Informationssicherheit 2010
Transcription
Informationssicherheit 2010
Informationssicherheit 2010 CONNECT 19. Jahreskonferenz zur praktischen IT-Sicherheit Donnerstag, g, 12. November 2009,, IHK Neuss Prof. Dr. Hartmut Pohl Prof. Dr. Hartmut Pohl BS Peter BSc. P t Sakal S k l Penetration Testing Vollständige Untersuchung der HardHard und Software-Systeme auf Sicherheitslücken – auch unerkannte. Simulation potentieller Angriffe: Innenund Außentätern (Intranet, Internet). Information Gathering (Blackbox) Netzwerkanalyse, Konfigurationssicherheit, Firewalls Vulnerability Scanning, Detection and V ifi ti Verification Überprüfung der Verschlüsselung Policies: Passwords, E-Mails, Firewalls, Server, Intrusion Detection Schlüssige Dokumentation mit Handlungsempfehlungen: Zyklischer Auditierungsprozeß zur Erhöhung des Widerstandwerts der gesamten IT: Clients, Server, Netze Computer Forensic Angriffserkennung und Nachweis Computermissbrauchsfälle: Zielorientierte, gerichtsfeste Analyse von Daten und Systemen zur Prävention, Erkennung. Verwendung standardisierter Methoden: Beweismittel vor Gericht Qualität des ganzheitlichen y p Analyseprozesses: Gerichtsverwertbare Nutzung lückenloser und schlüssiger Untersuchungspfad. Information Recovery System Analysis Live und Post-Mortem Analyse Erhöhung des Sicherheitsniveaus 5 4 Software-Vulnerabilities Rapid in in-depth depth Analysis Überprüfung des Sicherheitsniveaus von Software Erstellung sichererer Software Threat Modeling Methodische Überprüfung des Systementwurfs zur Identifizierung, Bewertung und Korrektur von Fehlern und Sicherheitslücken, Sicherheitslücken Minimierung der möglichen Angriffspunkte (Attack Surface). Fuzzing Ausnutzen aller Angriffspunkte (Eingabeschnittstellen) mit allen möglichen Eingaben (Permutation): White Box, Black Box. Priorisierung erkannter sicherheitsrelevanter Fehler Report Generation: Bericht und Vorgehensempfehlungen für erkannte Sicherheitslücken 6 Sensibilisierung und Ausbildung, IT IT-Sicherheitsberatung, Sicherheitsberatung, Coaching Von Administratoren, Software-Entwicklern und –Testern und Management: Angriffe, Sicherheitsmaßnahmen. Zugriffskontrolle. Best Practice-Vorgehensweisen. Spezielle Testmethoden. ISO 27000. Auswahl und Bewertung von Produkten/Tools: File- und Platten-Verschlüsselung, VPN, PKI, … © Hartmut Pohl Password Policy? Eigener Vorname, Vorname der Frau, Freundin … 16 % Tastenfolge wie 'QWERTZ' oder '1234' 14 % Pop-Stars, p , TV-Helden: Superman, p , Ironman oder Pokemon 5% 'Password', 'Passwort', 'Password1' 4% 39 % US Studie 2009 © Hartmut Pohl Informationssicherheit 2010 Lagebeurteilung Computer-Spionage und –Sabotage Global Business Überproportionaler Anstieg in der Krise, schnelle Weiterentwicklung Zukünftige Techniken 1. Automatisierte, kombinierte Angriffe 2. Targeted Attacks, Personalisierung: Viren, Würmer, Trojan. Pferde, Spyware, Adware, Phishing, Spam, Rootkits 3. Stealth-Angriffe: Virtualisierung, Less-Than-Zero-Day-Exploits Fazit Maßnahmen, Empfehlungen © Hartmut Pohl Storm Worm automatisiert, t ti i t k kombiniert bi i t Spam-Mail S M il (Bilder, (Bild Y Youtube-Video, t b Vid …): ) - Attachement: Z.B. Rootkit mit Spam-Bot - Link: Nachladen von Malware Infizierte Web-Server: 55 % China, 17 % USA, 15 % Russland Botnets: B t t - Push-do-Botnet (Celebrity-Gang-Botnet), - Mega-D-Gruppe: ~ 2 Mio. Bots Rückmeldung: - Seriennummer der Platte (I/A, Virtualisierung), - Dateisystem, - Windows-Version, - Administratorrechte, - IP-Adresse: Land - Prozessliste: Anti-Viren-Programme? Anti Viren Programme? Spezifische Malware (bestimmte Banken) © Hartmut Pohl Täter-Profil Informatiker (Hochschulabschluss) Ausgebildete, g , erfahrene Praktiker Manager von Spezialisten: Botnets Installation, Betriebssysteme, Browser, ... Systematische Suche von Sicherheitslücken Systematische y Entwicklung g von Angriffsprogrammen g p g Management von Angriffen Internationalisierung Globalisierung Internationalisierung, Keine Innentäter, keine Studenten, Schüler oder andere Kinder © Hartmut Pohl Attack Surface, Attack Paths Attack Paths Organisation Information System Attack Surface Permitted Ports Firewall, Intrusion Detection, … Patched Vulnerabilities COTS: Unpatched and unpublished Vulnerabilities Obfuscation Vulnerabilities. Applications, Servers, … SQL, IIS, Mails, FTP, … CRM A Assets t - Data D t Anti-Virus Software, Worms Verschlüsselung, Schlüssel © Hartmut Pohl Unveröffentlichte Sicherheitslücken Less-Than-Zero-Day-Exploits Sicherheitslücken seit Auslieferung der Software Angriffe sind nicht erkennbar Was man nicht kennt, bemerkt man nicht und was man nicht kennt, kann man nicht suchen © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Product Shipment Fix, Patch, Update, Version … © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Vulnerability discovered and used Product Shipment Vulnerability published Exploit published Patch published Zero Day Fix, Patch, Update, Version … © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Vulnerability fully disclosed: Manufacturer … Vulnerability discovered and used Product Shipment Vulnerability published Exploit published Less-Than-Zero-Day Vulnerability Patch published Patched System Zero-Day Vulnerability Zero Day Fix, Patch, Update, Version … © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Stealth Like Attack Vulnerability fully disclosed: Vulnerability discovered and used Manufacturer … Product Shipment Vulnerability published Exploit published Less-Than-Zero-Day Vulnerability Patch published Patched System Zero-Day Vulnerability Zero Day Fix, Patch, Update, Version … © Hartmut Pohl Herr Preatoni … © Hartmut Pohl Herr Preatoni … © Hartmut Pohl Käufer, Nutzer, Preise Organized crime Companies Intelligence Services: CIA, Mossad, FSB, … For computer espionage, economic espionage, sabotage 30.000.30 000 $ - 500 000 $ 500.000.- - ... © Hartmut Pohl Malware-as-a-Service Exploiting Frameworks Metasploit p Framework CANVAS CORE IMPACT FirePack IcePack Mpack NeoSploit WebAttacker, WebAttacker2 … © Hartmut Pohl Ablauf Penetration Tests Informationen Angriffspunkt Verifikation Bericht © Hartmut Pohl © Hartmut Pohl © Hartmut Pohl © Hartmut Pohl © Hartmut Pohl Titan Rain Moonlight Maze, … Seit 2003 mit steigender Intensität (China) … 2009? Erfolgreiche Angriffe gg. Unternehmen in > 50 Ländern Unternehmen und Regierungen von > 50 Ländern Systematisches, organisiertes Vorgehen: Exploits, Trojan horse, keystroke logger, system monitor - ¬ Bürostunden Network Crack Program Hacker group (NCPH): 4 core programmers, 10 associates, manager: ‘Wicked Rose’ counter-hacked by Shawn Carpenter Verschlußsache in den USA (seit 7/2007), Deutschland © Hartmut Pohl Rootkits AFXrootKit.A, Agent.AAV, AluRoot.A, Arkdoor.A, Bagle.HG, Berbew.F, Blubber.A,, Bomka.I,, Chsh,, Comxt.A,, Darkmoon.A,, Dasher.B,, Denutaro.A,, Detnat.A, Dloader.AJE, Dropper.AR, Embed.C, FakeMcPatch, FBSD, Feebs.T, Feutel.BB, Fkit.A, FreeBSD.A, FuRootkit, Gdiw.A, GiftCom.A, Ginwui.A, Goldun.W, GrayBird.AE, HacDef.084, HackDef.B, Haxdoor.G, Hupigon.P, Inrg.A, IRCFlood.G, Isen, Kalshi, KassBot.K, Kelar.B, Knark, Lecna.E, LinkOptimizer.A, Login.A, Lrk5.A, MadTol.B, Mailbot.E, MarktMan.A, MDropper.G, Mitglied.A, Mose, Mytob.NC, NtRootK, NtRootKit.D, Opanki.Az, OrderGun.A, Padmin.10, PcClinet.AP, PPdoor.F, PrintMonitor.A, ProAgent.20, PsGuard, PWSteal.C, QoolAid.C, QukArt.U, Raleka, RBot.AWG, Ripgof.A, RKFu.A, Rkit.A, RkProc.A, RootKit.H, RusDrp.A, Rustock.A, RyeJet.A, SdBot.VD, Small.IZ, Spybot.TR, S kit A Sun2, Suckit.A, S 2 Sunback.A, S b k A SunOS.A, S OS A TdiRoot.A, TdiR t A Theales.A, Th l A TileBot.AK, Til B t AK Totmau.A, Uprootkit.A, XCPDRM.A, Xsvix.A, … © Hartmut Pohl Ziel: Targeted Attacks Hardware Diebstahl Targeted Attacks Personalisierung DoS-Attacks Intrusion Virtualisation R t Kit Root-Kits Broad Band Attacks Viren, Würmer, Spam, Phishing, ((Botnets), ), Spyware, py , Adware … Vergangenheit Gegenwart Zukunft © Hartmut Pohl Ziel: Stealth Attacks, Obfuscation 0% Virtualisation Less-Than-Zero-Day Exploits DoS-Attacks Intrusion Erkennbarkeit – ‘Stealth’ Root-Kits St Storm W Worm 100 % Viren, Würmer, Spam, Phishing, ((Botnets), ), Spyware, py , Adware Automatisierungsgrad © Hartmut Pohl Schadenshöhe von Angriffen Schadenshöhe Unveröffentlichte Sicherheitslücken Less-Than-Zero-Day Exploits Viren, Würmer, Spam, Phishing, (Botnets), Spyware, Adware Zeit © Hartmut Pohl Grundschutz Zugriffskontrolle: Rechteverwaltung, g, Protokollierung, g, Auswertung g Anti-Viren, Würmer, Spam, Spyware, Adware, … Firewalls Verschlüsselung Intrusion Detection, Intrusion Protection Anonymisierung Outsourcing © Hartmut Pohl Patch Management In 2008: > 6.000 6 000 vulnerabilities published 90 % exploited remotely (internet) > 50 % access control rights for administrators 20 % not patched: Microsoft, i f Apple, l Oracle, l Cisco i und d Sun 60 % not patched: Others Patch development: Average time 21 days Microsoft 101 d days HP 122 days Sun © Hartmut Pohl Angriffsverfahren Viren, Würmer, Trojan Horses, Spyware, Adware, Phishing, SPAM, Key-logger, Dialer D Durchsuchen h h von Dateien D t i nach h bekannten b k t Zeichenketten Z i h k tt (Viren-Signaturen): Man findet nur das, was man kennt! Heuristische Verfahren: Nur etwa 30% der unbekannten Viren werden erkannt. Aktiv in den letzten 6 Monaten: Etwa 1.000.000 Viren,, Würmer,, … Erkennungsrate bei 17 getesteten Produkten 1: 20%, 10: 55%, 4: 95%, 2: 99% Falscherkennung, … Fazit: Viele Viren werden NICHT erkannt Kein Virensucher erkennt alle Viren. Mindestens 2 Virensucher einsetzen! © Hartmut Pohl Informationssicherheit 2010 Computer-Spionage p p g und –Sabotage g Global Business Überproportionaler Anstieg, hohe Entwicklungsgeschwindigkeit Outsourcing, Outsourcing Grid, Grid Cloud, Cloud Software-as-a-Service, Software as a Service Virtualisierung Verschlüsselung, Verschlüsselung Anonymisierung – unsicher, wirkungslos Automatisierte, kombinierte, targeted, stealth Angriffstools © Hartmut Pohl Schutz der eigenen IT-Systeme Fazit 0. Vergessen Sie also Spam, Phishing, Viren, Würmer, Trojan Horses, …: Grundschutzmaßnahmen völlig ausreichend 1. Penetration Testing unverzichtbar passiv,, remote - Standardsoftware: Patchen p 2. Entwicklung sichererer Software: Design, Test und Implementierung: Threat Bewertung, Behebung von Sicherheitslücken: Modeling Fuzzer, Static Analysis © Hartmut Pohl Leistungen für Unternehmen Weiterbildung W it bild , Sensibilisierung S bl Coaching von Sicherheitsbeauftragten, Sicherheitsbeauftragten Managern Coaching von Sicherheitsberatern, Herstellern Penetration Testing: Sichere Software-Entwicklung: Sicherheitsbewertung Ihrer Systeme und Netze und von Dienstleistern Identifikation unerkannter Fehler, Sicherheitslücken: F Fuzzing, i Th Threatt M Modeling, d li vergleichende l i h d Tool-Bewertung T l B t © Hartmut Pohl Prof. Dr. Hartmut Pohl BS Peter BSc. P t Sakal S k l Penetration Testing Vollständige Untersuchung der HardHard und Software-Systeme auf Sicherheitslücken – auch unerkannte. Simulation potentieller Angriffe: Innenund Außentätern (Intranet, Internet). Information Gathering (Blackbox) Netzwerkanalyse, Konfigurationssicherheit, Firewalls Vulnerability Scanning, Detection and V ifi ti Verification Überprüfung der Verschlüsselung Policies: Passwords, E-Mails, Firewalls, Server, Intrusion Detection Schlüssige Dokumentation mit Handlungsempfehlungen: Zyklischer Auditierungsprozeß zur Erhöhung des Widerstandwerts der gesamten IT: Clients, Server, Netze Computer Forensic Angriffserkennung und Nachweis Computermissbrauchsfälle: Zielorientierte, gerichtsfeste Analyse von Daten und Systemen zur Prävention, Erkennung. Verwendung standardisierter Methoden: Beweismittel vor Gericht Qualität des ganzheitlichen y p Analyseprozesses: Gerichtsverwertbare Nutzung lückenloser und schlüssiger Untersuchungspfad. Information Recovery System Analysis Live und Post-Mortem Analyse Erhöhung des Sicherheitsniveaus 5 4 Software-Vulnerabilities Rapid in in-depth depth Analysis Überprüfung des Sicherheitsniveaus von Software Erstellung sichererer Software Threat Modeling Methodische Überprüfung des Systementwurfs zur Identifizierung, Bewertung und Korrektur von Fehlern und Sicherheitslücken, Sicherheitslücken Minimierung der möglichen Angriffspunkte (Attack Surface). Fuzzing Ausnutzen aller Angriffspunkte (Eingabeschnittstellen) mit allen möglichen Eingaben (Permutation): White Box, Black Box. Priorisierung erkannter sicherheitsrelevanter Fehler Report Generation: Bericht und Vorgehensempfehlungen für erkannte Sicherheitslücken 6 Sensibilisierung und Ausbildung, IT IT-Sicherheitsberatung, Sicherheitsberatung, Coaching Von Administratoren, Software-Entwicklern und –Testern) und Management: Angriffe, Sicherheitsmaßnahmen. Zugriffskontrolle. Best Practice-Vorgehensweisen. Spezielle Testmethoden. ISO 27000. Auswahl und Bewertung von Produkten/Tools: File- und Platten-Verschlüsselung, VPN, PKI, … © Hartmut Pohl Prof. Dr. Hartmut Pohl BS Peter BSc. P t Sakal S k l Penetration Testing Vollständige Untersuchung der HardHard und Software-Systeme auf Sicherheitslücken – auch unerkannte. Simulation potentieller Angriffe: Innenund Außentätern (Intranet, Internet). Information Gathering (Blackbox) Netzwerkanalyse, Konfigurationssicherheit, Firewalls Vulnerability Scanning, Detection and V ifi ti Verification Überprüfung der Verschlüsselung Policies: Passwords, E-Mails, Firewalls, Server, Intrusion Detection Schlüssige Dokumentation mit Handlungsempfehlungen: Zyklischer Auditierungsprozeß zur Erhöhung des Widerstandwerts der gesamten IT: Clients, Server, Netze Computer Forensic Angriffserkennung und Nachweis Computermissbrauchsfälle: Zielorientierte, gerichtsfeste Analyse von Daten und Systemen zur Prävention, Erkennung. Verwendung standardisierter Methoden: Beweismittel vor Gericht Qualität des ganzheitlichen y p Analyseprozesses: Gerichtsverwertbare Nutzung lückenloser und schlüssiger Untersuchungspfad. Information Recovery System Analysis Live und Post-Mortem Analyse Erhöhung des Sicherheitsniveaus 5 4 Software-Vulnerabilities Rapid in in-depth depth Analysis Überprüfung des Sicherheitsniveaus von Software Erstellung sichererer Software Threat Modeling Methodische Überprüfung des Systementwurfs zur Identifizierung, Bewertung und Korrektur von Fehlern und Sicherheitslücken, Sicherheitslücken Minimierung der möglichen Angriffspunkte (Attack Surface). Fuzzing Ausnutzen aller Angriffspunkte (Eingabeschnittstellen) mit allen möglichen Eingaben (Permutation): White Box, Black Box. Priorisierung erkannter sicherheitsrelevanter Fehler Report Generation: Bericht und Vorgehensempfehlungen für erkannte Sicherheitslücken 6 Sensibilisierung und Ausbildung, IT IT-Sicherheitsberatung, Sicherheitsberatung, Coaching Von Administratoren, Software-Entwicklern und –Testern) und Management: Angriffe, Sicherheitsmaßnahmen. Zugriffskontrolle. Best Practice-Vorgehensweisen. Spezielle Testmethoden. ISO 27000. Auswahl und Bewertung von Produkten/Tools: File- und Platten-Verschlüsselung, VPN, PKI, … © Hartmut Pohl Kontakt Prof. Dr. Hartmut Pohl Hochschule Bonn-Rhein-Sieg, Informationssicherheit http://www.inf.h-bonn-rhein-sieg.de/Pohl H t Hartmut.Pohl@sang.net t P hl@ t T Tel.: l 0221 - 4847 - 553 BSc Peter Sakal BSc. Hochschule Bonn-Rhein-Sieg, Informationssicherheit http://www.inf.h-bonn-rhein-sieg.de/Sakal Peter.Sakal@gmx.de Tel.: 0160-94744332 © Hartmut Pohl