Upload
others
View
22
Download
0
Embed Size (px)
Citation preview
ComputersicherheitComputersicherheit
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Gli dGliederung
Einführung: DatensicherheitEinführung: DatensicherheitVulnurabilitätAngriffstechnikenSi h h it hläSicherheitsvorschlägeQuellenQuellen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
W i t I f ti i h h itWas ist Informationssicherheit
“Als Informationssicherheit bezeichnet man Ei h f i f i b i dEigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die VERTRAULICHKEIT und INTEGRITÄTsicherstellen. Informationssicherheit dient dem SCHUTZ vor Gefahren bzw. Bedrohungen, der VERMEIDUNG von SCHÄDEN und derVERMEIDUNG von SCHÄDEN und der MINIMIERUNG von RISIKEN.“
[wikipedia.de]18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Si h h it? W ?Sicherheit? … Wogegen?
Sicherheit → für welches SzenarioSicherheit → für welches Szenario− Ist eine binäre Größe – sicher / nicht sicher
SystemsicherheitSystemsicherheit− gegen alle denkbar Szenarien sicher machen
ProblemProblem− Ein unsicheres Szenario →
S t i h h it18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Systemunsicherheit[L. Donnerhacke iks-jena]
D K tDas Konzept
SicherheitsklassenSicherheitsklassen− Bufferüberläufe− Rechner wegtragen− Stromausfall bis zu einer StundeStromausfall bis zu einer Stunde
Man braucht eine Liste von Szenarien in denen man Sicherheit erreichen willman Sicherheit erreichen will
EIN KONZEPT18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
N D fi iti Si h h it“Neue Definitionen „Sicherheit“
Sicher ist ein System genau dann, wenn dieSicher ist ein System genau dann, wenn die Kosten des Angriffs den erzielbaren Nutzen niemals unterschreitenniemals unterschreiten.
Verhältnis zwischen Wahrscheinlichkeit möglicher Schäden zum getriebenen Aufwandmöglicher Schäden zum getriebenen Aufwand ist Maß für die Sicherheit eines Systems
verwendet bei Versicherungsbranche - eine rein betriebswirtschaftliche Kalkulation zur Bestimmung der Gesamtsicherheit.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Warum ist das Thema sooo wichtig?Warum ist das Thema sooo wichtig?
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
V l bilitätVulnerabilität
[X-Force® 2008 Trend & Risk Report]
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
V l bilitätVulnerabilität
Definition:Definition:
Alle Computer-bezogenen Verletzungen, Beanspruchung oder Konfiguration die eineBeanspruchung oder Konfiguration, die eine Schwächung, oder Vernichtung der Zuverlässigkeit der Integrität oderZuverlässigkeit, der Integrität oder Zugänglichkeit des Rechnersystems zur Folge habenhaben
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
G i ht d V l bilitätGewichtung der Vulnerabilität
Gewichtung via Common Vulnerability Scorring System (CVSS)Vulnerability Scorring System (CVSS)
kritisch:
− Rootable Netzwerk− braucht keine
Zugangsbestätigung− Ermöglicht den
H k dHacker root- und System-Zugang
[weitere Infos zu CVSS: http://www.first.org/cvss/]
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
R ki iff S tRanking angegriffener Systeme
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
V t il h F ktiVerteilung nach Funktion
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
H il itt l j d iHeilmittel – ja oder nein
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Malware im ÜberblickMalware im Überblick
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
M l i Üb bli kMalware im Überblick
Zusammenfassung SchadprogrammeZusammenfassung SchadprogrammeGroße Vielzahl von MalwareZiel: Ausführung von schädlichen FunktionenC t iComputerviren:
− Älteste Malware, meist Zerstörung von Datenes e a a e, e s e s ö u g o a e− Infizierung von Programmen, „ausführbaren
Objekten“Objekten
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
M l i Üb bli kMalware im Überblick
Viren: suchen Programmdatei also Host und führen Schadensro tine d rchführen Schadensroutine durchWürmer:Würmer:− Im allgemeinen eigenständige Programme− Selbstverbreitend über e-mail, Netzwerke,
wechselbare Speichermedienwechselbare Speichermedien− können Dateilos sein & verbleiben im
S i h d R hSpeicher des Rechners
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
M l i Üb bli kMalware im Überblick
Backdoor: Bereite Angriff für Hacker vorBackdoor: Bereite Angriff für Hacker vor (Rechnerzugriff)T j i h Pf dTrojanisches Pferd:− Getarnt als nützliche Software versteckte− Getarnt als nützliche Software, versteckte
zum ausspionieren von Informationen, passwörter & downloaden weiterer Malwarepasswörter & downloaden weiterer Malware
PUP (Potentionally unwanted Programs)
− Schwächen Sicherheitssystem18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
A ft il M lAufteilung von Malware
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
AngriffstechnikenAngriffstechniken
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Stack OverflowStack Overflow
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
Klasse der Buffer OverflowsKlasse der Buffer OverflowsZum ersten mal 1997 im Phrack Artikel S hi Th St k F F A d P fit“„Smashing The Stack For Fun And Profit“
ProgrammierfehlerProgrammierfehler. Verwendung von „unsicheren Funktionen“Sehr häufig und „gefährlich“
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
Betroffen: C/C++, Assembler ProgrammeBetroffen: C/C , Assembler Programme− Standartsoftware ... Internetprotokolle
Ziel ist die Ausführung des Angriffscodes
DoS(Denial of Services)
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
verwendeter Buffer hat eine maximale Größeverwendeter Buffer hat eine maximale GrößeKeine GrenzenkontrolleSpeicherbereich kann mit großen Daten überschrieben werdenüberschrieben werdenBei Stack Overflows ist der Stack betroffen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
void inputFunction(char* str) {
char input[20];strcpy(input str);strcpy(input, str);
}void main(int argc, char*argv[]){{
inputFunction(argv[1]);}
- Lese eine Zeichenkette ein- Speichere sie im “input” BufferSpeichere sie im input Buffer
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
Keine Eingabekontrolle: sehr große StringsKeine Eingabekontrolle: sehr große Strings möglich
Üb h it d B ff− > Überschreitung der BuffergrenzeStack wird beschädigt → kann gezielt verändert g gwerdenA t d h i lt D t b itAusnutzung durch gezielte Datenvorbereitung
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
(Sehr) Vereinfachter Calling Stack:(Sehr) Vereinfachter Calling Stack:
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
Stack wächst von höheren zu den niedrigenStack wächst von höheren zu den niedrigen Speicheradressen 1 F kti t i h t1. Funktionsparameter gespeichert2 Rücksprungadresse2. Rücksprungadresse3. Lokale ParameterFunktionsende: Ausführung der RücksprungadresseRücksprungadresse
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
Werden die lokale Variablen über ihre GrenzeWerden die lokale Variablen über ihre Grenze überschrieben, so kann auch die Rücksprungadresse überschrieben werdenRücksprungadresse überschrieben werdenNeue, überschriebene Rücksprungadresse wird verwendet
> Programmabsturz− > Programmabsturz
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
Idee: Rücksprungadresse mit der Adresse vonIdee: Rücksprungadresse mit der Adresse von eigenem Code zu überschreiben Di A iff d i d l Sh ll d “Dieser Angriffscode wird als „Shellcode“ bezeichnetdie Instruktionen werden ausgeführt → Systemübernahme mögliche
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
St k O flStack Overflow
Diese Lücke ist sehr einfach zu vermeidenDiese Lücke ist sehr einfach zu vermeidenEntsteht meist aus der BequemlichkeitUnsicheren Funktionen, z.B. scanf(...), strcpy( ) strcat( ) etc sollen vermiedenstrcpy(...), strcat(...) etc. sollen vermieden werden
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Format StringsFormat Strings
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
F t St iFormat Strings
Erst seit Ende 1999 in der ÖffentlichkeitErst seit Ende 1999 in der Öffentlichkeit bekanntL i ht id b i d hLeicht zu vermeiden, aber wird auch unterschätztWeniger Angriffe als durch Stack Overflows bekanntbekanntBetroffen sind meist C/C++ Programmeg
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
F t St iFormat Strings
Der Fehler entsteht aus der Eigenschaften vonDer Fehler entsteht aus der Eigenschaften von z.B. printf/scanf FunktionsfamilienP t t i tf( h * t i 1 2 )Prototyp: printf(char* string, param1, param2...)Besteht aus einem String mitBesteht aus einem String mit Formatierungszeichen und entsprechende ParameterParameterz.B. printf(„%s\n“,“Hello World“);p ( )
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
F t St iFormat Strings
String, Parameter bei der Ausführung auf denString, Parameter bei der Ausführung auf den Stack gespeichertB t h t di Mö li hk it d St i itBenutzer hat die Möglichkeit den String mit Formatierungszeichen zu bestimmen → Sicherheitslückez B printf(input); //!!!Gefährlichz.B. printf(input); //!!!Gefährlichinput enthält Formatierungszeichen (z.b. %s) p g ( )
− → der Stack wird entsprechend oft gelesen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
F t St iFormat Strings
Es ist möglich potentiell wichtige Daten ausEs ist möglich potentiell wichtige Daten aus dem Stack auszulesenA h b li bi S i h d köAuch beliebige Speicheradressen können gelesen werdenEs gibt Formatierungszeichen, die das schreiben erlaubenschreiben erlauben
− Angriff ist dann ähnlich wie beim Stack Overflow
DoS18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
DoS
F t St iFormat Strings
Strings nur mit %s referenzieren und nichtStrings nur mit %s referenzieren und nicht direkt ausgeben
i tf( % “ i t) t tt i tf(i t)− printf(„%s“,input) statt printf(input)Fehler können auch automatisiert erkannt werden
Immer eine Sicherheitsüberprüfung bei der− Immer eine Sicherheitsüberprüfung bei der Entwicklung
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
SQL InjectionSQL-Injection
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Z h SQL I j tiZuwachs SQL-Injection
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
SQL I j tiSQL Injection
Sehr häufigSehr häufigPlatz 1 bis 2 bei „OWASP Top 10“Angriffstechnik auf Datenbank gestützte SoftwareSoftwareSpeziell SQL DatenbankenSehr kritisch und riskantU fil B i b kö SQLUngefilterte Benutzereingabe können SQL Befehle enthalten, die dann interpretiert werden
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
SQL I j tiSQL Injection
DoSDoSDatenänderungDatendiebstahlA h lt d A th ti itätAusschaltung der AuthentizitätKontrolle über den ServerKontrolle über den ServerProgrammiersprache ist egal, wenn keine D üb üf liDatenüberprüfung vorliegt
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
SQL I j tiSQL Injection
Query = „SELECT * FROM user WHERE yusername='“+UserName+“' AND password='“+UserPass+“';
Abfrage für Daten von einem BenutzerAbfrage für Daten von einem BenutzerUserName, UserPass sind externe Variablen
− Werden nicht validiertP t i ll Lü kPotenzielle Lücke
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
SQL I j tiSQL Injection
UserName=Admin und UserPass=' OR 23=23--
Angreifer kann SQL Befehle verwendenQuery = „SELECT * FROM user WHERE username='Admin' AND password='' OR 23=23--';
→ eine neue, richtige SQL-AbfrageDer Angreifer bekommt Adminzugriff→ Der Angreifer bekommt Adminzugriff
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
SQL I j tiSQL Injection
„Die Benutzer sind grundsätzlich böse“„Die Benutzer sind grundsätzlich böseAlle Eingaben müssen vollständig getestet und
filt t dgefiltert werden− White-list FilterungWhite list Filterung
Serversoftware, Datenbanksoftware möglichst i ht it Ad i ht t tnicht mit Adminrechten starten
Wichtige Daten verschlüsselnWichtige Daten verschlüsselnKeine Informationsausgabe bei Fehlern
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
XSS Cross-Site-ScriptingXSS Cross Site ScriptingPlatz 1-2 bei „OWASP Top 10“Sehr gefährlichE t t hät t Si h h it lü kExtrem unterschätzte SicherheitslückeBetroffen sind meist WebanwendungenBetroffen sind meist Webanwendungen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
Dynamische InhalteDynamische Inhalte − Serverseitige und Clientseitige Scriptsprachen
Bei XSS wird meist Javascript (Clientseitig) für Ausnutzung verwendetg
Aber auch viele andere möglich
B t ff b A dBetroffen: web AnwendungenBei einem gutem Angriff merkt der BetroffeneBei einem gutem Angriff merkt der Betroffene nichts
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
http://shampoo.antville.org/static/shampoo/images/background_xss.gif
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
Problem: ungefilterte Eingaben von BenutzerProblem: ungefilterte Eingaben von BenutzerExistiert eine XSS Lücke, so ist es dem A if ö li h B J i t C dAngreifer möglich z.B. Javascript-Code einzubindenVielfältige AusnutzmöglichkeitenEs können auch gleichzeitig mehrere betroffen sein
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
Szenario:Szenario:− Angreifer findet eine XSS-Lücke− Benutzer logt sich ein− Angreifer schickt eine modifizierte URLAngreifer schickt eine modifizierte URL
Javascript wird vom Angreifer ausgeführt → Umleitung auf Angriffsseite→ Umleitung auf AngriffsseiteCookies werden gespeichertRü k l iRückumleitung
− Benutzer klickt auf die URL, merkt aber nichts18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
Benutzerdaten-KlauBenutzerdaten Klau− Cookie Klau/Fälschung
Webseiten defacementBenutzerdaten ÄnderungBenutzerdaten ÄnderungPhishingg...
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
XSSXSS
Das Problem kann wieder durchDas Problem kann wieder durch Eingabefilterung vermieden werdenV hlü l L i D tVerschlüsselung von Login-Daten
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
PraxisPraxis
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
N t t d B t i b tNeustart des Betriebssystems
Problem:Problem: − 1. Angriffsziel: Virenscanner, Firewall,
UpdatesystemUpdatesystem− Wie groß Überlebenszeit des ungeschützen
Systems - SURVIVAL -TIME ?
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
S i l TiSurvival-Time
Mittelwert der Zeit die vergeht bis ein gungeschütztes Rechnersystem attakiert wird.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
S i l TiSurvival-Time
[http://isc sans org/survivaltime html]18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
[http://isc.sans.org/survivaltime.html]
V h lt tiVerhaltenstips
Gleich nach Installation –2 Benutzerkonten festlegen und gAdministrator-Passwort festlegen. Aktuellen Browser Service Pack Treibersoftware überAktuellen Browser, Service Pack, Treibersoftware, über sicheren PC runterladen und installieren (Sicherheitseinstellung zu Beginn HOCH )
Client für Microsoft-Netzwerde deaktivierenErst jetzt PC via Kabel mit Internet verbindenErst jetzt PC via Kabel mit Internet verbindenErst Antivirensoftware und Firewall updaten!!! Windowsupdates nur mit internet explorer möglichSofort automatisch Updates aktivieren
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Sofort automatisch Updates aktivieren
V h lt tiVerhaltenstips
Weitere Kernsoftware installieren ( MS Office )Weitere Kernsoftware installieren ( MS Office ...)
(Disc-) Image anlegen (z.B. mit Norton Ghost)
2. Benutzer - Account die Administrator-Rechte entziehen Gast-Account komplett deaktivierenentziehen. Gast Account komplett deaktivieren.
(Administrator-Account wird jetzt nur noch für Systemeinstellungen benutzt. Bei Windows Vista ist dies nicht mehr nötig.)Windows Vista ist dies nicht mehr nötig.)
Mit Softwareinstallation im 2. Account fortfahren d b j t t i b tund ab jetzt immer benutzen.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
W i t PC i fi i t?Wann ist PC infiziert?
Spyware:Spyware: − Während des Besuchs einer Webseite
erscheinen Links und Werbefenster ( li h)erscheinen Links und Werbefenster (englisch)
− Werbefenster sind häufig verlinkt.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
W i t PC i fi i t?Wann ist PC infiziert?
Trojaner & Würmer: − Häufige Abstürzen des Systems oder
einzelner Komponentenp− System wird stark langsamer
V b h h h I t tb db it H h− Verbrauch hoher Internetbandbreite – Hoher Uploadstream obwohl Benutzer kaum arbeitet
− Ungewöhnliche Einträge in der Registry, Konfigurationsdatein, Taskmanager.
− Virenscanner und Firewall lassen sich nicht mehr richtig updaten oder sind deaktiviert
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
g p
W i t PC i fi i t?Wann ist PC infiziert?
Mitmenschen beschweren sich VirenverseuchteMitmenschen beschweren sich Virenverseuchte e-mails vom ihnen zu bekommen. (kein sicheres Indiz)
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
W t i fi i t?Was tun wenn infiziert?
Keine PanikKeine PanikInternetverbindung trennen – Stecker ziehen Verbindung zu Netzwerken trennen – sonst kann es zum Ping-Pong-Effekt kommenes zum Ping-Pong-Effekt kommen
− Rechner infizieren sich immer gegenseitig
Sicherung persönlicher Daten auf CD/DVD und vermerken dass Daten infiziert sein können− und vermerken, dass Daten infiziert sein können
Viren- und Spywarescanner starten18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
W t i fi i tWas tun wenn infiziert
Eliminieren aller potentiellen Dateien.Eliminieren aller potentiellen Dateien.Namen der gefundenen Dateien aufschreibenErneut mit dem Internet verbinden & Scannersoftware updatenScannersoftware updaten. Regergieren der Namen:
− www.symantec.de
− www.mcafee.com
− www.kapersky.com
Hier gibt es meistens auch Removal-Tools
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
g
W t i fi i tWas tun wenn infiziert
Tools runterladen und erneut scannen bzw.Tools runterladen und erneut scannen bzw. Onlinescann durchführen
t b li d / / ft / ti i ht l− www.tu-berlin.de/www/software/antivirus.shtml
Zweiten (On-Demand-) Scanner z.B. BitDefender http://www.bitdefender.de
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
QuellenQuellen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Q llQuellen
„Smashing the Stack for fun and Profit“
− http://www.phrack.org/issues.html?issue=49&id=14#article„Hacking: The Art of Exploitation“ - Jon Erickson
Buffer Overflows und Format-String-Schwachstellen - Tobias Klein
Pics by google :)Pics by google :)
Wikipedia ;)
K Jano ic Sicherheit im Internet O`Reill Verlag & Co KGK. Janowicz - Sicherheit im Internet - O Reilly Verlag & Co. KG
IBM X-Force 2008 Trend & Risk Report
http://isc.sans.org/survivaltime.html
http://www.iks-jena.de
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann