8. Spezielle Gefährdungen und Anforderungen in

Datensicherheit in Kommunikationssystemen
Gefährdungen und Anforderungen
Im Netz gefangen - vernetzte Gefahren
Passive und aktive Angriffe
Spezielle Gefährdungen (Botnets, Buffer Overflow, Spyware)
Besondere Risiken durch Protokolle
Zusätzliche Bedrohungen:
Angriffe weitaus häufiger als in autonomen Systemen (umso größer, je größer die Teilnehme rzahl)
passive Angriffe:
unbefugter Informationsgewinn durch Abhören der Leitung (Klemmen, Induktionsschleifen, besonders leicht bei Broadcastmedien: LAN usw. sind "inhärent unsicher") bzw.
der Zwischenspeicher (in Routern / Gatesways / Vermittlungsknoten usw.):
intercepcion
dabei Analyse des Verkehrsflusses (bezüglich Häufigkeit und Verbindungen), der Vermittlungs- und der
Benutzer-Informationen:
traffic analysis
(Beispiel „Echelon“: Überwachung des gesamten Datenverkehrs USA – Europa durch NSA wird vermutet)
unerlaubter Zugang:
unauthorized access
unbefugte Nutzung von Kommunikationsdiensten; illegale Übernahme einer von Berechtigten aufgebauten Verbindung.
Beispiele: Erraten/Ausspähen von Paketfolgenummern = sequence-number-guessing),
z. B. bei telnet (zwar schwierig, aber Shareware-Programme verfügbar! Gegenmaßnahme: Verschlüsselung);
„Entführung“ von Browsern, deren Einstellungen so verändert werden, dass ungewollte Werbeseiten/Popups/Links
erscheinen
Gegenmaßnahmen: ActiveX und Plugins deaktivieren, manche Anti-Spyware
Trittbrettfahren/TCP-Hijacking
Ausspähen von Accounts/Kennwörtern:
IP-Sniffing
(z. T. Shareware-Tools für Systementwicklung/verwaltung, z. B. snoop, tcpdump, etherfind;
Gegenmaßnahme in beiden Fällen: dynamische Kennwörter; wirklich sicher ist aber nur vollständige Verschlüsselung)
Umgehen von Sicherheitsmechanismen: Verletzen von Richtlinien (unbefugte Weitergabe u. a.):
penetration
aktive Angriffe:
Manipulation während der Übertragung: Einfügen / Modifizieren / Löschen / Verzögern / Wiedereinspielen / Wiederholen
von Nachrichten und dadurch geplante Aktionen beeinflussen (evtl. auch Rücksendung):
replay
Ändern der Nachrichtenreihenfolge
Aktivitäten unter falschen Namen, z. B. unbefugte Nutzung von Betriebsmitteln:
Maskerade/Impersonation
Beeinträchtigung der Funktionalität, Störung von Kommunikationen (Verhinderung, Unterbrechung, Verzögerung: Verfügbarkeitsverlust),
gezielte Überlastungen, Ressourcenverbrauch (DoS = denial of service bzw. DdoS = distributed DoS), z. B. durch rekursive Prozeduren, oft von gekaperten Rechnern aus:
Überlauf von Prozeßtabellen, mehrfaches falsches Einloggen, Sperren von accounts (Allergie)
(mit die häufigsten Angriffe, Ursache sind oft Software-Fehler).
Weitere DoS-Beisp.:
zu viele/lange Parameterstrings, Kommando-Wiederholungen,
Überfluten des TCP/IP-Stack mit zu vielen nicht abgeschlossenen Verbindungsanforderungen (Netz wartet auf die
fehlenden Datenpakete):
SYN-Flooding
(SYN = synchronize sequence number, Flag im TCP-Header zum Handshake beim Verbindungsaufbau)
Absturz des Zielrechners durch Senden zu langer (fragmentierter) Pakete von Windows aus: z. B. ping -l 65510 host
(inzwischen patches):
ping of death
Ändern der Routing- und Steuerinformationen (wegen broadcast medium nur bei WAN): misrouting
Verleugnung von Kommunikationsbeziehungen (Urheberschaft, Versendung, Empfang):
repudiation
Vortäuschen von Kommunikationsbeziehungen
(gemeinsame Aktivitäten von Sender und Empfänger zum Nachteil Dritter):
feign of data interchange
Zerstörungen:
Sabotage
Vortäuschen einer berechtigten Sender-IP-Adresse (z. B. wird von außen eine interne Adresse vorgetäuscht;
damit der echte Rechner keine Antwort erhält, wird er zum Absturz gebracht oder überlastet;
man in the middle, wenn der Hacker die Antwort erhalten soll;
feste IP-Adresse (z. B. bei DSL stärker gefährdet als dynamische;
Gefahr, wenn Rechner-Authentikation nur durch die IP-Adresse erfolgt (r-Dienste, X Window, RPC, NFS, TCP);
seit 1985 bekannt: Morris, auch Gefährdung von Firewalls):
IP-Spoofing
Spezielle Gefährdungen
0190-Dialer: Wählprogramme, wählen teure 0190-Nummern, um kostenpflichtige Internet-Dienste abzurechnen, meist
über Zwischenhändler (Beispiel: 16-Jähriger produziert 18 TDM Telefonkosten);
werden meist über Downloads, seltener über Mail-Anhänge oder Links eingeschleppt.
Gegenmaßnahmen: ActiveX / Javaskript deaktivieren, Schutzprogramme (z. B. www.dialerschutz.de),
Telefonrechnung nicht bezahlen.
AirSnort in kabellosen Netzen
ARP-Spoofing: ARP (address resolution protocol) ordnet IP-Adresse einer MAC-Adresse zu
(medium access control: physikalische Adresse der Netzwerk-Karte),
Angreifer teilt immer wieder seine eigene Adresse mit (man-in-the-middle-attack)
"ausführbarer Code"
Bluesnarfing: Bluetooth-Empfänger greifen Bluetooth-Handys mit AT-Befehlen an
Bonk
Botnets (Name von „Roboter“) aus für „Dienstleistungen“ manipulierten Rechnern (täglich bis zu 700 000 Computer):
Netze aus vielen Zombie-PCs,
werden durch Würmer / Trojaner (vor allem in Webseiten) / Sicherheitslücken meist über Chat-Kanäle um remote-access-Software für DoS-Attacken erweitert (täglich werden bis zu 13 000 infizierte Seiten ins Netz gestellt) und von
Hacker-Zentrale ferngesteuert (Server oft in der Wolke).
Motive: 780 Mio. $ Werbeeinnahmen (2009; die Zahl der Zugriffe wird bezahlt),
denial-of-service-Angriffe gegen Bezahlung, Ausspähen und Verkauf von Bankdaten.
Beispiele: Waledae;
Schutzgeld-Erpressung (über anonyme Zahlungssysteme), um aus dem Botnetz wieder entlassen zu werden;
„Mariposa“ (infizierte 13 Mio. Rechner, 3 spanische Betreiber werden verhaftet).
Zukünftig wahrscheinlich Konzentration auf 3. Welt, da die Rechner dort weniger geschützt sind.
Aufdeckung durch „Honeypots“ (völlig ungeschützte Rechner) und Botnet-Jäger (analysieren den Angriff,
gleichen IP-Adressen und Zeitstempel ab).
Buffer overflow: Rücksprungadresse für Subroutinen wird vom Hacker durch eigene Trojaner-Adresse überschrieben:
der Trojaner schmuggelt ausführbaren (Malware-)Codes ein (z. B. Überschwemmen mit Anfragen)
Gegenmittel: Zusatzbit (Nr. 63) in Seitentabellen der MMU (memory management unit) wird
auf NX (no execute) gestellt (Athlon 64, bei 32-bit-Rechnern nur im PAE-Modus [physical address extension], bei
Windows XP ab SP2; heißt bei Intel XD (execute disable)
UNIX: Pux, ExecShield, Wax (Workaround: Verwürfeln der Anfangsadressen von Lademoduln,
können dann nicht mehr von Schadprogrammen gezielt angesteuert werden; schlechter als NX)
Carding: Ausspähen geheimer Daten
Clickjacking: Hacker legt unsichtbaren iFrame über die Webseite; wird ein entsprechender Link gedrückt, gelangt man auf
anderen Link im iFrame
Cyberwoozling: Abzapfen von Daten während des Surfens
Drive-by-Virus /-Pharming: Wenn Java oder ActiveX blind zugelassen wird, kann darüber in einer Website oder Mail
durch Downloads Malware aktiviert werden;
es werden Prozesse unter Umgehung des Firewalls gekapert. Beispiel: Gumblar (Anfang 2009).
Google-Hacking: Ausspähen von Daten, die durch unachtsame Links in Google-Datenbanken landen (bis hin zu Kreditkartennummern)
Hoax: Falschmeldung (auch Kettenbrief)
Beispiel: Hurrikan-Hoax 2005 (Phishing-Mail erfragt Bank-Daten von Spendern, gibt sie an brasilianischen Server weiter und leitet erst danach auf echte Rot-Kreuz-Seite
Hostile Applets
Injection Attack durchlöchert Firewalls (schleust Malware zwischen 2 Checksummenprüfungen der Webseiten ein)
Jolt
Key(stroke)-Logger zeichnen Tastatur-Eingaben auf (meist in Trojanern). Gegenmittel: PIN-Pads (Lesegeräte mit eigener
Tastatur) oder:
Eingabe durch Anklicken von Bildschirmfeldern mit der Maus
Land
Nestea
Newtear
Nuking: Eindringen über Port 139 (i. allg. offen)
Out of Band
Pharming (Domain-Spoofing):
Manipulation des DNS-Cache (Poisoning), sodass der Nutzer auf Webseite des Angreifers landet:
Manipulation der Datei hosts (früher in Ordner Windows, jetzt in system32\driver\etc , entspricht /etc/hosts bei UNIX);
sie sollte nichts als „localhost 127.0.0.1“ enthalten und Schreibschutz haben
Phishing: Abfragen persönlicher Daten (PIN/TAN z. B.) durch Vortäuschen offizieller Websites / Mails
Portscan (systematisches Durchprobieren aller Ports: bei entsprechender Reaktion läuft Serverdienst; häufig schlecht in
Software integriert)
Ransomware sperrt Internet-Zugang oder verschlüsselt Dateien; Freigabe oder Schlüssel-Zusendung angeblich erst nach
Lösegeldzahlung
(erfolgt aber tatsächlich meist nicht); 2011 in Sachsen weit über 1000 Anzeigen
Red Button (WinNT) ?
Rootkit: Bausatz, um root-Rechte zu erlangen
Shatter-Attack nutzt aus, dass bei Eingaben an Knöpfen/Schiebereglern/Statuszeilen der Absender nicht authentiziert
wird; u. U. können admin-Rechte erlangt werden.
Snoop-Tools (“Schnüffel”-Software)
Spear Phishing: es werden gezielt bestimmte Mail-Adressen angegriffen und zu einem speziellen Link geführt, bei dem
Schad-Software installiert wird
Spit: Spam over internet telephony (Gegenmittel: SIP = session initiation protocol)
Spyware übermittelt Nutzerdaten z. B. an Werbeträger (oft in Freeware, z. B. Gozilla, Babylon, E-Blaster, Spector) oder
Hacker.
Wird auch in Firmen zur Kontrolle der Mitarbeiter genutzt (legal, sofern private Computernutzung ausdrücklich verboten ist, dann auch Protokollierung erlaubt; Aufzeichnen und Lesen privater Mails ist aber verboten).
Mindestens jeder 3. Computer befallen (andere Schätzung: 90 % der Windows-Rechner,
im Durchschnitt 26 Programme), 2005 mehr Spyware als Viren.
Weitere Beispiele: SpyAgent, BossEveryware, Orvell,
Rogue Spyware („Schurke“: Antispyware, die selbst Spyware ist)
SQL-Injection Attack: Böse Aktivitäten in SQL-Befehlen, die in Webseiten eingegeben werden können,
dient der Abfrage von Informationen (Nutzer und Kennwort o. ä.), z. B. aus einer Datenbank von online-Shops
Syndrop
System-Hooking benutzt System-Programme
Targeting: verhaltensorientiertes Einblenden von Werbung
Teardrop
Terminal-Sicherheit der Chipkarten-Terminals im Handel z. T. nicht gegeben (2012 Software-Fehler aufgedeckt, der das
Auslesen der
Chipkarten im Netz und somit das Herstellen von Kartenkopien ermöglicht)
Treiber-Trojaner: beim Installieren z. B. von Drucker-Treibern können u. U. admin-Rechte erlangt und Trojaner eingeschleust werden
USB-Stick-Hacking ermöglicht das Eindringen in Systeme über USB-Sticks (werden als Laufwerk-Datenträger anerkannt)
Versenden von "redirect"-, "time to live exceeded"-, "destination unreachable"-Paketen
(z. B. in ICMP = internet control message protocol)
Virtuelle Auktionen: Im Netz angebotene Waren werden trotz Bezahlung (Vorkasse) nicht geliefert.
Beispiel: Fakeshop-Bande in Bayern.
Wardriving in WLAN (wireless, 2/3 arbeiten unverschlüsselt): Karten im Internet mit Warchalking (Gaunerzinken)
Winnuke
Abwehr oft durch z. T. sehr spezifische Online-Scans, meist des Task-Managers bzw. von msconfig.exe,
zunehmend auch durch private Ratgeberforen in speziellen Portalen im Internet.
Besondere Risiken durch Protokolle:
r-Kommandos bei UNIX wegen der Möglichkeit, trusted hosts einzurichten (in /etc/hosts.equiv bzw. $HOME/.rhosts , kein
login nötig!)
Telnet (Port 23) zu einfach (alle Übertragungen im Klartext): besser SSH !
IP-Fragmentierung (?)
SMTP: sendmail-Dämon (Kennwort im Klartext)
Bugs auch in neueren Versionen 8.8.x/8.9.x, speziell bei Mail-Relays (Weiterleitung an Verteiler).
Überschwemmen mit unerwünschten Mails: Mail-Bomben/spamming (z. B. Werbesülze)
(gehen auch an nicht existierende, durch Zufallszahlen erzeugte Adressen, kommen zurück;
einige sendmails erkennen nach entsprechender Konfiguration unerwünschte Mails).
Bei Mail-Systemen mit Verschlüsselung schicken Replys evtl. die Nachricht unverschlüsselt zurück.
WORD-Attachments enthalten intern Informationen über Verfasser, Speicherung u. a.
FTP: z. B. ftp-Dämon unter Linux, führte evtl. zu root-Rechten
RPC (remote procedure call) arbeitet ohne Authentikation und Verschlüsselung (ggf. durch Firewall blockieren!)
RIP (routing information protocol bei TCP/IP): Manipulation der Routing-Tabellen
NFS (network file system): Dateizugriff auf Server evtl. ohne Einloggen erreichbar!
sicheres NFS über CODA-FS (seit 1987, verbindungslos, Basis AFS = Andrew file system), jetzt IPsec.
DNS-Spoofing (domain name service zur Zuordnung des Rechnernamen zur Internetadresse: möglich bei r-Diensten
(Authentikation nur über Namen)
und beim Web (URL falschem Rechner zuweisen); Spoofing nur zu verhindern, wenn auch Umkehrung geprüft wird
DNS-Changer (2011) lenkt bei der Ermittlung der IP-Adresse auf einen manipulierten DNS-Server und von dort aus
auf eine Website der Betrüger um.
Mittelse der Kontroll-Seite www.dns-ok.de kann geprüft werden, ob ein korrekter DNS-Server angesprochen wird.
DNS-Smurf ermöglicht Beschuss von Rechnern mit großen Paketmengen
NIS (network information service) ermöglicht evtl. Zugang zur Kennwort-Datei
Portmapper-Angriff (Port 111): probiert alle Ports durch (RPC ohne well-known-ports), für Internet sperren!
X11-Sockets (Hijacking): xhost + gilt für alle X-Server (einzeln autorisieren!), benutzt Ports ab 6000 (für Internet sperren!)
HTTP: Server-Port meist 80 (root-Rechte!),
- Java-Skripts (ggf. im Browser deaktivieren!)
- ActiveX (Microsoft, analog Java-Applets; unsicher, da ggf. Rechte des aktivierenden Nutzers übernommen werden können; analog behandeln!)
- Plug-ins
- Cookies: Browser speichern beim Client Text-Informationen und fragen sie mit Ids für den Server ab (Risiko!),
liefern Informationen über Surfverhalten (eigentlich Spyware der harmloseren Form).
Tracking Cookie identifiziert Nutzer beim Surfen.
Flash-Cookies werden vom Webserver ungefragt abgelegt, wenn der zugehörige Flashplayer installiert ist;
„evercookie“ wird an bis zu 13 Orten im Rechner abgelegt
Beseitigung von Cookies nicht immer leicht (spezielle Software);
Gegenmittel z. B. „Cookie-Cooker“ von TUD: erzeugt viele Ids und wirbelt bei Id-Sammlern die Cookies durcheinander
- Adware (Reklame-Roboter: spielt „legal“ Werbung ein)
- Browser Helper Objects (spielen Werbebanner oder Webseiten ein)
- Browser-Fehler beim Attribut "domain"!
- Cross-Domain-Manipulationen:
Webseiten-Teile von fremden (unsicheren) Domänen täuschen Vertrauenswürdigkeit vor
- C:\ statt URL zeigt evtl. Festplatte an
- Netscape: anfangs unsicher (DoS, Javaskript im Browser nicht abschaltbar u. a.)
- HTML-Frame-Spoofing: auf Websites einegegebene Informationen werden gehackt (zuerst bei Windows Explorer, dann
auch bei Netscape)
- Links auf Templates (e-mail oder Websites) mit Makros (evtl. Virengefahr!)
- Webserver-Spamming (Beispiel: Einbringen von Liebesbriefen in Websites)
Online-Dienste mit z. T. unverschlüsselten Kennwörtern (z. B. AOL)
Krypto-Verfahren im point to point tunneling protocol (PPTP) von Schneier gebrochen
Cohen (1997): 50 verschiedene Angriffsmethoden im Internet
2011 verstärkt Angriffe auf Authentikationsserver, z. B. Zertifizierungsstelle DigiNotar (Server war völlig ungeschützt!),
führt zu Diskussionen über Hacker-Abwehr: stärkere Überwachung („Internet Governance“ in USA) oder
Aufteilung des Internet bzw. Abtrennung von Netzteilen
Hacker-Tools im Internet:
+ NetBus (Windows 95/98/NT, 1998, spioniert PCs aus), Version 1.7 auch durch Firewalls schwer abzuwehren:
intrusion detection
+ NetBIOS Scan
+ killport.c zum Abschießen von Ports (früherer Linux-Kernel-Fehler)
+ mscan, jetzt sscan
Scanner zum Aufdecken von Lücken (aber auch gefährlich: führt zu Lücken hin!):
Grundprinzip meist: Anfragen an alle TCP/IP-Ports (Portscanner, z. B. nmap), Probieren von Attacken,
Aufzeichnen der Antworten des Ziels (Dienste, uid, Authentifizierungen, anonyme Logins)
+ SATAN (security administrator tool for analyzing networks, Dan Farmer + W. Venema, C/Perl, Freeware,
enthält Hilfen zum Ausnutzen[!] / Schließen der erkannten Lücken)
+ SAINT (security administrator’s integrated network tool, SATAN-Nachfolger)
+ ISS (internet security scanner/systems [Firma], UNIX, Freeware, Autor: Christopher Klaus, auf Basis einer Datenbank
mit 500 Hackermethoden,
z. T. auch für Firewalls geeignet)
+ SAFESuite (gleicher Autor, UNIX / Windows NT, neuer
+ Nessus (1998, GNU-Freeware, Linux / Windows NT, Pariser Autor, 18 Jahre, enthält Codes vieler Hacker-Tools)
+ NSS (Perl, Freeware)
+ L0pht : ein Tool überwacht alle Aktivitäten in /tmp
+ Ogre (WinNT, sammelt auch NetBIOS-Informationen)
Port-Scanner dienen Hackern, um aktive Netzarbeit festzustellen und Angriff zu starten; helfen aber auch, um Hacker-Aktivitäten zu erkennen: netstat –a (vor und nach Einwahl starten und vergleichen!)
Viele Scanner sind erweiterbar (Source-Codes verfügbar), oft mit graphical user interfaces
Gegenmittel gegen illegale Verwendung: Portscanning-Detektoren
Zunehmend Stealth-Scanner (umgehen Firewalls und Portscanning-Detektoren): führen nur halbe Scan-Vorgänge aus,
d. h. starten nur SYN-ACK , z. B.
+ Jakal (UNIX, C)
Ausforschung der Identität, um Mißbrauch zu verhindern:
identity intercepcion
Honeypots (Honigtöpfe) im Honeynet zum Anlocken und Studieren von Hackeraktivitäten
Zusätzliche Anforderungen: uni- / bi- / multi-laterale Sicherheitsforderungen
Anonym surfen: Kann teilweise schon über „Internet-Einstellungen“ des Browsers erreicht werden (öffentlichen ProxyServer eintragen, evtl. im Internet suchen!), außerdem Cookies löschen!
Web-Anonymizer-Techniken: 1) Mix-Kaskaden: Mix-Proxies wirbeln die Daten aller Teilnehmer durcheinander, Verbindungen werden verschlüsselt;
Freeware JAP als Client; Server des AN.ON-Projekts der Universitäten (öffentliche Mittel)
2) Webseiten-Aufruf geht über Proxy-Server, der private IP-Adressen durch seine ersetzt
In Verbindungsoptionen auch SSL- und ftp-Verbindungen anonymisieren.
Auditing (audit trail = Daten/Abnahme-Spur): Aufzeichnung aller sicherheitsrelevanter Ereignisse zur Beweissicherung
Zeitstempel
1) Instanz-Authentikation, Instanz-Instanz-Authentikation
2) Instanz-Nachrichten-Authentikation
3) Nachrichten-Instanz-Authentikation (z.B. bei mails, Termin-Einhaltung durch "Poststempel")
4) Instanz-Nachrichten-Instanz-Authentikation
Zweckmäßige Netzgestaltung,
z. B. Bereitstellung exklusiver sicherer Leitungen,
VPN (virtual private network): getunnelte Intranets,
SAN (storage area network), vom eigentlichen Rechnernetz unabhängiges Speichernetzwerk, dessen Daten
auch noch zugänglich sind,
wenn Server ausfallen.
Sichere Netzwerkverwaltung!
Sichere zentrale Benutzerverwaltung, z. B. mit Radius-Servern (remote authentication dial in user service)
Wichtigste Sicherheitsmechanismen: Chiffrierung und digitale Signaturen
Verschlüsselung oben (application coupled, z. B. PGP, SSH) schützt die Anwendung,
Verschlüsselung unten (network coupled, z. B. in Transportschicht, z. B. SSL, IPsec) schützt das Netz.
Einbindung der Schlüssel -Verfahren ins Rechnernetz:
end-to-end- oder Knoten- oder Link-Verschlüsselung
(end-to-end-Sicherheit bietet Angreifern weniger Möglichkeiten, sichert aber nicht die Routing- und Steuer-Informationen;
Verbindungssicherheit schützt den Verkehrsfluß, aber in jedem Knoten wird Klartext gebildet).
security association SA aus IP-Adressen und Sitzungsschlüsseln besonders schützen!
© kd rieck
febr. 2015