Datensicherheit
Vorlesung 4: 13.01.2020
Wintersemester 2019/2020 h_da
Heiko Weber, Lehrbeauftragter
Datensicherheit 13.01.20204-2 Heiko Weber
Teil 2: DatensicherheitThemenübersicht der Vorlesung
1. Einführung / Grundlagen der Datensicherheit / Authentifizierung
2. Kryptografie / Verschlüsselung und Signaturen mit PGP und S/MIME
3. Netzwerksicherheit / TLS / Softwaresicherheit
4. Softwaresicherheit / Malware / Firewalls / Phishing
5. Einführung in den Datenschutz / Privatsphäre / Anonymität
6. DSGVO / BDSG / Technische und organisatorische Maßnahmen
7. Evaluation / Was ist sichere Software? / Hacking / Live-Hacking
x. Beispielklausur durchgehen / Wiederholung
Datensicherheit 13.01.20204-3 Heiko Weber
• Schwachstelle (Weakness)ein Software-Fehlertyp, der in gewissen Situationen zu einer Verwundbarkeit der Software führen kann
• Verwundbarkeit (Vulnerability)das Auftreten einer oder mehrerer Schwachstellen in einer Software, in der diese Schwachstelle genutzt werden kann, um ein Fehlverhalten hervorzurufen
• Offenlegung (Exposure)das Auftreten einer oder mehrerer Schwachstellen in einer Software, die Informationen oder Funktionen offenlegen, die einen Angriff auf ein System erleichtern
• Auswirkung (Impact)das Ergebnis, welches eine erfolgreich ausgenutzte Verwundbarkeit in einer Software haben kann
Terminologie (Wiederholung)
Datensicherheit 16.12.20193-4 Heiko Weber
CWE Top 25 Most Dangerous Software Errors
• https://cwe.mitre.org/top25/
• “CWE Top 25 Most Dangerous Software Errors” ist eine Liste der meistverbreitetsten und kritischsten Schwachstellen, die zu schwerwiegenden Verwundbarkeiten in Software führen können
• diese Schwachstellen sind üblicherweise einfach zu finden und leicht auszunutzen und sind gefährlich, weil sie den Angreifer_innen häufig ermöglichen ein System zu kapern, Daten zu klauen oder sie verhindern können, dass ein System normal funktioniert
Datensicherheit 13.01.20204-5 Heiko Weber
1. CWE-119Improper Restriction of Operations within the
Bounds of a Memory Buffer
2. CWE-79
Cross-site Scripting
3. CWE-20
Improper Imput Validation
4. CWE-200
Information Exposure
5. CWE-125
Out-of-bounds Read
6. CWE-89
SQL Injection
7. CWE-416
Use After Free
8. CWE-190
Integer Overflow or Wraparound
9. CWE-352
Cross-SiteRequest Forgery
10. CWE-22
Path Traversal
11. CWE-78
OS Command Injection
12. CWE-787
Out-of-bounds Write
13. CWE-287
Improper Authentication
14. CWE-476
NULL Pointer Dereference
15. CWE-732Incorrect Permission
Assignment for Critical Resource
16. CWE-434
Unrestricted Upload of File with Dangerous Type
17. CWE-611
Improper Restriction of XML External Entity Reference
18. CWE-94
Code Injection
19. CWE-798
Use of Hard-coded Credentials
20. CWE-400 Uncontrolled Resource
Consumption
21. CWE-772
Missing Release of Resource after Effective Lifetime
22. CWE-426
Untrusted Search Path
23. CWE-502
Deserialization of Untrusted Data
24. CWE-269
Improper Privilege Management
25. CWE-295
Improper Certificate Validation
CWE Top 25 Most Dangerous Software Errors – Version 2019
Datensicherheit 13.01.20204-6 Heiko Weber
1. CWE-119Improper Restriction of Operations within the
Bounds of a Memory Buffer
2. CWE-79
Cross-site Scripting
3. CWE-20
Improper Imput Validation
4. CWE-200
Information Exposure
5. CWE-125
Out-of-bounds Read
6. CWE-89
SQL Injection
7. CWE-416
Use After Free
8. CWE-190
Integer Overflow or Wraparound
9. CWE-352
Cross-SiteRequest Forgery
10. CWE-22
Path Traversal
11. CWE-78
OS Command Injection
12. CWE-787
Out-of-bounds Write
13. CWE-287
Improper Authentication
14. CWE-476
NULL Pointer Dereference
15. CWE-732Incorrect Permission
Assignment for Critical Resource
16. CWE-434
Unrestricted Upload of File with Dangerous Type
17. CWE-611
Improper Restriction of XML External Entity Reference
18. CWE-94
Code Injection
19. CWE-798
Use of Hard-coded Credentials
20. CWE-400 Uncontrolled Resource
Consumption
21. CWE-772
Missing Release of Resource after Effective Lifetime
22. CWE-426
Untrusted Search Path
23. CWE-502
Deserialization of Untrusted Data
24. CWE-269
Improper Privilege Management
25. CWE-295
Improper Certificate Validation
CWE Top 25 Most Dangerous Software Errors – Version 2019
siehe Vorlesung 3
Datensicherheit 13.01.20204-7 Heiko Weber
1. CWE-119Improper Restriction of Operations within the
Bounds of a Memory Buffer
2. CWE-79
Cross-site Scripting
3. CWE-20
Improper Imput Validation
4. CWE-200
Information Exposure
5. CWE-125
Out-of-bounds Read
6. CWE-89
SQL Injection
7. CWE-416
Use After Free
8. CWE-190
Integer Overflow or Wraparound
9. CWE-352
Cross-SiteRequest Forgery
10. CWE-22
Path Traversal
11. CWE-78
OS Command Injection
12. CWE-787
Out-of-bounds Write
13. CWE-287
Improper Authentication
14. CWE-476
NULL Pointer Dereference
15. CWE-732Incorrect Permission
Assignment for Critical Resource
16. CWE-434
Unrestricted Upload of File with Dangerous Type
17. CWE-611
Improper Restriction of XML External Entity Reference
18. CWE-94
Code Injection
19. CWE-798
Use of Hard-coded Credentials
20. CWE-400 Uncontrolled Resource
Consumption
21. CWE-772
Missing Release of Resource after Effective Lifetime
22. CWE-426
Untrusted Search Path
23. CWE-502
Deserialization of Untrusted Data
24. CWE-269
Improper Privilege Management
25. CWE-295
Improper Certificate Validation
CWE Top 25 Most Dangerous Software Errors – Version 2019
siehe Vorlesung 3
Datensicherheit 13.01.20204-8 Heiko Weber
1. CWE-119Improper Restriction of Operations within the
Bounds of a Memory Buffer
2. CWE-79
Cross-site Scripting
3. CWE-20
Improper Imput Validation
4. CWE-200
Information Exposure
5. CWE-125
Out-of-bounds Read
6. CWE-89
SQL Injection
7. CWE-416
Use After Free
8. CWE-190
Integer Overflow or Wraparound
9. CWE-352
Cross-SiteRequest Forgery
10. CWE-22
Path Traversal
11. CWE-78
OS Command Injection
12. CWE-787
Out-of-bounds Write
13. CWE-287
Improper Authentication
14. CWE-476
NULL Pointer Dereference
15. CWE-732Incorrect Permission
Assignment for Critical Resource
16. CWE-434
Unrestricted Upload of File with Dangerous Type
17. CWE-611
Improper Restriction of XML External Entity Reference
18. CWE-94
Code Injection
19. CWE-798
Use of Hard-coded Credentials
20. CWE-400 Uncontrolled Resource
Consumption
21. CWE-772
Missing Release of Resource after Effective Lifetime
22. CWE-426
Untrusted Search Path
23. CWE-502
Deserialization of Untrusted Data
24. CWE-269
Improper Privilege Management
25. CWE-295
Improper Certificate Validation
CWE Top 25 Most Dangerous Software Errors – Version 2019
Datensicherheit 13.01.20204-9 Heiko Weber
CWE-20: Improper Input Validation(unvollständige Eingabeüberprüfung)
• https://cwe.mitre.org/data/definitions/20.html
• Wenn Software die Eingabewerte nicht vollständig überprüft, können im Rahmen eines Angriffs Daten an die Anwendung geschickt werden, die so nicht erwartet wurden in den Bereichen, wo die Daten verarbeitet werden. Dies kann dazu führen, dass das System mit diesen Daten nicht umgehen kann und es zu Veränderungen im Kontrollfluss der Anwendung kommt, Kontrolle über beliebige Ressourcen erreicht oder beliebiger Code ausgeführt werden kann.
• kann sich auf folgende Schutzziele auswirken:• Vertraulichkeit• Integrität• Verfügbarkeit
Datensicherheit 13.01.20204-10 Heiko Weber
Schwachstellen, die zu CWE-20 gehören
• aus den Top 25:• CWE-89: SQL Injection
• CWE-78: OS Command Injection
• CWE-125: Out-of-bounds Read
• CWE-127: Out-of-bounds Write
• CWE-79: Cross-site Scripting
• CWE-502: Deserialization of Untrusted Data
• CWE-190: Integer Overflow or Wraparound
• CWE-426: Untrusted Search Path
• weitere interessante:• CWE-73: External Control of File Name or Path
• CWE-99: Resource Injection
• CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers
• CWE-158: Improper Neutralization of Null Byte or NUL Character
Datensicherheit 13.01.20204-11 Heiko Weber
CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
• Die Anwendung konstruiert einen Teil oder eine komplette SQL-Anweisung basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, welche die beabsichtigte SQL-Anweisung verändern könnten, wenn sie an die Datenbank geschickt wird.
• Datenbankanfragen können manipuliert werden
• beliebige Daten können- aus der Datenbank gelesen werden- in die Datenbank geschrieben werden- aus der Datenbank gelöscht werden
Mögliche Auswirkungen Schutzziel verletzt
Daten lesen Vertraulichkeit
Schutzmechanismus umgehen Zugriffskontrolle
Daten verändern Integrität
Datensicherheit 13.01.20204-12 Heiko Weber
CWE-89: Beispiel
• lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht)
PHP Beispiel:
…$name = $_REQUEST["name"];$query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name";$result = mysql_query($query);…
Datensicherheit 13.01.20204-13 Heiko Weber
CWE-89: Beispiel
• lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht)
PHP Beispiel:
Eingabewert: Heiko
where: public=1 AND name='Heiko'
gibt nur die Infos zu Heiko aus, wenn sie öffentlich sind
…$name = $_REQUEST["name"];$query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name";$result = mysql_query($query);…
Datensicherheit 13.01.20204-14 Heiko Weber
CWE-89: Beispiel
• lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht)
PHP Beispiel:
Eingabewert: x' OR public=0 OR name='Heiko
where: public=1 AND name='x' OR public=0 OR name='Heiko'
gibt auch die Infos zu Heiko aus, wenn sie privat sind
…$name = $_REQUEST["name"];$query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name";$result = mysql_query($query);…
Datensicherheit 13.01.20204-15 Heiko Weber
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
• Die Anwendung konstruiert einen Teil oder einen kompletten Betriebssystemaufruf basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, die den beabsichtigten Betriebssystemaufruf verändern könnten, wenn er ausgeführt wird.
• Betriebssystemaufrufe können manipuliert werden
• beliebige Befehle können auf der Kommandozeile aufgerufen werden
Mögliche Auswirkungen Schutzziel verletzt
unzuverlässiges Ausführen von BefehlenDoS: crash / exit / restartDaten verändernDaten lesenAktivitäten verbergen
VertraulichkeitIntegritätVerfügbarkeitNichtabstreitbarkeit
Datensicherheit 13.01.20204-16 Heiko Weber
CWE-78: Beispiel
• erhalte den Username und zeige die Daten des Users an
PHP Beispiel:
…
$userName = $_POST["user"];
$command = 'ls -l /home/' . $userName;
system($command);
…
Datensicherheit 13.01.20204-17 Heiko Weber
CWE-78: Beispiel
• erhalte den Username und zeige die Daten des Users an
PHP Beispiel:
Eingabewert: Heiko
Befehl: ls -l /home/Heiko
zeigt die Dateien im Home-Verzeichnis des Users Heiko
…
$userName = $_POST["user"];
$command = 'ls -l /home/' . $userName;
system($command);
…
Datensicherheit 13.01.20204-18 Heiko Weber
CWE-78: Beispiel
• erhalte den Username und zeige die Daten des Users an
PHP Beispiel:
Eingabewert: ../etc
Befehl: ls -l /home/../etc
zeigt die Dateien im etc-Verzeichnis mit allen Konfigurationsdateien
…
$userName = $_POST["user"];
$command = 'ls -l /home/' . $userName;
system($command);
…
Datensicherheit 13.01.20204-19 Heiko Weber
Mögliche Mitigationen gegen CWE-20-Schwachstellen
• Mitigation = Entschärfung – eine Maßnahme, um potentielle Schwachstellen zu verhindern oder deren Auswirkung zu reduzieren
• Eingabeüberprüfung• einheitliche Eingabeüberprüfungssysteme einsetzen• nur gültige Werte zulassen (White Lists)
● nur auf ungültige Werte überprüfen, wenn die Liste der gültigen nicht überprüfbar ist – es ist schwer alle ungültigen Fälle zu kennen
• wenn Werte aus verschiedenen Quellen kombiniert werden, die Überprüfung erst nach dem Kombinieren der Werte anwenden
• Angriffsoberfläche erkennen und verkleinern• alle Stellen, in denen Eingaben in die Anwendung gelangen, müssen erkannt und
analysiert werden
Datensicherheit 13.01.20204-20 Heiko Weber
CWE-116: Improper Encoding or Escaping of Output(falsche Codierung oder Formatierung von Ausgaben)
• http://cwe.mitre.org/data/definitions/116.html
• Die Anwendung generiert eine strukturierte Nachricht, um mit einer anderen Softwarekomponente zu kommunizieren, aber die Codierung oder Formatierung der Daten in der Nachricht fehlt oder wurde falsch durchgeführt. Dadurch kann die beabsichtigte Struktur der Nachricht verfälscht werden.
• kann sich auf folgende Schutzziele auswirken:– Verfügbarkeit– Vertraulichkeit– Integrität
Datensicherheit 13.01.20204-21 Heiko Weber
Beziehung zu CWE-20 (Improper Input Validation)
• je nach Beschaffenheit der strukturierten Nachricht, kann durch korrekt Eingabeüberprüfung verhindert werden, dass spezielle Zeichen und Zeichenfolgen die Struktur der Nachricht manipulieren können
• Eingabeüberprüfung ist aber nicht immer ausreichend, weil gewisse Zeichen in verschiedenen Kontexten erlaubt oder auch nicht erlaubt sein könnten
z.B. Sonderzeichen in Namen: O'Reilly
Datensicherheit 13.01.20204-22 Heiko Weber
Anwendungs-Eingabe und -Ausgabe
ANWENDUNG
EINGABE AUSGABEINTERN
Datensicherheit 13.01.20204-23 Heiko Weber
Anwendungs-Eingabe und -Ausgabe
ANWENDUNG
EINGABE AUSGABEINTERNCWE20
CWE116
Datensicherheit 13.01.20204-24 Heiko Weber
Anwendungs-Eingabe und -Ausgabe
ANWENDUNG
KonfigurationdateienDatenbankenBenutzereingabenWebanwendungenusw.
INTERNCWE20
CWE116
LogdateienDatenbankenSystemaufrufeWebanwendungenusw.
• https://www.owasp.org
Auszug aus der deutschen Webseite:
• OWASP ist eine unabhängige, weltweite Community [...]. Ziel des OWASP ist die Unterstützung von Unternehmen und Organisationen bei der Entwicklung und beim Betrieb sicherer Webanwendungen und das «Sichtbar-Machen» der Bedeutung der Sicherheit von Webanwendungen.
• Sämtliche OWASP-Instrumente, wie Dokumente, Foren oder die jeweiligen Länder-Chapters stehen kostenlos allen zur Verfügung, die daran interessiert sind, die Sicherheit von Webanwendungen zu erhöhen.
• Die Community ist frei und offen und heißt alle Interessierten sowie Wissens- und Erfahrungsträger herzlich willkommen. Zwanglos kann dies z. B. im Rahmen der OWASP Stammtische erfolgen, die regelmäßig in vielen deutschen Großstädten stattfinden.
Datensicherheit 13.01.20204-26 Heiko Weber
OWASP Top 10Sicherheitsrisiken für Webanwendungen
https://www.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf
• A1: Injection• A2: Fehler in Authentifizierung• A3: Verlust der Vertraulichkeit sensibler Daten• A4: XML External Entities (XXE)• A5: Fehler in der Zugriffskontrolle• A6: Sicherheitsrelevante Fehlkonfiguration• A7: Cross-Site Scripting (XSS)• A8: Unsichere Deserialisierung• A9: Nutzung von Komponenten mit bekannten Schwachstellen• A10: Unzureichendes Logging & Monitoring
Datensicherheit 13.01.20204-27 Heiko Weber
OWASP Top 10Sicherheitsrisiken für Webanwendungen
https://www.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf
• A1: Injection• A2: Fehler in Authentifizierung• A3: Verlust der Vertraulichkeit sensibler Daten• A4: XML External Entities (XXE)• A5: Fehler in der Zugriffskontrolle• A6: Sicherheitsrelevante Fehlkonfiguration• A7: Cross-Site Scripting (XSS)• A8: Unsichere Deserialisierung• A9: Nutzung von Komponenten mit bekannten Schwachstellen• A10: Unzureichendes Logging & Monitoring
auch in denCWE Top 25
Datensicherheit 13.01.20204-28 Heiko Weber
Malware
Malware = Malicious Software (bösartige Software / Schadsoftware)
Software, die unerwünschte Funktionen ausführt
verschiedene Arten – oftmals auch Mischformen: Viren Würmer Trojanische Pferde
Datensicherheit 13.01.20204-29 Heiko Weber
Malware
Malware = Malicious Software (bösartige Software / Schadsoftware)
Software, die unerwünschte Funktionen ausführt
verschiedene Arten – oftmals auch Mischformen: Viren Würmer Trojanische Pferde
je nach Art der bösartigen Funktion wird auch unterschieden nach: Adware Ransomware Rootkits Spyware und viele weitere Unterkategorien...
Datensicherheit 13.01.20204-30 Heiko Weber
Viren
selbstreproduzierend
keine eigenständige Software – benötigen einen Wirt (beispielsweise eine übliche Anwendungssoftware)
Wirtssoftware muss ausgeführt werden zum Aktivieren des Virus
Funktionsweise:
1. Start des infizierten Programms (Wirtssoftware):Aktivierung des Virus
2. Virus infiziert selbständig andere Programme
3. Virus aktiviert Schadensfunktion
Datensicherheit 13.01.20204-31 Heiko Weber
Viren
infizierbare Dateien: ausführbare Dateien
(Programmdateien, Programmbibliotheken, Skripte, …) Dateien, die ausführbare Inhalte beinhalten
(Makros – z.B. in PDF-Dateien, Office-Dateien, …) Infektion von Bootsektoren
Unterscheidung entsprechender Typen, z.B. Dateiviren Skriptviren Makroviren Bootsektorviren
Datensicherheit 13.01.20204-32 Heiko Weber
Infektionswege von Viren
Verbreitung: passivdurch Kopieren einer infizierten Wirtsdatei auf ein noch nicht infiziertes System
Verbreitungswege: Versenden infizierter Dateien per E-Mail Einsatz von Software aus fragwürdigen Quellen
(z.B. über P2P-Filesharing-Netzwerke, Web-Downloads, …) Kopieren fremder Software (am eigenen oder fremden Rechner) Nutzung fremder oder gemeinsamer Datenträger Arbeiten an Rechnern, deren Festplatte bereits infiziert ist Verwendung infizierter Programme eines Fileservers
Datensicherheit 13.01.20204-33 Heiko Weber
Makroviren
werden in den letzten Jahren besonders häufig per E-Mail verbreitet
Verbreitung oft durch E-Mail-Anhänge mit Word- oder Excel-Dokumenten
sehr effektiv, weil Office auf vielen Computern installiert ist und es nicht selten vorkommt, dass Office-Dokumente per E-Mail verschickt werden
beim Öffnen des Office-Dokuments und dem Aktivieren der Makro-Funktion, wird der Virus aktiviert
Datensicherheit 13.01.20204-34 Heiko Weber
Infektionswege von Malware allgemein
Quelle: <kes> special 2014#4/6: „IT-Landschaften 2014: Lagebericht zur Sicherheit“
Datensicherheit 13.01.20204-35 Heiko Weber
Würmer
spezielle Art von Viren
selbstreproduzierend
selbstständige Software – kein Wirt benötigt
Verbreitung: aktivz.B. durch Versenden von E-Mails an Mitglieder der Adressliste
muss ausgeführt werden zum Aktivieren des Wurms
Datensicherheit 13.01.20204-36 Heiko Weber
Trojanische Pferde
auch teilweise als „Trojaner“ bezeichnet (wobei es ja eigentlich eher „Griechen“ heißen müsste – das Pferd enthielt ja Griechen, die die Trojaner angegriffen haben)
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.:
Löschen von Daten Sperren von Daten Modifizieren von Daten Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
Datensicherheit 13.01.20204-37 Heiko Weber
Trojanische Pferde
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.:
Löschen von Daten Sperren von Daten Modifizieren von Daten Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
Verfügbarkeit
Datensicherheit 13.01.20204-38 Heiko Weber
Trojanische Pferde
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.:
Löschen von Daten Sperren von Daten Modifizieren von Daten Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
VerfügbarkeitIntegrität
Datensicherheit 13.01.20204-39 Heiko Weber
Trojanische Pferde
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.:
Löschen von Daten Sperren von Daten Modifizieren von Daten Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
VerfügbarkeitIntegrität
Vertraulichkeit
Datensicherheit 13.01.20204-40 Heiko Weber
Trojanische Pferde
im Gegensatz zu Computerviren und -würmern sind Trojanische Pferde nicht in der Lage, sich selbständig zu vervielfältigen
sie werden ganz gezielt von einem Angreifer auf einem PC, Tablet, Smartphone oder sonstigem Computer installiert
anhand ihrer Funktion, werden Trojanische Pferde in verschiedene Typen unterteilt:
Exploit, Backdoor, Rootkit, Banker, DDoS, Keylogger, Downloader, Fake Antivirus, Instant Messaging, Ransom, Spy, Mailfinder, Clicker, Proxy, Notifier, ...
Datensicherheit 13.01.20204-41 Heiko Weber
Funktionen Trojanischer Pferde
ExploitProgramme, die Daten oder Code enthalten, mit dem Schwachstellen auf dem lokalen Computer ausgenutzt werden, um weitere Rechte zu bekommen oder um unberechtigt Daten zu erlangen.
BackdoorEine Hintertür über die ein anderer Benutzer die Kontrolle über den infizierten Computer erlangt. Backdoor-Trojaner werden häufig eingesetzt, um mehrere befallene Computer zu einem so genannten Botnet oder Zombie-Netzwerk zusammenzuschließen, welches dann zu kriminellen Zwecken verwendet wird, z.B. um einen DDoS-Angriff zu starten.
Keylogger (Funktionalität von Spyware)Protokolliert unbemerkt die Tastatureingaben mit und übermittelt sie an den Angreifer. Somit können z.B. Passwörter abgefangen werden.
Datensicherheit 13.01.20204-42 Heiko Weber
Funktionen Trojanischer Pferde
RansomEin Programm, das in der Lage ist, Daten auf einem infizierten Computer so zu manipulieren, sodass es zu Störungen kommt oder bestimmte Daten nicht mehr genutzt werden können. Der Computer funktioniert erst wieder ordnungsgemäß, wenn ein gefordertes „Lösegeld“ bezahlt wurde.
Fake AntivirusTrojan-FakeAV-Programme simulieren die Aktivität von Antiviren-Software. Sie dienen dazu, Geld zu erpressen – als Gegenleistung für den Schutz vor Bedrohungen, obwohl diese in Wirklichkeit überhaupt nicht existieren. Also eigentlich eine spezielle Art von Ransomware.
Datensicherheit 13.01.20204-43 Heiko Weber
„Staatstrojaner“
„Der Chaos Computer Club (CCC) hat eine eingehende Analyse staatlicher Spionagesoftware vorgenommen. Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können.
Nicht erst seit das Bundesverfassungsgericht die Pläne zum Einsatz des Bundestrojaners am 27. Februar 2008 durchkreuzte, ist von der unauffälligeren Neusprech-Variante der Spionagesoftware die Rede: von der "Quellen-TKÜ" ("Quellen-Telekommunikationsüberwachung"). Diese "Quellen-TKÜ" darf ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies ist durch technische und rechtliche Maßnahmen sicherzustellen.“
Quelle: http://www.ccc.de/updates/2011/staatstrojaner
Quelle: https://netzpolitik.org/2015/staatstrojaner-fuer-quellen-tkue-ab-herbst-verfuegbar/
Datensicherheit 13.01.20204-45 Heiko Weber
Sicherheitsrisiken in deutschen Konzernen
Quelle: <kes> special 2014#4/6: „IT-Landschaften 2014: Lagebericht zur Sicherheit“
Datensicherheit 13.01.20204-46 Heiko Weber
Schutz vor Malware
kein Starten unbekannter Programme
Least-Privilege-Prinzip beachten
Computer nicht unbeaufsichtigt lassen
Anti-Malware-Software einsetzen
Firewalls einsetzen, um Netzwerk-Angriffe einzuschränken
immer die aktuellsten Sicherheitsupdates installieren(für das Betriebssystem und alle Anwendungen)
Datensicherheit 13.01.20204-47 Heiko Weber
Anti-Malware-Techniken
Statische Technikendie zu prüfende Software wird untersucht, ohne sie auszuführen
Dynamische Technikendie zu prüfende Software wird ausge-führt und das Verhalten beobachtet
Scannersucht nach bekannten Bitmustern in der Software (Signaturerkennung)
Heuristiksucht nach Virus-ähnlichen Programm-Bereichen
Integritätsprüfungensucht nach unautorisierten Modifika-tionen in bekannter Software
Monitoring der Aktivitätensucht nach auffälligen Aktivitäten (Abweichungen von den „normalen“Aktivitäten) – z.B. hohe Netzwerk-Kommunikation
EmulationAusführen der Software in emulierter Umgebung oder in einer Sandbox unddabei Monitoring
Datensicherheit 13.01.20204-48 Heiko Weber
Least-Privilege-Prinzip
Berechtigungen so einschränkend wie möglich halten
Software nur mit Administrator-Rechten ausführen, wenn unbedingt notwendig
Software mit den Rechten ausführen, die genau das erlauben, was für die Funktionsweise der Software notwendig ist
damit kann der Schaden, der bei Ausnutzen von Schwachstellen in der Software erreicht werden kann, eingeschränkt werden
Datensicherheit 13.01.20204-49 Heiko Weber
Firewalls
eine Firewall ist eine Schnittstelle zwischen dem externen Netzwerk und einem geschützten Bereich (oftmals ein Computer)
die Firewall beschränkt den Datenverkehr zwischen dem externen Netzwerk und dem geschützten Bereich
zwei Arten Paketfilter Proxies
Firewalls arbeiten richtungsabhängig Firewalls für in den geschützten Bereich eingehenden Verkehr Firewalls für aus dem geschützten Bereich ausgehenden Verkehr
Datensicherheit 13.01.20204-50 Heiko Weber
Firewall Paketfilter
die Aufgabe des Paketfilterns wird meist von einem Router übernommen – kann aber auch einfach Software auf einem Computer sein
filtert eingehende und ausgehende Daten-Pakete
verwirft/erlaubt Pakete abhängig von IP-Adresse des Senders und/oder Empfängers Protokoll (TCP, UDP, ICMP) Port des Senders und/oder Empfängers Eingangsnetzwerkkarte / Ausgangsnetzwerkkarte
Beispiele: Fritzbox, Windows-Firewall
Datensicherheit 13.01.20204-51 Heiko Weber
Firewall Paketfilter
Benutzer mit Web-Browsern
Server Firewall Clients
Regel 1:erlaube eingehende TCP-Anfragen auf Port 80 von beliebigen IP-Adressen
Regel 2:erlaube eingehende TCP-Anfragen auf Port 443 von beliebigen IP-Adressen
Web-Server
Datensicherheit 13.01.20204-52 Heiko Weber
Firewall Proxy
wird zwischen Client und Server eingefügt
arbeitet als Server und als Client
ist Protokoll-spezifisch - für jeden Dienst ist ein eigener Proxy erforderlich, z.B. HTTP, SMTP, NNTP
da es Protokoll-spezifisch ist, kann es auch die Semantik der Daten verstehen und entsprechend auch nach Inhalten filtern und auch spezielle Funktionen übernehmen – z.B. Verschlüsselung oder Authentifizierung
ist (sicherheitstechnisch) nur dann sinnvoll, wenn er nicht umgangen werden kann
Datensicherheit 13.01.20204-53 Heiko Weber
§202a StGB
Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Datensicherheit 13.01.20204-54 Heiko Weber
§202b StGB
Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
Datensicherheit 13.01.20204-55 Heiko Weber
§202c StGB
Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einemanderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend. (Vorbereitung der Fälschung von Geld und Wertzeichen)
Datensicherheit 13.01.20204-56 Heiko Weber
Phishing
Wortursprung: Password + Fishing
Angeln nach Passwörtern und weiteren sensiblen Informationen im Internet.
Datensicherheit 13.01.20204-57 Heiko Weber
Was ist Phishing?
Angriff auf das Sicherheitsbewusstsein von Menschen und nicht auf die Sicherheit von IT-Systemen.
Annahme: Menschen machen Fehler und sind leichter zu überlisten, als technische Sicherheitssysteme.
Nutzt Social-Engineering-Maßnahmen zur Manipulation von Menschen, mit dem Ziel, dass sie sensible Informationen preisgeben oder falsche Aktionen tätigen in dem Glauben, dass sie korrekt seien.
Vertrauen aufbauen oder eine vertrauenswürdige Instanz simulieren und dann die Informationen abgreifen oder Anweisung geben.
Datensicherheit 13.01.20204-58 Heiko Weber
Vertrauen aufbauen
Vertrauenswürdige Instanz simulieren: bekannter Dienstleister (Bank/Bezahldienst, Paketdienst, Online-Shop, Social
Media, …) Kollege / Vorgesetzter Kunde / Lieferant Behörde
Gezielt die Person ansprechen: persönliche Ansprache gezielt auf Lebensumstände eingehen (Position/Aufgabe im Unternehmen,
Hobbies, familiäre Umstände, etc.) regionale und zeitliche Umstände berücksichtigen
Datensicherheit 13.01.20204-59 Heiko Weber
Kommunikationskanäle für Phishing-Angriffe
E-Mail Telefon Briefpost Persönlich
...
Kombination mehrerer Kanäle auch möglich...
Datensicherheit 13.01.20204-60 Heiko Weber
Phishing-Methoden
direkte Preisgabe von Informationen z.B. direkte Frage nach Informationen
indirekte Preisgabe von Informationen z.B. Vortäuschen einer vertrauenswürdigen Webseite, zum Abgreifen der
Informationen
Befolgen von Anweisungen z.B. Überweisung von Geld oder Anpassung einer Kontoverbindung
Installation von Software, die dann die Informationen ausspioniert z.B. Link auf und Anhang mit Malware
weitere Varianten…
Datensicherheit 13.01.20204-61 Heiko Weber
Spear-Phishing
Allgemeines Phishing versucht durch Angriffe, gerichtet an eine große Masse, ein paar Personen zu finden, die darauf reinfallen.
Spear-Phishing ist ein Phishing-Angriff, der speziell auf eine gezielte Person ausgerichtet ist.
Es werden möglichst viele Informationen über eine Person und deren Umfeld gesammelt – z.B. über Social Media – und diese Informationen werden dann genutzt, um einen sehr gezielten Angriff zu bauen.
Diese Angriffe sind sehr zeitaufwändig, sind aber schwerer zu erkennen und somit effektiver.
Beispiel: CEO-Fraud
Datensicherheit 13.01.20204-62 Heiko Weber
Phishing-Angriffe erkennen und/oder verhindern
Mailinhalt analysieren E-Mail-Absender / -Empfänger überprüfen Links / URIs überprüfen E-Mail-Anhängen misstrauen über zusätzlichen Kanal die Anweisung bestätigen lassen
Datensicherheit 13.01.20204-63 Heiko Weber
Phishing-Angriffe erkennen und/oder verhindern:
Mailinhalte analysieren
Passt der Kontext der E-Mail? Ist der Inhalte zu gut, um wahr zu sein? Werde ich zu etwas aufgefordert, was ungewöhnlich ist? Misstrauisch sein und Fragen oder Anweisungen hinterfragen!
Datensicherheit 13.01.20204-64 Heiko Weber
Phishing-Angriffe erkennen und/oder verhindern:
E-Mail-Absender / -Empfänger überprüfen
Ist der Absender bekannt? Ist die E-Mail-Adresse authentisch?
Frank Müller <[email protected]> Informationsrecht <[email protected]>
Geht die Antwort an eine andere Adresse, als der Absender?
From: Informationsrecht <[email protected]> Reply To: Informationsrecht <[email protected]>
Datensicherheit 13.01.20204-65 Heiko Weber
Phishing-Angriffe erkennen und/oder verhindern:
Links / URIs überprüfen
Ist die angezeigte URL wirklich die URL, auf die verwiesen wird? Verweist die E-Mail zur passenden Webseite?
Datensicherheit 13.01.20204-66 Heiko Weber
Phishing-Angriffe erkennen und/oder verhindern:
E-Mail-Anhängen misstrauen
E-Mail-Anhänge können Malware enthalten. Das gilt nicht nur für ausführbare Programme, auch für gewisse Dokumente. Alle Dokumente mit Makro- oder Skript-Funktionen sind gefährlich:
Word-Dokumente Excel-Dokumente PDF-Dokumente
E-Mail-Anhänge von unbekannten Absendern sollten niemals geöffnet werden!
Datensicherheit 13.01.20204-67 Heiko Weber
Phishing-Angriffe erkennen und/oder verhindern:
Über zusätzlichen Kanal die Anweisung bestätigen lassen
Wenn eine sehr sensible Anfrage oder Anweisung von einem Absender kommt, dessen Authentizität nicht eindeutig bestimmt werden kann, sollte sie über einen zweiten Kommunikationskanal bestätigt werden.
Beispiel: Eine Anweisung kommt per E-Mail. Den Anweisenden per Telefon anrufen und die Anweisung bestätigen lassen.