Modul InformationssicherheitThema 1: Einführung

Robert Baumgartl

21. März 2019

1 / 28

Organisatorisches

I PflichtmodulI 2/0/2, d. h., 90’ Vorlesung und 90’ Praktikum pro WocheI Vorlesung freitags, 7.30 Uhr, L 211I Kontaktmöglichkeiten:

I persönlich nach Vorlesung/Praktikum oder zurSprechstunde (mittwochs 11-12 Uhr, Z 357)

I per Mail an robert.baumgartl@htw-dresden.deI dem Subject bitte „[IS]“ voranstellenI Tel. (0351) 462 2510

I PrüfungI Klausur, 90’I Hilfsmittel: 1 Seite A4 einseitig beschrieben;

nichtprogrammierbarer TRI Zulassungsvoraussetzung: Beleg (PVL, d. h. unbenotet)

2 / 28

OrganisatorischesPraktika, Belegaufgabe

PraktikumI 3 Gruppen/TermineI Prof. Baumgartl, Herr PaulI Start: 26. 03. 2019 (nächster Dienstag)I Aufgabenblätter:

http://www.informatik.htw-dresden.de/~robge/is/is.html

Prüfungsvorleistung:I Bekanntgabe der Aufgabenstellung etwa zur

SemestermitteI (personalisierte) Aufgabe, die mittels C und libcrypto

(OpenSSL) implementiert werden muss

3 / 28

RessourcenVorlesungsunterlagen, Bücher

I Vorlesungsfolien (im PDF), Praktikumsaufgaben, aktuelleInformationen erscheinen im Laufe des Semesters unterhttp://www.informatik.htw-dresden.de/~robge/is/is.html

� Bruce Schneier. Angewandte Kryptographie. Pearson,2006 (besser die englische Ausgabe von 1996)

� Matt Bishop. Introduction to Computer Security. PrenticeHall, 2004

� Albrecht Beutelspacher. Kryptologie. 9. Aufl.Vieweg+Teubner, 2009

� Ross Anderson. Security Engineering. 2. Aufl. Wiley, 2008u Introduction to Cryptography by Christof Paar

(https://www.youtube.com/channel/UC1usFRN4LCMcfIV7UjHNuQg)

4 / 28

RessourcenWeb, Vorschläge

I http://www.schneier.comI http://www.phrack.orgI http://www.backtrack-linux.org/I http://computer-forensik.orgI https://www.ccc.deI http://www.lightbluetouchpaper.org/I http://insecure.orgI http://www.forensix.org

5 / 28

RessourcenBelletristik

I Thomas Harris. Enigma. TB 01/10001. Heyne, 1995I Clifford Stoll. Kuckucksei. Fischer, 1989I Neal Stephenson: Cryptonomicon. Goldmann, 1999I Dan Brown: Digital Fortress. 1998 (deutsch: „Diabolus“)1

1Keine wirkliche Empfehlung; das Buch demonstriert vor allem die Unkenntnis des Autors.6 / 28

1

MotivationSchlagzeilen der letzten Zeit

I 2.2 Milliarden Passwort-Credentials gestohlen undveröffentlicht (Link, 25. 01. 2019)

I Cambridge Analytica hat 50 Millionen Facebook-Profilegescrapet und ggf. missbraucht (Link, 21. 03. 2018)

I Gravierende Prozessor-Sicherheitslücken: Meltdown undSpectre (Link, 04. 01. 2018)

I „Schutz durch Speicherverwürfelung ASLR geknackt“(Link, 15. 02. 2017)

I „Todesstoß: Forscher zerschmettern SHA-1“ (Link,23. 02. 2017)

I „Vault 7: Wikileaks präsentiert Liste derCIA-Hacker-Werkzeuge“ (Link, 23. 02. 2017)

I „Kriminelle bieten Mirai-Botnetz mit 400.000 IoT-Gerätenzur Miete an“ (Link, 25. 11. 2016)

7 / 28

Motivation

8 / 28

Motivation

9 / 28

Motivation

10 / 28

Was machen wir hier eigentlich?

Beschäftigung mit den grundlegenden Anforderungen an dieSicherheit beim Betrieb von Rechensystemen:

I Vertraulichkeit,I Integrität,I Verfügbarkeit.

Des weiteren widmen wir uns den AspektenI Authentizität/Authentifizierung,I Zurechenbarkeit/Nichtabstreitbarkeit,I Anonymität.

Szenarien: Angriffe und Gegenmaßnahmen

Handhabung ausgewählter Werkzeuge für die Praxis

Betrachtung beider Seiten

(vgl. Modulbeschreibung I-170)11 / 28

Inhalt der Lehrveranstaltung

I Einführung, Motivation, Grundlagen, BegriffeI Klassische Verfahren und Angriffe auf dieseI (kryptografische) Hashfunktionen, Kollisionen,

Geburtstagsparadoxon, Signaturen,I Moderne symmetrische Verschlüsselungsverfahren (DES,

AES, IDEA)I mathematische GrundlagenI asymmetrische Verfahren (Diffie-Hellman, RSA, ElGamal)I kryptografische Algorithmen, Schlüsselverwaltung, API,

WerkzeugeI Zugangskontrolle, Passwortsysteme, Rainbow TablesI Anonymität, Mixe, TorI Zero-Knowledge-ProtokolleI Programme mit Schadensfunktion (Malware)

12 / 28

2

Schutzziel: Vertraulichkeit (Confidentiality)

I ist das Verbergen von InformationenI sensitive Daten, z. B.

I personenbezogenI der militärischen Geheimhaltung unterliegendI Geschäftsgeheimnisse

I wird durch Mechanismen bzw. Dienste gewährleistet, z. B.I Ver- und Entschlüsselung (Kryptografie)I Verbergen in „unverdächtigen“ Daten (Steganografie)I Zugriffssteuerung (Access Control)

I erfordert Unterstützung durch das System

13 / 28

Schutzziel: (Daten-)Integrität

I Verhinderung der Verfälschung von Daten, Ressourcenetc.

I „Kann ich den Daten trauen?“I realisiert durch

I Verhinderung unautorisierten SchreibzugriffsI Erkennung einer Integritätsverletzung (z. B. durch

kryptografische Prüfsummen)I Unterscheidung der Integrität der Daten selbst sowie der

datengenerierenden QuelleI Verletzung der Integrität möglich durch

I unautorisierte Personen (Angriff von außen)I autorisierte Personen (Angriff von innen)

14 / 28

Schutzziel: Verfügbarkeit (Availability)

I bezüglich einer Ressource, eines Dienstes, bestimmterInformationen

I auch ein Aspekt der Systemzuverlässigkeit (Security vs.Safety)

I Denial of Service Attack vermindert bzw. eliminiert dieVerfügbarkeit o. g. Ressourcen, Dienste etc. →wirtschaftlicher Schaden

I meist (aber nicht immer) gegen einzelne Server, Firmenetc. gerichtet

15 / 28

Beispiel: Hackerangriff auf Bundestag 2015

I im Mai 2015 wurde bekannt, dass das gesamte Computernetzdes Bundestags Ziel eines Hackerangriffs sei

I Ausgangspunkt: Phishingangriff via Mail (un.org), Link aufSeite mit Schadsoftware

I 1 Rechner mit Trojaner infiziert, Verschaffung vonAdmin-Passworten

I Konsequenz: viertägige (!) Abschaltung des gesamten Netzes

I Ziel war wahrscheinlich der Diebstahl aller möglichenDokumente (.pdf, .xls, .xlsx, .doc, .docx)

Literatur:

I https://netzpolitik.org/2015/digital-attack-on-german-parliament-investigative-report-on-the-hack-of-the-left-party-infrastructure-in-bundestag/

I https://netzpolitik.org/2016/wir-veroeffentlichen-dokumente-zum-bundestagshack-wie-man-die-abgeordneten-im-unklaren-liess/

16 / 28

Policy und Mechanism (Strategie und Mechanismus)

Eine Sicherheitsstrategie (security policy) ist dieFormulierung, welche Aktionen für welche Nutzer erlaubt bzw.verboten sind.Ein Sicherheitsmechanismus (security mechanism) ist eineMethode oder Vorgehensweise, eine gegebeneSicherheitsstrategie zu verwirklichen.

Beispiel:Strategie: Nur ich darf mein Homeverzeichnis ansehen.Mechanismen:

a) Nutzerauthentifizierung und (vernünftiges) Passwortb) Rechner → abschließbarer Raum, kein Netzc) Verschlüsselung des Massenspeichers/Dateisystems

(TrueCrypt)

17 / 28

Bedrohungen (Threats)

Eine Bedrohung ist eine potentielle Verletzung derSicherheitsstrategie.

(eine) Möglichkeit der Klassifizierung:I Aufdeckung (Disclosure) - unautorisierter Zugang zu

Informationen (Abhören, Durchsuchen, Kopieren)I Täuschung (Deception) - Fälschung von DatenI Unterbrechung (Interruption) - Das System funktioniert nur

noch teilweise oder gar nicht mehrI Übernahme (Usurpation) - das System wird teilweise oder

vollständig durch Dritte genutzt und gesteuert

18 / 28

3

Einige Gesetzestexte§202a StGB: „Ausspähen von Daten“

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten,die nicht für ihn bestimmt und die gegen unberechtigtenZugang besonders gesichert sind, unter Überwindung derZugangssicherung verschafft, wird mit Freiheitsstrafe bis zudrei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, dieelektronisch, magnetisch oder sonst nicht unmittelbarwahrnehmbar gespeichert sind oder übermittelt werden.

19 / 28

Einige Gesetzestexte§202b StGB: „Abfangen von Daten“

Wer unbefugt sich oder einem anderen unter Anwendung vontechnischen Mitteln nicht für ihn bestimmte Daten (§202aAbs. 2) aus einer nichtöffentlichen Datenübermittlung oder ausder elektromagnetischen Abstrahlung einerDatenverarbeitungsanlage verschafft, wird mit Freiheitsstrafebis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tatnicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

(in Kraft getreten am 7. August 2007)

20 / 28

Der „Hackerparagraf“§202c StGB: „Vorbereiten des Ausspähens und Abfangens von Daten“

(1) Wer eine Straftat nach §202a oder §202b vorbereitet, indemer

1. Passwörter oder sonstige Sicherungscodes, die denZugang zu Daten (§202a Abs.2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einersolchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einemanderen überlässt, verbreitet oder sonst zugänglich macht, wirdmit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft.

(2) §149 Abs.2 und 3 gilt entsprechend.

21 / 28

„Datenhehlerei“§202d StGB, 2015

(1) Wer Daten (§ 202a Absatz 2), die nicht allgemein zugänglich sind und die einanderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft,einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einenDritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zudrei Jahren oder mit Geldstrafe bestraft.

(2) Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe.

(3) Absatz 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßigerdienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere

1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Datenausschließlich der Verwertung in einem Besteuerungsverfahren, einemStrafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werdensollen, sowie

2. solche beruflichen Handlungen der in § 53 Absatz 1 Satz 1 Nummer 5 derStrafprozessordnung genannten Personen, mit denen Datenentgegengenommen, ausgewertet oder veröffentlicht werden.

22 / 28

Straffreiheit§149 StGB: „Vorbereitung der Fälschung von Geld und Wertzeichen“

(2) Nach Absatz 1 wird nicht bestraft, wer freiwillig1. die Ausführung der vorbereiteten Tat aufgibt und eine von

ihm verursachte Gefahr, daß andere die Tat weitervorbereiten oder sie ausführen, abwendet oder dieVollendung der Tat verhindert und

2. die Fälschungsmittel, soweit sie noch vorhanden und zurFälschung brauchbar sind, vernichtet, unbrauchbar macht,ihr Vorhandensein einer Behörde anzeigt oder sie dortabliefert.

(3) Wird ohne Zutun des Täters die Gefahr, daß andere die Tatweiter vorbereiten oder sie ausführen, abgewendet oder dieVollendung der Tat verhindert, so genügt an Stelle derVoraussetzungen des Absatzes 2 Nr. 1 das freiwillige undernsthafte Bemühen des Täters, dieses Ziel zu erreichen.

(http://dejure.org/gesetze/StGB/ )23 / 28

Zusammenfassung §202

I Früher: Bloßes Eindringen in fremde Systeme nichtstrafbar.

I Nun: Unbefugter Zugang unter Überwindung vonSicherheitsvorkehrungen ist strafbar!

I Hauptmangel: fehlende präzise Definition strafrechtlichrelevanter Werkzeuge („Hackertools“)

I Werkzeuge nach § 202b sind offensichtlich auch vieleSicherheitstools, deren Einsatz zur Gewährleistung derSystemsicherheit unabdingbar ist?!

I Gesetz wurde ziemlich kontrovers diskutiert, im Mai 2007in Kraft gesetzt.

I „Gutartige“ Verwendung von Hackertools ist bislang nichtbetraft worden.

„Literatur“: Chaosradio CR 137 Der Hackerparagraph. Der§202c auf dem Prüfstand. Podcast vom 31. 7. 2008http://chaosradio.ccc.de/cr137.html

24 / 28

4

Beispiel: John the Ripper

I Passwortcracker für Unix und WindowsI http://www.openwall.com/john/I gern genutzt, um schwache Passphrasen zu entdecken

(und damit die Systemsicherheit zu erhöhen)I Download und Verbreitung ist nach § 202c strafbar,

Nutzung im o. g. Sinne nach § 202a möglicherweise auch

25 / 28

Einige Formen der Computerkriminalitätohne Anspruch auf Vollständigkeit

I EinbruchI IdentitätsdiebstahlI SpionageI Denial-of-Service (z. B. www.bundeskanzlerin.de,

7. 1. 2015)I Sabotage (z. B. Stuxnet)I Manipulation (Fälschen) von Daten (z. B. Defacement von

Webseiten)I SpammingI unerlaubte Verbreitung urheberrechtlich geschützter

Werke („Piraterie“)

26 / 28

Beispiel: DefacementWebsite der Brazilian Air Force, 3. 9. 2013

27 / 28

Zusammenfassung: Was haben wir gelernt?

1. Warum gibt es das Fach Informationssicherheit?2. 3 Säulen: Vertraulichkeit, Integrität, Verfügbarkeit3. Was beinhaltet der Hackerparagraf?

28 / 28

5