen auf Magnetbändern oder dedizierten Backup-Festplatten werden an anderen Orten aufbewahrt, die nicht so sicher sein könnten. Zudem droht z.B. auch Spionage durch das Anstecken von USB-Sticks an PCs und Kopieren der Daten.

Angriffsart: Passiv, absichtlich oder unabsichtlich Lösung: Verschlüsselung (z.B. das Verstecken einer Nachricht in einer größeren Nachricht  Steganografie) 2. Unbefugte Modifikation – Angriff auf die Integrität (integrity) Angriff auf: Übertragenden Daten (z.B. kann von einem Sender als Kaufauftrag verschickte Datei unterwegs abgefangen und in einen Verkaufsauftrag umgewandelt werden). Angriffsart: aktiver Angriff, absichtlich, unbeabsichtlich (durch technische Probleme). Lösung: Redundanz, der Empfänger kann erkennen ob Unterschiede bestehen. (An die Datei werden Paritätsbits angehängt, die bestimmten Bedingungen genügen). ABER: diese Redundanzdaten können ebenfalls manipuliert werden (der Angreifer muss das Verfahren kennen, mit dem die Redundanzdaten berechnet werden) und einfache Verfahren erkennen nur bestimmte Veränderungen an den Daten (z.B. nur Bitänderung, alle anderen bleiben unentdeckt). Bessere Lösung: Verschlüsselung Angriff auf Integrität: Übertragung, direkt am Computer (auch durch ungeübte User). 3. Unbefugte Erzeugung – Angriff auf die Authentizität (authenticity) Der Angreifer erstellt eine Nachricht und gibt vor jemand anders zu sein. Angriffsart: aktiv, absichtlich oder unabsichtlich (durch Konfigurationsfehler) In der Digitalen Welt kann man zwischen Original- und Kopiebit nicht unterscheiden. Ähnliches Problem: Nicht-Zurückweisbarkeit (non-repudiation)  Weder Empfänger noch Senden können eine Kommunikation nachträglich abstreiten.  Empfänger kann beweisen, dass die Nachricht vom vorgegebenen Absender kommt (vorhandene eigenhändige Unterschrift)  Sender kann beweisen, dass die Nachricht tatsächlich beim vorgegebenen Empfänger angekommen ist

4. Unbefugte Unterbrechung – Angriff auf die Verfügbarkeit (availability) -

Unbefugte Unterbrechung von Daten, Computern und Kommunikationsmitteln

Angriffsart: aktiv, absichtlich, Angriff auf Computer (diese werden zum abstürzen gebracht) und Kommunikationsweg (wichtig bei zeitkritischen Geschäften)

Nicht technische Aspekte von Sicherkeit Verlässlichkeit Beherrschbarkeit Ansonsten fallen hier Sachen wie persönliche Informationen die man im Internet verbreitet, Sicherheit etc.

Netze LAN (Local Area Network) 1) Sterntopologie Alle Computer werden an zentralen Punkt (switch/hub) angeschlossen. Beispiel: ATM (Asynchronous Transfer Mode) der Telefongesellscjaften Sicherheitseigenschaften: -

Falls ein Computer ausfällt, können andere weiterhin kommunizieren (Verfügbarkeit) Fällt Switch aus, so ist keine Kommunikation mehr möglich. Da Daten nur zwischen Sender, Switch und Empfänger gehen, können andere Computer die Kommunikation nicht stören/abhören. (Vertraulichkeit) (Voraussetzung: Switch kennt die Adressen der angeschlossenen Computer. Wenn ein Paket eintrifft, steht dort die Adresse des Absenders. Somit kennt der Switch den Port des Computers (sind kooperativ und teilen echte Adresse mit).

2) Ringtopologie Computer sind in einer geschlossenen Schleife geordnet. Beispiel: Token-Ring von IBM (Computer nutzen eine spezielle Nachricht „TOKEN“ um Nutzung zu koordinieren). Ein Computer will eine Nachricht senden. Er wartet auf das TOKEN und sendet die Nachrichten an den rechten Computer. Nachricht wird von Computer zu Computer weitergereicht. Der Empfänger erstellt eine Kopie der Nachricht und der Absender erhält die Nachricht wieder zurück. Dann gibt der Sender das Token (die Sendeerlaubnis somit) an seinen rechten Nachbarn weiter. Will kein Computer senden, kreist das Token mit hoher Geschwindigkeit . Sicherheitseigenschaften: -

Fällt ein Computer/Verbindung aus, so ist Kommunikation unterbrochen (Verfügbarkeit). Nachricht kann von allen Computern gelesen (Vertraulichkeit) und somit auch gefälscht/unterdrückt werden (Integrität)

3) Bustopologie

Computer sind an das gleiche Kabel verbunden. Bespiel: Ethernet mit 10mbit/s , Fast-Ethernet 100mbit/sec, Gigabit-Ethernet 1gbit/s -

Es kann nur ein Computer gleichzeitig senden (bei mehreren stürzt alles ab) Alle Computer können eine versendete Nachricht lesen Sicherheitseigenschaften

-

Wenn ein Computer ausfällt, ist alles aus (Verfügbarkeit) Läuft ein Computer Amol, ist auch alles aus (Verfügbarkeit) Jeder Computer kann nachrichten lesen (Vertraulichkeit).

Vernetzte Netze Repeater = verbindet gleichartige lokale Netze miteinander zu einem Gesamtnetz. Er verstärkt und überträgt alle Signale (Störungen inklusive) zwischen den beiden Netzen Bridge = Wie Repeater jedoch nur störfreie Signale weitergeleitet. Sie speichert Absenderadressen und leitet nur weiter, wenn Zielcomputer im anderen Netz liegt. Router = Computer der Netze miteinander verbindet. Er verbindet unterschiedliche Netze (Medien, Adressschemata, Rahmenformaten). Dazu hat er eine getrennte Schnittstelle für jeden Netzanschluss d.h. eine Netzwerkkarte für jeden Netztyp. (z.B. verbindet er das Ethernet mit einem Token Ring). Struktur und Datenrahmen müssen in beiden Netzen gleich sein! Mittels Switches und Bridges sind bei Ethernet auch Subnetze möglich (sternförmige Aufbauweise).

Das Internet-Protokoll Protokoll (TCP/IP) = für unterschiedliche Netze. Hier werden Dinge wie Datenformate, Adressierung, Verbindungsaufbau usw. festgehalten.

Abb. 114 1) telnet/ftp (Anwendungsprogramme) Um Daten mit anderen Computern auszutaschen: 1) Sie rufen Funktionen aus der Transmission-Control-Protocol-Schicht(TCP Schicht) oder der User Data Protocol Schicht (UDP) auf. Das Anwendungsprogramm übergibt eine Anwendungsnachricht an diese. 2) Die TCP-Schicht Funktionen zerlegen diese Nachricht und leiten TCP Segmente an Schicht drunter  IP 3) In der IP Schicht muss die Adresse des Zielcomputers bekannt sein. 4) IP Schicht gibt ein IP Paket (mit IP-Zieladresse) an die Netzwerkkarte weiter.

5) Mithilfe des Adress-Resolution-Protocol (ARP) + auf PC gespeicherten Tabelle wird die Hardwareadresse des Zielcomputers ermittelt. Jede Netzwerkkarte hat ihre eigene Adresse (6 Bytes lang im Ethernet). Fürs Internet wird von den Hardwareadressen abstrahiert und es entsteht dann die IP-Adresse. IPv4 und IPv6 IPv4 – 4 Bytes lange Zahl, besteht aus zwei Teilen: 1)Präfix identifiziert das Netz an das der PC angeschlossen ist 2) Suffix identifiziert den PC innerhalb des Netzes (Länge nicht fest, da es viele PCs in einem Netz gegeben kann). IPv6 – 16 Bytes lange Zahl 1) Netzadresse/Präfix und 2) Adresse innerhalb des Netzes/Interface Identifier (kann selbst erzeugt werden, Hardwareadresse geht in die IPv6 AA Beispiel: fe80:0000:0000:0000:3e07:54ff:fe4e:0e37 Durch 2) ist ein Gerät eindeutig identifizierbar, egal in welchem Netz es sich gerade befindet.  Privacy Extensions der IPV6  der Interface-Identifier Teil unterscheidet sich, sodass ein Gerät anhand der IPv6 Adresse nicht mehr identifizierbar ist. Dynamic-Host-Configuration-Protocol (DHCP) = Automatisierte Verteilung von IP Adressen an Rechner. Tabelle beinhaltet IPV4 Adresse & Hardware-Adresse. Falls der Computer ein Paket an eine IP-Adresse schicken will, deren Hardware-Adresse nicht in der Tabelle steht, geht Paket erst back. Der PC schickt eine Anfrage an alle angeschlossenen Pcs (boradcast) und falls ein PC seine IP-Adresse erkennt, antwortet dieser mit der Hardware-Adresse. Gefahr: Eine Anfrage wirft eine gefälschte Antwort zurück. Domain-Name-System (DNS) Abb. 1.15 DNS-Server verwalten Namen und Abfragen (speichern Adresse in Cache, welches die Abfragen beschleudert).

-

Gefahr bei DNS: Können gefälscht werden und in einer DNS-Antwort neben der IP Adresse des angefragten DNS-Namens auch weitere Informationen mitgeschickt werden. (DNS spoofing). Lösung: DNS Security Extensions (DNSSEC)  Authentizität und Integrität werden sichergestellt. Adresse mit Portnummer: Wasauchimmer.de:80

Internetdienste -

Nslookup = damit kann man DNS Server abfragen. Zu einem Rechnernamen kann man man die IP-Adresse erfragen oder andersrum. Mehrere Namen können zur gleichen IP-Adresse gehören.

Ping -

Testen ob ein Computer eingeschaltet ist und IP-Pakete empfangen und zurückschicken kann. (DNS Name oder Ip Adresse eingeben).

Achtung: ein Admin kann einen PC so einstellen, dass er nicht auf Ping-Anfragen antwortet.

Finger (port 79) -

Rausfinden, wer an einem entfernten Computer angemeldet ist. Ist jedoch deaktivierbar, da es eine Grundlage für Angriffe darstellen kann.

Traceroute -

Weg von IP-Paketen vom lokalen Rechner bis entfernte Rechner verfolgen. Netzbetreiber konfigurieren ihre Router so, dass man nicht nachverfolgen kann welchen Weg die Pakete zurücklegen.

Telnet (Port 23) -

-

Terminal Programm, man kann sich am Computer einloggen, als säße man direkt an einem Terminal das direkt am anderen Computer angeschlossen ist. Übertragung ist unverschlüsselt. Alternative: SSH Netzprotokolle testen

FTP (Port 21) -

Dateien zwischen Computern (auch entfernte) kopieren. Unverschlüsselte Benutzerkennung (auch Standard: ftp und anonymous)

World Wide Web -

-

Kommunikation zwischen Webclient (Browser) und Webserver ist durch HTTP (Hypertext Transfer Protocol) definiert. Dort ist festgelegt welche Form die Requests haben und wie Responses seitens des Webservers auszusehen haben. Dokumente auf Webserver sind in der HTML (Hypertext MarkUp Language) verfasst. HTML = SGML Anwendung (die Document Type Definition (DTD) wird vom WWWConsortium (W3C) festgelegt. Dort wird festgehalten, wie Dokumentbestandteile und ihre Orga festgelegt sein sollen. XML (auch ein Typ von SGML) wird in der Zukunft auch als HTML Alternative verfügbar sein.

URL (Uniform Resource Locator) adressiert Webserver und die darauf liegenden Dokumente: 1) Dienst (http) 2) Webserver (z.B. fernuni-hagen.de) 3) Dokument (fernunihagen.de(fachbereiche_f.html) Kommunikation zwischen Client und Server  request response (Frage-Antwort-Prinzip)  Unverschlüsselt (Client und Server können nicht sicher sein, dass sie miteinander kommunizieren, dass sich keiner ausgibt. (Authentizität). Anfragen bestehen aus 1) Anfragekopf (erste Zeile enthält Methode und das Objekt auf das die M angewendet w. soll + Versionnummer des http-Protokolls). 2) Anfragerumpf Antwort besteht aus 1) Antwortkopf 2) Antwortrumpf (enthält die angeforderte HTML Seite) E-MAIL Simple-Mail-Transfer-Protocol (SMTP)  hält fest, wie eine Email verschickt wird. Client Programm – Mailserver – (weiterer Mailserver) – etc. Ablauf 1. Mailclient stellt Verbindung zum Mailserver (Port 25 des Mailservers) Mailclient: HELO gremlin.fernuni-hagen.de 2. Der Mailclient führt die Übertragungstransaktion durch (3. Schritte) a) Einleitendes Kommando schicken. Mailserver beginnt eine neue Transaktion und initialisiert seinen Zustand und seine internen Puffer b) Mailclient schickt ein oder mehrere Empfänger Kommandos: Existierende email adresse 250 OK Nicht existierende email adrese 500 no such user here Mailserver speichert nur die existierenden, damit er die Email vom Client an diese schicken kann. c) Die eigentliche Nachricht wird übertragen (durch DATA Kommando eingeleitet) Ende der Nachricht wird durch eine Zeile gekennzeichnet, die nur einen Punkt enthält. 3. Der 2. Schritt wird mehrmals wiederholt. Wenn der Mailclient alle Emails abliefert, beendet er die Verbindung zum Mailserver Mailclient: QUIT Mailserver: mail.fernuni-hagen.de closing connection EMAIL 1) Umschlag (envelope) = durch Schritt 2(a) und (b) erstellt. Für Mailserver ist nur der Umschlag für die Zustellung von Bedeutung. 2) Nachricht A) Nachrichtenkopf (message header) Absender + Empfängerangaben wiederholt (wie aufm Umschlag gleich müssen es aber nicht). Spam-Mails haben im Kopf häufig gefälschte Einträge B) Nachrichtenrumpf (message body)

-

Unverschlüsselt (jeder kann mitlesen) Bei Weiterleitung einer E-Mail trägt jeder der beteiligten Mailserver in den Kopf RECEIVED ein. Es wird dort festgehalten, dass und wann die Email den Server erreicht hat. In den Kopf kann aber auch der Absender RECEIVED eintragen und somit den Weg der Email verschleiern. OFFLINE: Email wird auf dem letzten liegenden Mailserver gespeichert und später wird diese dann abgerufen.  POP3-Protokoll (PostOfficeProtocol Version 3) und IMAP 4. Client nimmt Verbindung zum Mailserver auf und der Protokoll schickt diesem Benutzerlogin zu, so kann der Client die Emails auf den PC übertragen, sie vom Server löschen und neue Emails vom PC zum Server schicken.  SSL-verschlüsselte Verbindung wird von POP3 unterstützt.

VIREN A) -

STEALTH-VIRUS Computerprogramme die sich selbst kopieren und vermehren Sie können Dateien löschen, deren Inhalt verändern Sie tarnen und verstecken sich

Unentscheidbarkeit des Halte-Problems = Programme können nicht rausfinden, ob ein gegebenes Programm bei einer gegebenen Eingabe terminiert. Man kann also nicht rausfinden was genau Viren anstellen. Bootsektor-Viren (BSV) = Betriebssystem wird nicht aus ROM (Read Only Memory) geladen, sondern aus dem Urlader (Programm im ROM). Dieser sucht auf Speichermedien nach dem eigentlichen Ladeprogramm (loader), was man im Basic Input Output System (BIOS) oder Unified Extensible Firmware Interface (UEFI) Speichermedien werden geladen aus: Auf Festplatten  auf dem MASTER-BOOT-RECORD (MBR) befindet sich auf Sektor 1, Zylinder 0, Kopf 0 Bei Disketten  erste Sektor auf Diskette Master-Boot-Record enthält Infos über die Aufteilung der Festplatte (partition table). Das Ladeprogramm auf dem Master-Boot-Record startet das Betriebssystem welches sich auf einer der Partitionen befindet. Bei mehreren Betriebssystemen kann man auswählen.

Wenn Virus: 1. Man lässt einen infizierten Datenträger angeschlossen am PC und beim nächsten Start lädt der Urlader den Lader nicht aus dem MBR der Festplatte, sondern aus dem infizierten Lader aus dem Bootsektor der infizierten Diskette/CD/DVD/USB Stick. a) Der Virus lädt sich in den Hauptspeicher und trägt sich in Interrupt 13th (disk/write) ein b) Er kopiert den ORIGINAL-MBR der Festplatte an einen anderen freien Platz auf der Platte und kopiert sich selbst in den MBR der Festplatte c) Er startet den Lader aus dem Original MBR der Festplatte .

d) Wenn man einen anderen USB ansteckt, prüft Virus ob dieser bereits infiziert ist. Falls nein, kopiert sich dieser auf den Bootsektor des Sticks. e) Da Virus gestartet wurde, bevor das Betriebssystem geladen wurde, failen alle Schutzfunktionen des Betriebssystems. Antivirus kann diesen nicht mehr erkennen, weil es dazu den MBR der Festplatte lesen muss, dieser läuft aber wieder über den Interrupt in den sich das Virus versteckt hat. Er liefert bei einer Leseanfrage also den kopierten ORIGINAL MBR zurück. B) DATEIVIRUS - Infiziert einzelne Dateien (vorzugsweise Programmdateien wie .exe und .com unter DOS) - Startet man das Programm, lädt sich Virus in den Hauptspeicher und versucht dort sesshaft zu werden (sogar nach Beenden des Programms). - Startet man andere Programme, versucht der Virus auch diese zu befallen. Dazu verändert das Virus die Programmdatei, indem der Viruscode am Ende der Datei angehängt wird. Am Anfang wird ein Aufruf des Viruscodes hinzugefügt. (DIE DATEIGRÖSSSE VERÄNDERT SICH UND SOMIT KANN MAN DIE INFEKTION ERKENNEN) - Er kann sich auch in den Bootssektor kopieren - Unterschied zu Stealth-Virus: Virus ist nach dem Betriebssystem gestartet, sodass dieser die Sicherheitsvorkehrungen des BS überwinden muss. - Besonders gefährdet sind Computer, die als Server für Programmdateien in einem Netz arbeiten - Der Vi...