Upload
aloisia-geissinger
View
106
Download
0
Embed Size (px)
Citation preview
Humboldt University
Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de
IT-SicherheitGrundlagen
Grundlagen
Angreifertypen, Bedrohungen I
IT-SicherheitGrundlagenDr. Wolf Müller2
Angreifer-Typen
• Studien: über 80% der in Unternehmen, Firmen, Behörden bekannt gewordenen Angriffe durch Mitarbeiter.
= Angriffe von innen• Öffentliche Wahrnehmung: Hacker & Cracker.• Entwicklung: zunehmend offene Systeme, folglich Anstieg
auf ähnliches Niveau.
• Hacker• Cracker• Skript Kiddie• Wirtschaftsspionage• Mitarbeiter• Geheimdienste (Bundes-Trojaner, Stuxnet)
IT-SicherheitGrundlagenDr. Wolf Müller3
Hacker
• Technisch sehr versiert• Ziel:
– Schwachstellen, Verwundbarkeiten in IT Systemen aufdecken.– Angriffe, Exploits entwickeln, die die Schwachstellen ausnutzen.
• Meist:– Veröffentlichung der Exploits, um auf Schwachstellen aufmerksam
zu machen.– Keine persönlichen Vorteile, finanzielle Gewinne oder
wirtschaftliche Schädigung Dritter.
= Hacker-Ethik
• Oft Methoden illegal, außerhalb gesetzlicher Regelungen.
IT-SicherheitGrundlagen
„Hacker-Paragraph“
Neufassung § 202 c StGB:• Vorbereitung einer Straftat durch Herstellung, Beschaffung,
Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang oder von geeigneten Computerprogrammen mit Geld- oder Freiheitsstrafe von bis zu einem Jahr bedroht.
• Rechtsausschuss des Bundestages Zusatzerklärung:
… von der neuen Regelung nur Computerprogramme betroffen sind, die in erster Linie dafür ausgelegt sind oder hergestellt werden, um Straftaten aus dem Bereich der Computerkriminalität zu begehen. Unklar, inwieweit diese Erklärung in der Praxis oder der Bewertung der Gerichte noch Berücksichtigung finden wird.
Dr. Wolf Müller4
IT-SicherheitGrundlagenDr. Wolf Müller5
Cracker
• Ebenfalls technisch sehr versiert.• Ziel jedoch:
– Gezielte Angriffe zum eigenen Vorteil oder zum Nachteil Dritter
• Größeres Schadensrisiko als durch Hacker.• Verkauf der Dienstleistungen.
IT-SicherheitGrundlagenDr. Wolf Müller6
Skript Kiddie
• Viel Zeit.• Nicht zwingend vertieftes Know-how.• Nutzung von frei verfügbaren Exploits.• Motivation: Spieltrieb, Neugierde.• Zunehmende Bedrohung durch Leichtigkeit vorgefertigte
Exploits zu nutzen.• Oft jedoch durch Patchen schnelles Schließen der Lücken
möglich.
IT-SicherheitGrundlagenDr. Wolf Müller7
Wirtschaftsspionage
• Top Kenntnisse / Ausrüstung.• Gezielte, speziell zugeschnittene Angriffe.• In jüngster Zeit vermehrtes Abhören von Datenleitungen
und ISDN- / Voip- Verbindungen.– Wirtschaftsspionage– Geheimdienste
• Echlon:– NSA betreibt in den USA seit 80-er Jahren flächendeckende
Überwachung von Telefonaten, E-Mail, Fax, die über Satelliten, Kabel, Funktürme gesendet wurden.
– Aufgezeichnete Daten nach verdächtigen Begriffen durchsucht– Verlust des Auftrags für Airbus von 3 Milliarden € an Saudi Arabien,
da NSA Info an USA-Industrie weitergeleitet haben soll.• Scheitern von ICE-Technologieverkauf von Siemens an Südkorea, hier
soll der franz. Geheimdienst Nachrichten abgefangen haben; 2 Milliarden Schaden.
IT-SicherheitGrundlagen
Weitergabe von Passagier-Daten EUUSA34 Informationen über Passagiere auf Transatlantik-Flügen:• Namen,• Geburtsort und -datum, • Adresse, • private und berufliche Telefonnummern,• E-Mail-Adressen, Kreditkartennummern,• Auskünften über Reiseversicherungen bis zu Hin- und Rückreisedaten, • Sitzplatznummer und Anzahl der Gepäckstücke. • …
EU-Parlament segnet Fluggastdaten-Transfer in die USA ab
http://heise.de/-1542874, 15 Jahre Speicherung
Dr. Wolf Müller8
http://de.wikipedia.org/wiki/Passenger_Name_Record
IT-SicherheitGrundlagenDr. Wolf Müller9
Mitarbeiter
• Schadensursachen:– Mangelnde Kenntnisse der Systemgegebenheiten– Mangelnde Kenntnisse der Sicherheitsmechanismen und deren
Bedeutung– Nachlässigkeit im Umgang mit dem System und den zu
verwaltenden sensiblen Informationen– Unterentwickeltes Problembewusstsein, sowohl bei Mitarbeitern als
auch im Top-Management– Überforderung, Stress
• Lösungsansätze:– Ganzheitliches Sicherheitsmanagement (Gemeinsame Betrachtung
der organisatorischen Strukturen, Geschäftsprozesse und technischen Komponenten)
IT-SicherheitGrundlagenDr. Wolf Müller10
Mitarbeiter: Bedrohungen
• Virus– Viele Angriffe durch Viren, Würmer, Trojanische Pferde aufgrund
fehlerhafter Implementierungen von Systemen.– Häufig auch gezielt von Mitarbeitern platziert.– Mobile Speichermedien, Laptop, Handy, …
• Social Engineering– Nicht technischer Natur.– Angreifer versucht Opfer dazu zu bringen, absichtlich oder unabsichtlich
gutgläubige sensitive Informationen preiszugeben.– Sich als Sysadmin auszugeben (Tel.) um Passwort abzufragen, um
angeblich dringend notwendige Arbeiten durchzuführen.• Entwicklung:
– Zukünftig weiterer Anstieg von Software-bedingten Bedrohungen, insbesondere Viren, Trojaner.
– Anstieg von durch Unkenntnis und Nachlässigkeit hervorgerufenen Schäden.
– Bedarf an Mitarbeiterschulungen.
IT-SicherheitGrundlagen
http://heise.de/-1517377
Firmenkennwörter sind Angestellten wenig wert• Bei einer britischen Umfrage gaben fast die Hälfte der Angestellten an,
sie würden ihr Firmenkennwort für weniger als 5 Pfund an Dritte verkaufen. 30 Prozent würden sich sogar mit weniger als 1 Pfund begnügen. Weniger als ein Drittel weigerten sich kategorisch, ihr Firmenkennwort herauszugeben.
• Ihr privates Kennwort für Social-Media-Websites war den Befragten wesentlich teurer: Hier wurden 34 Prozent erst bei Beträgen oberhalb von 50 Pfund schwach. 80 Prozent gaben an, ihr privates Kennwort niemals weiterzugeben. Für die Studie wurden 2000 Verbraucher befragt.
• 34 Prozent gaben an, ihr Firmenkennwort schon weitergegeben zu haben. Andere Ergebnisse der Umfrage zeigen, woher bei den Auftraggebern der Wind weht: 60,5 Prozent gaben an, sie würden ihr Kennwort aufschreiben. Das ist grundsätzlich nicht weiter schlimm, sofern das Kennwort an einem sicheren Ort aufgeschrieben und aufbewahrt wird.
Dr. Wolf Müller11
IT-SicherheitGrundlagen
Bedrohungen
Dr. Wolf Müller12
Virus
Wurm
Trojaner
Rootkit
IT-SicherheitGrundlagenDr. Wolf Müller13
Virus: Geschichte
• 1980 - Jürgen Kraus Diplomarbeit: „Selbstreproduktion bei Programmen“Vergleich: Programme können sich ähnlich biologischen Viren verhalten.
• 1984 - Professor Leonard M. Adleman verwendet im Gespräch mit Fred Cohen erstmalig Begriff „Computervirus“. Fred Cohen liefert seine Doktorarbeit "Computer Viruses - Theory and Experiments“ (mit funktionierendem Virus für das Betriebssystem UNIX) ab.
• 1985 - Über Mailboxen Trojanisches Pferd Gotcha (Programm, das Grafik verbessern soll) verteilt. Nach Start: Daten auf Festplatte gelöscht & auf Bildschirm der Schriftzug „Arf, arf, Gotcha.“
• 1986 - Zwei Software-Händler aus Pakistan: Erstes Virus für MS-DOS. Programm relativ harmlos, nur Inhaltsverzeichnis der befallenen Disketten in Brain umbenannt.
IT-SicherheitGrundlagenDr. Wolf Müller14
Virus: Geschichte (2)
• 1987 - Im Data-Becker Verlag: erste Buch zum Thema Computerviren "Das große Computervirenbuch" von Ralf Burger.
• 1987 - Cascade-Virus lässt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen, wo sie sich zu einem kleinen Häufchen sammeln. Er vernichtete Dateien.
• 1988 - Erster Baukasten für Viren (Virus Construction Kit) veröffentlicht. Auch Anfängern möglich, Viren nach Maß zu erstellen.
• 1989 - Mit V2Px erstes polymorphes Virus (Verschlüsselt sich selbst wieder neu, durch Antivirenprogramme nur schwer zu entdecken)
• 1990 - Der Verband deutscher Virenliebhaber verbreitet erstes Virus Construction Kit für DOS.
IT-SicherheitGrundlagenDr. Wolf Müller15
Virus: Geschichte (3)
• 1993 - Erste Computerviren für Windows tauchen auf.• 1995 - Es erscheinen die ersten Makroviren.• 1997 - Erste Virus für das Betriebssystem Linux tritt in Erscheinung.• 1998 - Strange Brew, das erste Virus für Java, erscheint.• 2000 - Loveletter infiziert mehr PCs als jedes bisherige Virus.• 2004 - Das erste Virus für PocketPCs (mit dem Betriebssystem
Windows CE) tauchte auf.• 2004 - Das erste Virus für die Programmiersprache Ruby wurde
geschrieben.• 2005 - Das erste Virus für Handys (mit dem Betriebssystem Symbian
OS) tauchte auf.
…
IT-SicherheitGrundlagenDr. Wolf Müller16
(Computer) Virus
• Befehlsfolge , die ein Wirtsprogramm zur Ausführung benötigt.• Zur Reproduktion fähig.• Dazu wird bei Ausführung eine Kopie (Reproduktion) oder eine
modifizierte Variante (mutierender Virus) in einen Speicherbereich, der diese Befehlssequenz noch nicht enthält geschrieben. = Infektion
• Enthält in der Regel Schadensteil.• Schadensteil kann unbedingt oder durch Auslöser aktiviert werden.
• Keywords:– Programm – Replikat– Trigger Auslöser– Payload Wirkteil
IT-SicherheitGrundlagenDr. Wolf Müller17
Replikation
• Codierung der Befehlsfolge:– Maschinensprache– Kommandosprachen– Skript Sprachen– Hochsprachen
• Potenzielle Speicherbereiche:– Code Ausführbarer Programme von Benutzern– Bereiche des Betriebssystems– Sektoren von Speichermedien– Dokumente, Dateien (Office: Makroviren)
IT-SicherheitGrundlagenDr. Wolf Müller18
Virus: Struktur
ViruskennungPROCEDURE VirusBEGIN 1234
Infektionsteil suche eine nicht infizierte ProgrammdateiIF (gesundes Programm gefunden)THEN copy Virus to Programm;
Schadteil IF (Datum = „Freitag der 13.“)THEN formatiere Festplatte
Sprung springe an Anfang des Wirtsprogramms;
END.
erste Zeile≠ 1234
Allgemeine Struktur Beispiel
IT-SicherheitGrundlagenDr. Wolf Müller19
Viren-Typen
• Erste Generation:– Abkehr von Maineframe, hin zu PC– Verbreitung über Disketten oder manuelle Installationen– Abwehr: Quarantänestationen
• Programm-Viren– Kopiert sich in ausführbare Datei– Verbreitung bei Programmausführung– Nach Infektion: ausführbares Programm:
Führt nach Aufruf erst Virus aus– Verschleierung: Veränderung der Strukturdaten der infizierten Datei
IT-SicherheitGrundlagenDr. Wolf Müller20
Funktionsweise
• Beispiel Cascade 1701
Programmdatei Virus
Sprung-befehl
Ver-/Ent-schlüsseln
IT-SicherheitGrundlagenDr. Wolf Müller21
Viren-Typen (2)
• Boot-Viren– Befall der Bereiche der Festplatte / Diskette, die beim Booten in den
Hauptspeicher geladen werden– Ablauf:
Boot, Rechner initialisiert CPU, startet Code zur Überprüfung der Hardware (aus ROM BIOS)
Im nächsten Schritt werden Befehle aus dem Bootsektor geladen Boot-Virus meist vor Bootsektorprogramm gespeichert, wird zuerst geladen Residente Speicherung des Boot-Virus-Codes
– Kann sich als Event-Handler
(z.B. für Mouse registrieren)
– Großer Schaden möglich– Heute keine wesentliche Rolle
Virus Code Lade Virus(resident)Virus-Kennung…
Bootprogramm Lade OSLade TreiberLade Konfig.….
IT-SicherheitGrundlagenDr. Wolf Müller22
Viren-Typen (3)
• 2. Generation– Übergang zu vernetzten Systemen– Keine Quarantäne mehr möglich; Isolierung, Abschottung = starke
Einschränkung der Nutzbarkeit– Vielzahl von Infektionskanälen
E-Mail (attachments) Java-Applets Elektronische Dokumente Postscript/PDF-Dateien
– Verbesserte Software-Werkzeuge → Verbreitung von Viren: viele Aktionen automatisch, transparent für den Nutzer
– Postscriptinterpreter, Textverarbeitungsprogramme, MIME-Interpreter führen eingebettete Befehle automatisch aus.
Sicherheit Komfort– Funktionalität:
1G: oft destruktiv 2G: oft gezielte Angriffsvorbereitung:
– Sammeln sicherheitsrelevanter Informationen– Gezielte Veränderung von Konfigurations- und Systemdateien– Unterschied Virus / Wurm verschwimmt, Synonym
IT-SicherheitGrundlagenDr. Wolf Müller23
Viren-Typen (4)
• Makro- oder Daten-Viren– GUI Anpassung durch eingebettete Befehle (Makros)– Word, Excel– Daten-Dateien Objekte mit ausführbaren Bestandteilen
auch nur lesbare Dateien potentielle Wirte für Viren Lesen einer Datei / E-Mail reicht zur Infektion aus (Ausführung der
Makros für Nutzer nicht unbedingt ersichtlich)– In der Regel plattformunabhängig hohes Verbreitungspotential
IT-SicherheitGrundlagen
PDF-Angriffsvektoren
Dr. Wolf Müller24
Quelle: http://www.symantec.com/content/en/us/enterprise/media/security_response/
whitepapers/the_rise_of_pdf_malware.pdf
IT-SicherheitGrundlagenDr. Wolf Müller28
Gegenmaßnahmen
• präventiv– Konfiguration der Rechner:
Analyse der Eintrittspunkte Stark gefährdete Systeme: Internet, sehr viele verschiedene Benutzer Überwachungswerkzeuge, Viren-Scanner einsetzen Restriktive Ausführungs- und Rechteumgebungen
– Spielprogramme nur im TMP, chroot unter linux Virenschutz periodisch im Hintergrund aktiv Neue Software sollte nur in spezifisch dafür konfigurierte Bereiche
geladen werden, eingehende Analyse vor der Verwendung– Test in VM, aber Virenautoren reagieren darauf.
Regelmäßiges Backup– Verschlüsseln
Virus kann verschlüsselte Dateien nicht befallen (EFS)
IT-SicherheitGrundlagenDr. Wolf Müller29
Gegenmaßnahmen (2)
– Hashing Hash von Dateien, Hash muss schreibgeschützt aufbewahrt werden. Befall wird erkannt, nicht verhindert, aber Stop der Ausbreitung Backup benötigt.
– Quarantäne Verhinderung der automatischen Ausführung von Makros beim Lesen.
– Isolierung Viren-Scanner für (un)bekannte E-Mail Im Zweifel löschen
IT-SicherheitGrundlagenDr. Wolf Müller30
Antivieren-Tools
• Viren-Scanner– Erkennung an
Viren-Kennung Spezifischen Bytemuster Codesequenzen
– Wissen aus Datenbanken + Regeln, welche Dateien zu Untersuchen sind (.exe, .com, …)
– Nur bekannte Viren können erkannt werden. Update der Signaturen Wettlauf Versuch Heuristik anzuwenden: noch unbefriedigend Problem beim Erkennen von Mutationen
• Aktivitätskontrolle Programme werden bei ihrer Ausführung überwacht
– Wiederholter, modifizierender Zugriff auf ausführbare Dateien– Versuch direkt auf externe Speichermedien zuzugreifen
= einfache Versionen eines IDS• Monitoring der Systemdateien und Konfiguration
IT-SicherheitGrundlagenDr. Wolf Müller31
Retro-Viren
• Reaktion auf verbesserte Viren-Scantechniken– Biologie: Angriff auf das Imunsystem selbst– Computer: Angriff auf Viren-Scanner
• Ziel: Deaktiverung der Viren-Überprüfung– Modifikation der Config-Datei des Scanners (liegt in der Regel im
Klartext vor)– Modifikation der Datenbank
Viren-Kennungen Scan-Regeln (.exe -> .exe1)
– Ursache: unzureichende Zugriffskontrolle bei Zugriffen auf Datenbanken, Datenbanken unverschlüsselt
IT-SicherheitGrundlagenDr. Wolf Müller32
Wurm
Ablauffähiges Programm mit Reproduktionsfähigkeit.• Meist aus mehreren Programmteilen
= Wurmsegmenten• Braucht keinen Wirt.• Vervielfältigung selbständig, meist
unter Kommunikation mit anderen Wurmsegmenten.
• Verbreitung insbesondere über Netzwerk• Ausgangspunkt für Angriff: Systemprozesse (ständig oder
regelmäßig aktiv)• Bedrohungen:
– Integrität, Vertraulichkeit, Verfügbarkeit (hohe Speicher- / Netzlast)
IT-SicherheitGrundlagenDr. Wolf Müller33
Wurm: Beispiel
• Internet Wurm• ILOVEYOU
– E-Mail Attachment .vbs (Visual Basic Script)– Voraussetzung: MS-Windows, Outlook– Schaden:
Gezielte Zerstörung von lokalen Dateien (jpeg, mp2, mp3) Lokale Passwortsuche Versuch der Übermittlung an Programmierer
IT-SicherheitGrundlagenDr. Wolf Müller34
Historischer Rückblick: 1988 Internet Worm
Chronologie der Vorfälle an der University of Utah:• Mittwoch 2. November 1988
– 17:01:59: Test oder Start des Wurms– 17:04: Maschine an der Cornell University „befallen“– 20:49: Wurm infiziert VAX 8600 an der Univ. Utah (cs.utah.edu)– 21:09: Wurm versucht von VAX aus andere Maschinen zu infizieren– 21:21: Load (Anzahl der rechenbereiten Prozesse) von 5– 21:41: Load von 7– 22:01: Load von 16– 22:06: Es können keine Prozesse mehr gestartet werden, Benutzer
können sich nicht mehr anmelden– 22:20: Systemadministrator terminiert den Wurm Prozess– 22:41: Der Wurm ist zurück; Load 27– 22:49: System shutdown, reboot– 23:21: Der Wurm ist zurück; Load 37
© Helmut Reiser, Institut für Informatik, LMU
IT-SicherheitGrundlagenDr. Wolf Müller35
Internet Wurm: „Wie er arbeitet“
- Wie befällt er neue Maschinen?– sendmail Bug (seit langem
bekannt)– finger Bug; Buffer Overflow (nur
VAX werden befallen)– Remote execution (rsh, rexec)
- Welche Accounts werden angegriffen?– Offensichtliche Passwörter
Leeres Passwort Benutzername Benutzername+Benutzername Infos aus GECOS-String Nachname Nachname rückwärts
– Build-In Wörterbuch (432 Wörter)– /usr/dict/words (24’474 Wörter)– Trusted Host Beziehung (.rhosts)
- Welche hosts werden angegriffen?– Maschinen in /.rhosts und /etc/host.equiv– .forward Datei gebrochener– Accounts– .rhosts Datei gebr. Accounts– Gateways aus der Routing-Tabelle– Endpunkte von Point to Point Verbindungen– Zufällig geratene Adressen– Nur Sun und VAX
- Was der Wurm NICHT tut:– Versuchen root access zu erhalten– Well-known Accounts angreifen– Daten zerstören– „Zeitbomben“ zurücklassen
IT-SicherheitGrundlagenDr. Wolf Müller36
Internet Wurm: Programm Struktur
main Routineargv[0] := “sh”; /* rename process */Is there already a worm? /* faults here causes mass infection */Initialize clock;while (true) {cracksome(); /* attack accounts, try to find
hosts*/sleep(30); /* hide the worm */Listen for other worms /* faults here causes mass infection */create a new process, kill the old /* Camouflage */try to attack some machines;sleep(120); /* hide the worm */if (running > 12 hours)cleaning host List; /* reduce memory consumption */if (pleasequit && wordcheck > 10)exit}
IT-SicherheitGrundlagenDr. Wolf Müller37
Internet Wurm: Angriffsmaschine
IT-SicherheitGrundlagenDr. Wolf Müller38
Internet Wurm: Gelernte Lektionen
- Verursacher und rechtliche Folgen– Robert T. Morris, 23, Cornell Student (Sohn des NSA Chief Scientist).– Suspendierung von der Cornell University.– Verurteilt zu $ 10.000 und 400 Stunden gemeinnütziger Arbeit.
- Lektionen– (Lange) bekannte Bugs fixen, starke Passwörter benutzen.– „Least privilege“ Prinzip (sowenig Rechte wie nötig), strenge
Zugriffskontrolle.– Logging und Auditing.– Kontinuierliche Information von sich und anderen „Zentrales“ Security
Repository.– CERT (Computer Emergency Response Team) wurde gegründet
www.cert.org.– Bundesregierung beschließt Sicherheitsstrategie für den Cyber-Raum
http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2011/mitMarginalspalte/02/cyber.html?nn=109628
IT-SicherheitGrundlagenDr. Wolf Müller39
Wurm: Beispiel (2)
• Lovesan- bzw. Blaster-Wurm– Sommer 2003 beträchtlicher Schaden– Neben Server auch Heimanwender-PC angegriffen.– Ziel:
windowsupdate.com, DDoS 16.08.2003 SYN-Anfragen an Port 80 = Syn-Flood Attacke
– Mittel: Buffer-Overflow im DCOM RPC-Dienst (TCP,135) Suchen verwundbarer Systeme durch Scan des lokalen Klasse C-Subnetzes
oder beliebigen IP-Bereich senden eines präparierten TCP-Pakets,
– Buffer-Overflow, ausführbarer Code in das System injiziert, mit root-Rechten» remote shell (TCP,444), » tftp (UDP,69) zum Ausgangsrechner msblast.exe» Registry: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Runwindows auto update=msblast.exe I just want to say LOVE YOU SAN!! bill
» Absturz des RPC-Dienst, Reboot
IT-SicherheitGrundlagenDr. Wolf Müller40
Wurm
• Bedrohung:– Hoch, beliebiger Code kann ausgeführt werden
• Gegenmaßnahmen:– Patch– Konfiguration, Schließen unbenötigter Ports / Dienste– Minimale Rechte
IT-SicherheitGrundlagenDr. Wolf Müller41
Infektionsmechanismen
• Netzwerke• USB-Stick, Wechselmedien• Dubiose Software• Mailboxen• Shareware, Public Domain
IT-SicherheitGrundlagenDr. Wolf Müller50
Was ist ein Trojaner?
Programm
• Unterschied zu Viren– Ist selbständig– Keine Replikation
• Trägerprogramm ist nur „Tarnung“
IT-SicherheitGrundlagenDr. Wolf Müller51
Trojanische Pferde
• Programm, dessen Ist-Funktionalität nicht mit Soll-Funktionalität übereinstimmt.
• Erfüllt eine Funktionalität, die Vertrauen erweckt, besitzt aber zusätzlich verborgene Funktionalität.
• Aktivierung– Bei Programmstart– oder spezielle Auslöser
(logische Bombe)
IT-SicherheitGrundlagenDr. Wolf Müller52
Trojaner: Bsp.:
• Zinsberechnung– Bank, Angestellter– Zinsberechnung auf 3 Stellen genau– Rundungsbeträge aufs eigene Konto
• CAD-Demo 1992– CadSoft, – Demoprogramm erzeugt Bestellformular für Handbuchbestellung,
übermittelt codiert Liste der installierten Produkte• T-Online 1998
– 2 Schüler aus Köln– 6000 Passworte geknackt– T-Online PowerTools
Sollfunktion: Automatisierung von Verwaltungsaufgaben Registrierung übermittelt Zugangsdaten+schwach verschlüsseltes
Password
IT-SicherheitGrundlagen
Trojaner: Tarnung
• Unix:– Ersetzen von Befehlen ls, ps die häufig genutzt werden– Firefox Plugins
Keine Signatur Vertrauenswürdigkeit?
• Windows:– Endung des Dateinamens fest, ob Datei ausführbar ist.– .exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif.– Standardkonfiguration: Dateiendungen werden nicht im Explorer
angezeigt. – Maskierung: „Bild.jpg.exe“
Wird Benutzer als „Bild.jpg“ angezeigt Icon einer
Dr. Wolf Müller53
IT-SicherheitGrundlagenDr. Wolf Müller54
Trojaner: Gegenmaßnahmen
• Minimale Rechte• Keine sensiblen Daten (PIN,TAN,…) im Klartext auf
Speichermedien• Kritische Dienste:
– Befehle zur Änderung von Schutzattributen– Funktionen zum Lesen, Bearbeiten von Passwortdateien– Anweisungen, um Netzverbindungen zu anderen Rechnern zu
öffnen– Anweisungen zum direkten Speicherzugriff
• Signieren von Programmen und Code• Code Inspektion• Gesundes Misstrauen!
IT-SicherheitGrundlagen
Haus-Aufgabe für 30.4. (Brückentag)
Vertiefung des Wissens bitte lesen & durchdenken:
BSI-Analysen zur Cyber-Sicherheit: Grundlagen
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Analysen/Grundlagen/cs_Analysen_grundlagen_node.html
Dr. Wolf Müller55
HTML VersionVersion vom Download
[BSI-A-CS 001]: Register aktueller Cyber-Gefährdungen und -Angriffsformen
2012-01-16 BSI-A-CS 001 als PDF
[BSI-A-CS 002]: Lebenszyklus einer Schwachstelle
2012-03-02 BSI-A-CS 002 als PDF