Computersicherheit -...

ComputersicherheitComputersicherheit

18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

Gli dGliederung

Einführung: DatensicherheitEinführung: DatensicherheitVulnurabilitätAngriffstechnikenSi h h it hläSicherheitsvorschlägeQuellenQuellen


W i t I f ti i h h itWas ist Informationssicherheit

“Als Informationssicherheit bezeichnet man Ei h f i f i b i dEigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die VERTRAULICHKEIT und INTEGRITÄTsicherstellen. Informationssicherheit dient dem SCHUTZ vor Gefahren bzw. Bedrohungen, der VERMEIDUNG von SCHÄDEN und derVERMEIDUNG von SCHÄDEN und der MINIMIERUNG von RISIKEN.“

[wikipedia.de]18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

Si h h it? W ?Sicherheit? … Wogegen?

Sicherheit → für welches SzenarioSicherheit → für welches Szenario− Ist eine binäre Größe – sicher / nicht sicher

SystemsicherheitSystemsicherheit− gegen alle denkbar Szenarien sicher machen

ProblemProblem− Ein unsicheres Szenario →

S t i h h it18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

Systemunsicherheit[L. Donnerhacke iks-jena]

D K tDas Konzept

SicherheitsklassenSicherheitsklassen− Bufferüberläufe− Rechner wegtragen− Stromausfall bis zu einer StundeStromausfall bis zu einer Stunde

Man braucht eine Liste von Szenarien in denen man Sicherheit erreichen willman Sicherheit erreichen will

EIN KONZEPT18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

N D fi iti Si h h it“Neue Definitionen „Sicherheit“

Sicher ist ein System genau dann, wenn dieSicher ist ein System genau dann, wenn die Kosten des Angriffs den erzielbaren Nutzen niemals unterschreitenniemals unterschreiten.

Verhältnis zwischen Wahrscheinlichkeit möglicher Schäden zum getriebenen Aufwandmöglicher Schäden zum getriebenen Aufwand ist Maß für die Sicherheit eines Systems

verwendet bei Versicherungsbranche - eine rein betriebswirtschaftliche Kalkulation zur Bestimmung der Gesamtsicherheit.


Warum ist das Thema sooo wichtig?Warum ist das Thema sooo wichtig?


V l bilitätVulnerabilität

[X-Force® 2008 Trend & Risk Report]


V l bilitätVulnerabilität

Definition:Definition:

Alle Computer-bezogenen Verletzungen, Beanspruchung oder Konfiguration die eineBeanspruchung oder Konfiguration, die eine Schwächung, oder Vernichtung der Zuverlässigkeit der Integrität oderZuverlässigkeit, der Integrität oder Zugänglichkeit des Rechnersystems zur Folge habenhaben


G i ht d V l bilitätGewichtung der Vulnerabilität

Gewichtung via Common Vulnerability Scorring System (CVSS)Vulnerability Scorring System (CVSS)

kritisch:

− Rootable Netzwerk− braucht keine

Zugangsbestätigung− Ermöglicht den

H k dHacker root- und System-Zugang

[weitere Infos zu CVSS: http://www.first.org/cvss/]


R ki iff S tRanking angegriffener Systeme


V t il h F ktiVerteilung nach Funktion


H il itt l j d iHeilmittel – ja oder nein


Malware im ÜberblickMalware im Überblick


M l i Üb bli kMalware im Überblick

Zusammenfassung SchadprogrammeZusammenfassung SchadprogrammeGroße Vielzahl von MalwareZiel: Ausführung von schädlichen FunktionenC t iComputerviren:

− Älteste Malware, meist Zerstörung von Datenes e a a e, e s e s ö u g o a e− Infizierung von Programmen, „ausführbaren

Objekten“Objekten



Viren: suchen Programmdatei also Host und führen Schadensro tine d rchführen Schadensroutine durchWürmer:Würmer:− Im allgemeinen eigenständige Programme− Selbstverbreitend über e-mail, Netzwerke,

wechselbare Speichermedienwechselbare Speichermedien− können Dateilos sein & verbleiben im

S i h d R hSpeicher des Rechners



Backdoor: Bereite Angriff für Hacker vorBackdoor: Bereite Angriff für Hacker vor (Rechnerzugriff)T j i h Pf dTrojanisches Pferd:− Getarnt als nützliche Software versteckte− Getarnt als nützliche Software, versteckte

zum ausspionieren von Informationen, passwörter & downloaden weiterer Malwarepasswörter & downloaden weiterer Malware

PUP (Potentionally unwanted Programs)

− Schwächen Sicherheitssystem18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

A ft il M lAufteilung von Malware


AngriffstechnikenAngriffstechniken


Stack OverflowStack Overflow


St k O flStack Overflow

Klasse der Buffer OverflowsKlasse der Buffer OverflowsZum ersten mal 1997 im Phrack Artikel S hi Th St k F F A d P fit“„Smashing The Stack For Fun And Profit“

ProgrammierfehlerProgrammierfehler. Verwendung von „unsicheren Funktionen“Sehr häufig und „gefährlich“



Betroffen: C/C++, Assembler ProgrammeBetroffen: C/C , Assembler Programme− Standartsoftware ... Internetprotokolle

Ziel ist die Ausführung des Angriffscodes

DoS(Denial of Services)



verwendeter Buffer hat eine maximale Größeverwendeter Buffer hat eine maximale GrößeKeine GrenzenkontrolleSpeicherbereich kann mit großen Daten überschrieben werdenüberschrieben werdenBei Stack Overflows ist der Stack betroffen



void inputFunction(char* str) {

char input[20];strcpy(input str);strcpy(input, str);

}void main(int argc, char*argv[]){{

inputFunction(argv[1]);}

- Lese eine Zeichenkette ein- Speichere sie im “input” BufferSpeichere sie im input Buffer



Keine Eingabekontrolle: sehr große StringsKeine Eingabekontrolle: sehr große Strings möglich

Üb h it d B ff− > Überschreitung der BuffergrenzeStack wird beschädigt → kann gezielt verändert g gwerdenA t d h i lt D t b itAusnutzung durch gezielte Datenvorbereitung



(Sehr) Vereinfachter Calling Stack:(Sehr) Vereinfachter Calling Stack:



Stack wächst von höheren zu den niedrigenStack wächst von höheren zu den niedrigen Speicheradressen 1 F kti t i h t1. Funktionsparameter gespeichert2 Rücksprungadresse2. Rücksprungadresse3. Lokale ParameterFunktionsende: Ausführung der RücksprungadresseRücksprungadresse



Werden die lokale Variablen über ihre GrenzeWerden die lokale Variablen über ihre Grenze überschrieben, so kann auch die Rücksprungadresse überschrieben werdenRücksprungadresse überschrieben werdenNeue, überschriebene Rücksprungadresse wird verwendet

> Programmabsturz− > Programmabsturz



Idee: Rücksprungadresse mit der Adresse vonIdee: Rücksprungadresse mit der Adresse von eigenem Code zu überschreiben Di A iff d i d l Sh ll d “Dieser Angriffscode wird als „Shellcode“ bezeichnetdie Instruktionen werden ausgeführt → Systemübernahme mögliche



Diese Lücke ist sehr einfach zu vermeidenDiese Lücke ist sehr einfach zu vermeidenEntsteht meist aus der BequemlichkeitUnsicheren Funktionen, z.B. scanf(...), strcpy( ) strcat( ) etc sollen vermiedenstrcpy(...), strcat(...) etc. sollen vermieden werden


Format StringsFormat Strings


F t St iFormat Strings

Erst seit Ende 1999 in der ÖffentlichkeitErst seit Ende 1999 in der Öffentlichkeit bekanntL i ht id b i d hLeicht zu vermeiden, aber wird auch unterschätztWeniger Angriffe als durch Stack Overflows bekanntbekanntBetroffen sind meist C/C++ Programmeg



Der Fehler entsteht aus der Eigenschaften vonDer Fehler entsteht aus der Eigenschaften von z.B. printf/scanf FunktionsfamilienP t t i tf( h * t i 1 2 )Prototyp: printf(char* string, param1, param2...)Besteht aus einem String mitBesteht aus einem String mit Formatierungszeichen und entsprechende ParameterParameterz.B. printf(„%s\n“,“Hello World“);p ( )



String, Parameter bei der Ausführung auf denString, Parameter bei der Ausführung auf den Stack gespeichertB t h t di Mö li hk it d St i itBenutzer hat die Möglichkeit den String mit Formatierungszeichen zu bestimmen → Sicherheitslückez B printf(input); //!!!Gefährlichz.B. printf(input); //!!!Gefährlichinput enthält Formatierungszeichen (z.b. %s) p g ( )

− → der Stack wird entsprechend oft gelesen



Es ist möglich potentiell wichtige Daten ausEs ist möglich potentiell wichtige Daten aus dem Stack auszulesenA h b li bi S i h d köAuch beliebige Speicheradressen können gelesen werdenEs gibt Formatierungszeichen, die das schreiben erlaubenschreiben erlauben

− Angriff ist dann ähnlich wie beim Stack Overflow

DoS18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

DoS


Strings nur mit %s referenzieren und nichtStrings nur mit %s referenzieren und nicht direkt ausgeben

i tf( % “ i t) t tt i tf(i t)− printf(„%s“,input) statt printf(input)Fehler können auch automatisiert erkannt werden

Immer eine Sicherheitsüberprüfung bei der− Immer eine Sicherheitsüberprüfung bei der Entwicklung


SQL InjectionSQL-Injection


Z h SQL I j tiZuwachs SQL-Injection


SQL I j tiSQL Injection

Sehr häufigSehr häufigPlatz 1 bis 2 bei „OWASP Top 10“Angriffstechnik auf Datenbank gestützte SoftwareSoftwareSpeziell SQL DatenbankenSehr kritisch und riskantU fil B i b kö SQLUngefilterte Benutzereingabe können SQL Befehle enthalten, die dann interpretiert werden



DoSDoSDatenänderungDatendiebstahlA h lt d A th ti itätAusschaltung der AuthentizitätKontrolle über den ServerKontrolle über den ServerProgrammiersprache ist egal, wenn keine D üb üf liDatenüberprüfung vorliegt



Query = „SELECT * FROM user WHERE yusername='“+UserName+“' AND password='“+UserPass+“';

Abfrage für Daten von einem BenutzerAbfrage für Daten von einem BenutzerUserName, UserPass sind externe Variablen

− Werden nicht validiertP t i ll Lü kPotenzielle Lücke



UserName=Admin und UserPass=' OR 23=23--

Angreifer kann SQL Befehle verwendenQuery = „SELECT * FROM user WHERE username='Admin' AND password='' OR 23=23--';

→ eine neue, richtige SQL-AbfrageDer Angreifer bekommt Adminzugriff→ Der Angreifer bekommt Adminzugriff



„Die Benutzer sind grundsätzlich böse“„Die Benutzer sind grundsätzlich böseAlle Eingaben müssen vollständig getestet und

filt t dgefiltert werden− White-list FilterungWhite list Filterung

Serversoftware, Datenbanksoftware möglichst i ht it Ad i ht t tnicht mit Adminrechten starten

Wichtige Daten verschlüsselnWichtige Daten verschlüsselnKeine Informationsausgabe bei Fehlern


XSSXSS


XSSXSS

XSS Cross-Site-ScriptingXSS Cross Site ScriptingPlatz 1-2 bei „OWASP Top 10“Sehr gefährlichE t t hät t Si h h it lü kExtrem unterschätzte SicherheitslückeBetroffen sind meist WebanwendungenBetroffen sind meist Webanwendungen


XSSXSS

Dynamische InhalteDynamische Inhalte − Serverseitige und Clientseitige Scriptsprachen

Bei XSS wird meist Javascript (Clientseitig) für Ausnutzung verwendetg

Aber auch viele andere möglich

B t ff b A dBetroffen: web AnwendungenBei einem gutem Angriff merkt der BetroffeneBei einem gutem Angriff merkt der Betroffene nichts


XSSXSS

http://shampoo.antville.org/static/shampoo/images/background_xss.gif


XSSXSS

Problem: ungefilterte Eingaben von BenutzerProblem: ungefilterte Eingaben von BenutzerExistiert eine XSS Lücke, so ist es dem A if ö li h B J i t C dAngreifer möglich z.B. Javascript-Code einzubindenVielfältige AusnutzmöglichkeitenEs können auch gleichzeitig mehrere betroffen sein


XSSXSS

Szenario:Szenario:− Angreifer findet eine XSS-Lücke− Benutzer logt sich ein− Angreifer schickt eine modifizierte URLAngreifer schickt eine modifizierte URL

Javascript wird vom Angreifer ausgeführt → Umleitung auf Angriffsseite→ Umleitung auf AngriffsseiteCookies werden gespeichertRü k l iRückumleitung

− Benutzer klickt auf die URL, merkt aber nichts18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

XSSXSS

Benutzerdaten-KlauBenutzerdaten Klau− Cookie Klau/Fälschung

Webseiten defacementBenutzerdaten ÄnderungBenutzerdaten ÄnderungPhishingg...


XSSXSS

Das Problem kann wieder durchDas Problem kann wieder durch Eingabefilterung vermieden werdenV hlü l L i D tVerschlüsselung von Login-Daten


PraxisPraxis


N t t d B t i b tNeustart des Betriebssystems

Problem:Problem: − 1. Angriffsziel: Virenscanner, Firewall,

UpdatesystemUpdatesystem− Wie groß Überlebenszeit des ungeschützen

Systems - SURVIVAL -TIME ?


S i l TiSurvival-Time

Mittelwert der Zeit die vergeht bis ein gungeschütztes Rechnersystem attakiert wird.


S i l TiSurvival-Time

[http://isc sans org/survivaltime html]18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

[http://isc.sans.org/survivaltime.html]

V h lt tiVerhaltenstips

Gleich nach Installation –2 Benutzerkonten festlegen und gAdministrator-Passwort festlegen. Aktuellen Browser Service Pack Treibersoftware überAktuellen Browser, Service Pack, Treibersoftware, über sicheren PC runterladen und installieren (Sicherheitseinstellung zu Beginn HOCH )

Client für Microsoft-Netzwerde deaktivierenErst jetzt PC via Kabel mit Internet verbindenErst jetzt PC via Kabel mit Internet verbindenErst Antivirensoftware und Firewall updaten!!! Windowsupdates nur mit internet explorer möglichSofort automatisch Updates aktivieren


Sofort automatisch Updates aktivieren

V h lt tiVerhaltenstips

Weitere Kernsoftware installieren ( MS Office )Weitere Kernsoftware installieren ( MS Office ...)

(Disc-) Image anlegen (z.B. mit Norton Ghost)

2. Benutzer - Account die Administrator-Rechte entziehen Gast-Account komplett deaktivierenentziehen. Gast Account komplett deaktivieren.

(Administrator-Account wird jetzt nur noch für Systemeinstellungen benutzt. Bei Windows Vista ist dies nicht mehr nötig.)Windows Vista ist dies nicht mehr nötig.)

Mit Softwareinstallation im 2. Account fortfahren d b j t t i b tund ab jetzt immer benutzen.


W i t PC i fi i t?Wann ist PC infiziert?

Spyware:Spyware: − Während des Besuchs einer Webseite

erscheinen Links und Werbefenster ( li h)erscheinen Links und Werbefenster (englisch)

− Werbefenster sind häufig verlinkt.



Trojaner & Würmer: − Häufige Abstürzen des Systems oder

einzelner Komponentenp− System wird stark langsamer

V b h h h I t tb db it H h− Verbrauch hoher Internetbandbreite – Hoher Uploadstream obwohl Benutzer kaum arbeitet

− Ungewöhnliche Einträge in der Registry, Konfigurationsdatein, Taskmanager.

− Virenscanner und Firewall lassen sich nicht mehr richtig updaten oder sind deaktiviert


g p


Mitmenschen beschweren sich VirenverseuchteMitmenschen beschweren sich Virenverseuchte e-mails vom ihnen zu bekommen. (kein sicheres Indiz)


W t i fi i t?Was tun wenn infiziert?

Keine PanikKeine PanikInternetverbindung trennen – Stecker ziehen Verbindung zu Netzwerken trennen – sonst kann es zum Ping-Pong-Effekt kommenes zum Ping-Pong-Effekt kommen

− Rechner infizieren sich immer gegenseitig

Sicherung persönlicher Daten auf CD/DVD und vermerken dass Daten infiziert sein können− und vermerken, dass Daten infiziert sein können

Viren- und Spywarescanner starten18.12.09 (FSU) Dmitrij Miller, Stephan Schumann

W t i fi i tWas tun wenn infiziert

Eliminieren aller potentiellen Dateien.Eliminieren aller potentiellen Dateien.Namen der gefundenen Dateien aufschreibenErneut mit dem Internet verbinden & Scannersoftware updatenScannersoftware updaten. Regergieren der Namen:

− www.symantec.de

− www.mcafee.com

− www.kapersky.com

Hier gibt es meistens auch Removal-Tools


g

W t i fi i tWas tun wenn infiziert

Tools runterladen und erneut scannen bzw.Tools runterladen und erneut scannen bzw. Onlinescann durchführen

t b li d / / ft / ti i ht l− www.tu-berlin.de/www/software/antivirus.shtml

Zweiten (On-Demand-) Scanner z.B. BitDefender http://www.bitdefender.de


QuellenQuellen


Q llQuellen

„Smashing the Stack for fun and Profit“

− http://www.phrack.org/issues.html?issue=49&id=14#article„Hacking: The Art of Exploitation“ - Jon Erickson

Buffer Overflows und Format-String-Schwachstellen - Tobias Klein

Pics by google :)Pics by google :)

Wikipedia ;)

K Jano ic Sicherheit im Internet O`Reill Verlag & Co KGK. Janowicz - Sicherheit im Internet - O Reilly Verlag & Co. KG

IBM X-Force 2008 Trend & Risk Report

http://isc.sans.org/survivaltime.html

http://www.iks-jena.de


Computersicherheit -...

Documents

Transcript of Computersicherheit -...