8. Spezielle Gefährdungen und Anforderungen in
Transcription
8. Spezielle Gefährdungen und Anforderungen in
Datensicherheit in Kommunikationssystemen Gefährdungen und Anforderungen Im Netz gefangen - vernetzte Gefahren Passive und aktive Angriffe Spezielle Gefährdungen (Botnets, Buffer Overflow, Spyware) Besondere Risiken durch Protokolle Zusätzliche Bedrohungen: Angriffe weitaus häufiger als in autonomen Systemen (umso größer, je größer die Teilnehme rzahl) passive Angriffe: unbefugter Informationsgewinn durch Abhören der Leitung (Klemmen, Induktionsschleifen, besonders leicht bei Broadcastmedien: LAN usw. sind "inhärent unsicher") bzw. der Zwischenspeicher (in Routern / Gatesways / Vermittlungsknoten usw.): intercepcion dabei Analyse des Verkehrsflusses (bezüglich Häufigkeit und Verbindungen), der Vermittlungs- und der Benutzer-Informationen: traffic analysis (Beispiel „Echelon“: Überwachung des gesamten Datenverkehrs USA – Europa durch NSA wird vermutet) unerlaubter Zugang: unauthorized access unbefugte Nutzung von Kommunikationsdiensten; illegale Übernahme einer von Berechtigten aufgebauten Verbindung. Beispiele: Erraten/Ausspähen von Paketfolgenummern = sequence-number-guessing), z. B. bei telnet (zwar schwierig, aber Shareware-Programme verfügbar! Gegenmaßnahme: Verschlüsselung); „Entführung“ von Browsern, deren Einstellungen so verändert werden, dass ungewollte Werbeseiten/Popups/Links erscheinen Gegenmaßnahmen: ActiveX und Plugins deaktivieren, manche Anti-Spyware Trittbrettfahren/TCP-Hijacking Ausspähen von Accounts/Kennwörtern: IP-Sniffing (z. T. Shareware-Tools für Systementwicklung/verwaltung, z. B. snoop, tcpdump, etherfind; Gegenmaßnahme in beiden Fällen: dynamische Kennwörter; wirklich sicher ist aber nur vollständige Verschlüsselung) Umgehen von Sicherheitsmechanismen: Verletzen von Richtlinien (unbefugte Weitergabe u. a.): penetration aktive Angriffe: Manipulation während der Übertragung: Einfügen / Modifizieren / Löschen / Verzögern / Wiedereinspielen / Wiederholen von Nachrichten und dadurch geplante Aktionen beeinflussen (evtl. auch Rücksendung): replay Ändern der Nachrichtenreihenfolge Aktivitäten unter falschen Namen, z. B. unbefugte Nutzung von Betriebsmitteln: Maskerade/Impersonation Beeinträchtigung der Funktionalität, Störung von Kommunikationen (Verhinderung, Unterbrechung, Verzögerung: Verfügbarkeitsverlust), gezielte Überlastungen, Ressourcenverbrauch (DoS = denial of service bzw. DdoS = distributed DoS), z. B. durch rekursive Prozeduren, oft von gekaperten Rechnern aus: Überlauf von Prozeßtabellen, mehrfaches falsches Einloggen, Sperren von accounts (Allergie) (mit die häufigsten Angriffe, Ursache sind oft Software-Fehler). Weitere DoS-Beisp.: zu viele/lange Parameterstrings, Kommando-Wiederholungen, Überfluten des TCP/IP-Stack mit zu vielen nicht abgeschlossenen Verbindungsanforderungen (Netz wartet auf die fehlenden Datenpakete): SYN-Flooding (SYN = synchronize sequence number, Flag im TCP-Header zum Handshake beim Verbindungsaufbau) Absturz des Zielrechners durch Senden zu langer (fragmentierter) Pakete von Windows aus: z. B. ping -l 65510 host (inzwischen patches): ping of death Ändern der Routing- und Steuerinformationen (wegen broadcast medium nur bei WAN): misrouting Verleugnung von Kommunikationsbeziehungen (Urheberschaft, Versendung, Empfang): repudiation Vortäuschen von Kommunikationsbeziehungen (gemeinsame Aktivitäten von Sender und Empfänger zum Nachteil Dritter): feign of data interchange Zerstörungen: Sabotage Vortäuschen einer berechtigten Sender-IP-Adresse (z. B. wird von außen eine interne Adresse vorgetäuscht; damit der echte Rechner keine Antwort erhält, wird er zum Absturz gebracht oder überlastet; man in the middle, wenn der Hacker die Antwort erhalten soll; feste IP-Adresse (z. B. bei DSL stärker gefährdet als dynamische; Gefahr, wenn Rechner-Authentikation nur durch die IP-Adresse erfolgt (r-Dienste, X Window, RPC, NFS, TCP); seit 1985 bekannt: Morris, auch Gefährdung von Firewalls): IP-Spoofing Spezielle Gefährdungen 0190-Dialer: Wählprogramme, wählen teure 0190-Nummern, um kostenpflichtige Internet-Dienste abzurechnen, meist über Zwischenhändler (Beispiel: 16-Jähriger produziert 18 TDM Telefonkosten); werden meist über Downloads, seltener über Mail-Anhänge oder Links eingeschleppt. Gegenmaßnahmen: ActiveX / Javaskript deaktivieren, Schutzprogramme (z. B. www.dialerschutz.de), Telefonrechnung nicht bezahlen. AirSnort in kabellosen Netzen ARP-Spoofing: ARP (address resolution protocol) ordnet IP-Adresse einer MAC-Adresse zu (medium access control: physikalische Adresse der Netzwerk-Karte), Angreifer teilt immer wieder seine eigene Adresse mit (man-in-the-middle-attack) "ausführbarer Code" Bluesnarfing: Bluetooth-Empfänger greifen Bluetooth-Handys mit AT-Befehlen an Bonk Botnets (Name von „Roboter“) aus für „Dienstleistungen“ manipulierten Rechnern (täglich bis zu 700 000 Computer): Netze aus vielen Zombie-PCs, werden durch Würmer / Trojaner (vor allem in Webseiten) / Sicherheitslücken meist über Chat-Kanäle um remote-access-Software für DoS-Attacken erweitert (täglich werden bis zu 13 000 infizierte Seiten ins Netz gestellt) und von Hacker-Zentrale ferngesteuert (Server oft in der Wolke). Motive: 780 Mio. $ Werbeeinnahmen (2009; die Zahl der Zugriffe wird bezahlt), denial-of-service-Angriffe gegen Bezahlung, Ausspähen und Verkauf von Bankdaten. Beispiele: Waledae; Schutzgeld-Erpressung (über anonyme Zahlungssysteme), um aus dem Botnetz wieder entlassen zu werden; „Mariposa“ (infizierte 13 Mio. Rechner, 3 spanische Betreiber werden verhaftet). Zukünftig wahrscheinlich Konzentration auf 3. Welt, da die Rechner dort weniger geschützt sind. Aufdeckung durch „Honeypots“ (völlig ungeschützte Rechner) und Botnet-Jäger (analysieren den Angriff, gleichen IP-Adressen und Zeitstempel ab). Buffer overflow: Rücksprungadresse für Subroutinen wird vom Hacker durch eigene Trojaner-Adresse überschrieben: der Trojaner schmuggelt ausführbaren (Malware-)Codes ein (z. B. Überschwemmen mit Anfragen) Gegenmittel: Zusatzbit (Nr. 63) in Seitentabellen der MMU (memory management unit) wird auf NX (no execute) gestellt (Athlon 64, bei 32-bit-Rechnern nur im PAE-Modus [physical address extension], bei Windows XP ab SP2; heißt bei Intel XD (execute disable) UNIX: Pux, ExecShield, Wax (Workaround: Verwürfeln der Anfangsadressen von Lademoduln, können dann nicht mehr von Schadprogrammen gezielt angesteuert werden; schlechter als NX) Carding: Ausspähen geheimer Daten Clickjacking: Hacker legt unsichtbaren iFrame über die Webseite; wird ein entsprechender Link gedrückt, gelangt man auf anderen Link im iFrame Cyberwoozling: Abzapfen von Daten während des Surfens Drive-by-Virus /-Pharming: Wenn Java oder ActiveX blind zugelassen wird, kann darüber in einer Website oder Mail durch Downloads Malware aktiviert werden; es werden Prozesse unter Umgehung des Firewalls gekapert. Beispiel: Gumblar (Anfang 2009). Google-Hacking: Ausspähen von Daten, die durch unachtsame Links in Google-Datenbanken landen (bis hin zu Kreditkartennummern) Hoax: Falschmeldung (auch Kettenbrief) Beispiel: Hurrikan-Hoax 2005 (Phishing-Mail erfragt Bank-Daten von Spendern, gibt sie an brasilianischen Server weiter und leitet erst danach auf echte Rot-Kreuz-Seite Hostile Applets Injection Attack durchlöchert Firewalls (schleust Malware zwischen 2 Checksummenprüfungen der Webseiten ein) Jolt Key(stroke)-Logger zeichnen Tastatur-Eingaben auf (meist in Trojanern). Gegenmittel: PIN-Pads (Lesegeräte mit eigener Tastatur) oder: Eingabe durch Anklicken von Bildschirmfeldern mit der Maus Land Nestea Newtear Nuking: Eindringen über Port 139 (i. allg. offen) Out of Band Pharming (Domain-Spoofing): Manipulation des DNS-Cache (Poisoning), sodass der Nutzer auf Webseite des Angreifers landet: Manipulation der Datei hosts (früher in Ordner Windows, jetzt in system32\driver\etc , entspricht /etc/hosts bei UNIX); sie sollte nichts als „localhost 127.0.0.1“ enthalten und Schreibschutz haben Phishing: Abfragen persönlicher Daten (PIN/TAN z. B.) durch Vortäuschen offizieller Websites / Mails Portscan (systematisches Durchprobieren aller Ports: bei entsprechender Reaktion läuft Serverdienst; häufig schlecht in Software integriert) Ransomware sperrt Internet-Zugang oder verschlüsselt Dateien; Freigabe oder Schlüssel-Zusendung angeblich erst nach Lösegeldzahlung (erfolgt aber tatsächlich meist nicht); 2011 in Sachsen weit über 1000 Anzeigen Red Button (WinNT) ? Rootkit: Bausatz, um root-Rechte zu erlangen Shatter-Attack nutzt aus, dass bei Eingaben an Knöpfen/Schiebereglern/Statuszeilen der Absender nicht authentiziert wird; u. U. können admin-Rechte erlangt werden. Snoop-Tools (“Schnüffel”-Software) Spear Phishing: es werden gezielt bestimmte Mail-Adressen angegriffen und zu einem speziellen Link geführt, bei dem Schad-Software installiert wird Spit: Spam over internet telephony (Gegenmittel: SIP = session initiation protocol) Spyware übermittelt Nutzerdaten z. B. an Werbeträger (oft in Freeware, z. B. Gozilla, Babylon, E-Blaster, Spector) oder Hacker. Wird auch in Firmen zur Kontrolle der Mitarbeiter genutzt (legal, sofern private Computernutzung ausdrücklich verboten ist, dann auch Protokollierung erlaubt; Aufzeichnen und Lesen privater Mails ist aber verboten). Mindestens jeder 3. Computer befallen (andere Schätzung: 90 % der Windows-Rechner, im Durchschnitt 26 Programme), 2005 mehr Spyware als Viren. Weitere Beispiele: SpyAgent, BossEveryware, Orvell, Rogue Spyware („Schurke“: Antispyware, die selbst Spyware ist) SQL-Injection Attack: Böse Aktivitäten in SQL-Befehlen, die in Webseiten eingegeben werden können, dient der Abfrage von Informationen (Nutzer und Kennwort o. ä.), z. B. aus einer Datenbank von online-Shops Syndrop System-Hooking benutzt System-Programme Targeting: verhaltensorientiertes Einblenden von Werbung Teardrop Terminal-Sicherheit der Chipkarten-Terminals im Handel z. T. nicht gegeben (2012 Software-Fehler aufgedeckt, der das Auslesen der Chipkarten im Netz und somit das Herstellen von Kartenkopien ermöglicht) Treiber-Trojaner: beim Installieren z. B. von Drucker-Treibern können u. U. admin-Rechte erlangt und Trojaner eingeschleust werden USB-Stick-Hacking ermöglicht das Eindringen in Systeme über USB-Sticks (werden als Laufwerk-Datenträger anerkannt) Versenden von "redirect"-, "time to live exceeded"-, "destination unreachable"-Paketen (z. B. in ICMP = internet control message protocol) Virtuelle Auktionen: Im Netz angebotene Waren werden trotz Bezahlung (Vorkasse) nicht geliefert. Beispiel: Fakeshop-Bande in Bayern. Wardriving in WLAN (wireless, 2/3 arbeiten unverschlüsselt): Karten im Internet mit Warchalking (Gaunerzinken) Winnuke Abwehr oft durch z. T. sehr spezifische Online-Scans, meist des Task-Managers bzw. von msconfig.exe, zunehmend auch durch private Ratgeberforen in speziellen Portalen im Internet. Besondere Risiken durch Protokolle: r-Kommandos bei UNIX wegen der Möglichkeit, trusted hosts einzurichten (in /etc/hosts.equiv bzw. $HOME/.rhosts , kein login nötig!) Telnet (Port 23) zu einfach (alle Übertragungen im Klartext): besser SSH ! IP-Fragmentierung (?) SMTP: sendmail-Dämon (Kennwort im Klartext) Bugs auch in neueren Versionen 8.8.x/8.9.x, speziell bei Mail-Relays (Weiterleitung an Verteiler). Überschwemmen mit unerwünschten Mails: Mail-Bomben/spamming (z. B. Werbesülze) (gehen auch an nicht existierende, durch Zufallszahlen erzeugte Adressen, kommen zurück; einige sendmails erkennen nach entsprechender Konfiguration unerwünschte Mails). Bei Mail-Systemen mit Verschlüsselung schicken Replys evtl. die Nachricht unverschlüsselt zurück. WORD-Attachments enthalten intern Informationen über Verfasser, Speicherung u. a. FTP: z. B. ftp-Dämon unter Linux, führte evtl. zu root-Rechten RPC (remote procedure call) arbeitet ohne Authentikation und Verschlüsselung (ggf. durch Firewall blockieren!) RIP (routing information protocol bei TCP/IP): Manipulation der Routing-Tabellen NFS (network file system): Dateizugriff auf Server evtl. ohne Einloggen erreichbar! sicheres NFS über CODA-FS (seit 1987, verbindungslos, Basis AFS = Andrew file system), jetzt IPsec. DNS-Spoofing (domain name service zur Zuordnung des Rechnernamen zur Internetadresse: möglich bei r-Diensten (Authentikation nur über Namen) und beim Web (URL falschem Rechner zuweisen); Spoofing nur zu verhindern, wenn auch Umkehrung geprüft wird DNS-Changer (2011) lenkt bei der Ermittlung der IP-Adresse auf einen manipulierten DNS-Server und von dort aus auf eine Website der Betrüger um. Mittelse der Kontroll-Seite www.dns-ok.de kann geprüft werden, ob ein korrekter DNS-Server angesprochen wird. DNS-Smurf ermöglicht Beschuss von Rechnern mit großen Paketmengen NIS (network information service) ermöglicht evtl. Zugang zur Kennwort-Datei Portmapper-Angriff (Port 111): probiert alle Ports durch (RPC ohne well-known-ports), für Internet sperren! X11-Sockets (Hijacking): xhost + gilt für alle X-Server (einzeln autorisieren!), benutzt Ports ab 6000 (für Internet sperren!) HTTP: Server-Port meist 80 (root-Rechte!), - Java-Skripts (ggf. im Browser deaktivieren!) - ActiveX (Microsoft, analog Java-Applets; unsicher, da ggf. Rechte des aktivierenden Nutzers übernommen werden können; analog behandeln!) - Plug-ins - Cookies: Browser speichern beim Client Text-Informationen und fragen sie mit Ids für den Server ab (Risiko!), liefern Informationen über Surfverhalten (eigentlich Spyware der harmloseren Form). Tracking Cookie identifiziert Nutzer beim Surfen. Flash-Cookies werden vom Webserver ungefragt abgelegt, wenn der zugehörige Flashplayer installiert ist; „evercookie“ wird an bis zu 13 Orten im Rechner abgelegt Beseitigung von Cookies nicht immer leicht (spezielle Software); Gegenmittel z. B. „Cookie-Cooker“ von TUD: erzeugt viele Ids und wirbelt bei Id-Sammlern die Cookies durcheinander - Adware (Reklame-Roboter: spielt „legal“ Werbung ein) - Browser Helper Objects (spielen Werbebanner oder Webseiten ein) - Browser-Fehler beim Attribut "domain"! - Cross-Domain-Manipulationen: Webseiten-Teile von fremden (unsicheren) Domänen täuschen Vertrauenswürdigkeit vor - C:\ statt URL zeigt evtl. Festplatte an - Netscape: anfangs unsicher (DoS, Javaskript im Browser nicht abschaltbar u. a.) - HTML-Frame-Spoofing: auf Websites einegegebene Informationen werden gehackt (zuerst bei Windows Explorer, dann auch bei Netscape) - Links auf Templates (e-mail oder Websites) mit Makros (evtl. Virengefahr!) - Webserver-Spamming (Beispiel: Einbringen von Liebesbriefen in Websites) Online-Dienste mit z. T. unverschlüsselten Kennwörtern (z. B. AOL) Krypto-Verfahren im point to point tunneling protocol (PPTP) von Schneier gebrochen Cohen (1997): 50 verschiedene Angriffsmethoden im Internet 2011 verstärkt Angriffe auf Authentikationsserver, z. B. Zertifizierungsstelle DigiNotar (Server war völlig ungeschützt!), führt zu Diskussionen über Hacker-Abwehr: stärkere Überwachung („Internet Governance“ in USA) oder Aufteilung des Internet bzw. Abtrennung von Netzteilen Hacker-Tools im Internet: + NetBus (Windows 95/98/NT, 1998, spioniert PCs aus), Version 1.7 auch durch Firewalls schwer abzuwehren: intrusion detection + NetBIOS Scan + killport.c zum Abschießen von Ports (früherer Linux-Kernel-Fehler) + mscan, jetzt sscan Scanner zum Aufdecken von Lücken (aber auch gefährlich: führt zu Lücken hin!): Grundprinzip meist: Anfragen an alle TCP/IP-Ports (Portscanner, z. B. nmap), Probieren von Attacken, Aufzeichnen der Antworten des Ziels (Dienste, uid, Authentifizierungen, anonyme Logins) + SATAN (security administrator tool for analyzing networks, Dan Farmer + W. Venema, C/Perl, Freeware, enthält Hilfen zum Ausnutzen[!] / Schließen der erkannten Lücken) + SAINT (security administrator’s integrated network tool, SATAN-Nachfolger) + ISS (internet security scanner/systems [Firma], UNIX, Freeware, Autor: Christopher Klaus, auf Basis einer Datenbank mit 500 Hackermethoden, z. T. auch für Firewalls geeignet) + SAFESuite (gleicher Autor, UNIX / Windows NT, neuer + Nessus (1998, GNU-Freeware, Linux / Windows NT, Pariser Autor, 18 Jahre, enthält Codes vieler Hacker-Tools) + NSS (Perl, Freeware) + L0pht : ein Tool überwacht alle Aktivitäten in /tmp + Ogre (WinNT, sammelt auch NetBIOS-Informationen) Port-Scanner dienen Hackern, um aktive Netzarbeit festzustellen und Angriff zu starten; helfen aber auch, um Hacker-Aktivitäten zu erkennen: netstat –a (vor und nach Einwahl starten und vergleichen!) Viele Scanner sind erweiterbar (Source-Codes verfügbar), oft mit graphical user interfaces Gegenmittel gegen illegale Verwendung: Portscanning-Detektoren Zunehmend Stealth-Scanner (umgehen Firewalls und Portscanning-Detektoren): führen nur halbe Scan-Vorgänge aus, d. h. starten nur SYN-ACK , z. B. + Jakal (UNIX, C) Ausforschung der Identität, um Mißbrauch zu verhindern: identity intercepcion Honeypots (Honigtöpfe) im Honeynet zum Anlocken und Studieren von Hackeraktivitäten Zusätzliche Anforderungen: uni- / bi- / multi-laterale Sicherheitsforderungen Anonym surfen: Kann teilweise schon über „Internet-Einstellungen“ des Browsers erreicht werden (öffentlichen ProxyServer eintragen, evtl. im Internet suchen!), außerdem Cookies löschen! Web-Anonymizer-Techniken: 1) Mix-Kaskaden: Mix-Proxies wirbeln die Daten aller Teilnehmer durcheinander, Verbindungen werden verschlüsselt; Freeware JAP als Client; Server des AN.ON-Projekts der Universitäten (öffentliche Mittel) 2) Webseiten-Aufruf geht über Proxy-Server, der private IP-Adressen durch seine ersetzt In Verbindungsoptionen auch SSL- und ftp-Verbindungen anonymisieren. Auditing (audit trail = Daten/Abnahme-Spur): Aufzeichnung aller sicherheitsrelevanter Ereignisse zur Beweissicherung Zeitstempel 1) Instanz-Authentikation, Instanz-Instanz-Authentikation 2) Instanz-Nachrichten-Authentikation 3) Nachrichten-Instanz-Authentikation (z.B. bei mails, Termin-Einhaltung durch "Poststempel") 4) Instanz-Nachrichten-Instanz-Authentikation Zweckmäßige Netzgestaltung, z. B. Bereitstellung exklusiver sicherer Leitungen, VPN (virtual private network): getunnelte Intranets, SAN (storage area network), vom eigentlichen Rechnernetz unabhängiges Speichernetzwerk, dessen Daten auch noch zugänglich sind, wenn Server ausfallen. Sichere Netzwerkverwaltung! Sichere zentrale Benutzerverwaltung, z. B. mit Radius-Servern (remote authentication dial in user service) Wichtigste Sicherheitsmechanismen: Chiffrierung und digitale Signaturen Verschlüsselung oben (application coupled, z. B. PGP, SSH) schützt die Anwendung, Verschlüsselung unten (network coupled, z. B. in Transportschicht, z. B. SSL, IPsec) schützt das Netz. Einbindung der Schlüssel -Verfahren ins Rechnernetz: end-to-end- oder Knoten- oder Link-Verschlüsselung (end-to-end-Sicherheit bietet Angreifern weniger Möglichkeiten, sichert aber nicht die Routing- und Steuer-Informationen; Verbindungssicherheit schützt den Verkehrsfluß, aber in jedem Knoten wird Klartext gebildet). security association SA aus IP-Adressen und Sitzungsschlüsseln besonders schützen! © kd rieck febr. 2015