docaus Erfahrung wird man klug
download 
Report Transcription
aus Erfahrung wird man klug
Institut für Internet-Technologien und -Anwendungen Schulung Informationssicherheit HSR Hochschule für Technik Rapperswil, Dienstag, 5. April 2005 Internet-Sicherheit – aus Erfahrung wird man klug Prof. Dr. Peter Heinzmann Institut für Internet-Technologien und –Anwendungen, Fachhochschule Ostschweiz, Standort Rapperswil (ITA-HSR) und cnlab Information Technology Research AG [email protected], www.cnlab.ch Anhand ausgewählter Beispiele werden verschiedene Sicherheitsaspekte diskutiert, welche im Medizinalumfeld von Bedeutung sein könnten. Unter anderem wird folgenden Fragen nachgegangen: •Was riskiere ich mit Internet? •Welche Schäden verursacht Spyware? •Wieviel kostet mich SPAM? •Wie gefährlich ist WLAN? •Wieso verschlüsseln wir unsere Mails nicht? •Wird alles noch schlimmer mit Voice-over-IP? •Welches ist das Schwächste Glied in der Kette - Mensch ... Applikationssicherheit 1 ita.hsr.ch Institut für Internet-Technologien und –Anwendungen www.cnlab.ch Fachhochschule Ostschweiz, Hochschule für Technik, Rapperswil (HSR) • Elektrotechnik (195) • Informatik (136) • Maschinenbau (103) • Gartenbau (93) • Raumplanung (68) • Bauingenieurwesen (65) 660 Students (44% FHO Students) ITA-HSR: Institut für InternetTechnologien and -Anwendungen 05.04.2005 • 1997 HSR spin-off • 10 Mitarbeiter • Internet Sicherheit (PGP) • Internet Spezialanwendungen • Internet Qualitätsmessungen 2 2 Elektronisches Gesundheitswesen • • • • • • • elektronische Patientenakte elektronische Rezept elektronische Arztbrief elektronische Gesundheitskarte qualifizierter Gesundheitsberatung Gesundheitsportale ... 05.04.2005 3 Einsatz der Gesundheitstelematik. Der Begriff umfasst das gesamte Spektrum der Anwendungen von Telekommunikation und Informatik – verkürzt: Telematik – im Gesundheitswesen mit seinen unterschiedlichen praktischen Anwendungsfeldern. http://www.dimdi.de/de/ehealth/karte/ Ab 2006 wird die elektronische Gesundheitskarte die bisherige Krankenversichertenkarte ersetzen. Die Gesundheitskarte wird technisch so entwickelt sein, dass sie in der Lage ist, neben ihren administrativen Funktionen auch Gesundheitsdaten verfügbar zu machen. Hierfür ist es erforderlich, die Gesundheitskarte als Mikroprozessorkarte auszugestalten, die geeignet ist, Authentifizierung (elektronische Identitätsprüfung), Verschlüsselung und elektronische Signatur zu ermöglichen. Die Karte soll dazu beitragen, die Qualität der medizinischen Versorgung von Patientinnen und Patienten zu verbessern. 3 Ziele • Begriff „Internet Sicherheit“ – Sie können erklären, was unter dem Begriff „Sicherheit“ zu verstehen ist. • Werte, Bedrohungen, Verletzlichkeiten (Risiken) – Sie können Beispiele zu „Risikofaktoren“ geben. – Sie können Risiken klassieren: Werte, Bedrohung und Verletzlichkeiten abschätzen. • Abwehrmassnahmen – Sie kennen grundsätzlich verschiedene Abwehrmassnahmen. 05.04.2005 4 4 Internet Geschichte (named host count) 350'000'000 Jan 1995: 5Mio Rechner, Jan 2000: 72 Mio Rechner 300'000'000 Jan 2005: 318 Mio Rechner 250'000'000 200'000'000 (Sept 2000: 112‘912 Domains in .ch Jan 2002: 533‘902 Rechner in der Schweiz; 45% der CH-Bevölkerung nutzen das Internet mindestens einmal pro Woche ) 2005: VoIP verbreitet 2000: P2P (Napster) 96: Microsoft bekennt sich zu Internet 95: Java-Programme für Browser 150'000'000 100'000'000 93: WWW Browser 50'000'000 80: TCP/IP wird 91: WWW am Cern Standard 68: ARPAnet 0 Jan 80 Jan 85 Jan 90 Jan 95 05.04.2005 Jan 00 Jan 05 5 http://www.michaelkaul.de/Geschichte/zakon/zakon.html 5 Sicherheit • Der Schweizerische Apothekerverband lanciert im April 2005 die Plakatkampagne 'Wählen Sie ihre Hausapotheke'. Die Apothekerschaft macht darauf aufmerksam, dass eine regelmässige, persönliche Beratung in der Apotheke die Sicherheit für die Patienten verbessert und die Gesundheitskosten senken hilft. 05.04.2005 6 Die Apotheke führt für jede Patientin und jeden Patienten ein Patientendossier, welches nicht nur die aktuellen Medikamentenbezüge festhält, sondern beispielsweise auch Unverträglichkeiten oder bisherige Erfahrungen mit einer Medikamentengruppe auflistet. So können die Fachleute der Hausapotheke jederzeit zuverlässig auf individuelle Bedürfnisse eingehen und können die Medikamente optimal auf die Patientinnen und Patienten abstimmen. http://www.presseportal.ch/de/story.htx?firmaid=100004115 6 Chat: Was heisst für Sie „Sicherheit“ und wie wird sie durch das Internet beeinflusst? • Kein Schaden an Leib und Gut – Gesundheit > ein Flugzeug stürzt ab, kein Wasser, kein Strom, keine Ambulanz, ... – Vermögenserhaltung > Home-Banking, Druckkostenabrechnung • Kein „Verlust“ wichtiger Daten – Meine Ferienphotos gehen nicht verloren > Virus, Disk crash (und kein Backup) – Meine Daten kommen in falsche Hände > e-Mail • Kein Verfügbarkeitsprobleme – Meine Rechner/Geräte sind nicht verfügbar. – Arbeitszeitverlust • Kein „Ärger“ – Medienwirbel, politische Diskussionen • ... 05.04.2005 7 7 “kriminelles” Potenzial im Internet: weltweit 318 Mio Hosts, >1 Mia Users (01/05) Private Verkauf, Shops ISP xyz.ch 05.04.2005 Geschäfte, Verwaltung 8 The Internet is a global system with •local law (e.g. computer security, data protection law) •with various techno-political environments •with an almost unlimited number of „guests“ Key points in the Internet situation are •increased complexity •increased dependency (as a person, as a company, as a state) •increased difficulty to separate (network sections, users) Reference to Internet Statistics (Internet Domain Survey): •http://www.isc.org/ds/ •http://www.gvu.gatech.edu/user_surveys/ •Worldwide Internet Population 2004: 934 million (Computer Industry Almanac) http://www.clickz.com/stats/big_picture/geographics/article.php/151151 8 „Kriminelles“ Potenzial: 1.40 1.20 Anzahl Diebstähle pro 1'000 Einwohner 1.00 0.80 0.60 >> Millionen Internet Einbrüche pro Jahr 0.40 0.20 0.00 1994 1995 1996 1997 1998 1999 05.04.2005 2000 2001 2002 2003 9 Verurteilungen nach ausgewählten Straftaten Bundesamt für Statistik, Strafurteilsstatistik, Statistisches Lexikon der Schweiz, Stand 12.8.04 9 „Werte“ bei der Datenübertragung und Datenspeicherung forge , modify Integrity Alice Availability Bob A --*-> B Reputation A ---> B “sicherer Bereich” Legal compliance Confidentiality (Privacy) read, sniff, eavesdrop Eve 05.04.2005 Flooding, denial of service “sicherer Bereich” Authenticity fake, replay, „A“ ***> B masquerade, Hijack, reroute, spoofing Man-inthe-Middle Fred 10 •Availability: attack that directly inhibits a user (human or machine) from accessing a particular system resource •Confidentiality: attack that can directly steal information from a system •Integrity: attack that can directly change the information residing on or passing through a system •Authenticity: attack where the originator of the message is incorrect (Identity Confidentiality, Integrity and Authenticity is sometimes abbreviated as “CIA” Theft) System Control / Security Protection: attack that gives the attacker privileges in a system (e.g. allows a hacker full control of a system “gain superuser access” or allows a hacker partial control over a system "gain user access“) The types of attacks can be classified into passive attacks (eavesdropping, traffic analysis) and active threats (modification, masquerade/replay, flooding). 10 Was riskiere ich im Internet? Risiko = Wert . Bedrohung . Verletzlichkeit 11 Welches Risiko sollen wir eingehen? . Risiko = Schaden WSK Zwischenfall = Schaden . Bedrohung . Verletzlichkeit Cost Overall cost Value of system to be protected assets, values Cost of security measures data security measures Cost of incidents threats Security level vulnerability unprotected 05.04.2005 High level protection 12 Das Bedrohungspotenzial (threat) und die Schwachstellen der Abwehrmassnahmen (vulnerabilities) bestimmen die Gefahr (Wahrscheinlichkeit eines Schadenfalls). Ziel ist es, die Höhe des Schadens bzw. die bedrohten Werte (assets) und die Wahrscheinlichkeit für das Eintreten eines Schadens für verschiedene Situationen abschätzen zu können. Das Risiko ist das Produkt aus „Wahrscheinlichkeit eines Schadenfalls“ mal „Schadensumme“. Allerdings kann das Risiko selten in Franken angegeben werden; ein Vergleich bzw. ein Abwägen der Risiken in verschiedenen Situationen ist aber meistens möglich. Das Risiko kann auf verschiedene Arten reduziert werden. Man kann versuchen die Bedrohung und/oder den eintretenden Schaden zu reduzieren. In der Regel wird aber vor allem versucht, den Erfolg eines Angriffs (bzw. einer Bedrohung) durch Schutzmassnahmen zu reduzieren (security protection measures). Die Kosten für diese Schutzmassnahmen werden normalerweise umso grösser, je höher der Schutzgrad ist. Der Schaden sollte entsprechend umso kleiner werden, je höher der Schutzgrad ist. Die resultierenden Gesamtkosten dürften demnach bei einem bestimmten Schutzgrad minimal werden. 12 Werte (Assets) 13 Strafgesetzbuch Art. 143: Unbefugte Datenbeschaffung („Hacking-Tatbestand“) Art. 143 1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Zuchthaus bis zu fünf Jahren oder mit Gefängnis bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Art. 143 bis Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Gefängnis oder mit Busse bestraft. http://www.admin.ch/ch/d/sr/311_0/ 05.04.2005 14 Gefängnisstrafe Die kürzeste Dauer der Gefängnisstrafe ist drei Tage. Wo das Gesetz nicht ausdrücklich anders bestimmt, ist die längste Dauer drei Jahre. Zuchthausstrafe Die Zuchthausstrafe ist die schwerste Freiheitsstrafe. Ihre kürzeste Dauer ist ein Jahr, die längste Dauer 20 Jahre. Wo das Gesetz es besonders bestimmt, ist sie lebenslänglich. 14 Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 http://www.edsb.ch/d/gesetz/schweiz/index.htm Art. 7 Datensicherheit 1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. 05.04.2005 15 15 Strafgesetzbuch Art. 179: Strafbare Handlungen gegen den Geheim- oder Privatbereich Art. 179septies Missbrauch einer Fernmeldeanlage Wer aus Bosheit oder Mutwillen eine Fernmeldeanlage zur Beunruhigung oder Belästigung missbraucht, wird, auf Antrag, mit Haft oder Busse bestraft. Art. 179novies Unbefugtes Beschaffen von Personendaten Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Gefängnis oder mit Busse bestraft. http://www.admin.ch/ch/d/sr/311_0/a179novies.html 05.04.2005 16 SR 311.0 Schweizerisches Strafgesetzbuch, Zweites Buch: Besondere Bestimmungen Dritter Titel: Strafbare Handlungen gegen die Ehre und den Geheim- oder Privatbereich 16 Werte (Kosten) Example: Meridian Mail PABX TVA (PABX) Voice Mail 055 / 222 xx xx Meridian Mail Services • Call back function • Call forward function • ... 05.04.2005 17 Meridien ist ein in der Schweiz weit verbreitetes Haustelefonzentralen-System (Private Automated Branch eXchange, PABX). Meridien Mail bietet unter anderem Funktionen an wie Anrufbeantworter, Rückruffunktion, RufWeiterleitung an eine frei wählbare Nummer. 17 Normale Destinationen (in 1'000 Taxminuten, Juli 2000) Germ any 21% Res t of World 25% Netherlands 2% http://google.com/bin/ query?p=PBX+hacking+ Voice+system+Meridian France 17% Spain 3% Destinationen nach PABX-Voicemail-Fraud Aus tria United Kingdom 5% United States 7% 5% (in 1'000 Taxminuren, Umsatz > Fr. 1'000.00) Italy 15% Damage up to 100kCHF/Month Nigeria 22% (11kCHF/Month) Andere (59) 29% Senegal 14% Mali 2% Mongolia 2% Cameroon 2% 05.04.2005 Pakistan 8% Monaco 2% Côte d'Ivoire 3% Egypt 3% Marocco 4% Nepal 4% Bangladesh 5% 18 Veröffentlichung des Meridian Mail Hacks: http://packetstorm.securify.com/voicemail/mer-ninj.txt http://www.hackcanada.com/homegrown/augsburg_mm.txt http://google.yahoo.com/bin/query?p=PBX+hacking+Voice+system+Meridia n 18 Bankraub als Cybercrime 17.03.2005, http://www.heise.de/security/news/meldung/57633 • Bankräuber wollten in London umgerechnet 300 Millionen Euro erbeuten - ohne die Bank auch nur zu betreten • Geld auf zehn Konten in Israel und anderen Ländern überweisen • britiscen National Hi-Tech Crime Unit konnte Coup zu vereiteln, bevor der Bank finanzieller Schaden entstand • Zugang zum Computersystem der japanischen Bank Sumitomo Mitsui in London erlangt • Fernsehsender BBC berichtet Festnahme eines Manns in Israel, der einige der Überweisungen entgegennehmen sollte • Gemäss Financial Times beschafften sich Cyber-Kriminelle mittels Key-Logger Account-Daten und Passwörter von Bankmitarbeitern • Bislang noch unklar, ob die Angreifer physischen Zugang zu den Büros der Bank benötigten, um die Key-Logger zu installieren 05.04.2005 19 Yeron Bolondi was arrested for money laundering and deception Police in London say they have foiled one of the biggest attempted bank thefts in Britain. The plan was to steal £220m ($423m) from the London offices of the Japanese bank Sumitomo Mitsui. Computer experts are believed to have tried to transfer the money electronically after hacking into the bank's systems. A man has been arrested by police in Israel after the plot was uncovered by the National Hi-Tech Crime Unit. Unit members worked closely with Israeli police. The investigation was started last October after it was discovered that computer hackers had gained access to Sumitomo Mitsui bank's computer system in London. They managed to infiltrate the system with keylogging software that would have enabled them to track every button pressed on computer keyboards. http://news.bbc.co.uk/1/hi/uk/4356661.stm 19 Distributed Denial of Service (DDoS) Attacke Router Firewall Denial-of-Service Attacks, 7.2.2000 Router Internet Router Web Router Web Router Switch Router Firewall Switch Firewall 05.04.2005 20 DDoS-Tools: •Trinoo / Trin00 (Juni/Juli 1999) •TFN (Tribe Floot Network) (Juli/August 1999) •Stacheldraht (Sommer 1999) •Trinity (Herbst 1999) •Shaft (November 1999) •TFN2K (Dezember 1999) •Mstream (April 2000) •... Weitere Informatinen zu den DDoS Tools: •http://www.sans.org/infosecFAQ/threats/DDoS.htm •mstream: http://staff.washington.edu/dittrich/misc/mstream.analysis.txt •http://clinton.cnn.com/2000/TECH/computing/02/09/cyber.attacks.02/index.htm l •http://www.computerchannel.de/news/ticker/viren_sicherheit/2326.phtml 20 Distributed Denial of Service Attack • eBay, Yahoo, … DDOS • VOX 2001 – Verwundbarkeit der „neuen Internet Firmen“ – FBI eingeschaltet – Verursacher und deren Motive noch unklar 05.04.2005 21 Amazon.com sold books for 580 Mio USD in 1Q2000. The loss in sales for one hour downtime of www.amazon.com was in 2000 appr. 270 kUSD/h = 580 Mio USD / 3*30*24h 21 Beispiel: SPAM (Arbeitszeitverlust) Alle Mails MailServer (Postfix) E-Mails mit gültigen Adressen Virenscanner E-Mails (ohne VirenAttachment) Spam- „clean“ Mails Filter (Spamassassin) SPAM tagged SPAM Viren Ungültige Empfänger 05.04.2005 22 22 80% 75% 46% ungültige Adressen 70% 65% 60% 55% 10% Virenmails 50% 45% 40% 35% ungültige Adressen 30% 31% SPAM 25% Viren behaftet Clean (mit Spam Assassin) 20% Clean ( (mit Brightmail) 15% 10% 5% 13% „Clean“ Mails 0% 1 2 05.04.2005 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 23 23 SPAM-Kosten Kalkulator 05.04.2005 http://www.open.ch/de/services/spamcalc.html 24 Finden Sie heraus wie sich Spam auf die Finanzen und Produktivität Ihrer Unternehmung auswirkt. Füllen Sie Felder 1-5 mit den entsprechenden Zahlen und clicken sie auf 'Spamkosten Berechnen'. Diese Kalkulation ist nur eine Schätzung und bezieht keine Kosten ein, welche durch verschwendeten Speicherplatz, Bandbreite und IT Personal entstehen. http://www.open.ch/de/services/spamcalc.html 24 Bedrohungen (Threats) 25 Threats (Bedrohungen): Wer will meine Werte? Wer will mein System attakieren? • Hacker mit Spieltrieb • Bösartige Hacker (Cracker) • Fehlerhafte Software • Frustrierte Angestellte • Konkurrenz • Journalisten • … 05.04.2005 • • • • • • Geheimdienste Staat Terroristen Natur, Wasser Feuer … 26 26 The „Hacker’s Cycle“ Wahrscheinlichkeit, dass Verletzlichkeit ausgenutzt wird Verfügbarkeit einfacher Programme, welche die Verletzlichkeit ausnutzen (Script Kiddy Phase) Verletzlichkeit wird allgemein bekannt in News/WWW/ Mailinglisten/Chats (Hacker Phase) Insider knowledge Tage ... Jahre Monate Zeit 05.04.2005 27 Das typische Muster im Bereich Internet Sicherheit sieht so aus, dass Verletzlichkeiten von Systemen zuerst nur Insidern bekannt sind. Häufig gelangen die Informationen über die Verletzlichkeiten nach Tagen oder Jahren an die Öffentlichkeit (z.B. aufgrund von Indiskretionen, per Zufall, durch frustrierte Mitarbeiter, …). Dort wird dann beschrieben, wie man die Schwachstelle ausnutzen kann, um ein System zu beeinflussen. Man spricht in diesem Zusammenhang von Exploits. Meistens sind spezielle Informatik/Netzwerk-Kenntnisse erforderlich (Hacker-Know-How), um diese Verletzlichkeiten für den Zugang oder die Beeinflussung der betroffenen Systeme auszunutzen. In der Regel dauert es aber nur Wochen bis Monate, bis jemand einfache „Clickand-Drag“-Programme entwickelt, mit welchen eine allgemein bekannt gewordene Verletzlichkeit auch ohne spezielle Informatik-Kenntnisse (Script Kiddies) ausgenutzt werden kann. Entsprechend der Anzahl der potenziellen Nutzer der Verletzlichkeit, steigt in den drei Phasen die Wahrscheinlichkeit, dass jemand die Sicherheitslücke ausnutzt, um auch Ihr System zu kommen. 27 Example Insider Knowledge: Flight Simulator on Microsoft Excel How to Work: 1: Open a new Worksheet and Press F5. 2: Type "X97:L97" and press Enter. 3: Press the Tab key, Hold down Ctrl & Shift and left click the Chart Wizard toolbar icon. 4: Use the mouse to move around – Left button reverse thrust, Right button forward thrust. 5: Look around carefully to find the Shrine with the programmers messages and the Blue Lagoon ! http://www.eeggs.com 05.04.2005 28 28 Beispiel Veröffentlichung: Security Information Resources • Information Providers: NTBugtraq, SecurityFocus, NIST, eSecurityOnline, MITRE • Incident Response Teams: CanCERT, CERT/CC, FedCIRC, DOE-CIAC • Tool Vendors: eSecurity, Inc., BindView, NFR Security, The Nessus Project, nCircle, ISS, infoAssure, Inc., PGP Security / Network Associates, Symantec, Harris, Cisco • Software Vendors: IBM , Red Hat, Sun Microsystems, Microsoft • Intrusion Detection Experts: Veridian, SANS, Silicon Defense • Network Security Analysts: SANS, Genuity • Security Services Vendors: Ernst & Young, IBM Research, Intranode • Other Security Experts: National Security Agency (NSA), Zero-Knowledge Systems • Academic / Educational Matt Bishop (UC Davis), Pascal Meunier (CERIAS), Alan Paller (SANS) • Journals, News-Services – http://www.heise.de/security/ 05.04.2005 29 Most active security organizations may be found looking at members of the CVE Editorial Board. The CVE Editorial Board includes representatives from numerous securityrelated organizations such as security tool vendors, academic institutions, and government, as well as other prominent security experts. Refer to the CVE Editorial Board page for a complete list of member organizations. http://www.cve.mitre.org/board/boardmembers.html 29 Computer Emergency Response Team Coordination Center (CERT/CC) • Spiegel TV /VOX 2000, 1:39 • Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz“ – 1995: 2‘400 incidents CERT3.wmv 05.04.2005 30 The CERT® Coordination Center (CERT/CC) is a center of Internet security expertise, located at the Software Engineering Institute, a federally funded research and development center operated by Carnegie Mellon University. Es mussten bereits Operationen verschoben werden, weil die Gesundheitsdaten nicht mehr sicher korrekt waren. 30 Beispiel „Tools“: Sniffer, Analyser (Ethereal, Packetyzer) 05.04.2005 31 A number of tools exist to perform real-time network packet capture. Some of the key features include real-time capture at wire speed, viewing and browsing the capture data in details, filtering of captured packets based on specific protocol or target network addresses, exporting of capture traces in various formats to be able to share the finding, printing capture in hex, text formats with frame number, etc. Ethereal: Ethereal is a free network protocol analyzer for Unix and Windows. Support for numerous operating systems: WinNT, Win2000, Linux, Solaris, HPUX, etc. http://www.ethereal.com Packetyzer: Packetyzer from www.packetyzer.com is an open source Windows user interface for the Ethereal packet analysis engine. Information on Ethereal is available from www.ethereal.com. Others: Network Associates' Sniffer™ products (since 1988), Acterna (WWG DominoNAS, Fireberd DNA), Spirent Communications (Netcom Systems), WildPackets' EtherPeek, NetXray™, snoop, Shomiti Surveyor, AIX's iptrace, Microsoft's Network Monitor, Novell's LANalyzer, RADCOM's WAN/LAN Analyzer, HP-UX nettl, etc. 31 Vandals, Script Kiddies, Thieves and Spies Motivation Nationales Interesse Spion Persö Persönlicher Gewinn Dieb Trespasser Persö Persönliche Profilierung Neugier Vandal ScriptScript-Kiddy 05.04.2005 Author Hacker / Experte Expertise and Resources Profi / Beauftragter 32 The security threat is changing dramatically and customers need to be cognizant of the implications for their security strategies in the years ahead: namely, that vigilance and agility will remain key, and a comprehensive approach to security will continue to be required. A set of “profiles” of various participants in the hacker community, is derived from actual data gathered by Microsoft researchers and engineers who are working with national law enforcement agencies in the US. They are based on numerous real-life incidents (the details of which Microsoft cannot disclose publicly) where the perpetrators are either known or reasonably well-guessed. The threat situation can be structured by various levels of “motivation” (from “Curiosity” to “National Interest”) and “expertise and resources” (from the entry-level “Script-Kiddy” to the formidable “Specialist”). •The “Vandal” is the person who, for example. hacks into a poorly-protected Web site and defaces the content. In terms of total hacking effort – in other words, the total number of participants, total hours spent and so on – Vandals constitute the largest group, or area of activity. •“Trespassers” are more capable than Vandals and they’re motivated by ego and a sense of personal fame. Their intentions are relatively benign, but they can cause significant problems. The hackers who create many of the worms and viruses that make news usually fall into this category. Because their attacks create huge amounts of traffic and sometimes Denial of Service attacks, their actions can result in serious material damage to computer users, businesses and other organizations. However, they often do not include seriously harmful “payloads” that destroy data or enable theft. •The “Author” is the highly-capable hacker who has the tools and expertise to reverse-engineer a patch and write exploit code, or find vulnerabilities in security software, hardware, or processes. Authors are generally motivated by ego, ideology, and/or personal fame. Authors create the building blocks for criminal hackers, and their work scales out in all directions. For one, the tools and code they produce are usually made readily available to the less-sophisticated, meaning that the Vandals and the Script-Kiddies are able to cause a lot more trouble with less work. •The “Thieves” are people who are in it for the money, and they include organized crime syndicates from around the world. Thieves are active and effective in hacking into corporate and enterprise systems, sometimes to steal information that has monetary value (such as credit card numbers), sometimes to divert cash into their accounts, and sometimes to extort payments to prevent their systems or data from being exposed to the public. It’s impossible to calculate the losses caused by thieves because their work is often not publicly reported. Law enforcement agencies around the world are beginning to address the problem seriously. The greatest financial losses will be incurred because of Thieves. Cyber-theft is the fastest-growing threat in security. The Thieves benefit from the author’s efforts. This makes the Author a very interesting person to law enforcement organizations, who play an increasingly important role in helping to combat criminal hackers. •The “Spies,” who work on behalf of governments, are highly skilled, and have virtually unlimited resources. And the largest expenditures on protection – building strong defenses – are made, not surprisingly, by the Spies. [Source: Microsoft] 32 Criminal use of Botnets • Botnet = network of compromised machines that can be remotely controlled by an attacker, used for – transmitting SPAM – identity theft – stealing sensitive information (password/credit card number/traffic sniffing) • Botnet tracking with honeynet (Dec 04 – March 05) – found 100 botnets with up to 50‘000 hosts – Found 230‘000 unique host addresses – Monitored 226 Distributed denial-of-service (DDoS) attacks against 99 unique targets Ref: http://www.honeynet.org „Know your Enemy: Tracking Botnets“ 05.04.2005 33 Botnets sind Zusammenschlüsse aus meist privat genutzten Rechnern, die über das Internet ferngesteuert werden. Da der Benutzer die Kontrolle über die PCs verloren hat, werden solche Computer auch als "Zombies" beschrieben. Die Zombies fangen sich das Schadprogramm über Sicherheitslücken in der Netzwerkanbindung oder über E-Mail-Anhänge ein. Die Angriffe auf die Maschinen kommen vor allem über die üblichen Ports löchriger Windows-Dienste wie NetBIOS und RPC. Auch die üblichen verdächtigen Bots wie "Agobot", "Phatbot" oder "SDBot" sind weiterhin unterwegs. Die Bots werden überwiegend per IRC gesteuert. Honeynet-Betreiber versuchen, die Botnet-Aktivitäten zu verfolgen und zu verstehen. http://en.wikipedia.org/wiki/Botnet 33 Verletzlichkeiten (Vulnerabilities) und Gefährdungen (Exposures) 34 Welche Verletzlichkeiten gibt es? Tempest Memory Display Search: meier Programm (perl) Keyboard Keyboard Sniffer Disc Webserver cgi data OS/Application Operating System Vulnerabilities Buffer Overflows Hardware Network / WLAN Sniffer Network 05.04.2005 35 Das vereinfachte Schema eines vernetzten Systems zeigt verschiedenste mögliche Angriffspunkte, um an Daten auf dem System heranzukommen, das System ausser Betrieb zu setzen oder generell den Ruf der Organisation zu schädigen. Zugang über Netze ermöglicht „anonyme Attacken“, welche von irgend einem Punkt der Welt aus gestartet werden können. Verletzlichkeiten können "local" oder "remote" ausgenutzt werden. Man spricht in diesem Zusammenhang von “exploitable range”, “local attack” und “remote attack”. •An attack is defined as a “local attack” if an attacker has physical access to the system or if he legally telnets to a host and then initiates an attack on that host. The attack is local because the attacker did not attack the telnet server itself but a component only visible to logged in users. •An attack is defined as a “remote attack” if the vulnerability can be launched across a network against a system without the user having previous access to the system. Angreifer, welche physischen Zugang zu Systemen haben, können mit grosser Wahrscheinlichkeit auch in das System einloggen oder Daten davon kopieren. Allerdings muss sich der Angreifer vor Ort auch sehr stark exponieren. Eine möglichst ganzheitliche Betrachtung der Security-Problematik ist stets angezeigt. So sind beispielsweise im vereinfachten Schema auch die Verbindung zwischen Keyboard und PC (HWKeyboard Sniffer) oder der unter dem Begriff „Tempest“ zusammengefasste Bereich verschiedenster Formen von Signalabstrahlungen (z.B. Bildschirme) wichtig. Auch temporär im Memory abgespeicherte und manchmal nicht mehr entfernte Daten können von Bedeutung sein. Bei den verschiedenen Anwendungen ist zu beachten, dass man nicht „durch diese hindurch“ auf andere Anwendungen gelangt, wenn spezielle Eingaben gemacht werden, an welche der ursprüngliche Programmierer nicht gedacht hat. 35 Voice over IP (VoIP) Phase 2b Plane Old Telefone System (POTS) Phase 3 Gateway Gateway Phase 2a ISP Gateway Phase 1 Cordless Phone Hard Phone 05.04.2005 Soft Phone 36 •IP-Telefonie Phase 1: Telefonieren von Internet-PC zu Internet-PC ist seit etwa 2000 mit einfachen, frei verfügbaren Programmen möglich. Im einfachsten Fall reicht eine kostenlose Software (z.B. Internet Messenger, Skype, Iphone von freenet, global iphones) und ein Kopfhörer mit Mikrofon. Es gibt keinen Übergang zum POTS. •IP-Telefonie Phase 2a: Einsatz von VoIP im internen Netz, um Haustelefonzentralen zu ersetzen. Anstelle der Haustelefonzentrale (PBAX) wird ein VoIP-Zentrale mit Gateway zum normalen Telefonnetz (POTS) eingesetzt. •IP-Telefonie Phase 2b: Internet Service Provider (z.B. Cablecom) bieten über ihre Infrastruktur die Möglichkeit, konventionelle Telefone über den InternetAnschluss (Router, Cablemodem) anzuschliessen. Beim ISP gibt es eine VoIPZentrale für den Übergang zum POTS. •IP-Telefonie Phase 3: VoIP wird nicht nur von PC zu PC, sondern auch von PC zum POTS ermöglicht. Die Kunden erhalten eine konventionelle Telefonnummer und sind auch vom POTS aus erreichbar (vgl. Skype). http://www.ndrtv.de/ratgebertechnik/themen/20050116_internet_telephonie.html 36 Ascom Geschäftsbericht 2004 – Wireless Solutions Mit einigen Partnern haben wir die ersten Schritte unternommen für eine langfristige Zusammenarbeit im Geschäftsfeld IP (Internet Protocol) und VoWLAN (Voice over Wireless Local Area Network). 05.04.2005 37 Ascom Wireless Solutions konzentriert sich seit Jahren auf die Entwicklung und Integration von drahtlosen Onsite-Kommunikationslösungen. Die wichtigsten Einsatzgebiete sind dabei das Gesundheitswesen, Alters- und Pflegeheime, Industrie, Hotellerie, Detailhandel und Sicherheitseinrichtungen. Wenn es um Kommunikation innerhalb oder ausserhalb von Gebäuden geht, haben unsere Kunden vielfältige Bedürfnisse. Die Spitallösungen von Wireless Solutions ermöglichen es beispielsweise, dass das Pflegepersonal in kritischen Situationen schneller reagieren kann. Zu unseren Kommunikationslösungen gehören drahtlose Telefoniesysteme, Schwestern-Rufsysteme sowie Messaging- und Alarmierungssysteme. Dabei kommen erprobte Technologien wie zum Beispiel die DECT(Digital Enhanced Cordless Telecommunication)-Technologie zum Einsatz, die jeweils auf die einzelnen Kundenbedürfnisse angepasst und in eine Gesamtkommunikationslösung integriert werden. http://report.ascom.com/de/annual_report_ar_2004/segments_ar_2004/wireless_s olutions_refcase_ar_2004/wireless_solutions_segmentinfo_ar_2004.htm 37 VoIP Security Concerns • What are the security risks you are exposing your organization to when considering Voice over IP (VoIP)? Denial of Service, Toll Fraud, O/S Vulnerabilities, Hacking, Recording, Eavesdropping, Hijacking, Spoofing, Call Forwarding, Call Blocking, Call Logging Loss of use – and resulting loss of business, whether a result of a DoS attack, power failure, or poor management/maintenance of the VoIP systems. 05.04.2005 38 38 Beispiel: Phishing (“Social Enginering”) 05.04.2005 39 Kunstwort aus "passwort" und "fishing". Gemeint ist das "Abfischen von Passwörtern". Die Fälle von Betrugsversuchen durch so genanntes .Phishing. nehmen auch im deutschsprachigen Raum zu. E-Mails, die angeblich von E-Business-Angeboten wie z. B. Ebay oder einer Direktbank stammen, fordern den Benutzer dazu auf, seine Accountdaten zu überprüfen. Klickt der Empfänger auf den in der E-Mail enthaltenen Link, landet er auf einer Webseite, die wie die Originalseiten aussieht . Tatsächlich aber von Betrügern angelegt wurde. Dabei nutzen einige .Phisher. Sicherheitsschwächen von Browsern, wie z. B. die am 18.06.2004 gemeldete Schwachstelle von Opera, mit der die dem Benutzer angezeigte URL manipuliert werden kann. Fällt der Empfänger auf den Bluff herein und gibt bereitwillig Konto- oder Kreditkartennummer, PIN und womöglich eine Transaktionsnummer (TAN) ein, kann der Angreifer selbst auf den Account zugreifen. Da seriöse Anbieter grundätzlich solche Anwendungen nicht mit Emails initieren, wären die Phishing-Attacken eigentlich leicht zu erkennen. In der Schweiz sahen sich in den ersten Monaten des Jahres 2004 Online-Kunden der Basler Kantonalbank, der UBS und der Zürcher Kantonalbank mit dem Thema Phishing konfrontiert. Gemäss Auskunft der betroffenen Banken blieb es beim Betrugsversuch, es sei kein Geld abhanden gekommen. Nach Angaben der Staatsanwaltschaft Bonn gelang es im August 2004 Betrügern, von zwei Postbank-Konten insgesamt 21 000 Euro abzuheben. Ein Kunde bemerkte die unrechtmässige Überweisung von 9000 Euro rechtzeitig und stornierte sie, so berichtet die «Financial Times Deutschland». Im zweiten Fall sei die Abbuchung von 12 000 Euro bei einer bankinternen Sicherheitsprüfung aufgefallen und gestoppt worden. Gemäss «Spiegel» gab es in Deutschland seit Mitte Mai mindestens zehn Wellen von Phishing-Angriffen; in rund vierzig Fällen hätten es die Betrüger geschafft, eine Geldüberweisung auszulösen - bis zu einer Höhe von 50 000 Euro. Zwei Zahlungen seien erst in letzter Minute bei osteuropäischen Banken gestoppt worden. Es sei aber kein Bankkunde geschädigt worden. Die Identität der Betrüger konnte noch nicht festgestellt werden, gemäss «Spiegel» gilt es als sicher, dass es sich um drei unterschiedliche Tätergruppen handelt, die vor allem aus Osteuropa heraus operieren. Die Angriffe gegen die Deutsche Bank und die Postbank hatten ihren Ursprung offenbar in Russland. 39 Info Grabber: Cheap Rolex? 05.04.2005 40 Lockvogelangebote für Rolex-Uhren, Windows Software, Wettbewerbe, … Gefälschte Bestellung, mit falscher MC Nummer und Junk e-Mail am 17.11.04 abgeschickt: •Keine Verschlüsselung •Falsche Kreditkartennummer nicht detektiert •Keine E-Mail-Bestätigung für die Bestellung … wahrscheinlich geht es nur darum, Kreditkarten- und Personen Informatinen zu sammeln. http://www.onlinereplicastore.com/checkout.php 40 Beispiel: Keylogger External KeyGhost • Home Edition: 128,000 Keystrokes $ 89 • Standard: 500,000+ Keystrokes $ 99 • Professional: 1,000,000+ Keystrokes 128 bit encryption $ 149 • Professional SE: 2,000,000+ Keystrokes 128 bit encryption $ 199 Security Keyboards • with KeyGhost hidden inside • all brand name http://www.keyghost.com/ http://www.keylogger.com/iks2000.htm 05.04.2005 41 http://www.keyghost.com/ KeyGhost SX: New compact design. Huge 2,000,000 Keystroke capacity! Store and retrieve approx 12 months worth of typing. Patent Pending triple-speed download. The heart of IKS is a high-performance Win2K/XP kernel-mode driver which runs silently at the lowest level of Windows 2000/XP operating system. You will never find it's there except for the growing binary keystroke log file with your input of keystrokes. All keystrokes are recorded, including the alt-ctrl-del trusted logon and keystrokes into a DOS box or Java chat room. In addition to a flexible and friendly keystroke log viewer, IKS is extremely configurable. We provide an easy-to-use install utility. You can rename the program file, and specify the name and the path of the log file. You only need to copy one file onto the target computer for the logging to take place. 41 Angriff durch Trojaner www.sfspezial.ch 05.04.2005 42 SFSpezial 30.11.04: Dass Wirtschaftsspionage immer mehr vorkommt, zeigt ein Beispiel, in dem jemand den Computer eines Konkurrenten ausspionierte. Dieser Fall ist mittlerweile zu einem Gerichtsfall geworden. 42 Massnahmen (Countermeasures) 43 Welche Schutzmassnahmen soll ich ergreifen? 1. Organisieren: Situation (Schwachstellen) klären, Ordnung schaffen / Komplexität reduzieren, ausbilden, sensibilisieren, Zuständigkeiten klären, Klassieren 2. Sichern/schützen: versichern, verschlüsseln, verdoppeln (Backup) 3. Filtern: Physischer Zugangsschutz, Datenfilter (Switches, Router, Firewall, Virenscanner), „Personenfilter“ (Authentisierung, Passworte) 4. Kombinieren von Massnahmen (multilevel, in-depth security) 5. Überprüfen und reagieren: Angriffe detektieren (Intrusion Detection System, Honey Pot), Security Checks (Tiger Team) 05.04.2005 44 1. Organize • Identify the weakest link on a broad scale • Consider technical, organizational and operational aspects • Define security policy, define responsibilities • Awareness building 2. Protect: Encryption and authentication • Encrypt stored files and transmitted information • At various OSI-Layers: Application data (PGP, SSH, ...), Socket (specific Port / IPAddress Combination, SSL), IP-Connection, Link (Point-to-point e.g. leased line) • Install patches … unplug systems • install recovery procedures (backup, information / media communication) • Informatics, communication, physical (building locking system), fire, employees, .. 3. Limit access, filtered traffic • Physical access, password, firewall, ... • Filter/limit traffic (traffic separation) to specific sections of the network (based on applications, sessions, IP-addresses: IP-subnetting, MAC-Layer Switching • structured cabling 4. Combine multiple security measures • Mulitlevel security, in-depth security 5. Verify, control (detect attacks, check your systems). react and correct • Intrusion Detection, Vulnerability Testing • Security Checks 44 Organization: Security „Life Cycle“ (x-Step Approach) 1: Security Policy (Why?) 2: Risk Analysis 3: Define measures 5: Control measures 4: Implement measures • • • Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutzhandbuch (www.bsi.de) DoD Orange Book (http://www.dynamoo.com/orange/summary.htm) British Standard 7799 (www.bsi-global.com) 05.04.2005 45 Ausführlicheres Beispiel in Zusammenhang mit Internet-Einsatz: 1. Definition von Zielen zur Anwendung des Internet 2. Durchführung einer Risikoanalyse 3. Entwicklung einer Internet-Policy 4. Bestimmung angemessener Massnahmen 5. Implementierung der Massnahmen 6. Prüfung der umgesetzten Massnahmen 7. Aufrechterhaltung der umgesetzten Massnahmen 45 Personal Firewall Protect, Filter, Combine, Control Virus ISP Virus Scan 05.04.2005 Perimeter Firewall Personal Firewall Scan SW Patch xyz.ch Intrusion Detection System (IDS) Honey Pot 46 Im Bereich Internet Sicherheit gibt es verschiedenste technische Massnahmen zur Verbesserung der Sicherheit. Diese basieren beispielsweise auf folgenden Ansätzen: •Einschränkung des Datenverkehrs (Limit, „Wissen nur wenn nötig“): Dies wird beispielsweise durch Router und Firewalls erreicht. Im weiteren Sinne könnte man aber auch die Zugangsregelung mittels Benutzername/Passwort dazu zählen. Im weiteren Sinne ist auch die Überprüfung und allfällige Löschung von Daten bei Viren-Scannern eine „Filterungsmassnahme“. •Verschlüsselung und Authentisierung: Hier stellt der mittels https bzw. Secure Socket Layser (SSL) gesicherte Webzugang die wichtigste Massnahme dar. Die Authentisierung spielt aber auch in Zusammenhang mit Benutzername/Passwort Zugang eine Rolle. •Kontrolle: Intrusion Detectsion Systeme (IDS) oder Honey Post sollen helfen, trotz aller Schutzmassnahmen erfolgte Einbrüche zu detektieren. 46 Massnahmen Verschlüsselung und Filtern im ISO-OSI-Modell Encryption Application Presentation Session Transport HTTP, FTP, Telnet, nntp, smtp, snmp, HTTPS, SSH, e-mail (S/MIME, PGP), .. IP IPsec, VPN Datalink Ethernet, Token Ring, ... Physical Wireless LAN, Link Encryption 05.04.2005 Application Access (Passwords) Application Level Filtering (Proxy) Firewall TCP, UDP Secure Socket Layer (SSL) Network Filtering Stateful Inspection Secure Router MAC Switching, VLAN Cabling 47 -Einordnung von Sicherheitsmechanismen zu den verschiedenen Schichten im ISO-OSI-Modell 47 Secure Socket Layer (SSL) (https://server.xyz.ch) WWW-Client WWW-Server HTTP-Server Browser Server Signer SSL Server SSL supports • Confidentiality, Integrity • Server Authentication • optional Client Authentication 05.04.2005 48 An SSL session is initiated as follows: • On the client (browser) the user requests a document with a special URL that commences https: instead of http:, either by typing it into the URL input field, or by clicking on a link. • The client code recognizes the SSL request and establishes a connection through TCP port 443 to the SSL code on the server. • The client then initiates the SSL handshake phase, using the SSL Record Protocol as a carrier. At this point, there is no encryption or integrity checking built in to the connection. The SSL protocol addresses the following security issues: •Privacy After the symmetric key is established in the initial handshake, the messages are encrypted using this key. •Integrity Messages contain a message authentication code (MAC) ensuring the message integrity. •Authentication During the handshake, the client authenticates the server using an asymmetric or public key. It can also be based on certificates. SSL requires each message to be encrypted and decrypted and therefore has a high performance and resource overhead. 48 SSL 2.0 setup (without Session Identifier) WWW-Client WWW-Server ClientHello C C Key exchange (CipherSpecs, C=Challenge) ServerHello S Server X.509 Certificate CA S Km ClientMasterKey: Km encrypted with PK Km ID ClientFinish: ID encrypted with Kc=f(Km) ID C IDnew Encrypted session ID (CipherSpecs, ConnectionID) ID Encrypted Data C ServerVerify: C encrypted with Ks=g(Km) ServerFinish: IDnew encrypted with Ks Application Data symmetrically encrypted with „Ks“ CA IDnew Encrypted Data 05.04.2005 49 Kipp E.B. Hickman (Netscape Communications Corp.), „The SSL Protocol SSL 2.0 PROTOCOL SPECIFICATION“, original version NOVEMBER 29TH, 1994, Last Update: Feb. 9th, 1995. http://home.netscape.com/eng/ssl3/ssl-talk.html The first phase is the initial connection phase where both parties communicate their "hello" messages. The client initiates the conversation by sending the CLIENT-HELLO message. The server receives the CLIENT-HELLO message and processes it responding with the SERVER-HELLO message. The connection-id (ID) is a randomly generated value generated by the server. The connection-id is used by the client and server during a single connection. The client generates the master key (K) and responds with a CLIENT-MASTERKEY message (or an ERROR message if the server information indicates that the client and server cannot agree on a bulk cipher). The Commands are given for an SSLv2.0 connection, assuming no predefined session identifier. When something is enclosed in curly braces "{something}key" then the something has been encrypted using "key". C -> S: client-hello challenge, cipher_specs S -> C: server-hello cipher_specs connection-id, server_certificate, C -> S: client-master-key {master_key}server_public_key C -> S: client-finish {connection-id}client_write_key S -> C: server-verify {challenge}server_write_key S -> C: server-finish {new_session_id}server_write_key http://home.netscape.com/eng/security/SSL_2.htmL 49 E-Mail Sicherheit Organizational, operational problems Internet Mail Client Mail Server 1 Mail Server 2 Attack Servers or Clients Router Router Router Router [email protected] [email protected] Maliciuous attachments (availability) Router Mail Absender fälschen (authenticity) 05.04.2005 Fremde Mails lesen (confidentiality) Fremde Mails fälschen (integrity) 50 1. Basic security issues: •Authenticity: Spoofing, Identity theft A masquerading sender submits unauthorized messages to the SMTP server, Forge „From“ field, send SPAM with your address in the reply field •Confidentiality: Mail sniffing, Wiretapping, Eavesdropping, Reading of confidential messages on the transmission path, on servers •Integrity change mail content •Availability: DoS, Spamming Attachments with virus, Send many (unsolicited) mails, Send volume messages overtaxing resources, send faked content e.g. hoaxes 2. Organizational, operational problems: •Send mail to unintended recipient, Messages sent to unintended parties •policy conformance violations (Message content contains disclosures or provokes legal problems) 3. Mail Services to attack: •Exploit Mail Server vulnerabilities •Install Mail Servers on clients •Use mail for “social engineering” •Exploit mail directories, harvest e-mail addresses (private, public, list servers) 50 E-Mail Verschlüsselung • 1998: The „PGP-Deal“ – E-Mails, File, Disk encryption – US export restrictions – cnlab Software AG develops international version US only 05.04.2005 international 51 51 Demo: Verschlüsselt von Alice zu Bob (Senden) 05.04.2005 52 Wenn einmal die Schlüssel verteilt und installiert sind, ist e-MailVerschlüsselung einfach. 52 Demo: Verschlüsselt von Alice zu Bob (Empfangen) 05.04.2005 53 53 PGP Flop ? (Gartner Flash, 12 March 2002) On 7 March 2002, Network Associates (NAI) has discontinued sales of PGP for encrypting email at the desktop Failure of commercial PGP results from: – NAI past organizational problems – Lack of demand for secure e-mail – Failure to make PGP easier to use and manage 05.04.2005 54 54 Perimeter Filtering Firewall (Screening Router, Packet Filter, Proxy, Deep Packet Inspection) 7 Application 7 6 Presentation 05.04.2005 6 Presentation 5 Session 5 Session 4 Transport 4 Transport 3 Network 3 Network IPDestinationsaddress 152.96.129.3 Application IPSourceaddress 195.65.129.3 Protocol Flags - Type (SYN, ACK, FIN) • 6 TCP • 17 UDP Portnumber • 53 DNS • 80 HTTP • 23 Telnet • ... Datacontent 55 Packet-Filtering Firewalls provide network security by filtering network communications based on the information contained in the TCP/IP headers of each packet. Packet-Filtering Firewalls are also known as “Screening Routers” or “Filtering gateway firewalls”. A deep-packet inspection (DPI) firewall checks also the content of the packet. Packet-Filtering Firewalls use a special rule set to filter IP, TCP, ICMP, and other packets that pass through the network interface. Arriving and outgoing packets are filtered by the type, source address, destination address, and port information contained in each packet. A filtering gateway doesn't require a powerful machine to run on; using an old x468 box and a specialized one-floppy Linux mini-distribution should do the trick. 55 Personal Firewall HTML Memory Application 1 Application 2 Personal Firewall Disc data Operating System Hardware Network 05.04.2005 56 Personal Firewalls provide multiple functions: •Network Security: Residing on each desktop computer, Personal Firewall allows advanced users or network administrators to create packet filter rules that block or limit traffic for specific ports, protocols, or IP addresses, adding a level of control and security found in sophisticated network firewalls. Rules are based on the needs of individual users and the overall security requirements of the organization. •Privacy Protection: Scanning for sensitive information, blocking pop-up windows, filtering out on-line banner ads, and restricting cookies and spyware programs that track browsing habits are functions that reduce the risk of identity theft and help make surfing the Internet much more pleasant. •Intrusion Detection: Potential intruders use various techniques to find out whether a targeted computer is vulnerable to attack. These techniques vary from simple port scanning to more elaborate exploits. A Personal Firewall have a builtin intrusion detection system that identifies and blocks most known attacks. •Application Integrity: Besides upgrades or updates, there is usually no need to modify an application. Some modifications can make your programs report usage information. A Personal Firewall can keep applications from launching independently, being modified for malicious purposes, or starting other applications. [http://www.kerio.com/us/kpf_home.html] 56 Basic E-Mail Setup und SPAM Schutz SMTP Subdirektion Mailserver Zentraler Mailserver VirusScan_2 User Unknown SPAM-Filter_1 VirusScan_1 Blacklists Delete (Trash) SMTP Quarantine POP/IMAP SMTP Tag SPAM-Filter_3 VirusScan_3 Feedback 05.04.2005 Mail Client User Feedback 57 SPAM und Virenschutz wird typischerweise auf den zentralen und auf den Subdirektions Mailsystemen realisiert. SPAM-Mails können direkt gelöscht, oder mit einer Markierung versehen werden. 57 R VD _I N _B L_ S BA U YES PA RI _ M BL 99 C _ D OP SB C _ L R C_ N R RC C C E C VD VD RC VD HE T _H _N VD _IN CK E U _ _ R LO ME IN_ XBL C _ R D VD IP IC S _ _M _ BL R M IN_ IS HE C VD PA NJ MA LO _I RT AB TC N _ L_ H _S AL D O T_ UL FO R RB DI C S FF R V _ G E D R D _ WE _Y CV IN_ B X_ A D S M HO _B BL ES O Y SA _R _IP G CV E_ D H IN H BIZ FO H TM TM _ TM L_ L_ IM HT L_ TLD TA AG M 80 H G E_ L _ _ 9 TM _E R 30 0 A _ L FO _T N XIS TI 40 R EX O_R T_ O_ D GE T_ E TB 02 N D A A O S_ _ F L D FR HO TE _N Y O T M R_ AM M A B E H _A IL_ OD TM H R Y L_ BL_ CV W RH D EB S _B BL U G S C 100% 90% 80% 70% 05.04.2005 Prozentsatz der Spamassasin Regeln, welche bestimmte SPAM Mails detektierten 60% 50% 40% 30% 20% 10% 0% 58 58 Control: Tiger Team, White Hat Hacker, Penetration Testing, ... • Spiegel TV /VOX 2000 • Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz“ – 1994 Pentagon Hack – Pentagon Security Check • • • • 8‘932 Attacken 88% davon erfolgreich 5% davon detektiert Nur 1 of 400 Attacken offiziell weitergemeldet 05.04.2005 59 Anfang 1994 konnte Eindringling kontinuierlich militärische Computersysteme durchbrechen. Er hinterliess keine Spuren. Das Departement of Defence (DoD) beauftragte eine Gruppe – so genanntes „Tiger Team“ – zu versuchen, in die Systeme des Pentagon einzudringen. Die Gruppe führte 8‘932 Angriffe aus: 7‘860 (88%) waren erfolgreich, 320 Angriffe wurden aufgedeckt (d.h. nur 5% der erfolgreichen Angriffe wurden erkannt), 22 Angriffe wurden intern gemeldet (d.h. nur über 0.25% der erfolgreichen Angriffe war das Management informiert worden bzw. einer von 400 Angriffen ist dem Management bekannt). Die Kommentare sind von Winn Schwartau (Journalist und Autor des Buches „Cyberwar“). 59 Example: Security Visualizer 05.04.2005 http://securitycheck.cnlab.ch:8000/ids/ 60 60 Control Dshield.org – Online Monitor of Distributed Intrusion Detection DShield.org is an attempt to collect data about cracker activity from firewalls all over the internet. This data will be cataloged and summarized. It can be used to discover trends in activity and prepare better firewall rules. 05.04.2005 61 DShield provides a platform for users of firewalls to share intrusion information. DShield is a free and open service. If you use a firewall, please submit your logs to the DShield database. You may either download one of our ready to go client programs, write your own, or use our Web Interface to manually submit your firewall logs. Registration is encouraged, but is not required. Everybody is welcome to use the information in the DShield reports and database summaries to protect their network from intrusion attempts. [http://www.dshield.org/] 61 Zusammenfassung 62 So what ... ? 1. Sensibilisieren, Rechtssituation bewusst machen 2. Risiko-Abschätzen (Werte, Schäden und Aufwände vergleichen) 3. Organisatorische, technische und betriebliche Massnahmen ergreifen (z.B. Passwort-Übung) 4. Schutzmassnahmen (auf „Gegner“ angepasst) implementieren 5. Schutz regelmässig überprüfen 05.04.2005 63 63 Chat: Informationskonzept • Notieren Sie für Ihre Geschäftsumgebung, wie wer reagiert, wenn Ihnen am Freitag Abend bekannt gegeben wird, dass am Sonntag ein Artikel in der Zeitung erscheinen wird über einen Hacker-Einbruch in ihr Computersystem. 05.04.2005 64 64 Verschiedene Klassen von Angreifern • Spiegel TV /VOX 2000 • Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz“ – CIA Microchip in Drucker, damit diese geortet werden können. 05.04.2005 65 Der Golfkrieg erlebte Geburtsstunde des Cyberwar. CIA implantierte beispielsweise einen Microchip in Drucker und anderes Computerzubehör. Signale des irakischen Luftabwehrsystems führten dazu, dass die Drucker und Computerzubehör-Einrichtungen wie Niedrigfrequenzsender arbeiteten und dadurch lokalisierbar wurden (d.h. sie lieferten ein Ortungsleuchtfeuer). Und wo ein Drucker lokalisiert werden kann, sind technologisch hoch stehende Anlagen nicht weit entfernt. Chip war von NSA gebaut worden. Chippen: Microchips mit einer versteckten Bombe, die von der US-Regierung ferngesteuert werden können. Winn Schwartau (Journalist): Telefonanlage die in den frühen 70er-Jahren nach Polen verkauft wurde, enthielt ferngesteuerte Sprengkapsel 65 Todays Situation 05.04.2005 66 66
