330 likes | 435 Views
Hauptseminar: Analyse von Softwarefehlern WS 2002/03. Bearbeiter: Al-Salmani Mohamad, Sheng Guo, Tran Minh Luan. Thema: Sicherheitsrisikos. Prof. Dr. Thomas Huckle. Wie sicher fühlen Sie sich ?.
E N D
Hauptseminar: Analyse von Softwarefehlern WS 2002/03 Bearbeiter: Al-Salmani Mohamad, Sheng Guo, Tran Minh Luan Thema: Sicherheitsrisikos Prof. Dr. Thomas Huckle
Wie sicher fühlen Sie sich ? • Fast 90 Prozent der Unternehmen haben 2001 unangenehme Erfahrungen mit Internet-Würmern, Viren oder Trojanern gemacht • 40 Prozent mussten DoS-Attacken über sich ergehen lassen • Rund ein Drittel der befragten Firmen wurde Opfer von Angriffen, bei denen Angreifer Buffer- Overflow-Schwächen ausnutzten
Sicherheitsrisikos Datenverlust durch unordentliches Backup Sicherheitslücken Viren Hacker-Angriffe (DoS)
Datenverlust Computerbenutzer und viele Experten betrachten Datenverlust oftmals als unwiederbringlich, ohne eine Hoffnung auf Wiederherstellung. Ein Grossenteil der Informationen im Zusammenhang mit Datenverlusten ist jedoch inkonsistent oder ungenau, und so ist es nicht verwunderlich, dass die Themenfelder Datenverlust und Datenrettung für Benutzer zu den verwirrendsten und am schwersten verständlichen Konzepten zaehlen.
Datenverlust • Es werden grössere Datenmengen auf kleinerem Raum gespeichert • Die Daten sind unternehmenskritischer als früher • Tools und Techniken für die Datensicherung sind nicht zu 100 % zuverlässig
Datenverlust • Hardware- oder Systemfehlfunktionen • Benutzerfehler • Beschädigte Software • Computerviren • Höhere Gewalt
Sicherheitsrisikos Ö Datenverlust durch unordentliches Backup Sicherheitslücken Viren Hacker-Angriffe (DoS)
Sicherheitslücken Externe Gefahren: • Viren, Würmer, usw. • Denial of Service (DoS) Angriff • Eindringen und Verunstaltung der Website • Eindringen und Verlust an Vertraulichkeit an die Konkurrenz • Eindringen, Verlust an Vertraulichkeit durch Veröffentlichung im Internet (Kreditkarten)
Sicherheitslücken Interne Gefahren: • Hardwareausfall, Softwarefehler, Systeminsta-bilitäten, Feuer, Wasser, usw. • Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter) leiten Information weiter • Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter) führen Sabotage durch • Aussteigende Mitarbeiter sammeln Informatio-nen für den neuen Arbeitgeber
Sicherheitslücken in Windows NT • Account- und Passwortangriffe • Windows NT-Netzwerkangriffe • Angriffe unter Ausnutzung von NT-Anwendungen • NT-Sabotage-Angriffe
Sicherheitsrisikos Ö Datenverlust durch unordentliches Backup Ö Sicherheitslücken Viren Hacker-Angriffe (DoS)
Viren Bezeichnung für Programme, die sich, wenn sie einmal geladen sind, beliebig vervielfältigen können und den Sinn und Zweck verfolgen, den Betriebsablauf (eines Computers) zu stören.
Viren • Viren Construction Kits • Dateiviren • HTML-Viren • Makro Viren • Retroviren • TSR-Dateiviren • Trojanische Pferde
Sicherheitsrisikos Ö Datenverlust durch unordentliches Backup Ö Sicherheitslücken Ö Viren Hacker-Angriffe (DoS)
Hackerangriffe (DoS) Denial of Service, oft auch in Fachkreisen mit dem Akronym DoS (nicht zu Verwechseln mit DOS für Disc Operating System) abgekürzt, stellt ein destruktives Vorgehen dar, dass Ressourcen unnutzbar machen soll. Durch solche Angriffe können Netzwerk-Elemente oder Computersysteme zum Absturz gebracht werden, um so deren Nutzung zu verhindern. Zu den populärsten Denial of Service-Attacken gehören OOB (Out of Band), IP-Fragmentierung, SYN-Flooding, ICMP- Stürme.
Verschiedene Ansätze • Belegung der Bandbreite • Ressourcen aufbrauchen • Programmierfehler ausnutzen
Spezifische Angriffstypen ICMP-Stürme (Smurf) • Der Angreifer sendet eine ICMP-anfrage zur broadcast Adre-sse des Vermittler- Netzwerkes, und nimmt die Adresse des Opfers an(Spoofing) Angreifer Vermittler
Spezifische Angriffstypen ICMP-Stürme (Smurf) • Wenn der Vermittler direct broadcast eingeschaltet hat, werden die ICMP-Anfragen zu den Hosts im Vermittler-Netzwerk gesendet. Angreifer Vermittler
Spezifische Angriffstypen ICMP-Stürme (Smurf) • Die Hosts im Vermittler-Netzwerk senden Antworten zum Opfer, und bombardieren dieses mit ICMP-Paketen. Angreifer Opfer Vermittler
Spezifische Angriffstypen SYN-Flooding • Der TCP-Verbindungsau-fbau erfolgt mit SYN- Paketen • Wird auf das folgende SYN/ACK nicht geantwor-tet, bleibt eine halboffene Verbindung zurück • Dies führt zur Füllung eines Puffers Empfänger Sender SYN SYN/ACK ACK
IP-Fragmentierung (Ping of Death) 65535 20 Header ID-Nummer Packet IP Offset Header
Lokale Denial of Service-Attacken • Boot-Diskette • Registry-Angriffe • Ausnutzung von Fehlern in Anwendungen • Infizieren des Systems mit Viren, Trojanern usw.
Distributed Denial of Service Anstelle von einzelnen Systemen, die als Ausgangspunkt eines Denial-of-Service Angriffs benutzt werden, kommt nun eine Vielzahl von unterschiedlichen Systemen in einem grossflächig koordinierten Angriff auf einzelne Systeme oder Netzwerke zum Einsatz. Die Anzahl der an einem Angriff beteiligten Systeme kann dabei variieren; einige hundert bis tausend gleichzeitig angreifende Systeme wurden bereits beobachtet. Da die an einem Angriff beteiligten Rechner oft über grosse Teile des Internets verteilt sind, spricht man von einem sog. "Distributed Denial-of-Service" (DDoS) Angriff.
Distributed Denial of Service Angreifer Handler Handler Handler Agent Agent Agent Agent Agent Agent Agent Opfer Angriffsdatenstrom Steuerdatenstrom
Trend: Verbesserung von DDoS • Die Verschleierung der Kommunikation zwischen Angreifer und Handler bzw. zwischen Handler und Agenten • Sicherung der Kommunikationsverbindungen gegen Mithören durch Verschlüsselung und Passworte. • Die "Wartbarkeit" des DDoS-Netzes • Integration weiterer Angriffsmethoden
Gegenmassnahmen Smurf Dieses Problem lässt sich jedoch durch einen einfachen Trick beheben, indem man an den Routern die IP-Broadcasts nicht mehr in Ethernet-Broadcasts umsetzen lässt. Die TCP/IP-Protokollarchitektur ist bei ihrer Konzipierung und Realisierung nicht mit dem Hintergedanken solcher Extremsituationen vorgelegt worden. Aus diesem Grund kann protokolltechnisch nicht viel den besagten Problemen entgegengehalten werden. Lediglich eine durchdachte Netzstruktur (gut platzierte Router, Hubs, Switches und Firewall-Systeme) kann das Problem ganz oder wenigstens teilweise einschränken.
Gegenmassnahmen SYN-Flooding Viele Hersteller reagierten mit einem Patch. Bei der Kompilierung eines aktuellen Linux-Kernels zum Beispiel, können Gegenmassnahmen aktiviert werden, um SYN-Flooding entgegenzuwirken. Die dahintersteckende Technik ist gleichermassen einfach als wie auch effizient: Nur eine gewisse Anzahl halboffener Verbindungen mit vertrauenswürdigen Hosts, mit denen ein Cookie ausgehandelt wurde, werden angenommen.
Gegenmassnahmen Ping of Death Abhilfe schafft nur eine vollständige Reassemblierung der TCP/IP-Pakete bzw. ein Patch oder der Einsatz eines Proxy. Nachteil der zweiten Lösung ist ein enormer Einbruch in der Performance, der den Vorteil der SPF-Firewalls völlig zunichte macht. Dies zeigt aber wieder einmal deutlich, dass Firewalls keineswegs perfekt sind. Will man solchen Angriffen zuvorkommen, so ist man als Betreiber eines mission critical Systems auf die ständige Betreuung eines Experten angewiesen. Da von diesem Angriff nur spoofende Versionen existieren, können die Täter oft nicht aufgespürt werden.
Gegenmassnahmen DDoS Sicherung der Systeme gegen Einbrüche Vor dem eigentlichen DDoS-Angriff, muss der Angreifer in einem als Mass Intrusion bezeichneten ersten Schritt in diese Systeme einbrechen, um dort die DDoS Tools zu installieren. Dieser Phase kann durch Sicherung der eigenen Systeme begegnet werden:
Gegenmassnahmen DDoS • Konservative Systemkonfiguration • Zeitnahes Einspielen von Sicherheits-patches • Einschränkung der angebotenen Dienste auf den notwendigen Netzbereich • Verwendung von Verschlüsselung für Authentifikation und Kommunikation • Paketfilter am Netzeingang und Netzausgang (Ingress- und Egress-Filter) • Aufbau eines Systems zur Verfolgung von Datenstrümen im Netz
Quellen • Taskforce "Sicherheit im Internet" (BMI/BSI): Regelwerk zur Abwehr von Distributed-Denial-of-Service Angriffen • Ausgewählte Artikel aus den Medien auf whitehats.com Informationen von AusCERTzum Thema DDoS (engl.) • RFC 3013 "Recommended Internet Service Provider Security Services and Procedures" (engl.) • Ein eher historisches (1995!) Paper von Fred Cohen zu koordinierten verteilten Angriffen "A Note On Distributed Coordinated Attacks" (engl.) • Sicherheit im Internet (Othmar Kyas, 2te Auflage) • Hackers Guide (Tiger): http://kickme.to/tiger/ • Trojaner Info: http://www.trojaner-info.de/viren/virentipps.shtml • Windows NT Systemadministration. Aeleen Frisch. O'Reilly & Associates, 1998. ISBN: 3897211181. • Internet Security With Windows NT. Mark Joseph Edwards. Duke Communications, 1997. ISBN: 1882419626. • Microsoft Windows NT Network Administration Training. Microsoft Educational Services Staff. Microsoft Press, 1997. ISBN: 1572314397. • Pcweek Microsoft Windows NT Security: System Administrator's Guide. Nevin Lambert, Manish Patel, Steve Sutton. Ziff Davis, 1997. ISBN: 1562764578.