Sicherheitssysteme für den Eigenbedarf

Balázs Bárány, 9606800

balazs@tud.at - http://tud.at/

PGP und Verschlüsselungstechnologien

Firewalls

Client-Sicherheit

(Einbruch in die Privatsphäre; Server-Sicherheit)

PGP und Verschlüsselungstechnologien

Verschlüsselung: was ist das?

Begriffe und Konzepte

Anwendungen für Verschlüsselung

Verbreitete Systeme

Verschlüsselung: was ist das?

Mathematische Methoden für den Schutz von Daten

meist auf Primfaktorenzerlegung basierend kein absoluter Schutz, nur "ausreichend sicher"

Nur den berechtigten Parteien, die einen geheimen "Schlüssel" kennen, zugänglich

Als "Steganographie" nicht nachweisbar

Begriffe und Konzepte - 1

Schlüssel möglichst nicht zu erratende, aus den Nutzdaten

nicht zu ermittelnde Daten

Symmetrische Schlüssel beide Parteien verwenden den selben Schlüssel

- Schlüsselaustausch ein Problem

Asymmetrische Schlüssel "Private" und "Öffentliche" Schlüssel

Begriffe und Konzepte - 2

Zertifikat beweist, daß eine Partei im Besitz des echten

Schlüssels ist

Signatur beweist, daß eine Botschaft von der genannten

Partei stammt und nicht verändert wurde

Anwendungen für Verschlüsselung

e-mail, instant messaging PGP, S/MIME LICQ, Lotus SameTime

Übertragung sensibler Daten ime-commerce

HTTPS/SSL/TLS

Generell: gesicherte Datenübertragung für beliebige Daten

Verbreitete Systeme für e-mail

PGP / OpenPGP / GPG Erstes verbreitetes System für e-mail Als OpenPGP standardisiert "Trust of web" - Vertrauensmodell durch

BenutzerInnen

S/MIME In Outlook und Netscape integriert Kostenpflichtige Zertifikate => kaum verbreitet

Grafische Oberfläche zu GPG

Weitere verbreitete Systeme

Dateiverschlüsselung im Betriebssystem Windows 2000, MacOS, Freie Unixe

SSL - nicht nur im Browser Gesicherte Übertragung sensibler Daten Als TLS standardisiert

SSH - secure shell sichere Fernbedienung für Unix-Rechner

Firewalls

Blockieren unerwünschten Netzwerkverkehr

Kein vollständiger Schutz!

Firewalls für Netzwerke zentral verwaltet, für BenutzerInnen transparent

"Personal firewalls" für den eigenen Rechner Kenntnisse und/oder Lernbereitschaft notwendig!

Beispiel für Personal Firewall

© http://www.zonelabs.com/ Anzeige für

Netzwerkverkehr Möglichkeit, Verkehr

sofort zu stoppen Zugelassene

Programme "Alerts": Bericht über

"Angriffe"

Firewalls - Umfeld

"Application firewall": "versteht" den Netzwerkverkehr und überprüft, ob die Daten im richtigen Format sind

Zensurproxy: blockiert den Zugang zu unerwünschten Webseiten und anderen Inhalten

Online-Virenscanner: sucht in e-mails und am Server gespeicherten Dateien nach Viren

Client-Sicherheit

Browser - Bedrohung durch aktive Inhalte Schlechtes Sicherheitsdesign Implementationsfehler

e-mail-Client Ausführbare Attachments Aktive Inhalte in HTML-Mails

Weitere Bedrohungen

"Virus" verbreitet sich selbsttätig weiter eventuell Schadensroutine am häufigsten: Makroviren (Word.doc und VBS)

"Trojaner" installiert sich möglichst unauffällig öffnet Zugriffsmöglichkeit für den Cracker

Sicherheitsprobleme: Browser

Trend zu mehr Funktionalität auf Kosten der Sicherheit

z.B. ActiveX: Control hat vollen Zugriff auf Rechner und Betriebssystem

z.B. JavaScript: wiederholt Implementations-fehler; "nervende" Features

z.B. Java: Sicherheitsmodell gut durchdacht, gelegentlich Implementationsfehler

Sicherheitsprobleme: e-mail-Client

Standardeinstellungen der verbreitetenMail-Clients unsicher!

Attachments, die ausgeführt werden automatisch durch Scripting (HTML-Mails) durch uninformierte BenutzerInnen durch Täuschung (z.B. Loveletter.txt.vbs)

Aktive Inhalte in HTML-Mails z.B. Cookies; Sicherheitslücken wie im Browser

Eingriffe in die Privatsphäre

Können sicherheitsrelevant werden! z.B. "Referrer"-Probleme bei GMX im Juli 2000

Methoden: Cookies (Banner-Netzwerke) Referrer ("wo war ich vorher?") HTML-Mail (bei Spam: Gewißheit, daß die Mail

gelesen wurde)

Maßnahmen für den Schutz der Privatsphäre

Filterproxy verwenden (z.B. Internet JunkBuster)

Cookies abschalten

e-mail-Programm sicher konfigurieren

Proxy des Providers verwenden für sensible Bereiche eventuell Anonymizer

e-mail verschlüsseln

Server-Sicherheit

Angriffsflächen Was kann angegriffen werden?

Angriffsmethoden Wie gehen CrackerInnen vor?

Häufige Fehler ... und ihre Vermeidung

Verantwortung

Angriffsflächen

Server/Services: "Dienste" Diese erbringen die gewünschte Leistung,

müssen daher im Internet stehen. z.B. Webserver

Paßwörter Abhören => Verschlüsselung verwenden! Erraten => "gute" Paßwörter verwenden

etc.

Angriffsmethoden

"Buffer overflow": unerwartet große Textmenge überschreibt Programmcode

Ausnutzung von Programmfehlern in kommerzieller Software in selbstgeschriebenen Programmen (z.B. CGI)

etc...

Häufige Fehler

Veraltete Software Sicherheits-Mailingliste verfolgen,

Sicherheits-Patches einspielen!

"Wir haben eh eine Firewall" Angriffe über die nicht gesicherten Dienste

Standardpaßwörter und Generalpaßwörter

Sicherheits-unerfahrene ProgrammiererInnen

Verantwortung

Schadenersatzforderungen z.B. wegen Verstoßes gegen das

Datenschutzgesetz

Gecracktes System wird als Angriffsplattform benutzt

Fazit

Sicherheitsbewußtsein notwendig

Beim e-mailen Gehirn eingeschaltet lassen

Hersteller-Infos verfolgen, Updates einspielen

Beim Betrieb von Servern muß Sicherheit hohe Priorität haben, Kenntnisse (eigene oder zugekaufte) absolut notwendig