TU-München Hauptseminar Informatik Database Hall of Fame Wintersemester 2001/2002 Prof. R. Bayer:
Hauptseminar: Analyse von Softwarefehlern WS 2002/03
33
Hauptseminar: Analyse von Softwarefehlern WS 2002/03 Thema: Sicherheitsrisikos Bearbeiter: Al-Salmani Mohamad, Sheng Guo, Tran Minh Luan Prof. Dr. Thomas Huckle
description
Hauptseminar: Analyse von Softwarefehlern WS 2002/03. Bearbeiter: Al-Salmani Mohamad, Sheng Guo, Tran Minh Luan. Thema: Sicherheitsrisikos. Prof. Dr. Thomas Huckle. Wie sicher fühlen Sie sich ?. - PowerPoint PPT Presentation
Transcript of Hauptseminar: Analyse von Softwarefehlern WS 2002/03
Hauptseminar: Analyse von Softwarefehlern WS 2002/03
Thema: Sicherheitsrisikos
Bearbeiter: Al-Salmani Mohamad, Sheng Guo, Tran Minh Luan
Prof. Dr. Thomas Huckle
Wie sicher fühlen Sie sich ?
• Fast 90 Prozent der Unternehmen haben 2001 unangenehme Erfahrungen mit Internet-Würmern, Viren oder Trojanern gemacht
• 40 Prozent mussten DoS-Attacken über sich ergehen lassen
• Rund ein Drittel der befragten Firmen wurde Opfer von Angriffen, bei denen Angreifer Buffer- Overflow-
Schwächen ausnutzten
Sicherheitsrisikos
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
Datenverlust
Computerbenutzer und viele Experten betrachten Datenverlust oftmals als unwiederbringlich, ohne eine Hoffnung auf Wiederherstellung. Ein Grossenteil der Informationen im Zusammenhang mit Datenverlusten ist jedoch inkonsistent oder ungenau, und so ist es nicht verwunderlich, dass die Themenfelder Datenverlust und Datenrettung für Benutzer zu den verwirrendsten und am schwersten verständlichen Konzepten zaehlen.
Datenverlust
• Es werden grössere Datenmengen auf kleinerem Raum gespeichert
• Die Daten sind unternehmenskritischer als früher
• Tools und Techniken für die Datensicherung sind nicht zu 100 % zuverlässig
Datenverlust
• Hardware- oder Systemfehlfunktionen• Benutzerfehler• Beschädigte Software• Computerviren• Höhere Gewalt
Sicherheitsrisikos
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
Sicherheitslücken
• Viren, Würmer, usw.• Denial of Service (DoS) Angriff• Eindringen und Verunstaltung der Website• Eindringen und Verlust an Vertraulichkeit an die
Konkurrenz• Eindringen, Verlust an Vertraulichkeit durch
Veröffentlichung im Internet (Kreditkarten)
Externe Gefahren:
Sicherheitslücken
Interne Gefahren:
• Hardwareausfall, Softwarefehler, Systeminsta-bilitäten, Feuer, Wasser, usw.
• Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter) leiten Information weiter
• Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter) führen Sabotage durch
• Aussteigende Mitarbeiter sammeln Informatio-nen für den neuen Arbeitgeber
Sicherheitslücken in Windows NT
• Account- und Passwortangriffe
• Windows NT-Netzwerkangriffe
• Angriffe unter Ausnutzung von NT-Anwendungen
• NT-Sabotage-Angriffe
Sicherheitsrisikos
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
Viren
Bezeichnung für Programme, die sich, wenn sie einmal geladen sind, beliebig vervielfältigen können und den Sinn und Zweck verfolgen, den Betriebsablauf (eines Computers) zu stören.
Viren
• Viren Construction Kits
• Dateiviren
• HTML-Viren
• Makro Viren
• Retroviren
• TSR-Dateiviren
• Trojanische Pferde
Sicherheitsrisikos
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
Hackerangriffe (DoS)
Denial of Service, oft auch in Fachkreisen mit dem Akronym DoS (nicht zu Verwechseln mit DOS für Disc Operating System) abgekürzt, stellt ein destruktives Vorgehen dar, dass Ressourcen unnutzbar machen soll. Durch solche Angriffe können Netzwerk-Elemente oder Computersysteme zum Absturz gebracht werden, um so deren Nutzung zu verhindern.Zu den populärsten Denial of Service-Attacken gehören OOB (Out of Band), IP-Fragmentierung, SYN-Flooding, ICMP- Stürme.
Verschiedene Ansätze
• Belegung der Bandbreite
• Ressourcen aufbrauchen
• Programmierfehler ausnutzen
Spezifische Angriffstypen
• Der Angreifer sendet eine ICMP-anfrage zur broadcast Adre-sse des Vermittler- Netzwerkes, und nimmt die Adresse des Opfers an(Spoofing)
Angreifer
Vermittler
ICMP-Stürme (Smurf)
Spezifische Angriffstypen
• Wenn der Vermittler direct broadcast eingeschaltet hat, werden die ICMP-Anfragen zu den Hosts im Vermittler-Netzwerk gesendet.
Angreifer
Vermittler
ICMP-Stürme (Smurf)
Spezifische Angriffstypen
• Die Hosts im Vermittler-Netzwerk senden Antworten zum Opfer, und bombardieren dieses mit ICMP-Paketen.
Opfer
Angreifer
Vermittler
ICMP-Stürme (Smurf)
• Der TCP-Verbindungsau-fbau erfolgt mit SYN- Paketen
• Wird auf das folgende SYN/ACK nicht geantwor-tet, bleibt eine halboffene Verbindung zurück
• Dies führt zur Füllung eines Puffers
Sender Empfänger
SYN
SYN/ACK
ACK
Spezifische Angriffstypen
SYN-Flooding
IP-Fragmentierung (Ping of Death)65535
20
Header
Header
Packet IPID-Nummer
Offset
Lokale Denial of Service-Attacken
• Boot-Diskette
• Registry-Angriffe
• Ausnutzung von Fehlern in Anwendungen
• Infizieren des Systems mit Viren, Trojanern usw.
Distributed Denial of Service
Anstelle von einzelnen Systemen, die als Ausgangspunkt eines Denial-of-Service Angriffs benutzt werden, kommt nun eine Vielzahl von unterschiedlichen Systemen in einem grossflächig koordinierten Angriff auf einzelne Systeme oder Netzwerke zum Einsatz.Die Anzahl der an einem Angriff beteiligten Systeme kann dabei variieren; einige hundert bis tausend gleichzeitig angreifende Systeme wurden bereits beobachtet. Da die an einem Angriff beteiligten Rechner oft über grosse Teile des Internets verteilt sind, spricht man von einem sog. "Distributed Denial-of-Service" (DDoS) Angriff.
Distributed Denial of Service
Agent
Angreifer
Handler Handler Handler
Agent Agent Agent Agent Agent Agent
Opfer
Angriffsdatenstrom Steuerdatenstrom
Trend: Verbesserung von DDoS
• Die Verschleierung der Kommunikation zwischen Angreifer und Handler bzw. zwischen Handler und Agenten
• Sicherung der Kommunikationsverbindungen gegen Mithören durch Verschlüsselung und Passworte.
• Die "Wartbarkeit" des DDoS-Netzes• Integration weiterer Angriffsmethoden
Gegenmassnahmen Smurf
Dieses Problem lässt sich jedoch durch einen einfachen Trick beheben, indem man an den Routern die IP-Broadcasts nicht mehr in Ethernet-Broadcasts umsetzen lässt.Die TCP/IP-Protokollarchitektur ist bei ihrer Konzipierung und Realisierung nicht mit dem Hintergedanken solcher Extremsituationen vorgelegt worden. Aus diesem Grund kann protokolltechnisch nicht viel den besagten Problemen entgegengehalten werden. Lediglich eine durchdachte Netzstruktur (gut platzierte Router, Hubs, Switches und Firewall-Systeme) kann das Problem ganz oder wenigstens teilweise einschränken.
Gegenmassnahmen SYN-Flooding
Viele Hersteller reagierten mit einem Patch. Bei der Kompilierung eines aktuellen Linux-Kernels zum Beispiel, können Gegenmassnahmen aktiviert werden, um SYN-Flooding entgegenzuwirken. Die dahintersteckende Technik ist gleichermassen einfach als wie auch effizient: Nur eine gewisse Anzahl halboffener Verbindungen mit vertrauenswürdigen Hosts, mit denen ein Cookie ausgehandelt wurde, werden angenommen.
Gegenmassnahmen Ping of Death
Abhilfe schafft nur eine vollständige Reassemblierung der TCP/IP-Pakete bzw. ein Patch oder der Einsatz eines Proxy. Nachteil der zweiten Lösung ist ein enormer Einbruch in der Performance, der den Vorteil der SPF-Firewalls völlig zunichte macht. Dies zeigt aber wieder einmal deutlich, dass Firewalls keineswegs perfekt sind. Will man solchen Angriffen zuvorkommen, so ist man als Betreiber eines mission critical Systems auf die ständige Betreuung eines Experten angewiesen. Da von diesem Angriff nur spoofende Versionen existieren, können die Täter oft nicht aufgespürt werden.
Gegenmassnahmen DDoS
Sicherung der Systeme gegen Einbrüche
Vor dem eigentlichen DDoS-Angriff, muss der Angreifer in einem als Mass Intrusion bezeichneten ersten Schritt in diese Systeme einbrechen, um dort die DDoS Tools zu installieren. Dieser Phase kann durch Sicherung der eigenen Systeme begegnet werden:
Gegenmassnahmen DDoS
• Konservative Systemkonfiguration• Zeitnahes Einspielen von Sicherheits-patches• Einschränkung der angebotenen Dienste auf
den notwendigen Netzbereich• Verwendung von Verschlüsselung für
Authentifikation und Kommunikation• Paketfilter am Netzeingang und Netzausgang
(Ingress- und Egress-Filter)• Aufbau eines Systems zur Verfolgung von
Datenstrümen im Netz
Quellen• Taskforce "Sicherheit im Internet" (BMI/BSI): Regelwerk zur Abwehr von Distributed-
Denial-of-Service Angriffen • Ausgewählte Artikel aus den Medien auf whitehats.com Informationen von AusCERT
zum Thema DDoS (engl.) • RFC 3013 "Recommended Internet Service Provider Security Services and
Procedures" (engl.) • Ein eher historisches (1995!) Paper von Fred Cohen zu koordinierten verteilten
Angriffen "A Note On Distributed Coordinated Attacks" (engl.)
• Sicherheit im Internet (Othmar Kyas, 2te Auflage) • Hackers Guide (Tiger): http://kickme.to/tiger/ • Trojaner Info: http://www.trojaner-info.de/viren/virentipps.shtml
• Windows NT Systemadministration. Aeleen Frisch. O'Reilly & Associates, 1998. ISBN: 3897211181.
• Internet Security With Windows NT. Mark Joseph Edwards. Duke Communications, 1997. ISBN: 1882419626.
• Microsoft Windows NT Network Administration Training. Microsoft Educational Services Staff. Microsoft Press, 1997. ISBN: 1572314397.
• Pcweek Microsoft Windows NT Security: System Administrator's Guide. Nevin Lambert, Manish Patel, Steve Sutton. Ziff Davis, 1997. ISBN: 1562764578.
Vielen Dank für die Aufmerksamkeit !
