Hacker-Methoden in der IT- Sicherheitsausbildung · PDF fileHacker-Methoden in der...

Hacker-Methoden in der IT-Sicherheitsausbildung

Dr. Martin MinkFG Security EngineeringTU Darmstadt / CASEDwww.seceng.informatik.tu-darmstadt.de/mink

Hochschule Darmstadt, 25.11.2010Vorlesung „Computerforensik“

25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 2

Über mich

1996 – 2003 Informatikstudium an der TU Darmstadt 2003 – 2009 Doktorand an der RWTH Aachen und Uni

Mannheim 2009 – 2010 Mitarbeiter an der Hochschule Albstadt-

Sigmaringen seit Febr. 2010 PostDoc am Center for Advanced Security

Research (CASED) und TU Darmstadt Themen: Offensive Methoden, Digitale Forensik Praktikum „Hacker Contest“

Dissertationsthema: Vergleich von Lehransätzen in der IT-Sicherheitsausbildung


Überblick

Offensive Ausbildung Hacker-Praktikum IT-Sicherheitswettbewerbe Capture-the-flag Wargames

Offensive Methoden Ethik Bewertung

Digitale Forensik


Hacking in der Lehre


Hacking in der Lehre

Hochschulen bieten Kurse mit offensiven Inhalten an Vorlesungen Hacker-Praktika Seminare Hacking-Wettbewerbe

Ziel: lernen, wie man ein System sicher macht wichtig: praktische Erfahrung


Hacker-Praktikum

praktische Erfahrung mit Angriff & Verteidigung beide Seiten von IT-Sicherheit kennenlernen

die (Un-)Sicherheit von Software(systemen) praktisch erfahren Angriffe in geschützter Umgebung ausprobieren nicht nur die Anwendung von Tools lernen


Hacker-Praktikum

an deutschen Hochschulen Uni Bochum TU Darmstadt TU Dortmund Uni Erlangen-Nürnberg FH Gelsenkirchen TU Magdeburg Uni Mannheim (noch) Uni Potsdam …

an vielen US-amerikanischen Hochschulen


Praktikum „Hacker Contest“

Wird seit 1999 an der TU Darmstadt angeboten Erprobung von Angriff und Verteidigung in einem geschlossenen

Netzwerk Praktische Erfahrungen in einer Umgebung, die normalerweise

nicht legal möglich Idee: „know your enemy“ Kennenlernen der Methoden der Angreifer, um sich effizient vor

Angriffen schützen zu können

12 Studenten arbeiten in Teams Teil des neuen Masterstudiengangs „IT Security“


Praktikum „Hacker Contest“ (2)

jedes Team betreut mehrer Rechner Windows und Unix/Linux

Ablauf in Phasen Netzwerkerkundung (reconnaissance) Schwachstellen finden Angriffe durchführen Systeme absichern Test der Maßnahmen durch erneute Angriffe


Ziele des Hacker Contests

IT-Sicherheit praktisch erfahren Die Methoden der Angreifer kennenlernen Studierende für die Gefahren im Netzwerk sensibilisieren sowie

ausbilden, die Gefahren zu erkennen und abzuwehren Kritische Auseinandersetzung mit den Grundsätzen des

"Hackens" und den prinzipiellen Angriffskonzepten Lernen, wie man ein System sicher macht


Hacker Contest für Unternehmen

Weiterbildungsveranstaltung für Mitarbeiter Vermittlung von Wissen in ausgewählten Bereichen der IT-Sicherheit Einblicken in die Methoden und Denkweisen von Hackern Techniken zur Abwehr von Angriffen praktischen Erfahrungen

5-tägige Veranstaltung geplant ab Frühjahr 2011


IT-Sicherheitswettbewerbe


Hacker-Wettbewerbe

Challenge based Lösen von Aufgaben aus verschiedenen Bereichen der IT-Sicherheit z.B. War games

Capture the flag Angriff und Verteidigung im Netzwerk

Attack based Angriff steht im Vordergrund

Defense based Verteidigung steht im Vordergrund Cyber Defense Exercise (CDX) des US-amerikanischen Militärs


Capture-the-flag-Wettbewerb (CTF)

klassisch: 2 Teams spielen im Gelände jedes Team hat ein Territorium

und eine Flagge eigene Flagge muss geschützt

werden Flagge des anderen Teams

muss erobert werden Abwandlung: virtuell in

Computerspiel

neu: Übertragung des Konzepts in die IT-Sicherheit


CTF: Wettbewerb

Weltweit verteilte Teams von Universitäten treten gegeneinander an

Jedes Team muss einen virtuellen Server verteidigen und die Server der anderen Teams angreifen

Teams sind über VPN verbunden Der Gameserver vergibt Offensiv- und Defensivpunkte in

Echtzeit offensiv: für eroberte Flaggen defensiv: für die Erreichbarkeit der eigenen Dienste z.T. Zusatzpunkte für das Schreiben von Advisories oder das Lösen

zusätzlicher Aufgaben


CTF: Wettbewerb (2)

Vom Veranstalter erstellte Netzwerkdienste mit Sicherheitslücken keine Standard-Software => Lücken müssen selbst gesucht werden

Dauert typischerweise 7-10 Stunden davon 1-2 Std. Vorbereitung ohne Gameserver

häufig mit Hintergrundgeschichte z.B.: „The Copyright Mafia“, iCTF 2007


CTF: Aufbau

http://ictf.cs.ucsb.edu/archive/iCTF_2005/CTF.pdf


CTF: Flaggen

Eine Flagge ist ein String (Hash) Jeder Dienst hat seine eigenen Flaggen Die Flaggen werden durch den Gameserver abgelegt werden irgendwo in dem Dienst oder im System abgelegt werden von Zeit zu Zeit erneuert sind – theoretisch – nur durch einen berechtigten Benutzer zugreifbar

Eroberung einer Flagge eines anderen Teams:1. auf die Flagge auf dem Server des anderen Teams zugreifen2. Flagge an den Gameserver einreichen (innerhalb des

Gültigkeitsintervalls)


CTF: Scoreboard


CTF: Wettbewerbe (Auswahl)

iCTF: http://ictf.cs.ucsb.edu organisiert durch Giovanni Vigna von der UCSB erster und bekanntester CTF im akademischen Bereich max. 20 pro Team; 56 Teams im Jahr 2009

CIPHER CTF: http://www.cipher-ctf.org/ organisiert durch Lexi Pimenidis (ehemals RWTH Aachen) max. 7 pro Team; 33 Teams im Jahr 2009

ruCTF: http://ructf.org organisiert durch HackerDom, CTF-Team der Ural State University

(Russland); 43 Teams im Jahr 2009

CTF auf DEFCON: http://www.defcon.org challenge-basierte Qualifikationsrunde (auch remote Teilnahme) CTF für die Top 10 der Qualifikationsrunde vor Ort

http://ictf.cs.ucsb.edu/

http://www.cipher-ctf.org/

http://ructf.org/

http://www.defcon.org/


CTF: Vergleich mit Praktikum

Gemeinsamkeiten praktische Erfahrung Angriff und Verteidigung (Teamarbeit)

Unterschiede: in Echtzeit stärkere Wettkampfsituation stärkere Betonung von selbst entwickelten Exploits


Beispiel für eine Challenge

CTF auf hack.lu 2010 jährliche Hacker-Konferenz in Luxemburg

challenge-basiert erfolgreiche Lösung einer Challenge liefert eine Flag

organisiert von FluxFingers, CTF-Team der Ruhr-Universität Bochum

vom 27.10., 11 Uhr bis 29.10., 11 Uhr


zu lösende Challenges


eine der Challenges

Lösungsansatz?


hack.lu-Challenge

Our sad little pirate haes lost his password. It is known that the pirate has just one hand left; his left hand. So the paessword input is quite limited. Also he can still remember that the plaintext started with "674e2" and his password with "wcwteseawx" Please help the sad pirate finding his plaintext.

Ciphertext@@\xa9\x8a\xd1\xae%\xdf\x8b\xe9}\xf6_\x90\xa9\x80 ...

Ciphertext (alternate syntax)0x40,0x40,0xA9,0x8A,0xD1,0xAE,0x25,0xDF,0x8B,0xE9, ...


Flagge einreichen


Wargames

Speziell konstruierte Challenges orientieren sich an Problemen, vor denen ein Angreifer steht

Meistens level-basiert einen Level lösen um in den nächsten zu gelangen

Web-Browser- oder shell-basiert spielerische Art, sich mit Hacking auseinanderzusetzen Betonung liegt auf Angriffen


Wargames (Auswahl)

Hack this site: http://www.hackthissite.org/ Intruded.net: http://www.intruded.net/wglist.html Starfleet Academy Hackits: http://isatcis.com/ (momentan nicht

verfügbar)

http://www.hackthissite.org/

http://www.intruded.net/wglist.html

http://isatcis.com/


Was ist „offensiv“?

Was ist überhaupt eine offensive Methode?


Was ist „offensiv“? (2)

Definitionsversuch 1 eine Methode, die von einem Angreifer verwendet wird aber: manche Angreifermethoden werden auch als Schutzmaßnahme

eingesetzt Dual-Use-Prinzip Beispiele?



Definitionsversuch 2 alles, was darauf abzielt, etwas „kaputt zu machen“ Angriffe auf Verfügbarkeit, Vertraulichkeit, Integrität

Beispiele: (D)DoS-Angriff, Netzwerk-Sniffen

aber: es kommt auf die Intention an Was möchte jemand durch die Anwendung einer Methode erreichen? Auch eine offensichtliche Angreifermethode wie Malware lässt sich zu

defensiven Zwecken einsetzen



Definitionsversuch 3 unter Verwendung von „defensiv“ defensiv::= die Anwendung einer defensiven Methode reduziert die

Anzahl der erfolgreichen offensiven Methoden Beispiele?

offensiv::= alle nicht defensiven Methoden Problem: Dual-use


Welche Arten Hacker gibt es?

Cracker jemand, der in Computer eindringt

Hacker jemand, der etwas sehr gut kann, z.B. Programmieren hat sich als Bezeichnung für Angreifer eingebürgert Unterscheidungen: White hat hacker setzt seine Hacker-Kenntnisse für legale Zwecke ein

Black hat hacker entspricht dem Cracker

Grey hat hacker verhält sich manchmal illegal, manchmal gut gemeint, manchmal

nicht


Ethik

häufiger Vorwurf: Studenten werden zu Hackern ausgebildet meine Überzeugung: Erhöhung der Anzahl der (White hat)

Hacker erhöht die Sicherheit insgesamt Ethik muss in Veranstaltungen mit offensiven Aspekten

behandelt werden ethisches Verhalten gesetzliche Regelungen

siehe auch [1]


Wie gut ist offensive Ausbildung?

Habe in meiner Lehrtätigkeit sehr gute Erfahrungen gemacht mit dem offensiven Ansatz

Großes Interesse sowohl der Studenten an den Veranstaltungen sehr motiviert

als auch von Unternehmen an Studenten mit Hacker-Erfahrung an Schulungen für Mitarbeiter

Lässt sich der Nutzen des offensiven Ansatzes bewerten? Einsatz einer empirischen Studie als Messinstrument


Bewertung des offensiven Ansatzes


Empirische Studie: Ansatz

Vergleich von zwei Gruppen eine mit offensiver Ausbildung eine mit rein defensiver Ausbildung

Vergleich durch Experiment Ziel: Wissen sichtbar machen und messen

Daten sammeln für empirischen Vergleich Beschränkung auf Universitätsstudenten nicht generalisierbar


Empirische Studie: Hypothese

Studenten, die eine offensiv orientierte Ausbildung in Computersicherheit erhalten,

haben ein besseres Verständnis für IT-Sicherheit als Studenten, die rein defensiv

ausgebildet werden


Empirische Studie: Variablen

unabhängigeVariable (UV)

abhängigeVariable (AV)

IT-Sicherheits-verständnis

Einfluss

Art der Lehre: offensiv, defensiv

Vorwissen:viel, wenig


Studie: Konzeption

zwei 3-tägige Kurse zur IT-Sicherheit: einer offensiv ausgerichtet einer defensiv ausgerichtet theoretische und praktische Inhalte die Unterscheidung findet nur im praktischen Teil statt

Themen: Softwaresicherheit, Netzwerksicherheit, Firewalls, Malware,

Webanwendungssicherheit, Unix-Sicherheit zufällige Zuordnung der Teilnehmer zu den Kursen


Studie: Tests

Ermitteln des IT-Sicherheitswissens der Teilnehmer vorher und nachher: durch Fragebogen mit wieviel Vorwissen beginnen die Teilnehmer den Kurs? wie hat sich das Wissen durch den Kurs verändert?

am Ende: durch praktischen Test (Experiment) Anwendung des Erlernten

zusätzlich: Ermitteln des IT-Sicherheitsbewusstseins („Awareness“) vorher und nachher: durch Fragebogen


Studie: Experiment

Hauptmessinstrument der Studie gegeben: Computersystem mit Sicherheitslücken und

Fehlkonfigurationen Aufgabe: Überführen des Systems in einen sicheren Zustand


Studie: Aufbau

Server

unsicher

Test

Test Messung:

- Anz. ge- fundener Sicherheits- lücken

- benötigte Zeit

- Vorgehen

- Ergebnis

Server

sicher

Teil-neh-mer

defensiv

offensiv

Kurs 1

Kurs 2

zufällig

zufällig


Studie: Durchführungen

1. Durchführung Frühjahr 2007 ca. 40 Teilnehmer

2. Durchführung Frühjahr 2008 insgesamt ca. 80 Teilnehmer

Ergebnisse: Experiment [2]

Ergebnisse: Wissenstest [2]


Bewertung der Studie

Ansatz, um den offensiven Lehransatz zu bewerten Ergebnisse der Studie sind nicht aussagekräftig genug Wiederholte Durchführung der Studie um mehr empirische Daten zu sammeln


Warum offensive Ausbildung wichtig ist Know your enemy! Motivation → mehr Spaß schnelle Ergebnisse es ist einfacher, eine Lücke zu finden, als zu zeigen, dass keine

Lücke existiert spielerische Ansätze

aus den Fehlern anderer lernen, um diese nicht wieder zu machen Negativbeispiel: ping of death – BlueSmack in den 90er Jahren führte der „ping of death“ zum Absturz von Win95 viele Jahre später ist ein analoger Angriff gegen Bluetooth-Geräte

möglich („BlueSmack“)


Digitale Forensik


Digitale Forensik

im Hacker-Praktikum Analyse von Festplatten Handys Erlernen der grundlegenden Techniken der Analyse nicht nur Anwendung von (high-level) Tools

gebraucht gekauft viele interessante Daten gefunden (siehe später) aber: Problematik Datenschutz (personenbezogene Daten) [3] alternativ: forensische Images generieren forensig2 (Uni Mannheim) [4]


Digitale Forensik (DF)

auch als Computerforensik oder Forensic Computing bezeichnet DF beschäftigt sich mit dem Sammeln, der Interpretation und

der Präsentation von auf digitalen Geräten gefundenen Beweisen meist zur Verwendung in Gerichtsverhandlungen

Aber es gibt auch Nebeneffekte der DF: Sicherheitsbewusstsein der Benutzer erhöhen aus Sicherheitslücken lernen Analyse von Sicherheitsvorfällen, um die Werkzeuge, die Taktik und

das Vorgehen von Angreifern kennenzulernen nutze dies zur Verbesserung der Sicherheit


DF: Awareness

gelöschte Daten auf Festplatten und Speicherkarten können wiederhergestellt werden und mit ihnen viele Informationen

Daten auf Mobiltelefonen empfangene & getätigte Anrufe, SMS, Fotos, Adressen, Termine, ... Wie können diese sicher gelöscht werden?

Viele weitere digitale Geräte speichern Daten Fotokopierer: kopierte Dokumente Navigationssysteme: Adressen, gefahrene Strecken Auto: Aufzeichnung von Vorfällen ...


DF: gefundene Daten

Familienstammbaum, aus Daten von einer Festplatte rekonstruiert [5]


DF: gefundene Daten (2)

aus gelöschten Nachrichten rekonstruierte Unterhaltung via SMS [5]


Ausbildung in DF

es gibt nur wenig akademische Ausbildung in DF keine Methodik Deutschland: einzelne Vorlesungen Irland vorn in dem Bereich

in der Praxis meist „learning on the job“ und Anwendung von best practices

fundiert ausgebildete Experten werden dringend benötigt bei Strafverfolgungsbehörden und in Industrie

Hochschule Albstadt-Sigmaringen, Uni Mannheim und Uni Tübingen entwickeln einen Masterstudiengang erster dieser Art in Deutschland weitere Partner aus Industrie und Behörden beteiligt


Master für Digitale Forensik

berufsbegleitend 6 Semester Fernstudiengang mit Präsenzveranstaltungen ist im Oktober diesen Jahres gestartet Voraussetzungen abgeschlossenes Studium einschlägige Berufserfahrung

Kosten: < 15.000 Euro Web: http://www.digitaleforensik.com/


Fazit

Erfahrung mit Angreifermethoden ist wichtig um sich der Möglichkeiten eines Angreifers bewusst zu werden für ein besseres Verständnis von Sicherheitsproblemen denn nur wer die Methoden der Angreifer kennt, kann sich effizient

verteidigen denn Angreifer sind immer einen Schritt voraus

Bedarf an Sicherheitsexperten mit Hacker-Erfahrung ist da für Penetrationstests, Anti-Virus-Industrie, Aus-/Weiterbildung,

Strafverfolgungsbehörden, Geheimdienste, ... Nachfrage durch Industrie und Staat


Zum selbst ausprobieren

Web App Sicherheit: WebGoat (von OWASP) zur Demonstration von häufig auftretenden Sicherheitslücken http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

Gruyere (ehemals Jarlsberg) (von Google code) Lernanwendung für Webentwickler http://google-gruyere.appspot.com/

Hacme Bank, Hacme Book, Hacme Casino, Hacme Travel, … nachgebildete Webapplikationen, die Lücken enthalten http://www.foundstone.com/us/resources-free-tools.asp


Zum selbst ausprobieren (2)

Wargames siehe dort

Live CDs Damn Vulnerable Linux (DVL) Live-CD mit angreifbaren Anwendungen http://www.damnvulnerablelinux.org/

Backtrack Linux mit Tools für Penetration Testing http://www.backtrack-linux.org/

weiteres auf: http://www.seceng.informatik.tu-darmstadt.de/security-education-resources


iCTF 2010

Findet am 3.12. statt 17 Uhr (Freitag) bis 2 Uhr (Samstag)

Team „Wizard of DoS“ der TU Darmstadt nimmt teil Zuschauer sind willkommen ab 19 Uhr bis Ende

Ort: Gebäude S4|14 der TU (Mornewegstr. 30), Raum steht noch nicht fest

weitere Informationen auf http://www.seceng.informatik.tu-darmstadt.de Raum Link zum Scoreboard ...


Literatur

[1] F. Gröbert, T. Kornau, L. Pimenidis: Is Teaching Hacking in Academia Ethical?, SIGINT, 2009[2] M. Mink, R. Greifeneder: Evaluation of the Offensive Approach in Information Security Education, International Information Security Conference (SEC), 2010[3] M. Liegl, M. Mink, F. Freiling: Datenschutz in digital-forensischen Lehrveranstaltungen, Datenschutz und Datensicherheit, 4, 2009[4] C. Moch, F. Freiling: The Forensic Image Generator Generator. International Conference on IT Incident Management and IT Forensics (IMF), 2009[5] F. Freiling, T. Holz, M. Mink: Reconstructing Peoples Lives: A Case Study in Teaching Forensic Computing, International Conference on IT Incident Management and IT Forensics (IMF), 2008

Hacker-Methoden in der IT- Sicherheitsausbildung · PDF fileHacker-Methoden in der...

Documents

Transcript of Hacker-Methoden in der IT- Sicherheitsausbildung · PDF fileHacker-Methoden in der...