Informationssicherheit
Transcription
Informationssicherheit
1 2 Confidentiality, Secrecy: Vertraulichkeit, Geheimhaltung der Information (d.h. Information ist nur dem Sender und Empfänger bekannt) Privacy meint eher die Vertraulichkeit in Zusammenhang mit Privatsphärenschutz, Personendatenschutz. Hier wird häufig gefordert, dass die Anonymität gewährleistet werden kann. Integrity: Integrität (Echtheit) der Information ist gewährleistet, sie kann nicht durch einen nicht-autorisierten Dritten geändert worden. In Zusammenhang mit der Integrität (Echtheit) von Sender und Empfänger spricht man auch von Authenticity (Authentisierung). •Sender (Server) -Authentisierung: Der Empfänger kann überprüfen, ob die übermittelten Daten vom richtigen Sender gesandt wurden •Empfänger (Client) –Authentisierung: Der Sender kann überprüfen, dass er mit dem richtigen Empfänger kommuniziert •Meldungs-Authentisierung: Überprüfen, ob die Daten nicht verändert wurden (entspricht der Integritätsüberprüfung) •Zertifizierung: Beglaubigung von Authentisierungsdaten durch eine vertrauenswürdige Partei •Validieren: Methode um die Echtheit und die Gültigkeit einer Autorisierung zu überprüfen •Revozieren: (Unsichere) Authentisierungs- oder Autorisierungsdaten können widerrufen werden •Zeitstempel: beglaubigte Aufzeichnung des Datums eines Ereignisses (z. B. Erzeugung, Versand, Empfang der übermittelten Daten) Availability: Verfügbarkeit eines Systems oder einer Anwendung ist gewährleistet (keine Leistungsverminderung und kein Leistungsausfall) 3 The Internet is a global system with •local law (e.g. computer security, data protection law) •with various techno-political environments •with an almost unlimited number of „guests“ Key points in the Internet situation are •increased complexity •increased dependency (as a person, as a company, as a state) •increased difficulty to separate (network sections, users) How much criminal power may be within such a large and complex system? Reference to Internet Statistics •Internet domain survey host count Jul 2006|439,286,364 hosts (number of IP addresses that have been assigned a name ) http://www.isc.org/ds/ •http://www.gvu.gatech.edu/user_surveys/ •Worldwide Internet Population 2005: 1.08 billion (Computer Industry Almanac) http://www.clickz.com/stats/big_picture/geographics/article.php/151151 •Internet Users in Switzerland: 5,097,822 (2005) https://www.cia.gov/cia/publications/factbook/fields/2153.html 4 Confidentiality (privacy, secrecy) nobody reads: attack to read (or steal) secret information from a system Integrity: nobody modifies (authentic content, sender, receiver): attack to change or forge the information residing on or passing through a system; Authenticity: attack to forge the originator of the message (Identity Theft) Availability: system works as needed: attack that directly inhibits a user (human or machine) from accessing a particular system resource Confidentiality, Integrity and Authenticity is sometimes abbreviated as “CIA” System Control / Security Protection: attack that gives the attacker privileges in a system (e.g. allows a hacker full control of a system “gain super user access” or allows a hacker partial control over a system "gain user access“) Accountability: not deny message sent/received (non Repudiation, not deny actions taken) The types of attacks can also be classified into passive attacks (eavesdropping, traffic analysis) and active attacks (modification, masquerade/replay, flooding). 5 Das Bedrohungspotenzial (threat) und die Schwachstellen der Abwehrmassnahmen (vulnerabilities) bestimmen die Gefahr (Wahrscheinlichkeit eines Schadenfalls). Ziel ist es, die Höhe des Schadens bzw. die bedrohten Werte (assets) und die Wahrscheinlichkeit für das Eintreten eines Schadens für verschiedene Situationen abschätzen und minimieren zu können. Das Risiko ist das Produkt aus „Wahrscheinlichkeit eines Schadenfalls“ mal „Schadensumme“ bzw. Das Produkt aus „Wahrscheinlichkeit eines Schadenfalls“ mal „Bedrohung“ mal „Verletzlichkeit“, wobei unter „Produkt“ nicht die echte mathematische Multiplikation, sondern lediglich eine „Abhängigkeit“ zu verstehen ist. Allerdings kann das Risiko selten in Franken angegeben werden; ein Vergleich bzw. ein Abwägen der Risiken in verschiedenen Situationen ist im Rahmen einer Risikoanalyse aber möglich. Das Risiko kann auf verschiedene Arten reduziert werden. Man kann versuchen die Bedrohung und/oder den eintretenden Schaden zu reduzieren. In der Regel wird aber vor allem versucht, den Erfolg eines Angriffs (bzw. einer Bedrohung) durch Schutzmassnahmen zu reduzieren (security protection measures). Die Kosten für diese Schutzmassnahmen werden normalerweise umso grösser, je höher der Schutzgrad ist. Der Schaden sollte entsprechend umso kleiner werden, je höher der Schutzgrad ist. Die resultierenden Gesamtkosten dürften demnach bei einem bestimmten Schutzgrad minimal werden. 6 An Information Asset is a definable piece of information, stored in any manner which is recognised as 'valuable' to the organisation. The information which comprises an Information Asset, may be little more than a prospect name and address file; or it may be the plans for the release of the latest in a range of products to compete with competitors. Irrespective, the nature of the information assets themselves, they all have one or more of the following characteristics : •They are recognised to be of value to the organisation. •They are not easily replaceable without cost, skill, time, resources or a combination. •They form a part of the organisation's corporate identity, without which, the organisation may be threatened. •Their Data Classification would normally be Proprietary, Highly Confidential or even Top Secret. It is the purpose of Information Security to identify the threats against, the risks and the associated potential damage to, and the safeguarding of Information Assets. [Ref: http://www.yourwindow.to/information-security/gl_informationasset.htm] 7 Meridien war 2000 ein in der Schweiz sehr weit verbreitetes Haustelefonzentralen-System (Private Automated Branch eXchange, PABX). Meridien Mail bietet unter anderem Funktionen an wie Anrufbeantworter, Rückruffunktion, Ruf-Weiterleitung an eine frei wählbare Nummer. 8 Nachdem Zugangspassworte zu Meridian Mail Zentralen veröffentlicht wurden http://packetstorm.securify.com/voicemail/mer-ninj.txt http://www.hackcanada.com/homegrown/augsburg_mm.txt http://google.yahoo.com/bin/query?p=PBX+hacking+Voice+system+Meri dian hat sich das Telefon-Verkehrsvolumen erhöht und auch die Aufteilung der Gesprächsdestinationen hat sich geändert. 9 http://real.xobix.ch/ramgen/sfdrs/vod/sfspezial/sfspezial_20041130.rm?start=0:11:41.8 35&end=0:19:28.112 Datasport-Bibchip-20041210.wmv Improved security is recommended when you are faced to „real attacks“. Currently attacks are not only a „hacker„s game“ anymore. There is clear commercial interest behind many attacks. 12.12.2006 Weil er 2003 mit spezieller Software die Computer von Konkurrenzfirmen ausspionierte, steht seit Montag ein ehemaliges Geschäftsleitungsmitglied der Firma Datasport in Burgdorf vor Gericht. Bei der Weinfelder Firma Bibchip soll der 33-jährige Mann gar E-Mails umgeleitet und gelöscht haben, bevor die rechtmässigen Adressaten diese zu Gesicht bekamen. «Weil wir plötzlich keine Anfragen mehr bekamen, versandten wir Testanfragen an uns selber», sagt Ralph Nagel von Bibchip. «Doch statt unserer eigenen E-Mails erhielten wir konkrete Offerten von unserer Konkurrenz als Antwort. Da wussten wir, was Sache war.» Bibchip schätzt den Schaden auf rund eine Million Franken. Der Angeklagte hat den Versand der Trojaner-Mails gestanden. Das Urteil steht noch aus. [Referenz 20minuten] 16.12.2006 Berner Zeitung: Das Kreisgericht Burgdorf hat einen früheren Mitarbeiter der Zollikofer Firma Datasport zu einer bedingten Gefängnisstrafe von zehn Monaten und einer Busse von 5000 Franken verurteilt. [http://www.espace.ch/artikel_295235.html] 10 11 A threat is when you tell someone you will do something to them if they don't do what you are asking them to do. A threat is any circumstances or event that has the potential to cause harm to a system or network. Even the existence of an (unknown) vulnerability implies a threat by definition. http://www.dfn-cert.de/eng/pre99papers/certterm.html#TERM-THREAT Threat examples: murder threat = Morddrohung threat of strike = Streikdrohung, Androhung des Streiks threat of violence = Gewaltandrohung, Androhung von Gewalt 12 The security threat is changing dramatically and customers need to be cognizant of the implications for their security strate gies in the years ahead: namely, that vigilance and agility will remain key, and a comprehensive approach to security will continu e to be required. A set of “profiles” of various participants in the hacker community, is derived from actual data gathered by Microsoft researchers and engineers who are working with national law enforcement agencies in the US. They are based on numerous real-life incidents (the details of which Microsoft cannot disclose publicly) where the perpetrators are either known or reasonably well-guessed. The threat situation can be structured by various levels of “motivation” (from “Curiosity” to “National Interest”) and “expertise and resources” (from the entry-level “Script-Kiddy” to the formidable “Specialist”). •The “Vandal” is the person who, for example. hacks into a poorly-protected Web site and defaces the content. In terms of total hacking effort – in other words, the total number of participants, total hours spent and so on – Vandals constitute the largest group, or area of activity. •“Trespassers” are more capable than Vandals and they‟re motivated by ego and a sense of personal fame. Their intentions are relatively benign, but they can cause significant problems. The hackers who create many of the worms and viruses that make news usually fall into this category. Because their attacks create huge amounts of traffic and sometimes Denial of Service attacks, their actions can result in serious material damage to computer users, businesses and other organizations. However, they often do not include seriously harmful “payloads” that destroy data or enable theft. •The “Author” is the highly-capable hacker who has the tools and expertise to reverse-engineer a patch and write exploit code, or find vulnerabilities in security software, hardware, or processes. Authors are generally motivated by ego, ideology, and/or personal fame. Authors create the building blocks for criminal hackers, and their work scales out in all directions. For one, the tools and code they produce are usually made readily available to the less-sophisticated, meaning that the Vandals and the Script-Kiddies are able to cause a lot more trouble with less work. •The “Thieves” are people who are in it for the money, and they include organized crime syndicates from around the world. Thieves are active and effective in hacking into corporate and enterprise systems, sometimes to steal information that has monetary value (such as credit card numbers), sometimes to divert cash into their accounts, and sometimes to extort payments to prevent their systems or data from being exposed to the public. It‟s impossible to calculate the losses caused by thieves because their work is often not publicly reported. Law enforcement agencies around the world are beginning to address the problem seriously. The greatest financial losses will be incurred because of Thieves. Cyber-theft is the fastest-growing threat in security. The Thieves benefit from the author‟s efforts. This makes the Author a very interesting person to law enforcement organizations, who play an increasingly important role in helping to combat criminal hackers. •The “Spies,” who work on behalf of governments, are highly skilled, and have virtually unlimited resources. And the largest expenditures on protection – building strong defenses – are made, not surprisingly, by the Spies. [Source: Microsoft] 13 The expression drive-by download is used in three increasingly strict meanings: Any download that happens without knowledge of the user. Download of spyware, a computer virus or any kind of malware that happens without knowledge of the user. Drive-by downloads may happen by visiting a website, viewing an e-mail message or by clicking on a deceptive popup window: the user clicks on the window in the mistaken belief that, for instance, it is an error report from his own PC or that it is an innocuous advertisement popup; in such cases, the "supplier" may claim that the user "consented" to the download though he was completely unaware of having initiated a malicious software download. Download of malware through exploitation of a web browser, e-mail client or operating system bug, without any user intervention whatsoever. Websites that exploit the Windows Metafile vulnerability may provide examples of "drive-by downloads" of this sort. The expression drive-by install (or installation) is completely analogous and refers to installation rather than download (though sometimes the two are used interchangeably). In April 2007 researchers at Google discovered hundreds of thousands of web pages performing drive-by downloads.[1][2] 14 [18.12.2006 10:10] http://www.heise.de/security/news/meldung/82679 In Untergrund-Foren werden bereits Exploits für Microsofts neuestes Betriebssystem Windows Vista verhökert, mit denen sich ein Rechner kompromittieren lässt, berichten USMedien. Laut Trend Micro[1] seien bis zu 50.000 US-Dollar auf den Online-Auktionen ähnelnden Seiten geboten worden. Aber auch Exploits für andere Software würden dort gehandelt, je nach Popularität der Programme und Zuverlässigkeit des Exploits für Summen zwischen 20.000 und 30.000 US-Dollar. Zudem sollen sich komplette Bots und Trojaner erwerben lassen: Ein Trojaner zum Stehlen von Daten soll zwischen 1000 und 5000 USDollar bringen, ein Bot zum Aufbau etwa einer Spam-Armee ist für 5000 bis 20.000 Dollar zu haben. Auch die mit Trojanern geklauten persönlichen Daten und virtuellen Währungen etwa aus Online-Spielen stünden zum Verkauf. Kreditkartennummern inklusive PIN gehen für 500 Dollar über den Tisch. Ohne gültige PIN, aber dafür mit dreistelligem Sicherheitscode und Ablaufdatum kostet eine Kreditkartennummer nur noch 25 Dollar. Ein eBay- oder PayPalAccount schlägt gerade noch mit 7 Dollar zu Buche. Bereits Ende vergangenen Jahres zeigte sich beim WMF-Exploit[2], wie lukrativ es sein kann, mit Schadsoftware Geld zu verdienen. Damals hatte Kaspersky Hacker in russischen Foren beobachtet, die den Exploit für 4000 Dollar angeboten und verkauft hatten[3]. Kurze Zeit darauf versuchten zahlreiche Webseiten, Besucher über den Exploit mit Trojanern zu infizieren. [1] http://de.trendmicro-europe.com/ [2] http://www.heise.de/security/news/meldung/67794 [3] http://www.heise.de/security/news/meldung/69207 [4] mailto:dab@ct.heise.de 15 Bochum 22.10.2007 Cybercrime zu Schleuderpreisen - Einsteigerpaket für Nachwuchs-Spammer bereits ab 140 Euro http://www.gdata.de/unternehmen/DE/articleview/3920/1/160/ "Die Professionalisierung der Online-Kriminellen ist nichts Neues. Wir haben es bereits seit Jahren mit einer Industrie zu tun, die im Internet kriminelle Dienstleistungen im großen Rahmen anbietet", sagt Ralf Benzmüller, Leiter der G Data Security Labs. "Nach dem Motto 'Darf es auch etwas mehr sein?', bieten die Cyber-Kriminellen ihre Dienstleistung oft in Kombinationen an. DDoS-Attacken auf Mitbewerber und zeitgleicher Versand von Spam sind nicht ungewöhnlich", so Benzmüller. Bereits für wenige hundert Euro sind gezielte Angriffe auf Webangebote oder der Versand von Millionen von Spam-E-Mails als Auftragsarbeit möglich. Die Cyber-Kriminellen operieren hierbei in Netzwerken, um möglichst viele Facetten der kriminellen Dienstleistungen aus einer Hand anbieten zu können. Die Webseite "WabiSabiLabi„ www.wslabi.com ist das Ebay für CyberKriminelle. Hier können Hacker ab 500 Euro aktuelle Windows- und LinuxSicherheitslücken ersteigern. 16 Alte DDoS-Tools: Trinoo / Trin00 (Juni/Juli 1999), TFN (Tribe Floot Network) (Juli/August 1999), Stacheldraht (Sommer 1999), Trinity (Herbst 1999), Shaft (November 1999), TFN2K (Dezember 1999), Mstream (April 2000) Unter einem Botnet oder Bot-Netz (die Kurzform von Roboter-Netzwerk) versteht man ein fernsteuerbares Netzwerk (im Internet) von PCs, das aus untereinander kommunizierenden Bots besteht. Diese Kontrolle wird durch Würmer bzw. Trojanische Pferde erreicht, die den Computer infizieren und dann auf Anweisungen warten. Diese Netzwerke können für SpamVerbreitung, Denial-of-Service-Attacken und weitere illegale Aktionen verwendet werden, zum Teil ohne dass die betroffenen PC-Nutzer etwas davon erfahren. Die von Botnets ausgeführten DDoS-Attacken und Spam-Nachrichten stellen eine Bedrohung für Anbieter von Internetdiensten jeglicher Art dar. Botnets können Größen von tausenden Rechnern erreichen, deren Bandbreitensumme die der meisten herkömmlichen Internetzugänge übertrifft. Somit ist es einem Botnet von ausreichender Größe durch Senden von großen Datenmengen möglich, die Anbindungen der attackierten Serviceanbieter zu überlasten. Als bekannte Vertreter von Botnetzprogrammen gelten z.B. Agobot, Phatbot und R(x)Bot. Am World Economic Forum 2007 in Davos berichtet Vint Cerf , dass nach seiner Auffassung von den 600 Millionen Internet-PCs 100 bis 150 Millionen, d.h. jeder 6. bis 4. Computer mit Bots infiziert sei. http://news.bbc.co.uk/1/hi/business/6298641.stm 17 Mobile Code is provided from various sources and transported by various channels (storage media, e-mail, peer-to-peer communication, file transfer, web access). •Mobile Code Attributes provide (Meta)Information about the code. •Before Code Execution, the attributes may be checked and even the code content may be checked. •Depending on the results of the checks the code will get different execution rights (do not execute, execute in a controlled environment, execute without restrictions). viruses, worms, trojans (robots, bots, spam-bots): Distributed by mail, P2P networks, storage media within other programs (Trojan) started / executed by users, automatically, at boot, … self-replicating (Worm) active content (embedded in HTML): distributed by Web servers (i.e. form any site) executed in Browsers e-Mail Clients (HTML e-mail handled similarly to Web pages) Instant Messenger programs … Examples: Netscape„s JavaScript, Sun„s Java, Microsoft„s ActiveX Adware (redirect browser) Spyware (find passwords, …, keybord sniffers 18 Social Engineering, the USB Way http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1 JUNE 7, 2006 …USB drives were a concern, since they were an easy way for employees to steal information, as well as bring in potential vulnerabilities such as viruses and Trojans. In the past we had used a variety of social engineering tactics to compromise a network. Typically we would hang out with the smokers, sweet-talk a receptionist, or commandeer a meeting room and jack into the network. This time I knew we had to do something different. We heard that employees were talking within the credit union and were telling each other that somebody was going to test the security of the network, including the people element. We gathered all the worthless vendor giveaway thumb drives collected over the years and imprinted them with our own special piece of software. I had one of my guys write a Trojan that, when run, would collect passwords, logins and machine-specific information from the user‟s computer, and then email the findings back to us. The next hurdle we had was getting the USB drives in the hands of the credit union‟s internal users. I made my way to the credit union at about 6 a.m. to make sure no employees saw us. I then proceeded to scatter the drives in the parking lot, smoking areas, and other areas employees frequented. Of the 20 USB drives we planted, 15 were found by employees, and all had been plugged into company computers. The data we obtained helped us to compromise additional systems, and the best part of the whole scheme was its convenience. We never broke a sweat. Everything that needed to happen did, and in a way it was completely transparent to the users, the network, and credit union management. Steve Stasiukonis is VP and founder of Secure Network Technologies Inc. Special to Dark Reading 19 Weitere Meldungen: •Mozilla vertraut kostenlosen StartCom-Zertifikaten (3.06.2006): MozillaBrowser werden die kostenlosen Zertifikate des israelischen Unternehmens StartCom als vertrauenswürdig akzeptieren. •Internet Explorer: Lücke wird zum Riesenloch (28.04.2006): Secunia meldet Exploit welcher über die Verarbeitung verschachtelter Objekte möglicherweise Code einschleust. •Kritische Sicherheitslücken in Mac OS X (22.04.2006): Durch Aufruf von Seiten mit präparierten Bildern im BMP-, GIF- oder TIFF-Format kann man mit Safari Code einschleusen. 20 E-Mail-Ergebnisse ist die Gesamtbewertung von SiteAdvisor für die E-Mail-Praktiken einer Website. Wir klassifizieren Websites auf der Grundlage dessen, wie viele E-Mails sie versenden, sowie auf Grundlage des SpamFaktors, den diese Mails aufweisen. Wenn einer dieser Werte über dem von uns festgelegten Grenzwert liegt, statten wir diese Site mit einer gelben Warnung aus. Wenn beide Werte hoch sind oder einer besonders auffällig ist, statten wir diese Site mit einer roten Warnung aus. Downloads gibt die Gesamtbewertung von SiteAdvisor zu den Auswirkungen an, die die herunterladbare Software einer Site auf unseren Test-Computer hatte. Sites mit virusinfizierten Downloads oder solche, die zusätzliche Software hinzufügen, die die Benutzer als Adware oder Spyware ansehen würden, erhalten rote Flaggen. Die Bewertung berücksichtigt auch die Netzwerkserver, zu denen ein Programm während der durchgeführten Transaktionen eine Verbindung herstellt, sowie jegliche Veränderungen, die an den Browsereinstellungen oder den Registrierungsdateien eines Computers vorgenommen werden. Online-Partnerschaften betrachtet die Aggressivität, mit der eine Site versucht, Sie auf andere Sites weiterzuleiten, die wir als "rot" markiert haben. Es ist im Internet üblich, dass verdächtige Sites enge Verbindungen zu anderen verdächtigen Sites aufweisen. Der Hauptzweck dieser "fütternden" Sites ist es, Sie dazu zu bewegen, die verdächtige Site zu besuchen. Eine Site kann eine rote Warnung erhalten, wenn sie beispielsweise zu aggressiv versucht, Sie auf andere rote Sites weiterzuleiten. Eine Site kann tatsächlich auch "rot durch Verbindung" werden, wenn die Verbindung zu einer als rot klassifizierten Domäne zu eng ist. Störende Praktiken sind häufig genutzte Web-Praktiken, die den Benutzer stören, wie eine überhöhte Anzahl an Popups, Aufforderungen, die Homepage eines Benutzers zu verändern, oder Aufforderungen, eine Site zur Favoritenliste des Browsers hinzuzufügen. Wir listen in diesem Abschnitt auch Cookies von Dritten auf (manchmal auch als "Nachverfolgungs-Cookies" bezeichnet). Wenn eine Website viele Popups aufweist und wenn sie insbesondere Praktiken ausübt, wie das Öffnen mehrerer Fenster, wenn Sie versuchen, eines zu schließen, erteilen wir dieser Website eine rote Flagge. Exploits sind selten, stellen aber sehr gefährliche Sicherheitsbedrohungen dar, die dadurch entstehen, dass eine Website die Sicherheitsschwachstelle eines Browsers ausnutzt. Der Exploit kann dazu führen, dass der Computer eines Benutzers Programmierungscode erhält, der zu Adware-Infektionen, Keystroke-Spionage und anderen schädlichen Aktionen führen kann, die einen Computer gänzlich zerstören können. 21 Compares the safety of leading search engines, using McAfee SiteAdvisor‟s automated Web site ratings. We find that AOL returns the safest search results, while Yahoo! returns the greatest percentage of risky results. Since May 2006, search engine results have become safer, primarily due to improved safety of sponsored results on Google, AOL, and Ask. Despite this improvement, dangerous sites are found in search results of all of the top five search engines, and sponsored results continue to be significantly less safe than search engines‟ organic results. 1. “Red” rated sites failed McAfee SiteAdvisor‟s safety tests. Examples are sites that distribute adware, send a high volume of spam, or make unauthorized changes to a user‟s computer. 2. “Yellow” rated sites engage in practices that warrant important advisory information based on McAfee SiteAdvisor‟s safety tests. Examples are sites which send a high volume of “nonspammy” e-mail, display many pop-up ads, or prompt a user to change browser settings. Overall, 4.0% of search results link to risky Web sites, which marks an improvement from 5.0% in May 2006. Dangerous sites are found in search results of all 5 of the top US search engines (representing 93% of all search engine use). The improvement in search engine safety is primarily due to safer sponsored results. The percentage of risky sites dropped from 8.5% in May 2006 to 6.9% in May 2007. However, sponsored results still contain 2.4 times as many risky sites as organic results. AOL returns the safest results: 2.9 % of results rated red1 or yellow2 by McAfee SiteAdvisor. At 5.4%, Yahoo! returns the most results rated red or yellow. Google, AOL, and Ask have become safer since May 2006, with Ask exhibiting the greatest improvement. The safety of search results on Yahoo! and MSN has declined. 22 23 The high-power electromagnetic system (HPEMS) uses microwave energy to disable/damage vehicle‟s electronic control module/microprocessors which control engine‟s vital functions. The system is capable of (1) high-value asset perimeter protection from approaching hostile vehicles, (2) bringing cars to halt on urban, suburban roads and multi-lane highways, (3) perimeter protection for gas-oil (fueling) platform at sea and (4) day/night, all weather clandestine operations. Figures shown here depict HPEMS‟ application for stopping vehicles on highways and perimeter protection of gas-oil fueling platform from approaching boats at sea. The focus originally is to build a compact portable tunable system to be integrated in a police car (Ford Crown Victoria) and having the following operational capabilities: Once the car-hosted system is built and tested, Eureka Aerospace will transition the technology to building larger HPEMS for 5-km perimeter protection applications. http://eurekaaerospace.com/hpems.php Mit elektromagnetischen Impulsen wird die Fahrzeugelektronik lahmgelegt, welche in modernen Fahrzeugen für Steuerung der Kraftstoffeinspritzung zuständig ist. Fahrzeug stoppt. Einsatzgebiet: Polizei, Anlagenschutz (Sperrbereich) Prototypen existieren (Reichweite 50m - 5km) Hacker mit bösartiger Absicht werden eigentlich als “Cracker” bezeichnet. 25 26 27 28 29 Der Golfkrieg erlebte Geburtsstunde des Cyberwar. CIA implantierte beispielsweise einen Microchip in Drucker und anderes Computerzubehör. Signale des irakischen Luftabwehrsystems führten dazu, dass die Drucker und Computerzubehör-Einrichtungen wie Niedrigfrequenzsender arbeiteten und dadurch lokalisierbar wurden (d.h. sie lieferten ein Ortungsleuchtfeuer). Und wo ein Drucker lokalisiert werden kann, sind technologisch hoch stehende Anlagen nicht weit entfernt. Chip war von NSA gebaut worden. Chippen: Microchips mit einer versteckten Bombe, die von der USRegierung ferngesteuert werden können. Winn Schwartau (Journalist): Telefonanlage die in den frühen 70er-Jahren nach Polen verkauft wurde, enthielt ferngesteuerte Sprengkapsel 30 A universal vulnerability is a state in a computing system (or set of systems) which either: allows an attacker to execute commands as another user allows an attacker to access data that is contrary to the specified access restrictions for that data allows an attacker to pose as another entity allows an attacker to conduct a denial of service "A vulnerability is a feature or bug in a system or program which enables an attacker to bypass security measures." [Schultz Jr. et al. 1990] "A vulnerability is an aspect of a system or network that leaves it open to attack" [CERT 1993] “A security vulnerability is a flaw in a product that makes it infeasible – even when using the product properly – to prevent an attacker from usurping privileges on the user's system, regulating its operation, compromising data on it, or assuming ungranted trust.” [Microsoft http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/v ulnrbl.asp] 31 Das typische Muster im Bereich Internet Sicherheit sieht so aus, dass Verletzlichkeiten von Systemen zuerst nur wenigen Insidern bekannt sind. Dies sind beispielsweise aktuelle oder ehemalige Angestellte, Entwickler, Berater oder externe Angestellte. Bei den Verletzlichkeiten kann es sich beispielsweise um Systempassworte, Debugging Funktionen oder versteckte Funktionen handeln (vgl. „Easter eggs“ http://www.eeggs.com/items/8240.html). Häufig gelangen die Informationen über die Verletzlichkeiten nach Tagen oder Jahren an die Öffentlichkeit (z.B. aufgrund von Indiskretionen, per Zufall, durch frustrierte Mitarbeiter, …). Dort wird dann beschrieben, wie man die Schwachstelle ausnutzen kann, um ein System zu beeinflussen. Man spricht in diesem Zusammenhang von Exploits. Meistens sind spezielle Informatik-/Netzwerk-Kenntnisse erforderlich (Hacker-Know-How), um diese Verletzlichkeiten für den Zugang oder die Beeinflussung der betroffenen Systeme auszunutzen. Entsprechend kann die Verletzlichkeit nur durch eine relative kleine Zahl von Personen ausgenutzt werden und die Wahrscheinlichkeit einer erfolgreich ausgenutzten Attacke ist nicht sehr gross. In der Regel dauert es aber nur Wochen bis Monate, bis jemand einfache „Click-and-Drag“Programme entwickelt, mit welchen eine allgemein bekannt gewordene Verletzlichkeit auch ohne spezielle Informatik-Kenntnisse (Script Kiddies) ausgenutzt werden kann. Dadurch gibt es sehr viele Personen, welche die Verletzlichkeit ausnutzen können, d.h. die Wahrscheinlichkeit für erfolgreiche Angriffe wird gross. Entsprechend der Anzahl der potenziellen Nutzer der Verletzlichkeit, steigt in den drei Phasen die Wahrscheinlichkeit, dass jemand die Sicherheitslücke ausnutzt, um auch Ihr System zu kommen. 32 Google Earth Flight Simulator (contributed 10-21-2007, tested Nov 2007): Run the latest version of Google Earth (v4.2). Simply press Ctrl+Alt+A (or Command+Option+A in OS X). A flight simulator within Google Earth will be launched! Further details can be found at http://earth.google.com/intl/en/userguide/v4/flightsim/index.html Skype - A Few Hidden Emoticons in Skype (contributed 07-20-2006, tested Nov 2007): Just enter a chat session, type any of the following words, including the brackets, and enjoy the resulting emoticons: (finger) (bandit) (mooning) (swear) (drunk) (rock) (poolparty) (bug) (ninja) (smoking) (fubar) (tmi) OpenOffice.org - Star Wars Game (contributed 08-21-2005 ): 1. create a new sheetin openoffice.org Calc (spreadsheet) 2. enter this formula in a cell : =game() and validate (validation button or enter) 3.the cell will display "say what?" 4. Enter this formula: =GAME("StarWars") 5. a new window will open with a little game star war game. 6. But if you type again this formula, the cell will return the display "oh no, not again!" 7. to be able to play again, you need to close the file, close openoffice.org and the QuickStarter, and then make the same. 33 The CERT® Coordination Center (CERT/CC) is a center of Internet security expertise, located at the Software Engineering Institute, a federally funded research and development center operated by Carnegie Mellon University. CERT Areas of Focus: Software Assurance: Analyze the state of Internet security Secure Systems: Analyze survivability of systems to attacks Organizational Security: Framework to measure and improve security Coordinated Response: Global support to address security issues Training: Educate individuals within organizations 34 Das Computer Security Resource Center (CSRC) des amerikanischen National Institute of Standards and Technology (NIST) (http://csrc.nist.gov/) sammelt im sogenannten ICAT seit Jahren Informationen über die Verletzlichkeit von Computer-Systemen. Die Common Vulnerabilities and Exposures (CVE) Datenbank wird gespiesen aus CERT advisories, ISS X-Force, Security Focus, NT Bugtraq, Bugtraq, und aus verschieden Hersteller Security und Patch Bulletins. CVE unterscheidet neben den traditionellen "availability", "confidentiality", und "integrity“ Loss Types auch sogenannte "security protection". CVE wurde 2005 umbenannt in National Vulnerabilities and Exposure Database. ICAT indexes the information available in CERT advisories, ISS XForce, Security Focus, NT Bugtraq, Bugtraq, and a variety of vendor security and patch bulletins. ICAT does not compete with publicly available vulnerability databases but instead is a search engine that drives traffic to them. ICAT is maintained by the National Institute of Standards and Technology. ICAT is uses and is completely based on the CVE vulnerability naming standard (http://cve.mitre.org). 35 Q&A What is WabiSabiLabi? OCTOBER 11, 2007 | CHIASSO, Switzerland -- In just two months the IT security vulnerabilities marketplace launched by WabiSabiLabi (WSLabi) that encourages security researchers to sell their findings in an open marketplace to legitimate organisations, big or small, exceeded all expectations with over 150 vulnerabilities submitted. IT security experts have jumped at the opportunity to sell their research in a safe environment to an eager and ready audience of vetted buyers prepared to pay a fair price to get their hands on the latest IT security vulnerabilities. Q: Do you trade zero day vulnerabilities? A: First let's use the proper terminology, there is no zero day vulnerability, instead there is Security Research, which is the job of a skilled security researcher. Our scope is to provide an institutional market place in which security researchers can offer place their work to the market through a platform designed to maximize their reward. Q: How much do you pay for a zero day security research? A: You don't sell to WabiSabiLabi". Rather you sell through it like any other institutional market exchange. WabiSabiLabi doesn't directly pay anything, rather we mediate a your sale/purchase on behalf of researchers by providing a secure market environment aimed to maximize the security researcher's reward, therefore we maintain: - a Research Department - a test-drive laboratory - an transparent exchange platform - a secure payment system Security research will only be placed on the market place, only after being validated by our labs and being "dressed" with our complementary material and services. We will also help researchers to design the best business model (Such as: selling schemes, starting selling price etc.) in order to maximize the value creation. 36 37 38 Beispiele für technische Massnahmen zur Verbesserung der Sicherheit Internet: • Einschränkung des Datenverkehrs (Limit, „Wissen nur wenn nötig“): Dies wird beispielsweise durch Router und Firewalls erreicht. Im weiteren Sinne könnte man aber auch die Zugangsregelung mittels Benutzername/Passwort dazu zählen. Im weiteren Sinne ist auch die Überprüfung und allfällige Löschung von Daten bei Viren-Scannern eine „Filterungsmassnahme“. • Verschlüsselung und Authentisierung: Hier stellt der mittels https bzw. Secure Socket Layer / Transprot Layer Security (SSL/TLS14.10.2007) gesicherte Webzugang die wichtigste Massnahme dar. Die Authentisierung spielt aber auch in Zusammenhang mit Benutzername/Passwort Zugang eine Rolle. • Kontrolle/Check: Intrusion Detectsion Systeme (IDS) oder Honey Post sollen helfen, trotz aller Schutzmassnahmen erfolgte Einbrüche zu detektieren. 39 1. Organize • Identify the weakest link on a broad scale • Consider technical, organizational and operational aspects • Define security policy, define responsibilities • Awareness building 2. Protect: Encryption and authentication • Encrypt stored files and transmitted information • At various OSI-Layers: Application data (PGP, SSH, ...), Socket (specific Port / IP-Address Combination, SSL), IP-Connection, Link (Point-to-point e.g. leased line) • Install patches … unplug systems • install recovery procedures (backup, information / media communication) • Informatics, communication, physical (building locking system), fire, employees, .. 3. Limit access, filtered traffic • Physical access, password, firewall, ... • Filter/limit traffic (traffic separation) to specific sections of the network (based on applications, sessions, IP-addresses: IP-subnetting, MAC-Layer Switching • structured cabling 4. Combine multiple security measures • Mulitlevel security, in-depth security 5. Control, monitor, verify, check, act (detect attacks, check your systems). react and correct • Intrusion Detection, Vulnerability Testing • Security Checks 40 41 42 43 Ein symmetrisches Kryptosystem ist ein Kryptosystem, welches (im Gegensatz zu einem asymmetrischen Kryptosystem) den gleichen Schlüssel zur Ver- und Entschlüsselung verwendet. Der Schlüssel muss geheim bleiben und daher vorgängig über einen sicheren Kanal ausgetauscht worden sein. Man spricht daher manchmal auch von „Private key encryption“ (im Gegensatz zu den asymmetrischen „Public key encryption“ Systemen). Bei den symmetrischen Verfahren wird zwischen Stromchiffren und Blockchiffren unterschieden. Bei den Stromchiffren wird der Klartext Zeichen für Zeichen ver- bzw. entschlüsselt. Bei den Blockchiffren arbeitet man mit einer festen Blockgröße und ver- bzw. entschlüsselt mehrere Zeichen in einem Schritt. Es gibt verschiedenste „symmetrische“ Verschlüsselungsverfahren, wobei zwischen Blockund Stream-Ciphers unterschieden wird: Unter einer Blockchiffre (block cipher) verstehen wir ein Verschlüsselungsverfahren, mit dessen Hilfe Datenblöcke fester Länge verschlüsselt werden. Da die Daten in der Regel eine hiervon abweichend Länge besitzen, müssen Maßnahmen getroffen werden, diese anzupassen; hier gehört das Anfügen von "Leerdaten" an zu kurzen Datensätzen und das Fragmentieren von zu langen Datenblöcken. Bei den Stream-Ciphers wird Bit für Bit (oder Byte für Byte) mit einer Verschlüsselungssequenz verknüpft. Der Advanced Encryption Standard (AES) ist ein symmetrisches Kryptosystem, welches als Nachfolger für DES bzw. 3DES im Oktober 2000 vom National Institute of Standards and Technology (NIST) als Standard bekannt gegeben wurde. RC4 wurde 1987 von Ronald L. Rivest (Ron's Code 4) für RSA Data Security Inc. (2006 durch EMC übernommen) entwickelt. Der Algorithmus war sieben Jahre lang geheim („security by obscurity“), bis 1994 der Quellcode anonym veröffentlicht wurde 44 Mithilfe des DES-Algorithmus und eines geheimen Schlüssels wird bereits in der Tastatur ein so genannter Personal Authentication Code (PAC) berechnet. Dieser wird zusammen mit den Daten des Magnetstreifens (Kontonummer, Bankleitzahl, Gültigkeitszeitraum, …) zum Host des kontoführenden Instituts geschickt, dort wird die PAC entschlüsselt und verifiziert. Bei Angriffen auf Geldautomaten wird kaum versucht die Verschlüsselung zu brechen. Typische Angriffe sind: •Rohe Gewalt: Die Automaten werden mit Baufahrzeugen aus der Verankerung gerissen und die Tresore werden gesprengt. Gegenmaßnahmen sind Videokameras, Alarmauslösung über Abreißsensoren, Einfärbung der Geldscheine bei Erschütterung und dickere Panzerung der Tresore. Sprengen: Die Täter dichten alle Öffnungen des Geldautomaten mittels Silikon ab und leiten ein brennbares Gas ein. Dieses Gas wird gezündet und der Automat wird gewaltsam durch eine Explosion geöffnet. •Skimming: Ein Vorbau vor dem ID-Kartenleser liest die Daten der Magnetspur ein und sendet sie an ein Notebook in der Nähe. Die PIN-Eingabe wird mittels Minikamera abgefilmt und ebenfalls übertragen. Mit diesen Daten wird eine Kopie der Kundenkarte angefertigt und an einem (anderen) Geldautomaten Geld abgehoben. Gegenmaßnahmen sind Videokameras, Abdeckung der PIN-Eingabe mit der freien Hand, spezielle Vorbauten, die mit Alarmsensoren ausgestattet sind, elektronische Erkennung von Vorbauten, Enhanced Card Drive (Jittering beim Einzug), gezielte elektrische Störung des Skimming-Magnetkopfes (Antiskimming) sowie der Übergang zu Chipkarten-Transaktionen. In Deutschland und Schweden haben Kundenkarten zusätzliche Sicherheitsmerkmale, die bei Vervielfältigungen der Karte anhand der Spurdaten nicht enthalten sind und in Geldautomaten beim Karteneinzug geprüft werden. Dies wird umgangen, indem Kopien der Karte im benachbarten Ausland zu illegalen Transaktionen verwendet werden. •Lebanese Loop: Eine Fangschlinge wird in den ID-Kartenleser eingebracht. Diese versperrt die Ausgabe der Kundenkarte nach Abschluss der Transaktion. Der Kriminelle gibt sich als hilfsbereiter Kunde oder Bankangestellter aus und weist den Kunden an, seine PIN nochmals einzugeben, die er dabei beobachtet. Nachdem der Kunde ohne seine Karte gegangen ist, öffnet der Kriminelle die Fangschlinge und ist nun im Besitz von Karte und PIN. Gegenmaßnahmen sind Videokameras sowie Kartenleser, die die Ausgabeblockade der Karte erkennen und daraufhin die Karte festhalten und/oder Alarm auslösen. •Tröpfchenmethode: Auf die einzelnen Tasten wird jeweils ein kleiner Tropfen Öl geträufelt. Nachdem ein Kunde den Automaten benutzt hat, kann man sehen, welche Tasten gedrückt wurden. Dadurch ist es sehr leicht, die eingegebene PIN zu erraten. Gegenmaßnahme: vor oder nach der PIN-Eingabe ein mal über alle Tasten wischen bzw. jede Taste berühren. http://de.wikipedia.org/wiki/Geldautomat 45 Wer Bob eine verschlüsselte Meldung senden will, besorgt sich Bob„s öffentlichen Schlüssel. Man beachte, dass sich die Verschlüsselungsoperation beim Sender und die Entschlüsselungsoperation beim Empfänger unterschieden und dass sie durch unterschiedliche Schlüssel gesteuert sind. Das Rivest-Shamir-Adleman (RSA) Verfahren wurde 1977 entwickelt und basiert auf der Idee, dass die Faktorisierung einer großen Zahl, also ihre Zerlegung in (mindestens zwei) Faktoren, eine sehr aufwändige Angelegenheit ist, während das Erzeugen einer Zahl durch Multiplikation zweier Primzahlen trivial ist. Das Elliptic-Curve-Cryptography (ECC) Verfahren wurde 1985 von Victor Miller (IBM) and Neil Koblitz (University of Washington) vorgestellt. Es basiert darauf, dass es sehr aufwendig ist, diskrete Logarithmen auf elliptischen Kurven zu berechnen Das Elgamal-Kryptosystem (auch al-Dschamal-Kryptosystem) wurde 1985 von Taher Elgamal entwickelt. Es beruht auf dem mathematischen Problem des diskreten Logarithmus, aufbauend auf der Idee des Diffie-HellmanAlgorithmus. Elgamal kann sowohl zur Signaturerzeugung als auch zum Verschlüsseln verwendet werden. Elgamal unterliegt keinem Patent. Das Rabin-Kryptosystem basiert auf einem Faktorisierungsproblem. Es wurde 1979 von Michael O. Rabin veröffentlicht und ist mit RSA verwandt. Es lässt sich prinzipiell auch zur Signatur verwenden. In der Praxis findet das Verfahren allerdings wegen bestimmter Angriffsmöglichkeiten kaum Anwendung. 46 47 Bei der Zertifikatserstellung generiert der Zertifikatsinhaber zuerst seinen öffentlichen und privaten Schlüssel. Den öffentlichen Schlüssel lässt er von einer Zertifizierungsstelle (CA) unterschreiben, wobei diese überprüft, ob das Zertifikat wirklich zur im Common Name (CN) angegebenen Person bzw. zum im Common Name (CN) angegebenen Server gehört. Die Echtheit des Zertifikats bzw. die Unterschrift der CA kann jeder überprüfen, der den öffentlichen Schlüssel der CA besitzt. Der öffentliche Schlüssel der CA muss auf einem sicheren Kanal zu denjenigen Stellen übertragen werden, welche damit die Echtheit der CA-Unterschriften überprüfen wollen. 48 An SSL session is initiated as follows: • On the client (browser) the user requests a document with a special URL that commences https: instead of http:, either by typing it into the URL input field, or by clicking on a link. • The client code recognizes the SSL request and establishes a connection through TCP port 443 to the SSL code on the server. • The client then initiates the SSL handshake phase, using the SSL Record Protocol as a carrier. At this point, there is no encryption or integrity checking built in to the connection. The SSL protocol addresses the following security issues: •Confidentiality After the symmetric key is established in the initial handshake, the messages are encrypted using this key. •Integrity Messages contain a message authentication code (MAC) ensuring the message integrity. •Authentication During the handshake, the client authenticates the server by checking the signatures on the server‟s certificate. SSL requires each message to be encrypted and decrypted and therefore has a high performance and resource overhead. 49 In cryptography , a man in the middle attack (MITM) is an attack in which an attacker is able to read, and modify at will, messages between two parties without either party knowing that the link between them has been compromised. The attacker must be able to observe and intercept messages going between the two victims. [http://encyclopedia.thefreedictionary.com/Man%20in%20the%20middle%2 0attack] Odysseus is a free ware tool to anaylze web traffic. Basically the tool operates like a proxy but can also be used to illustrate MITM functions [http://www.wastelands.gen.nz/odysseus/index.php]. Odysseus was primarily implemented to debug OpenSSL locking calls. 50 In den ersten Monaten des Jahres 2004 sahen sich Online-Kunden der Basler Kantonalbank, der UBS und der Zürcher Kantonalbank mit dem Thema Phishing konfrontiert. Nach Angaben der Staatsanwaltschaft Bonn gelang es im August 2004 Betrügern, von zwei Postbank-Konten insgesamt 21 000 Euro abzuheben. Ein Kunde bemerkte die unrechtmässige Überweisung von 9000 Euro rechtzeitig und stornierte sie, so berichtet die «Financial Times Deutschland». Im zweiten Fall sei die Abbuchung von 12 000 Euro bei einer bankinternen Sicherheitsprüfung aufgefallen und gestoppt worden. Gemäss «Spiegel» gab es in Deutschland seit Mitte Mai mindestens zehn Wellen von Phishing-Angriffen; in rund vierzig Fällen hätten es die Betrüger geschafft, eine Geldüberweisung auszulösen - bis zu einer Höhe von 50 000 Euro. Zwei Zahlungen seien erst in letzter Minute bei osteuropäischen Banken gestoppt worden. Wegen einer gross angelegten Phishing-Attacke sah sich die MIGROSBANK gestern Montag, 22.8.2006 gezwungen, im Interesse ihrer Kunden den Zahlungsverkehr via M-BancNet einzustellen. Nachdem sich die Massnahmen zum Schutz der Kunden als wirksam erwiesen haben, konnte die MIGROSBANK Dienstag Mittag die M-BancNet-Zahlungen wieder freigeben. 51 Real Phishing examples can be studied at MailFrontier Phishing IQ Test II , http://survey.mailfrontier.com/survey/quiztest.html. The Paypal Phishing mail showed a Address Bar Spoofing attack (http://www.antiphishing.org/phishing_archive/05-10-05_Paypal/05-1005_Paypal.html) 2004-05-13 Opera Browser Address Bar Spoofing Vulnerability, 2004-0816 Internet Explorer Address Bar Spoofing Vulnerability The vulnerability is caused due to an input validation error, which can be exploited by including the "%01" and "%00" URL encoded representations after the username and right before the "@" character in an URL. Example displaying only "http://www.trusted_site.com" in the two bars when the real domain is "malicious_site.com": http://www.trusted_site.com%01%00@malicious_site.com/malicious .html References: http://www.microsoft.com%00@secunia.com/internet_explorer_address_bar _spoofing_test/ http://secunia.com/internet_explorer_ address_bar_spoofing_test 52 53 •Identification provides a unique identifier: The user presents his identity, usually by supplying a user ID or a user name. •Authentication verifies that you are who you claim to be: The user supplies authentication information, which proves the binding between the user (the person) and the identity. •Authorization establishes what you„re allowed to do e.g. which files and applications you may access: The systems authorizes the (authenticated) user to do what he is allowed to do. •Accounting charges for what you do. (Auditing saves information about user actions (e.g. logins, accesses)) 54 Setting up policies which require users to chose very long and complicated passwords without support and traing for the users is dangerous. Users will often forget passwords, will write them down without protecting the written passwords well enough. Cnlab has set up a „Codecheck“ application for awareness building and as a tool to train users how to construct good passcodes. 55 Erklären Sie, um welche Art Verletzlichkeit es sich bei den sieben angegebenen Stellen handeln könnte. Zählen Sie die typischen “Security Buzzwords” auf, welche zu den einzelnen Punkten passen. 56 57 58 59 60 61 Anfang 1994 konnte Eindringling kontinuierlich militärische Computersysteme durchbrechen. Er hinterliess keine Spuren. Das Departement of Defence (DoD) beauftragte eine Gruppe – so genanntes „Tiger Team“ – zu versuchen, in die Systeme des Pentagon einzudringen. Die Gruppe führte 8„932 Angriffe aus: 7„860 (88%) waren erfolgreich, 320 Angriffe wurden aufgedeckt (d.h. nur 5% der erfolgreichen Angriffe wurden erkannt), 22 Angriffe wurden intern gemeldet (d.h. nur über 0.25% der erfolgreichen Angriffe war das Management informiert worden bzw. einer von 400 Angriffen ist dem Management bekannt). Die Kommentare sind von Winn Schwartau (Journalist und Autor des Buches „Cyberwar“). 62 63 64 Beschreiben Sie die Begriffe anhand von Beispielen aus dem Alltag. 65 66