Informationssicherheit

Transcription

Informationssicherheit
1
2
Confidentiality, Secrecy: Vertraulichkeit, Geheimhaltung der Information (d.h. Information ist
nur dem Sender und Empfänger bekannt)
Privacy meint eher die Vertraulichkeit in Zusammenhang mit Privatsphärenschutz,
Personendatenschutz. Hier wird häufig gefordert, dass die Anonymität gewährleistet werden
kann.
Integrity: Integrität (Echtheit) der Information ist gewährleistet, sie kann nicht durch einen
nicht-autorisierten Dritten geändert worden. In Zusammenhang mit der Integrität (Echtheit) von
Sender und Empfänger spricht man auch von Authenticity (Authentisierung).
•Sender (Server) -Authentisierung: Der Empfänger kann überprüfen, ob die übermittelten Daten
vom richtigen Sender gesandt wurden
•Empfänger (Client) –Authentisierung: Der Sender kann überprüfen, dass er mit dem richtigen
Empfänger kommuniziert
•Meldungs-Authentisierung: Überprüfen, ob die Daten nicht verändert wurden (entspricht der
Integritätsüberprüfung)
•Zertifizierung: Beglaubigung von Authentisierungsdaten durch eine vertrauenswürdige Partei
•Validieren: Methode um die Echtheit und die Gültigkeit einer Autorisierung zu überprüfen
•Revozieren: (Unsichere) Authentisierungs- oder Autorisierungsdaten können widerrufen werden
•Zeitstempel: beglaubigte Aufzeichnung des Datums eines Ereignisses (z. B. Erzeugung,
Versand, Empfang der übermittelten Daten)
Availability: Verfügbarkeit eines Systems oder einer Anwendung ist gewährleistet (keine
Leistungsverminderung und kein Leistungsausfall)
3
The Internet is a global system with
•local law (e.g. computer security, data protection law)
•with various techno-political environments
•with an almost unlimited number of „guests“
Key points in the Internet situation are
•increased complexity
•increased dependency (as a person, as a company, as a state)
•increased difficulty to separate (network sections, users)
How much criminal power may be within such a large and complex system?
Reference to Internet Statistics
•Internet domain survey host count Jul 2006|439,286,364 hosts (number of IP
addresses that have been assigned a name ) http://www.isc.org/ds/
•http://www.gvu.gatech.edu/user_surveys/
•Worldwide Internet Population 2005: 1.08 billion (Computer Industry
Almanac)
http://www.clickz.com/stats/big_picture/geographics/article.php/151151
•Internet Users in Switzerland: 5,097,822 (2005)
https://www.cia.gov/cia/publications/factbook/fields/2153.html
4
Confidentiality (privacy, secrecy) nobody reads: attack to read (or steal) secret
information from a system
Integrity: nobody modifies (authentic content, sender, receiver): attack to
change or forge the information residing on or passing through a system; Authenticity:
attack to forge the originator of the message (Identity Theft)
Availability: system works as needed: attack that directly inhibits a user (human or
machine) from accessing a particular system resource
Confidentiality, Integrity and Authenticity is sometimes abbreviated as “CIA”
System Control / Security Protection: attack that gives the attacker privileges in a system
(e.g. allows a hacker full control of a system “gain super user access” or allows a hacker
partial control over a system "gain user access“)
Accountability: not deny message sent/received (non Repudiation, not deny actions
taken)
The types of attacks can also be classified into passive attacks (eavesdropping, traffic
analysis) and active attacks (modification, masquerade/replay, flooding).
5
Das Bedrohungspotenzial (threat) und die Schwachstellen der
Abwehrmassnahmen (vulnerabilities) bestimmen die Gefahr
(Wahrscheinlichkeit eines Schadenfalls). Ziel ist es, die Höhe des Schadens
bzw. die bedrohten Werte (assets) und die Wahrscheinlichkeit für das
Eintreten eines Schadens für verschiedene Situationen abschätzen und
minimieren zu können. Das Risiko ist das Produkt aus „Wahrscheinlichkeit
eines Schadenfalls“ mal „Schadensumme“ bzw. Das Produkt aus
„Wahrscheinlichkeit eines Schadenfalls“ mal „Bedrohung“ mal
„Verletzlichkeit“, wobei unter „Produkt“ nicht die echte mathematische
Multiplikation, sondern lediglich eine „Abhängigkeit“ zu verstehen ist.
Allerdings kann das Risiko selten in Franken angegeben werden; ein
Vergleich bzw. ein Abwägen der Risiken in verschiedenen Situationen ist im
Rahmen einer Risikoanalyse aber möglich.
Das Risiko kann auf verschiedene Arten reduziert werden. Man kann
versuchen die Bedrohung und/oder den eintretenden Schaden zu reduzieren.
In der Regel wird aber vor allem versucht, den Erfolg eines Angriffs (bzw.
einer Bedrohung) durch Schutzmassnahmen zu reduzieren (security
protection measures). Die Kosten für diese Schutzmassnahmen werden
normalerweise umso grösser, je höher der Schutzgrad ist. Der Schaden sollte
entsprechend umso kleiner werden, je höher der Schutzgrad ist. Die
resultierenden Gesamtkosten dürften demnach bei einem bestimmten
Schutzgrad minimal werden.
6
An Information Asset is a definable piece of information, stored in any manner
which is recognised as 'valuable' to the organisation. The information which
comprises an Information Asset, may be little more than a prospect name and
address file; or it may be the plans for the release of the latest in a range of
products to compete with competitors.
Irrespective, the nature of the information assets themselves, they all have one
or more of the following characteristics :
•They are recognised to be of value to the organisation.
•They are not easily replaceable without cost, skill, time, resources or a
combination.
•They form a part of the organisation's corporate identity, without which, the
organisation may be threatened.
•Their Data Classification would normally be Proprietary, Highly Confidential or
even Top Secret.
It is the purpose of Information Security to identify the threats against, the risks
and the associated potential damage to, and the safeguarding of Information
Assets.
[Ref: http://www.yourwindow.to/information-security/gl_informationasset.htm]
7
Meridien war 2000 ein in der Schweiz sehr weit verbreitetes
Haustelefonzentralen-System (Private Automated Branch eXchange, PABX).
Meridien Mail bietet unter anderem Funktionen an wie Anrufbeantworter,
Rückruffunktion, Ruf-Weiterleitung an eine frei wählbare Nummer.
8
Nachdem Zugangspassworte zu Meridian Mail Zentralen veröffentlicht
wurden
http://packetstorm.securify.com/voicemail/mer-ninj.txt
http://www.hackcanada.com/homegrown/augsburg_mm.txt
http://google.yahoo.com/bin/query?p=PBX+hacking+Voice+system+Meri
dian
hat sich das Telefon-Verkehrsvolumen erhöht und auch die Aufteilung der
Gesprächsdestinationen hat sich geändert.
9
http://real.xobix.ch/ramgen/sfdrs/vod/sfspezial/sfspezial_20041130.rm?start=0:11:41.8
35&end=0:19:28.112
Datasport-Bibchip-20041210.wmv
Improved security is recommended when you are faced to „real attacks“. Currently
attacks are not only a „hacker„s game“ anymore. There is clear commercial interest
behind many attacks.
12.12.2006 Weil er 2003 mit spezieller Software die Computer von
Konkurrenzfirmen ausspionierte, steht seit Montag ein ehemaliges
Geschäftsleitungsmitglied der Firma Datasport in Burgdorf vor Gericht.
Bei der Weinfelder Firma Bibchip soll der 33-jährige Mann gar E-Mails umgeleitet
und gelöscht haben, bevor die rechtmässigen Adressaten diese zu Gesicht bekamen.
«Weil wir plötzlich keine Anfragen mehr bekamen, versandten wir Testanfragen an
uns selber», sagt Ralph Nagel von Bibchip. «Doch statt unserer eigenen E-Mails
erhielten wir konkrete Offerten von unserer Konkurrenz als Antwort. Da wussten wir,
was Sache war.» Bibchip schätzt den Schaden auf rund eine Million Franken. Der
Angeklagte hat den Versand der Trojaner-Mails gestanden. Das Urteil steht noch aus.
[Referenz 20minuten]
16.12.2006 Berner Zeitung: Das Kreisgericht Burgdorf hat einen früheren Mitarbeiter
der Zollikofer Firma Datasport zu einer bedingten Gefängnisstrafe von zehn Monaten
und einer Busse von 5000 Franken verurteilt.
[http://www.espace.ch/artikel_295235.html]
10
11
A threat is when you tell someone you will do something to them if they
don't do what you are asking them to do.
A threat is any circumstances or event that has the potential to cause harm to
a system or network.
Even the existence of an (unknown) vulnerability implies a threat by
definition.
http://www.dfn-cert.de/eng/pre99papers/certterm.html#TERM-THREAT
Threat examples:
murder threat = Morddrohung
threat of strike = Streikdrohung, Androhung des Streiks
threat of violence = Gewaltandrohung, Androhung von Gewalt
12
The security threat is changing dramatically and customers need to be cognizant of the implications for their security strate gies
in the years ahead: namely, that vigilance and agility will remain key, and a comprehensive approach to security will continu e to
be required. A set of “profiles” of various participants in the hacker community, is derived from actual data gathered by
Microsoft researchers and engineers who are working with national law enforcement agencies in the US. They are based on
numerous real-life incidents (the details of which Microsoft cannot disclose publicly) where the perpetrators are either known or
reasonably well-guessed. The threat situation can be structured by various levels of “motivation” (from “Curiosity” to “National
Interest”) and “expertise and resources” (from the entry-level “Script-Kiddy” to the formidable “Specialist”).
•The “Vandal” is the person who, for example. hacks into a poorly-protected Web site and defaces the content. In terms of total
hacking effort – in other words, the total number of participants, total hours spent and so on – Vandals constitute the largest
group, or area of activity.
•“Trespassers” are more capable than Vandals and they‟re motivated by ego and a sense of personal fame. Their intentions are
relatively benign, but they can cause significant problems. The hackers who create many of the worms and viruses that make
news usually fall into this category. Because their attacks create huge amounts of traffic and sometimes Denial of Service
attacks, their actions can result in serious material damage to computer users, businesses and other organizations. However, they
often do not include seriously harmful “payloads” that destroy data or enable theft.
•The “Author” is the highly-capable hacker who has the tools and expertise to reverse-engineer a patch and write exploit code,
or find vulnerabilities in security software, hardware, or processes. Authors are generally motivated by ego, ideology, and/or
personal fame. Authors create the building blocks for criminal hackers, and their work scales out in all directions. For one, the
tools and code they produce are usually made readily available to the less-sophisticated, meaning that the Vandals and the
Script-Kiddies are able to cause a lot more trouble with less work.
•The “Thieves” are people who are in it for the money, and they include organized crime syndicates from around the world.
Thieves are active and effective in hacking into corporate and enterprise systems, sometimes to steal information that has
monetary value (such as credit card numbers), sometimes to divert cash into their accounts, and sometimes to extort payments to
prevent their systems or data from being exposed to the public. It‟s impossible to calculate the losses caused by thieves because
their work is often not publicly reported. Law enforcement agencies around the world are beginning to address the problem
seriously. The greatest financial losses will be incurred because of Thieves. Cyber-theft is the fastest-growing threat in security.
The Thieves benefit from the author‟s efforts. This makes the Author a very interesting person to law enforcement
organizations, who play an increasingly important role in helping to combat criminal hackers.
•The “Spies,” who work on behalf of governments, are highly skilled, and have virtually unlimited resources. And the largest
expenditures on protection – building strong defenses – are made, not surprisingly, by the Spies.
[Source: Microsoft]
13
The expression drive-by download is used in three increasingly strict
meanings:
Any download that happens without knowledge of the user.
Download of spyware, a computer virus or any kind of malware that happens
without knowledge of the user. Drive-by downloads may happen by visiting
a website, viewing an e-mail message or by clicking on a deceptive popup
window: the user clicks on the window in the mistaken belief that, for
instance, it is an error report from his own PC or that it is an innocuous
advertisement popup; in such cases, the "supplier" may claim that the user
"consented" to the download though he was completely unaware of having
initiated a malicious software download.
Download of malware through exploitation of a web browser, e-mail client
or operating system bug, without any user intervention whatsoever. Websites
that exploit the Windows Metafile vulnerability may provide examples of
"drive-by downloads" of this sort.
The expression drive-by install (or installation) is completely analogous and
refers to installation rather than download (though sometimes the two are
used interchangeably).
In April 2007 researchers at Google discovered hundreds of thousands of
web pages performing drive-by downloads.[1][2]
14
[18.12.2006 10:10] http://www.heise.de/security/news/meldung/82679
In Untergrund-Foren werden bereits Exploits für Microsofts neuestes Betriebssystem
Windows Vista verhökert, mit denen sich ein Rechner kompromittieren lässt, berichten USMedien. Laut Trend Micro[1] seien bis zu 50.000 US-Dollar auf den Online-Auktionen
ähnelnden Seiten geboten worden. Aber auch Exploits für andere Software würden dort
gehandelt, je nach Popularität der Programme und Zuverlässigkeit des Exploits für Summen
zwischen 20.000 und 30.000 US-Dollar. Zudem sollen sich komplette Bots und Trojaner
erwerben lassen: Ein Trojaner zum Stehlen von Daten soll zwischen 1000 und 5000 USDollar bringen, ein Bot zum Aufbau etwa einer Spam-Armee ist für 5000 bis 20.000 Dollar
zu haben.
Auch die mit Trojanern geklauten persönlichen Daten und virtuellen Währungen etwa aus
Online-Spielen stünden zum Verkauf. Kreditkartennummern inklusive PIN gehen für 500
Dollar über den Tisch. Ohne gültige PIN, aber dafür mit dreistelligem Sicherheitscode und
Ablaufdatum kostet eine Kreditkartennummer nur noch 25 Dollar. Ein eBay- oder PayPalAccount schlägt gerade noch mit 7 Dollar zu Buche. Bereits Ende vergangenen Jahres zeigte
sich beim WMF-Exploit[2], wie lukrativ es sein kann, mit Schadsoftware Geld zu verdienen.
Damals hatte Kaspersky Hacker in russischen Foren beobachtet, die den Exploit für 4000
Dollar angeboten und verkauft hatten[3]. Kurze Zeit darauf versuchten zahlreiche
Webseiten, Besucher über den Exploit mit Trojanern zu infizieren.
[1] http://de.trendmicro-europe.com/
[2] http://www.heise.de/security/news/meldung/67794
[3] http://www.heise.de/security/news/meldung/69207
[4] mailto:dab@ct.heise.de
15
Bochum 22.10.2007 Cybercrime zu Schleuderpreisen - Einsteigerpaket für
Nachwuchs-Spammer bereits ab 140 Euro
http://www.gdata.de/unternehmen/DE/articleview/3920/1/160/
"Die Professionalisierung der Online-Kriminellen ist nichts Neues. Wir
haben es bereits seit Jahren mit einer Industrie zu tun, die im Internet
kriminelle Dienstleistungen im großen Rahmen anbietet", sagt Ralf
Benzmüller, Leiter der G Data Security Labs. "Nach dem Motto 'Darf es
auch etwas mehr sein?', bieten die Cyber-Kriminellen ihre Dienstleistung oft
in Kombinationen an. DDoS-Attacken auf Mitbewerber und zeitgleicher
Versand von Spam sind nicht ungewöhnlich", so Benzmüller.
Bereits für wenige hundert Euro sind gezielte Angriffe auf Webangebote oder
der Versand von Millionen von Spam-E-Mails als Auftragsarbeit möglich.
Die Cyber-Kriminellen operieren hierbei in Netzwerken, um möglichst viele
Facetten der kriminellen Dienstleistungen aus einer Hand anbieten zu
können.
Die Webseite "WabiSabiLabi„ www.wslabi.com ist das Ebay für CyberKriminelle. Hier können Hacker ab 500 Euro aktuelle Windows- und LinuxSicherheitslücken ersteigern.
16
Alte DDoS-Tools: Trinoo / Trin00 (Juni/Juli 1999), TFN (Tribe Floot Network) (Juli/August
1999), Stacheldraht (Sommer 1999), Trinity (Herbst 1999), Shaft (November 1999),
TFN2K (Dezember 1999), Mstream (April 2000)
Unter einem Botnet oder Bot-Netz (die Kurzform von Roboter-Netzwerk) versteht man ein
fernsteuerbares Netzwerk (im Internet) von PCs, das aus untereinander kommunizierenden
Bots besteht. Diese Kontrolle wird durch Würmer bzw. Trojanische Pferde erreicht, die den
Computer infizieren und dann auf Anweisungen warten. Diese Netzwerke können für SpamVerbreitung, Denial-of-Service-Attacken und weitere illegale Aktionen verwendet werden,
zum Teil ohne dass die betroffenen PC-Nutzer etwas davon erfahren.
Die von Botnets ausgeführten DDoS-Attacken und Spam-Nachrichten stellen eine
Bedrohung für Anbieter von Internetdiensten jeglicher Art dar. Botnets können Größen von
tausenden Rechnern erreichen, deren Bandbreitensumme die der meisten herkömmlichen
Internetzugänge übertrifft. Somit ist es einem Botnet von ausreichender Größe durch Senden
von großen Datenmengen möglich, die Anbindungen der attackierten Serviceanbieter zu
überlasten.
Als bekannte Vertreter von Botnetzprogrammen gelten z.B. Agobot, Phatbot und R(x)Bot.
Am World Economic Forum 2007 in Davos berichtet Vint Cerf , dass nach seiner
Auffassung von den 600 Millionen Internet-PCs 100 bis 150 Millionen, d.h. jeder 6. bis 4.
Computer mit Bots infiziert sei. http://news.bbc.co.uk/1/hi/business/6298641.stm
17
Mobile Code is provided from various sources and transported by various channels (storage
media, e-mail, peer-to-peer communication, file transfer, web access).
•Mobile Code Attributes provide (Meta)Information about the code.
•Before Code Execution, the attributes may be checked and even the code content may be
checked.
•Depending on the results of the checks the code will get different execution rights (do not
execute, execute in a controlled environment, execute without restrictions).
viruses, worms, trojans (robots, bots, spam-bots):
Distributed by mail, P2P networks, storage media within other programs (Trojan)
started / executed by users, automatically, at boot, …
self-replicating (Worm)
active content (embedded in HTML):
distributed by Web servers (i.e. form any site)
executed in
Browsers
e-Mail Clients (HTML e-mail handled similarly to Web pages)
Instant Messenger programs
…
Examples: Netscape„s JavaScript, Sun„s Java, Microsoft„s ActiveX
Adware (redirect browser)
Spyware (find passwords, …, keybord sniffers
18
Social Engineering, the USB Way
http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1
JUNE 7, 2006 …USB drives were a concern, since they were an easy way for employees to
steal information, as well as bring in potential vulnerabilities such as viruses and Trojans.
In the past we had used a variety of social engineering tactics to compromise a network.
Typically we would hang out with the smokers, sweet-talk a receptionist, or commandeer a
meeting room and jack into the network. This time I knew we had to do something different.
We heard that employees were talking within the credit union and were telling each other that
somebody was going to test the security of the network, including the people element.
We gathered all the worthless vendor giveaway thumb drives collected over the years and
imprinted them with our own special piece of software. I had one of my guys write a Trojan
that, when run, would collect passwords, logins and machine-specific information from the
user‟s computer, and then email the findings back to us.
The next hurdle we had was getting the USB drives in the hands of the credit union‟s internal
users. I made my way to the credit union at about 6 a.m. to make sure no employees saw us. I
then proceeded to scatter the drives in the parking lot, smoking areas, and other areas
employees frequented.
Of the 20 USB drives we planted, 15 were found by employees, and all had been plugged into
company computers. The data we obtained helped us to compromise additional systems, and the
best part of the whole scheme was its convenience. We never broke a sweat. Everything that
needed to happen did, and in a way it was completely transparent to the users, the network, and
credit union management.
Steve Stasiukonis is VP and founder of Secure Network Technologies Inc. Special to Dark
Reading
19
Weitere Meldungen:
•Mozilla vertraut kostenlosen StartCom-Zertifikaten (3.06.2006): MozillaBrowser werden die kostenlosen Zertifikate des israelischen Unternehmens
StartCom als vertrauenswürdig akzeptieren.
•Internet Explorer: Lücke wird zum Riesenloch (28.04.2006): Secunia
meldet Exploit welcher über die Verarbeitung verschachtelter Objekte
möglicherweise Code einschleust.
•Kritische Sicherheitslücken in Mac OS X (22.04.2006): Durch Aufruf von
Seiten mit präparierten Bildern im BMP-, GIF- oder TIFF-Format kann man
mit Safari Code einschleusen.
20
E-Mail-Ergebnisse ist die Gesamtbewertung von SiteAdvisor für die E-Mail-Praktiken einer Website. Wir
klassifizieren Websites auf der Grundlage dessen, wie viele E-Mails sie versenden, sowie auf Grundlage des SpamFaktors, den diese Mails aufweisen. Wenn einer dieser Werte über dem von uns festgelegten Grenzwert liegt,
statten wir diese Site mit einer gelben Warnung aus. Wenn beide Werte hoch sind oder einer besonders auffällig
ist, statten wir diese Site mit einer roten Warnung aus.
Downloads gibt die Gesamtbewertung von SiteAdvisor zu den Auswirkungen an, die die herunterladbare Software
einer Site auf unseren Test-Computer hatte. Sites mit virusinfizierten Downloads oder solche, die zusätzliche
Software hinzufügen, die die Benutzer als Adware oder Spyware ansehen würden, erhalten rote Flaggen. Die
Bewertung berücksichtigt auch die Netzwerkserver, zu denen ein Programm während der durchgeführten
Transaktionen eine Verbindung herstellt, sowie jegliche Veränderungen, die an den Browsereinstellungen oder den
Registrierungsdateien eines Computers vorgenommen werden.
Online-Partnerschaften betrachtet die Aggressivität, mit der eine Site versucht, Sie auf andere Sites
weiterzuleiten, die wir als "rot" markiert haben. Es ist im Internet üblich, dass verdächtige Sites enge
Verbindungen zu anderen verdächtigen Sites aufweisen. Der Hauptzweck dieser "fütternden" Sites ist es, Sie dazu
zu bewegen, die verdächtige Site zu besuchen. Eine Site kann eine rote Warnung erhalten, wenn sie beispielsweise
zu aggressiv versucht, Sie auf andere rote Sites weiterzuleiten. Eine Site kann tatsächlich auch "rot durch
Verbindung" werden, wenn die Verbindung zu einer als rot klassifizierten Domäne zu eng ist.
Störende Praktiken sind häufig genutzte Web-Praktiken, die den Benutzer stören, wie eine überhöhte Anzahl an
Popups, Aufforderungen, die Homepage eines Benutzers zu verändern, oder Aufforderungen, eine Site zur
Favoritenliste des Browsers hinzuzufügen. Wir listen in diesem Abschnitt auch Cookies von Dritten auf (manchmal
auch als "Nachverfolgungs-Cookies" bezeichnet). Wenn eine Website viele Popups aufweist und wenn sie
insbesondere Praktiken ausübt, wie das Öffnen mehrerer Fenster, wenn Sie versuchen, eines zu schließen, erteilen
wir dieser Website eine rote Flagge.
Exploits sind selten, stellen aber sehr gefährliche Sicherheitsbedrohungen dar, die dadurch entstehen, dass eine
Website die Sicherheitsschwachstelle eines Browsers ausnutzt. Der Exploit kann dazu führen, dass der Computer
eines Benutzers Programmierungscode erhält, der zu Adware-Infektionen, Keystroke-Spionage und anderen
schädlichen Aktionen führen kann, die einen Computer gänzlich zerstören können.
21
Compares the safety of leading search engines, using McAfee SiteAdvisor‟s automated Web
site ratings. We find that AOL returns the safest search results, while Yahoo! returns the greatest
percentage of risky results. Since May 2006, search engine results have become safer, primarily
due to improved safety of sponsored results on Google, AOL, and Ask. Despite this
improvement, dangerous sites are found in search results of all of the top five search engines,
and sponsored results continue to be significantly less safe than search engines‟ organic results.
1. “Red” rated sites failed McAfee SiteAdvisor‟s safety tests. Examples are sites that distribute
adware, send a high volume of spam, or make unauthorized changes to a user‟s computer.
2. “Yellow” rated sites engage in practices that warrant important advisory information based
on McAfee SiteAdvisor‟s safety tests. Examples are sites which send a high volume of “nonspammy” e-mail, display many pop-up ads, or prompt a user to change browser settings.
Overall, 4.0% of search results link to risky Web sites, which marks an improvement from 5.0%
in May 2006. Dangerous sites are found in search results of all 5 of the top US search engines
(representing 93% of all search engine use).
The improvement in search engine safety is primarily due to safer sponsored results. The
percentage of risky sites dropped from 8.5% in May 2006 to 6.9% in May 2007. However,
sponsored results still contain 2.4 times as many risky sites as organic results.
AOL returns the safest results: 2.9 % of results rated red1 or yellow2 by McAfee SiteAdvisor.
At 5.4%, Yahoo! returns the most results rated red or yellow.
Google, AOL, and Ask have become safer since May 2006, with Ask exhibiting the greatest
improvement. The safety of search results on Yahoo! and MSN has declined.
22
23
The high-power electromagnetic system (HPEMS) uses microwave energy to
disable/damage vehicle‟s electronic control module/microprocessors which
control engine‟s vital functions. The system is capable of (1) high-value
asset perimeter protection from approaching hostile vehicles, (2) bringing
cars to halt on urban, suburban roads and multi-lane highways, (3) perimeter
protection for gas-oil (fueling) platform at sea and (4) day/night, all weather
clandestine operations. Figures shown here depict HPEMS‟ application for
stopping vehicles on highways and perimeter protection of gas-oil fueling
platform from approaching boats at sea.
The focus originally is to build a compact portable tunable system to be
integrated in a police car (Ford Crown Victoria) and having the following
operational capabilities:
Once the car-hosted system is built and tested, Eureka Aerospace will
transition the technology to building larger HPEMS for 5-km perimeter
protection applications. http://eurekaaerospace.com/hpems.php
Mit elektromagnetischen Impulsen wird die Fahrzeugelektronik lahmgelegt,
welche in modernen Fahrzeugen für Steuerung der Kraftstoffeinspritzung
zuständig ist. Fahrzeug stoppt.
Einsatzgebiet: Polizei, Anlagenschutz (Sperrbereich)
Prototypen existieren (Reichweite 50m - 5km)
Hacker mit bösartiger Absicht werden eigentlich als “Cracker”
bezeichnet.
25
26
27
28
29
Der Golfkrieg erlebte Geburtsstunde des Cyberwar. CIA implantierte
beispielsweise einen Microchip in Drucker und anderes Computerzubehör.
Signale des irakischen Luftabwehrsystems führten dazu, dass die Drucker
und Computerzubehör-Einrichtungen wie Niedrigfrequenzsender arbeiteten
und dadurch lokalisierbar wurden (d.h. sie lieferten ein Ortungsleuchtfeuer).
Und wo ein Drucker lokalisiert werden kann, sind technologisch hoch
stehende Anlagen nicht weit entfernt.
Chip war von NSA gebaut worden.
Chippen: Microchips mit einer versteckten Bombe, die von der USRegierung ferngesteuert werden können.
Winn Schwartau (Journalist): Telefonanlage die in den frühen 70er-Jahren
nach Polen verkauft wurde, enthielt ferngesteuerte Sprengkapsel
30
A universal vulnerability is a state in a computing system (or set of systems) which either:
allows an attacker to execute commands as another user
allows an attacker to access data that is contrary to the specified access restrictions for
that data
allows an attacker to pose as another entity
allows an attacker to conduct a denial of service
"A vulnerability is a feature or bug in a system or program which enables an attacker to bypass
security measures." [Schultz Jr. et al. 1990]
"A vulnerability is an aspect of a system or network that leaves it open to attack" [CERT
1993]
“A security vulnerability is a flaw in a product that makes it infeasible – even when using the
product properly – to prevent an attacker from usurping privileges on the user's system,
regulating its operation, compromising data on it, or assuming ungranted trust.” [Microsoft
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/v
ulnrbl.asp]
31
Das typische Muster im Bereich Internet Sicherheit sieht so aus, dass Verletzlichkeiten von
Systemen zuerst nur wenigen Insidern bekannt sind. Dies sind beispielsweise aktuelle oder
ehemalige Angestellte, Entwickler, Berater oder externe Angestellte. Bei den
Verletzlichkeiten kann es sich beispielsweise um Systempassworte, Debugging Funktionen
oder versteckte Funktionen handeln (vgl. „Easter eggs“
http://www.eeggs.com/items/8240.html).
Häufig gelangen die Informationen über die Verletzlichkeiten nach Tagen oder Jahren an die
Öffentlichkeit (z.B. aufgrund von Indiskretionen, per Zufall, durch frustrierte Mitarbeiter,
…). Dort wird dann beschrieben, wie man die Schwachstelle ausnutzen kann, um ein System
zu beeinflussen. Man spricht in diesem Zusammenhang von Exploits. Meistens sind
spezielle Informatik-/Netzwerk-Kenntnisse erforderlich (Hacker-Know-How), um diese
Verletzlichkeiten für den Zugang oder die Beeinflussung der betroffenen Systeme
auszunutzen. Entsprechend kann die Verletzlichkeit nur durch eine relative kleine Zahl von
Personen ausgenutzt werden und die Wahrscheinlichkeit einer erfolgreich ausgenutzten
Attacke ist nicht sehr gross.
In der Regel dauert es aber nur Wochen bis Monate, bis jemand einfache „Click-and-Drag“Programme entwickelt, mit welchen eine allgemein bekannt gewordene Verletzlichkeit auch
ohne spezielle Informatik-Kenntnisse (Script Kiddies) ausgenutzt werden kann. Dadurch
gibt es sehr viele Personen, welche die Verletzlichkeit ausnutzen können, d.h. die
Wahrscheinlichkeit für erfolgreiche Angriffe wird gross.
Entsprechend der Anzahl der potenziellen Nutzer der Verletzlichkeit, steigt in den drei
Phasen die Wahrscheinlichkeit, dass jemand die Sicherheitslücke ausnutzt, um auch Ihr
System zu kommen.
32
Google Earth Flight Simulator (contributed 10-21-2007, tested Nov 2007): Run the latest version
of Google Earth (v4.2). Simply press Ctrl+Alt+A (or Command+Option+A in OS X).
A flight simulator within Google Earth will be launched! Further details can be found at
http://earth.google.com/intl/en/userguide/v4/flightsim/index.html
Skype - A Few Hidden Emoticons in Skype (contributed 07-20-2006, tested Nov 2007): Just
enter a chat session, type any of the following words, including the brackets, and enjoy the
resulting emoticons: (finger) (bandit) (mooning) (swear) (drunk) (rock) (poolparty)
(bug) (ninja) (smoking) (fubar) (tmi)
OpenOffice.org - Star Wars Game (contributed 08-21-2005 ):
1. create a new sheetin openoffice.org Calc (spreadsheet)
2. enter this formula in a cell : =game() and validate (validation button or enter)
3.the cell will display "say what?"
4. Enter this formula: =GAME("StarWars")
5. a new window will open with a little game star war game.
6. But if you type again this formula, the cell will return the display "oh no, not again!"
7. to be able to play again, you need to close the file, close openoffice.org and the QuickStarter,
and then make the same.
33
The CERT® Coordination Center (CERT/CC) is a center of Internet security
expertise, located at the Software Engineering Institute, a federally funded
research and development center operated by Carnegie Mellon University.
CERT Areas of Focus:
Software Assurance: Analyze the state of Internet security
Secure Systems: Analyze survivability of systems to attacks
Organizational Security: Framework to measure and improve security
Coordinated Response: Global support to address security issues
Training: Educate individuals within organizations
34
Das Computer Security Resource Center (CSRC) des amerikanischen
National Institute of Standards and Technology (NIST)
(http://csrc.nist.gov/) sammelt im sogenannten ICAT seit Jahren
Informationen über die Verletzlichkeit von Computer-Systemen. Die
Common Vulnerabilities and Exposures (CVE) Datenbank wird
gespiesen aus CERT advisories, ISS X-Force, Security Focus, NT
Bugtraq, Bugtraq, und aus verschieden Hersteller Security und Patch
Bulletins. CVE unterscheidet neben den traditionellen "availability",
"confidentiality", und "integrity“ Loss Types auch sogenannte "security
protection". CVE wurde 2005 umbenannt in National Vulnerabilities
and Exposure Database.
ICAT indexes the information available in CERT advisories, ISS XForce, Security Focus, NT Bugtraq, Bugtraq, and a variety of vendor
security and patch bulletins. ICAT does not compete with publicly
available vulnerability databases but instead is a search engine that
drives traffic to them. ICAT is maintained by the National Institute of
Standards and Technology. ICAT is uses and is completely based on the
CVE vulnerability naming standard (http://cve.mitre.org).
35
Q&A What is WabiSabiLabi?
OCTOBER 11, 2007 | CHIASSO, Switzerland -- In just two months the IT security
vulnerabilities marketplace launched by WabiSabiLabi (WSLabi) that encourages security
researchers to sell their findings in an open marketplace to legitimate organisations, big or
small, exceeded all expectations with over 150 vulnerabilities submitted. IT security experts
have jumped at the opportunity to sell their research in a safe environment to an eager and
ready audience of vetted buyers prepared to pay a fair price to get their hands on the latest IT
security vulnerabilities.
Q: Do you trade zero day vulnerabilities?
A: First let's use the proper terminology, there is no zero day vulnerability, instead there is
Security Research, which is the job of a skilled security researcher. Our scope is to provide an
institutional market place in which security researchers can offer place their work to the
market through a platform designed to maximize their reward.
Q: How much do you pay for a zero day security research?
A: You don't sell to WabiSabiLabi". Rather you sell through it like any other institutional
market exchange. WabiSabiLabi doesn't directly pay anything, rather we mediate a your
sale/purchase on behalf of researchers by providing a secure market environment aimed to
maximize the security researcher's reward, therefore we maintain:
- a Research Department
- a test-drive laboratory
- an transparent exchange platform
- a secure payment system
Security research will only be placed on the market place, only after being validated by our
labs and being "dressed" with our complementary material and services. We will also help
researchers to design the best business model (Such as: selling schemes, starting selling price
etc.) in order to maximize the value creation.
36
37
38
Beispiele für technische Massnahmen zur Verbesserung der Sicherheit
Internet:
• Einschränkung des Datenverkehrs (Limit, „Wissen nur wenn nötig“): Dies
wird beispielsweise durch Router und Firewalls erreicht. Im weiteren Sinne
könnte man aber auch die Zugangsregelung mittels Benutzername/Passwort
dazu zählen. Im weiteren Sinne ist auch die Überprüfung und allfällige
Löschung von Daten bei Viren-Scannern eine „Filterungsmassnahme“.
• Verschlüsselung und Authentisierung: Hier stellt der mittels https bzw.
Secure Socket Layer / Transprot Layer Security (SSL/TLS14.10.2007)
gesicherte Webzugang die wichtigste Massnahme dar. Die Authentisierung
spielt aber auch in Zusammenhang mit Benutzername/Passwort Zugang eine
Rolle.
• Kontrolle/Check: Intrusion Detectsion Systeme (IDS) oder Honey Post
sollen helfen, trotz aller Schutzmassnahmen erfolgte Einbrüche zu
detektieren.
39
1. Organize
• Identify the weakest link on a broad scale
• Consider technical, organizational and operational aspects
• Define security policy, define responsibilities
• Awareness building
2. Protect: Encryption and authentication
• Encrypt stored files and transmitted information
• At various OSI-Layers: Application data (PGP, SSH, ...), Socket (specific Port /
IP-Address Combination, SSL), IP-Connection, Link (Point-to-point e.g. leased
line)
• Install patches … unplug systems
• install recovery procedures (backup, information / media communication)
• Informatics, communication, physical (building locking system), fire,
employees, ..
3. Limit access, filtered traffic
• Physical access, password, firewall, ...
• Filter/limit traffic (traffic separation) to specific sections of the network (based
on applications, sessions, IP-addresses: IP-subnetting, MAC-Layer Switching
• structured cabling
4. Combine multiple security measures
• Mulitlevel security, in-depth security
5. Control, monitor, verify, check, act (detect attacks, check your systems). react and correct
• Intrusion Detection, Vulnerability Testing
• Security Checks
40
41
42
43
Ein symmetrisches Kryptosystem ist ein Kryptosystem, welches (im Gegensatz zu einem
asymmetrischen Kryptosystem) den gleichen Schlüssel zur Ver- und Entschlüsselung
verwendet. Der Schlüssel muss geheim bleiben und daher vorgängig über einen sicheren
Kanal ausgetauscht worden sein. Man spricht daher manchmal auch von „Private key
encryption“ (im Gegensatz zu den asymmetrischen „Public key encryption“ Systemen).
Bei den symmetrischen Verfahren wird zwischen Stromchiffren und Blockchiffren
unterschieden. Bei den Stromchiffren wird der Klartext Zeichen für Zeichen ver- bzw.
entschlüsselt. Bei den Blockchiffren arbeitet man mit einer festen Blockgröße und ver- bzw.
entschlüsselt mehrere Zeichen in einem Schritt.
Es gibt verschiedenste „symmetrische“ Verschlüsselungsverfahren, wobei zwischen Blockund Stream-Ciphers unterschieden wird:
Unter einer Blockchiffre (block cipher) verstehen wir ein Verschlüsselungsverfahren, mit
dessen Hilfe Datenblöcke fester Länge verschlüsselt werden. Da die Daten in der Regel eine
hiervon abweichend Länge besitzen, müssen Maßnahmen getroffen werden, diese
anzupassen; hier gehört das Anfügen von "Leerdaten" an zu kurzen Datensätzen und das
Fragmentieren von zu langen Datenblöcken. Bei den Stream-Ciphers wird Bit für Bit (oder
Byte für Byte) mit einer Verschlüsselungssequenz verknüpft.
Der Advanced Encryption Standard (AES) ist ein symmetrisches Kryptosystem, welches als
Nachfolger für DES bzw. 3DES im Oktober 2000 vom National Institute of Standards and
Technology (NIST) als Standard bekannt gegeben wurde.
RC4 wurde 1987 von Ronald L. Rivest (Ron's Code 4) für RSA Data Security Inc. (2006
durch EMC übernommen) entwickelt. Der Algorithmus war sieben Jahre lang geheim
(„security by obscurity“), bis 1994 der Quellcode anonym veröffentlicht wurde
44
Mithilfe des DES-Algorithmus und eines geheimen Schlüssels wird bereits in der Tastatur ein so genannter
Personal Authentication Code (PAC) berechnet. Dieser wird zusammen mit den Daten des Magnetstreifens
(Kontonummer, Bankleitzahl, Gültigkeitszeitraum, …) zum Host des kontoführenden Instituts geschickt, dort
wird die PAC entschlüsselt und verifiziert.
Bei Angriffen auf Geldautomaten wird kaum versucht die Verschlüsselung zu brechen. Typische Angriffe sind:
•Rohe Gewalt: Die Automaten werden mit Baufahrzeugen aus der Verankerung gerissen und die Tresore werden
gesprengt. Gegenmaßnahmen sind Videokameras, Alarmauslösung über Abreißsensoren, Einfärbung der
Geldscheine bei Erschütterung und dickere Panzerung der Tresore. Sprengen: Die Täter dichten alle Öffnungen
des Geldautomaten mittels Silikon ab und leiten ein brennbares Gas ein. Dieses Gas wird gezündet und der
Automat wird gewaltsam durch eine Explosion geöffnet.
•Skimming: Ein Vorbau vor dem ID-Kartenleser liest die Daten der Magnetspur ein und sendet sie an ein
Notebook in der Nähe. Die PIN-Eingabe wird mittels Minikamera abgefilmt und ebenfalls übertragen. Mit diesen
Daten wird eine Kopie der Kundenkarte angefertigt und an einem (anderen) Geldautomaten Geld abgehoben.
Gegenmaßnahmen sind Videokameras, Abdeckung der PIN-Eingabe mit der freien Hand, spezielle Vorbauten,
die mit Alarmsensoren ausgestattet sind, elektronische Erkennung von Vorbauten, Enhanced Card Drive (Jittering
beim Einzug), gezielte elektrische Störung des Skimming-Magnetkopfes (Antiskimming) sowie der Übergang zu
Chipkarten-Transaktionen. In Deutschland und Schweden haben Kundenkarten zusätzliche Sicherheitsmerkmale,
die bei Vervielfältigungen der Karte anhand der Spurdaten nicht enthalten sind und in Geldautomaten beim
Karteneinzug geprüft werden. Dies wird umgangen, indem Kopien der Karte im benachbarten Ausland zu
illegalen Transaktionen verwendet werden.
•Lebanese Loop: Eine Fangschlinge wird in den ID-Kartenleser eingebracht. Diese versperrt die Ausgabe der
Kundenkarte nach Abschluss der Transaktion. Der Kriminelle gibt sich als hilfsbereiter Kunde oder
Bankangestellter aus und weist den Kunden an, seine PIN nochmals einzugeben, die er dabei beobachtet.
Nachdem der Kunde ohne seine Karte gegangen ist, öffnet der Kriminelle die Fangschlinge und ist nun im Besitz
von Karte und PIN. Gegenmaßnahmen sind Videokameras sowie Kartenleser, die die Ausgabeblockade der Karte
erkennen und daraufhin die Karte festhalten und/oder Alarm auslösen.
•Tröpfchenmethode: Auf die einzelnen Tasten wird jeweils ein kleiner Tropfen Öl geträufelt. Nachdem ein
Kunde den Automaten benutzt hat, kann man sehen, welche Tasten gedrückt wurden. Dadurch ist es sehr leicht,
die eingegebene PIN zu erraten. Gegenmaßnahme: vor oder nach der PIN-Eingabe ein mal über alle Tasten
wischen bzw. jede Taste berühren.
http://de.wikipedia.org/wiki/Geldautomat
45
Wer Bob eine verschlüsselte Meldung senden will, besorgt sich Bob„s
öffentlichen Schlüssel.
Man beachte, dass sich die Verschlüsselungsoperation beim Sender und die
Entschlüsselungsoperation beim Empfänger unterschieden und dass sie durch
unterschiedliche Schlüssel gesteuert sind.
Das Rivest-Shamir-Adleman (RSA) Verfahren wurde 1977 entwickelt und
basiert auf der Idee, dass die Faktorisierung einer großen Zahl, also ihre
Zerlegung in (mindestens zwei) Faktoren, eine sehr aufwändige
Angelegenheit ist, während das Erzeugen einer Zahl durch Multiplikation
zweier Primzahlen trivial ist.
Das Elliptic-Curve-Cryptography (ECC) Verfahren wurde 1985 von Victor
Miller (IBM) and Neil Koblitz (University of Washington) vorgestellt. Es
basiert darauf, dass es sehr aufwendig ist, diskrete Logarithmen auf
elliptischen Kurven zu berechnen
Das Elgamal-Kryptosystem (auch al-Dschamal-Kryptosystem) wurde 1985
von Taher Elgamal entwickelt. Es beruht auf dem mathematischen Problem
des diskreten Logarithmus, aufbauend auf der Idee des Diffie-HellmanAlgorithmus. Elgamal kann sowohl zur Signaturerzeugung als auch zum
Verschlüsseln verwendet werden. Elgamal unterliegt keinem Patent.
Das Rabin-Kryptosystem basiert auf einem Faktorisierungsproblem. Es
wurde 1979 von Michael O. Rabin veröffentlicht und ist mit RSA verwandt.
Es lässt sich prinzipiell auch zur Signatur verwenden. In der Praxis findet das
Verfahren allerdings wegen bestimmter Angriffsmöglichkeiten kaum
Anwendung.
46
47
Bei der Zertifikatserstellung generiert der Zertifikatsinhaber zuerst seinen
öffentlichen und privaten Schlüssel. Den öffentlichen Schlüssel lässt er von
einer Zertifizierungsstelle (CA) unterschreiben, wobei diese überprüft, ob
das Zertifikat wirklich zur im Common Name (CN) angegebenen Person
bzw. zum im Common Name (CN) angegebenen Server gehört. Die Echtheit
des Zertifikats bzw. die Unterschrift der CA kann jeder überprüfen, der den
öffentlichen Schlüssel der CA besitzt. Der öffentliche Schlüssel der CA muss
auf einem sicheren Kanal zu denjenigen Stellen übertragen werden, welche
damit die Echtheit der CA-Unterschriften überprüfen wollen.
48
An SSL session is initiated as follows:
• On the client (browser) the user requests a document with a special URL
that commences https: instead of http:, either by typing it into the URL input
field, or by clicking on a link.
• The client code recognizes the SSL request and establishes a connection
through TCP port 443 to the SSL code on the server.
• The client then initiates the SSL handshake phase, using the SSL Record
Protocol as a carrier. At this point, there is no encryption or integrity
checking built in to the connection.
The SSL protocol addresses the following security issues:
•Confidentiality After the symmetric key is established in the initial
handshake, the messages are encrypted using this key.
•Integrity Messages contain a message authentication code (MAC) ensuring
the message integrity.
•Authentication During the handshake, the client authenticates the server by
checking the signatures on the server‟s certificate.
SSL requires each message to be encrypted and decrypted and therefore has a
high performance and resource overhead.
49
In cryptography , a man in the middle attack (MITM) is an attack in which
an attacker is able to read, and modify at will, messages between two parties
without either party knowing that the link between them has been
compromised. The attacker must be able to observe and intercept messages
going between the two victims.
[http://encyclopedia.thefreedictionary.com/Man%20in%20the%20middle%2
0attack]
Odysseus is a free ware tool to anaylze web traffic. Basically the tool
operates like a proxy but can also be used to illustrate MITM functions
[http://www.wastelands.gen.nz/odysseus/index.php]. Odysseus was primarily
implemented to debug OpenSSL locking calls.
50
In den ersten Monaten des Jahres 2004 sahen sich Online-Kunden der Basler
Kantonalbank, der UBS und der Zürcher Kantonalbank mit dem Thema
Phishing konfrontiert.
Nach Angaben der Staatsanwaltschaft Bonn gelang es im August 2004
Betrügern, von zwei Postbank-Konten insgesamt 21 000 Euro abzuheben.
Ein Kunde bemerkte die unrechtmässige Überweisung von 9000 Euro
rechtzeitig und stornierte sie, so berichtet die «Financial Times
Deutschland». Im zweiten Fall sei die Abbuchung von 12 000 Euro bei einer
bankinternen Sicherheitsprüfung aufgefallen und gestoppt worden. Gemäss
«Spiegel» gab es in Deutschland seit Mitte Mai mindestens zehn Wellen von
Phishing-Angriffen; in rund vierzig Fällen hätten es die Betrüger geschafft,
eine Geldüberweisung auszulösen - bis zu einer Höhe von 50 000 Euro. Zwei
Zahlungen seien erst in letzter Minute bei osteuropäischen Banken gestoppt
worden.
Wegen einer gross angelegten Phishing-Attacke sah sich die MIGROSBANK
gestern Montag, 22.8.2006 gezwungen, im Interesse ihrer Kunden den
Zahlungsverkehr via M-BancNet einzustellen. Nachdem sich die
Massnahmen zum Schutz der Kunden als wirksam erwiesen haben, konnte
die MIGROSBANK Dienstag Mittag die M-BancNet-Zahlungen wieder
freigeben.
51
Real Phishing examples can be studied at MailFrontier Phishing IQ Test II ,
http://survey.mailfrontier.com/survey/quiztest.html. The Paypal Phishing
mail showed a Address Bar Spoofing attack
(http://www.antiphishing.org/phishing_archive/05-10-05_Paypal/05-1005_Paypal.html)
2004-05-13 Opera Browser Address Bar Spoofing Vulnerability, 2004-0816 Internet Explorer Address Bar Spoofing Vulnerability
The vulnerability is caused due to an input validation error, which can be
exploited by including the "%01" and "%00" URL encoded representations
after the username and right before the "@" character in an URL.
Example displaying only "http://www.trusted_site.com" in the two
bars when the real domain is "malicious_site.com":
http://www.trusted_site.com%01%00@malicious_site.com/malicious
.html
References:
http://www.microsoft.com%00@secunia.com/internet_explorer_address_bar
_spoofing_test/
http://secunia.com/internet_explorer_ address_bar_spoofing_test
52
53
•Identification provides a unique identifier: The user presents his identity,
usually by supplying a user ID or a user name.
•Authentication verifies that you are who you claim to be: The user supplies
authentication information, which proves the binding between the user (the
person) and the identity.
•Authorization establishes what you„re allowed to do e.g. which files and
applications you may access: The systems authorizes the (authenticated) user
to do what he is allowed to do.
•Accounting charges for what you do. (Auditing saves information about user
actions (e.g. logins, accesses))
54
Setting up policies which require users to chose very long and complicated
passwords without support and traing for the users is dangerous. Users will
often forget passwords, will write them down without protecting the written
passwords well enough. Cnlab has set up a „Codecheck“ application for
awareness building and as a tool to train users how to construct good
passcodes.
55
Erklären Sie, um welche Art Verletzlichkeit es sich bei den sieben
angegebenen Stellen handeln könnte. Zählen Sie die typischen “Security
Buzzwords” auf, welche zu den einzelnen Punkten passen.
56
57
58
59
60
61
Anfang 1994 konnte Eindringling kontinuierlich militärische
Computersysteme durchbrechen. Er hinterliess keine Spuren.
Das Departement of Defence (DoD) beauftragte eine Gruppe – so genanntes
„Tiger Team“ – zu versuchen, in die Systeme des Pentagon einzudringen.
Die Gruppe führte 8„932 Angriffe aus: 7„860 (88%) waren erfolgreich, 320
Angriffe wurden aufgedeckt (d.h. nur 5% der erfolgreichen Angriffe wurden
erkannt), 22 Angriffe wurden intern gemeldet (d.h. nur über 0.25% der
erfolgreichen Angriffe war das Management informiert worden bzw. einer
von 400 Angriffen ist dem Management bekannt).
Die Kommentare sind von Winn Schwartau (Journalist und Autor des Buches
„Cyberwar“).
62
63
64
Beschreiben Sie die Begriffe anhand von Beispielen aus dem Alltag.
65
66