Kapitel 1: Einführung IT-Sicherheit PDF
Document Details
Uploaded by FragrantHolly8866
Technische Universität München
C. Eckert
Tags
Summary
This document is a chapter from a lecture notes on IT security, specifically covering topics like vulnerabilities, threats, attacks, security, safety, and attack vectors. It presents an overview of computer security concepts, and includes examples like phishing, brute force attacks, and others. Key topics covered include basic security concepts, and different types of vulnerabilities and threats.
Full Transcript
Technische Universität München Kapitel 1: Schwachstelle, Bedrohungen, Angriffe 1.1 Security und Safety (Wechselwirkungen!) Achtung: im Deutschen: Sicherheit umfasst Security und Safety. Die Vorlesung wird sich auf die Themen der Security beschränken. (1) Security: Daten und Informations-Sicherheit:...
Technische Universität München Kapitel 1: Schwachstelle, Bedrohungen, Angriffe 1.1 Security und Safety (Wechselwirkungen!) Achtung: im Deutschen: Sicherheit umfasst Security und Safety. Die Vorlesung wird sich auf die Themen der Security beschränken. (1) Security: Daten und Informations-Sicherheit: ISO 2382-1: Verwundbarkeit von zu schützenden Werten systematisch reduzieren! Bewahren eines Systems vor Beeinträchtigung und Missbrauch durch Angriffe! Erforderlich: Klären, was die zu schützenden Werte sind! Z.B. Klären, was geeignete Schutzmaßnahmen sind! Z.B. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 13 Technische Universität München Angriffe Störungen von Außen mit dem Ziel der Daten-Manipulation, des Informationsmissbrauchs oder der Funktionsstörung. Beispiel : Knacken des Passworts für den Account von Alice Angriff 1: z.B. über Phishing: Opfer wird dazu verleitet, dass Passwort preiszugeben, z.B. fake Login-Seite Angriff 2 z.B. durch ausprobieren (Brute Force): Angreifer erzeugt automatisiert eine Vielzahl von Passworten und Testet, ob er Zugang zum Account von Alice erhält. Frage Welche Schutzmaßnahmen könnten helfen? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 14 Technische Universität München (2) Safety: Funktions- und Betriebssicherheit Erkennen und Abwehr von Störungen, die die korrekte Funktionalität, die Betriebssicherheit, beeinträchtigen. Störungen kommen von Innen, durch das technische System, z.B. durch Hardware-Fehler, Programmierfehler Erforderlich: Maßnahmen zur Erkennung von Störungen! z.B. Maßnahmen, um Störungen zu behandeln! z.B. Beispiel: Absturz Ariane 5 Rakete direkt nach dem Start: Fehlen eines Exception Handlings für einen Floating-Point Fehler bei Konvertierung von 64-bit Int zu 16-bit signed Int Safety Problem (Absturz), aber kein Security Problem. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 15 Technische Universität München 1.2 Wichtige Begriffe und ihre Zusammenhänge: 4 Angriff(svektor) (attack) konkretisiert nutzt aus z.B. Brute Force 3 Passwort knacken, 2 Bedrohung geknacktes Passwort (threat) Schwachstelle nutzen (vulnerability) bedroht z.B. gehacktes gefährdet potentiell Passwort z.B. gefährdet konkret erlaubt Zugriff Schwaches potentiell Passwort Wert (zu schützen) (Asset) 1 z.B. Passwort Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 16 Technische Universität München (1) Asset: zu schützendes Gut, z.B. Passwort (2) Schwachstelle (vulnerability): ermöglicht das Umgehen von Sicherheitskontrollen des Systems z.B. die Nutzung schwacher Passworte wird nicht verboten. (3) Bedrohung (threat): Potenzial, die Sicherheit von Assets zu beeinträchtigen. z.B. Unbefugter kann sich mit geknacktem Passwort anmelden. (4) Angriff bzw. Angriffsvektor (attack vector): Möglicher Angriffsweg, der eine oder mehrere Schwachstellen ausnutzt. z.B. Knacken des schwachen Passworts mittels Brute Force. Login unter der Kennung Alice mit korrektem Passwort. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 17 Technische Universität München Beispiel eines etwas komplexeren Angriffsvektors für ID Diebstahl Asset: Passwort und Nutzerdaten Schwachstelle: Unsicheres WLAN: Alice Attacker Passwort wird beim Login im Klartext übermittelt. Bedrohung: User Alice Pwd_Alice Einloggen unter falscher ID und unerlaubte Zugriffe mit abgefangenem Passwort. Angriffsweg: Web- 1. Abhören der Funkstrecke (WLAN) Server 2. Ausspähen des Passwortes zum Account Alice 3. Einloggen als Alice mit Passwort: Zugriff auf Daten von Alice Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 18 Technische Universität München 1.3. Angriffsklassen (hier nur Auswahl, Vertiefung in Übung) (1) Ungenügende Eingabe- (und Ausgabe) validierung Eingabe/Ausgabedaten werden nur unzureichend geprüft bzw. bereinigt. Beispiel 1: Buffer-Overflow Schreiben außerhalb des Speicherbereichs (buffer), der für die Speicherung des Wertes einer Variable vorgesehen ist. Mögliche Effekte bei Erfolg: Ändern von Daten, Programm-Crash, unerlaubte Zugriff Angriffsszenario vergröbert: Der Buffer sei ein Speicherbereich für Werte der Variable r_i Buffer (grün) hat die Größe 6. d.h. der Buffer Andere hat für 6 Zeichen Speicherplatz reserviert, Daten Sei r_i = = Hello-World, r_i wird im Buffer gespeichert Buffer Frage: was passiert beim Speichern von r_i? Bereich Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 19 Technische Universität München Beispiel 2: Code-Injection (z.B. bei SQL, LDAP, Shell): Nicht validierte Daten werden von einem Interpreter als Bestandteil einer Anfrage verarbeitet, um z.B. Kommandos (z.B. delete) auszuführen oder die Semantik zu verändern. z.B. Code Injection über eine SQL-Injection Attacke Basis: SQL-Datenbank mit Daten von Nutzern Über Queries können Abfragen an die Datenbank gestellt werden. Beispiel-Anfrage: Aus Datei „users“ sollen Daten des Nutzers mit Identität „id“ ausgegeben werden. select * durchsucht alle Spalten. $query = “SELECT * FROM users WHERE id=‘“. $id. “‘“; Angriff: Schließt öffnendes Anführungszeichen $id = “1‘ OR 1=1 --“ (Ausgabe aller Nutzer) SQL-Kommentarzeichen: Rest des Queries ignorieren Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 20 Technische Universität München z.B. Code Injection über Cross-Site-Scripting (XSS) Angreifer bringt JavaScript Code in Webseite des Servers S ein. Ausführung erfolgt im Browser des Opfer-Rechners von Alice. Szenario 2. Aufruf der Webseite Web- 3. Laden der Seite in den Browser Server S Alice 4. Ausführung des in der Seite eingebetteten Schad-Codes 1. Schad-Code wird im Browser von in Webseite platziert Alice Attacker Frage: was könnte ein Angreifer für ein Ziel haben? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 21 Technische Universität München (2) Angriffsklasse Identitätsdiebstahl: Schwachstellen bei Identitätsprüfung ermöglichen es Angreifern, unter einer fremden Identität (Maskierung, Spoofing) zu agieren: Beispiele: ARP-Spoofing, IP-Address-Spoofing, gespoofte E-Mail- Absenderadressen Angriffsvektor: häufig Man-in-the Middle Angriff als Ausgangspunkt Szenario verdeutlicht das Prinzip Gewünschte Kommunikation Alice Bob 1. Umlenken 2. des Transfers Weiterreichen an Bob über Eve Attacker Eve: in the middle Frage: was kann Eve alles machen? Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 22 Technische Universität München (3) Angriffsklasse: Angriffe auf die Verfügbarkeit (Distributed) Denial of Service ((D)DoS): Absichtlich herbeigeführte Überlast z.B. von Servern, Routern (4) Angriffsklasse Mensch: unwissend, vertrauensselig Social Engineering: täuschen von Menschen durch z.B. präparierte Web-Seite, Fake-Mail, Fake-Telefonate (5) Angriffsklasse Web-Application Security: OWASP Top 10 Top 10 Liste der wichtigsten Sicherheitsprobleme im Web-Application Bereich. https://owasp.org/Top10/ Platz 1: Broken Access Control: zuviele Zugriffsberechtigungen Platz 2: Fehlerhafte oder fehlende Nutzung von Krypto Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 23 Technische Universität München 1.4 Klassen von Schadcode (engl. Malware), Auswahl (1) Virus: nicht selbständiges Programm, das sich selbst in noch nicht infizierte Dateien kopiert. Bei Ausführung des Virus wird seine Schadfunktion (malware) ausgeführt: z.B. formatiere die Festplatte. Beispiel: Emotet Familie von Viren für Windows, seit 2014 bekannt Emotet: liest das Adressbuch von Outlook aus und schickt Mails an die gefundenen Kontakte. Angehängt ist meist eine Word-Datei mit einem integrierten Makro, das beim Öffnen der Datei durch den Empfänger ausgeführt wird. Schadfunktionalität: Einschleusen von Ransomware oder von Software zur Übernahme des Systems. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 24 Technische Universität München (2) Schadcode-Klasse Trojaner: Programm, das neben der spezifizierten nützlichen Funktionalität zusätzlich eine versteckte Funktionalität enthält. Beispiel: Keylogger, Trojaner in der Login-Funktion Spezifizierte Login-Funktion: Passworteingabe von Tastatur Keylogger-Trojaner: Aufzeichnen des Passworts und zum Beispiel senden des Passworts an Angreifer-Rechner. (3) Schadcode-Klasse Ransomware: verschlüsselt Daten auf Opfer- Rechner (Angreifer erpressen Opfer: Geld gegen Schlüssel) Beispiel: WannaCry für Windows-Systeme, 2014 Millionen von Windows-Rechnern befallen. Nutzte eine Schwachstelle im Windows-Betriebssystem aus, für die es aber bereits einen Patch gab! Einfallstor: schlecht administrierte Systeme! Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 25 Technische Universität München 1.5 Schutzziele Basis-Ziele: CIA: Confidentiality, Integrity, Availability 1. Informationsvertraulichkeit (confidentiality): Schutz vor unautorisierter Informationsgewinnung Beispiele für Angriffe: Abhören, Passwort knacken Frage: Welche der Maßnahmen (a) – (d) sind geeignet zur Umsetzung des Schutzziels Confidentiality? Warum, warum nicht? (a) Verschlüsselte Speicherung der Information. (b) Backup der Information auf zusätzlichem Medium. (c) Protokollieren von Zugriffen und forensische Analyse. (d) Kontrolle von Zugriffen auf die Information. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 26 Technische Universität München 2. Datenintegrität (integrity): Schutz vor unautorisierter und unbemerkter Modifikation Beispiele für Angriffe: Buffer-Overflow, SQL-Injection, Bem.: Verhindern einer Manipulation ist nicht immer möglich, z.B. Ändern von Daten, die über WLAN übertragen werden, aber es ist das Ziel, dann nicht mit manipulierten Daten zu arbeiten! Frage: Welche Maßnahmen (a) – (d) sind geeignet, also auch pragmatisch nutzbar, zur Umsetzung des Schutzziels Datenintegrität? (a) Verschlüsselte Speicherung der Information. (b) Kontrolle von Zugriffen auf die Information. (c) Nutzen von CRC Codes zur Erkennung von Fehlern. (d) Redundanten Datenhaltung (z.B. RAID) und Vergleich der Daten. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 27 Technische Universität München 3. Verfügbarkeit (availability): Schutz vor unbefugter Beeinträchtigung der Funktionalität Beispiele für Angriffe: Ransomware, Spam Bem.: befugte Beeinträchtigungen gibt es in Systemen häufig, z.B. Scheduling (Reihenfolge der Ausführung von Programmen auf dem Rechner): hier könnten z.B. Systemprozesse Vorrang vor Anwenderprogrammen erhalten, diese werden berechtigt verzögert. Frage: Welche Maßnahmen (a) – (c) sind geeignet und pragmatisch zur Umsetzung des Schutzziels Verfügbarkeit? (a) Verschlüsselte Speicherung der Information. (b) Nutzung einer Firewall. (c) Redundante Datenhaltung (z.B. RAID). Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 28 Technische Universität München Weitere Schutzziele; 4. Authentizität (authenticity): Nachweis der Echtheit und Glaubwürdigkeit der Identität einer handelnden Entität (natürliche Person, Maschine, Dienst, …) oder eines zu nutzenden Objekts. Beispiel: : Bei klassischem Nutzer-Login: Die Kennung ist die Identität, z.B. Eckert Der Nachweis ist das Passwort Beispiele für Angriffe: Phishing, Man-in-the-Middle: Schutzkonzepte: u.a. Passwort Biometrischer Fingerabdruck, digitaler Personalausweis Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 29 Technische Universität München 5. Verbindlichkeit, Zurechenbarkeit (accountability): Schutz vor unzulässigem Abstreiten durchgeführter Handlungen Beispiele für verbindliche Handlungen Versandt einer Mail/einer Instant Message, Bezahlvorgang Beispiel für Angriffe: Identitätsdiebstahl, Mailadresse fälschen Schutzkonzepte: Digitale/elektronische Signatur, ggf. Blockchain 6. Privatheit (privacy): Die Fähigkeit einer natürlichen Person, die Weitergabe und Nutzung seiner personenbeziehbaren Daten zu kontrollieren (informationelle Selbstbestimmung). Beispiele für Angriffe: Profilbildung, Analytics Schutzkonzepte: u.a. Anonymisierung, Pseudomisierung Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 30 Technische Universität München Bem.: In Systemen werden idR Kombinationen von mehreren Schutzzielen gefordert. Beispiel-Szenario: Login über das Internet auf einen Web-Server und Zugriff auf Daten unter dem eigenen Nutzer-Account auf dem Server. Mögliche Schutzziele: Authentizität des Nutzers und des Servers. Vertraulichkeit der Information u.a. beim Lesen von Daten vom Server im Browser von Alice. Integrität der Daten u.a. auf dem Server. Web-Server Laptop Internet User: Alice Alice-Account Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 31 Technische Universität München 1.6 Security-Policy, IT-Sicherheitsrichtlinien Festlegen der Schutzziele und der Menge von einzuhaltenden technischen und organisatorischen Regeln und Richtlinien Festlegen von Verantwortlichkeiten Bem.: In Unternehmen werden die Sicherheitsrichtlinien, idR in einem umfangreichen Handbuch (gerne mal > 100 Seiten) textuell festgehalten, der Nachweis, dass alle Vorgaben eingehalten sind (Audit), ist aufwändig, automatische Tools (ggf mit KI) noch selten. Beispiele: Organisatorische Regel: 4 Augen-Prinzip bei sensitiven Abläufen. Compliance: GDPR Konformität: Zweckbindung, Lösch-Vorgaben, Technisch: Passwort-Regeln: Länge, Sonderzeichen etc. Technisch: Personenbezogene Daten nur verschlüsselt übertragen Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 32 Technische Universität München Beispiel: technische Policy im Browser: Same-Origin-Policy (SOP) (Java-)Skripte werden im Kontext einer Webseite ausgeführt. Policy legt fest, worauf das Skript während seiner Ausführung im Kontext des Client-Browsers zugreifen darf: Zugriff ist erlaubt auf Objekte/Inhalte von Seiten, die von der gleichen Webseite stammen: „same origin“ Gleichheit: Kombination von Protokoll, Domain und Port Beispiel: Skript ausgeführt in http://www.tum.de/cms/index.php: Quiz: Zugriff auf http://www.tum.de/studenten/index.php erlaubt? Quiz: Zugriff auf http://www.tum.de/index.html erlaubt? Quiz: Zugriff auf http://www.tum.de:8080/index.html erlaubt? Quiz: Zugriff auf http://www.in.tum.de/index.php erlaubt? Aber: SOP ist nicht ausreichend, u.a. durch XSS zu umgehen. Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 33
