Informationssicherheit 2010

Informationssicherheit 2010
CONNECT 19. Jahreskonferenz zur praktischen IT-Sicherheit
Donnerstag,
g, 12. November 2009,, IHK Neuss
Prof. Dr. Hartmut Pohl
Prof. Dr. Hartmut Pohl
BS Peter
BSc.
P t Sakal
S k l
Penetration Testing
Vollständige Untersuchung der HardHard
und Software-Systeme auf
Sicherheitslücken – auch unerkannte.
Simulation potentieller Angriffe: Innenund Außentätern (Intranet, Internet).
 Information Gathering (Blackbox)
 Netzwerkanalyse,
Konfigurationssicherheit, Firewalls
 Vulnerability Scanning, Detection and
V ifi ti
Verification
 Überprüfung der Verschlüsselung
 Policies: Passwords, E-Mails, Firewalls,
Server, Intrusion Detection
 Schlüssige Dokumentation mit
Handlungsempfehlungen:
Zyklischer Auditierungsprozeß zur
Erhöhung des Widerstandwerts der
gesamten IT: Clients, Server, Netze
Computer Forensic
Angriffserkennung und Nachweis
 Computermissbrauchsfälle:
Zielorientierte, gerichtsfeste Analyse
von Daten und Systemen zur
Prävention, Erkennung. Verwendung
standardisierter Methoden:
Beweismittel vor Gericht
 Qualität des ganzheitlichen
y p
Analyseprozesses:
Gerichtsverwertbare Nutzung
 lückenloser und schlüssiger
Untersuchungspfad.
Information Recovery
System Analysis
Live und Post-Mortem Analyse
 Erhöhung des Sicherheitsniveaus
5
4
Software-Vulnerabilities
Rapid in
in-depth
depth Analysis
 Überprüfung des Sicherheitsniveaus
von Software
 Erstellung sichererer Software
Threat Modeling
 Methodische Überprüfung des
Systementwurfs zur Identifizierung,
Bewertung und Korrektur von Fehlern
und Sicherheitslücken,
Sicherheitslücken
 Minimierung der möglichen
Angriffspunkte (Attack Surface).
Fuzzing
 Ausnutzen aller Angriffspunkte
(Eingabeschnittstellen) mit allen
möglichen Eingaben (Permutation):
White Box, Black Box. Priorisierung
erkannter sicherheitsrelevanter Fehler
 Report Generation: Bericht und
Vorgehensempfehlungen für erkannte
Sicherheitslücken
6
Sensibilisierung und Ausbildung, IT
IT-Sicherheitsberatung,
Sicherheitsberatung, Coaching
Von Administratoren, Software-Entwicklern und –Testern und Management: Angriffe, Sicherheitsmaßnahmen.
Zugriffskontrolle. Best Practice-Vorgehensweisen. Spezielle Testmethoden. ISO 27000.
Auswahl und Bewertung von Produkten/Tools: File- und Platten-Verschlüsselung, VPN, PKI, …
© Hartmut Pohl
Password Policy?
Eigener Vorname, Vorname der Frau, Freundin …
16 %
Tastenfolge wie 'QWERTZ' oder '1234'
14 %
Pop-Stars,
p
, TV-Helden: Superman,
p
, Ironman oder Pokemon
5%
'Password', 'Passwort', 'Password1'
4%
39 %
US Studie 2009
© Hartmut Pohl
Informationssicherheit 2010
Lagebeurteilung Computer-Spionage und –Sabotage 
Global Business
Überproportionaler Anstieg in der Krise, schnelle Weiterentwicklung
Zukünftige
Techniken
1. Automatisierte, kombinierte Angriffe
2. Targeted Attacks, Personalisierung:
Viren, Würmer, Trojan. Pferde, Spyware, Adware, Phishing, Spam,
Rootkits
3. Stealth-Angriffe: Virtualisierung, Less-Than-Zero-Day-Exploits
Fazit
Maßnahmen, Empfehlungen
© Hartmut Pohl
Storm Worm
automatisiert,
t
ti i t k
kombiniert
bi i t

Spam-Mail
S
M il (Bilder,
(Bild
Y
Youtube-Video,
t b Vid
…):
)
- Attachement: Z.B. Rootkit mit Spam-Bot
- Link: Nachladen von Malware

Infizierte Web-Server:
55 % China, 17 % USA, 15 % Russland

Botnets:
B
t t
- Push-do-Botnet (Celebrity-Gang-Botnet),
- Mega-D-Gruppe: ~ 2 Mio. Bots

Rückmeldung:
- Seriennummer der Platte (I/A, Virtualisierung),
- Dateisystem,
- Windows-Version,
- Administratorrechte,
- IP-Adresse: Land
- Prozessliste: Anti-Viren-Programme?
Anti Viren Programme?
 Spezifische Malware (bestimmte Banken)
© Hartmut Pohl
Täter-Profil

Informatiker (Hochschulabschluss)

Ausgebildete,
g
, erfahrene Praktiker

Manager von Spezialisten:
Botnets Installation, Betriebssysteme, Browser, ...

Systematische Suche von Sicherheitslücken

Systematische
y
Entwicklung
g von Angriffsprogrammen
g
p g

Management von Angriffen

Internationalisierung Globalisierung
Internationalisierung,
Keine Innentäter, keine Studenten, Schüler oder andere Kinder
© Hartmut Pohl
Attack Surface, Attack Paths
Attack Paths
Organisation
Information System
Attack
Surface
Permitted Ports
Firewall, Intrusion Detection, …
Patched
Vulnerabilities
COTS:
Unpatched and unpublished
Vulnerabilities Obfuscation
Vulnerabilities.
Applications, Servers, … SQL, IIS, Mails, FTP, … CRM
A
Assets
t - Data
D t
Anti-Virus
Software, Worms
Verschlüsselung, Schlüssel
© Hartmut Pohl
Unveröffentlichte Sicherheitslücken
Less-Than-Zero-Day-Exploits
 Sicherheitslücken seit Auslieferung der Software
 Angriffe sind nicht erkennbar
Was man nicht kennt, bemerkt man nicht und
was man nicht kennt, kann man nicht suchen
© Hartmut Pohl
Lifecycle of Vulnerabilities
Vulnerability-free
Phase - seemingly
Product Shipment
Fix, Patch, Update, Version …
© Hartmut Pohl
Lifecycle of Vulnerabilities
Vulnerability-free
Phase - seemingly
Vulnerability discovered and used
Product Shipment
Vulnerability published
Exploit published
Patch published
Zero Day
Fix, Patch, Update, Version …
© Hartmut Pohl
Lifecycle of Vulnerabilities
Vulnerability-free
Phase - seemingly
Vulnerability fully disclosed:
Manufacturer …
Vulnerability discovered and used
Product Shipment
Vulnerability published
Exploit published
Less-Than-Zero-Day Vulnerability
Patch published
Patched System
Zero-Day Vulnerability
Zero Day
Fix, Patch, Update, Version …
© Hartmut Pohl
Lifecycle of Vulnerabilities
Vulnerability-free
Phase - seemingly
Stealth Like Attack
Vulnerability fully disclosed:
Vulnerability discovered and used
Manufacturer …
Product Shipment
Vulnerability published
Exploit published
Less-Than-Zero-Day Vulnerability
Patch published
Patched System
Zero-Day Vulnerability
Zero Day
Fix, Patch, Update, Version …
© Hartmut Pohl
Herr Preatoni …
© Hartmut Pohl
Herr Preatoni …
© Hartmut Pohl
Käufer, Nutzer, Preise
 Organized crime
 Companies
 Intelligence Services:
CIA, Mossad, FSB, …
 For computer espionage, economic espionage, sabotage
 30.000.30 000 $
-
500 000 $
500.000.-
- ...
© Hartmut Pohl
Malware-as-a-Service
Exploiting Frameworks
 Metasploit
p
Framework
 CANVAS
 CORE IMPACT
 FirePack
 IcePack
 Mpack
 NeoSploit
 WebAttacker, WebAttacker2
 …
© Hartmut Pohl
Ablauf Penetration Tests
Informationen
Angriffspunkt
Verifikation
Bericht
© Hartmut Pohl
© Hartmut Pohl
© Hartmut Pohl
© Hartmut Pohl
© Hartmut Pohl
Titan Rain
Moonlight Maze, …
 Seit 2003 mit steigender Intensität (China) … 2009?
 Erfolgreiche Angriffe gg. Unternehmen in > 50 Ländern
 Unternehmen und Regierungen von > 50 Ländern
 Systematisches, organisiertes Vorgehen:
Exploits, Trojan horse, keystroke logger, system monitor - ¬ Bürostunden
 Network Crack Program Hacker group (NCPH):
4 core programmers, 10 associates, manager: ‘Wicked Rose’
counter-hacked by Shawn Carpenter
 Verschlußsache in den USA (seit 7/2007), Deutschland
© Hartmut Pohl
Rootkits
AFXrootKit.A, Agent.AAV, AluRoot.A, Arkdoor.A, Bagle.HG, Berbew.F,
Blubber.A,, Bomka.I,, Chsh,, Comxt.A,, Darkmoon.A,, Dasher.B,, Denutaro.A,,
Detnat.A, Dloader.AJE, Dropper.AR, Embed.C, FakeMcPatch, FBSD, Feebs.T,
Feutel.BB, Fkit.A, FreeBSD.A, FuRootkit, Gdiw.A, GiftCom.A, Ginwui.A,
Goldun.W, GrayBird.AE, HacDef.084, HackDef.B, Haxdoor.G, Hupigon.P, Inrg.A,
IRCFlood.G, Isen, Kalshi, KassBot.K, Kelar.B, Knark, Lecna.E, LinkOptimizer.A,
Login.A, Lrk5.A, MadTol.B, Mailbot.E, MarktMan.A, MDropper.G, Mitglied.A,
Mose, Mytob.NC, NtRootK, NtRootKit.D, Opanki.Az, OrderGun.A, Padmin.10,
PcClinet.AP, PPdoor.F, PrintMonitor.A, ProAgent.20, PsGuard, PWSteal.C,
QoolAid.C, QukArt.U, Raleka, RBot.AWG, Ripgof.A, RKFu.A, Rkit.A, RkProc.A,
RootKit.H, RusDrp.A, Rustock.A, RyeJet.A, SdBot.VD, Small.IZ, Spybot.TR,
S kit A Sun2,
Suckit.A,
S 2 Sunback.A,
S b k A SunOS.A,
S OS A TdiRoot.A,
TdiR t A Theales.A,
Th l A TileBot.AK,
Til B t AK
Totmau.A, Uprootkit.A, XCPDRM.A, Xsvix.A, …
© Hartmut Pohl
Ziel: Targeted Attacks
Hardware Diebstahl
Targeted
Attacks
Personalisierung
DoS-Attacks
Intrusion
Virtualisation
R t Kit
Root-Kits
Broad Band
Attacks
Viren, Würmer, Spam, Phishing,
((Botnets),
), Spyware,
py
, Adware
…
Vergangenheit
Gegenwart
Zukunft
© Hartmut Pohl
Ziel: Stealth Attacks, Obfuscation
0%
Virtualisation
Less-Than-Zero-Day Exploits
DoS-Attacks
Intrusion
Erkennbarkeit
– ‘Stealth’
Root-Kits
St
Storm
W
Worm
100 %
Viren, Würmer, Spam, Phishing,
((Botnets),
), Spyware,
py
, Adware
Automatisierungsgrad
© Hartmut Pohl
Schadenshöhe von Angriffen
Schadenshöhe
Unveröffentlichte Sicherheitslücken
Less-Than-Zero-Day Exploits
Viren, Würmer, Spam, Phishing,
(Botnets), Spyware, Adware
Zeit
© Hartmut Pohl
Grundschutz
 Zugriffskontrolle:
Rechteverwaltung,
g, Protokollierung,
g, Auswertung
g
 Anti-Viren, Würmer, Spam, Spyware, Adware, …
 Firewalls
 Verschlüsselung
 Intrusion Detection, Intrusion Protection
 Anonymisierung
 Outsourcing
© Hartmut Pohl
Patch Management
In 2008: > 6.000
6 000 vulnerabilities published


90 %
exploited remotely (internet)
> 50 % access control rights for administrators

20 % not patched:
Microsoft,
i
f Apple,
l Oracle,
l Cisco
i
und
d Sun

60 % not patched: Others
Patch development: Average time

21 days Microsoft

101 d
days HP

122 days Sun
© Hartmut Pohl
Angriffsverfahren
Viren, Würmer, Trojan Horses, Spyware, Adware, Phishing, SPAM, Key-logger, Dialer
 D
Durchsuchen
h
h
von Dateien
D t i
nach
h bekannten
b k
t
Zeichenketten
Z i h k tt
(Viren-Signaturen): Man findet nur das, was man kennt!
 Heuristische Verfahren:
Nur etwa 30% der unbekannten Viren werden erkannt.
 Aktiv in den letzten 6 Monaten: Etwa 1.000.000 Viren,, Würmer,, …
 Erkennungsrate bei 17 getesteten Produkten
1: 20%,
10: 55%,
4: 95%,
2: 99%
 Falscherkennung, …
Fazit:
 Viele Viren werden NICHT erkannt
Kein Virensucher erkennt alle Viren.
 Mindestens 2 Virensucher einsetzen!
© Hartmut Pohl
Informationssicherheit 2010
 Computer-Spionage
p
p
g und –Sabotage
g 
Global Business
Überproportionaler Anstieg, hohe Entwicklungsgeschwindigkeit
 Outsourcing,
Outsourcing Grid,
Grid Cloud,
Cloud Software-as-a-Service,
Software as a Service Virtualisierung
 Verschlüsselung,
Verschlüsselung Anonymisierung – unsicher, wirkungslos
 Automatisierte, kombinierte, targeted, stealth Angriffstools
© Hartmut Pohl
Schutz der eigenen IT-Systeme
Fazit
0.
Vergessen Sie
also Spam, Phishing, Viren, Würmer,
Trojan Horses, …: Grundschutzmaßnahmen völlig ausreichend
1. Penetration Testing unverzichtbar
passiv,, remote - Standardsoftware: Patchen
p
2. Entwicklung sichererer Software:
Design, Test und Implementierung: Threat
Bewertung, Behebung von Sicherheitslücken:
Modeling
Fuzzer, Static Analysis
© Hartmut Pohl
Leistungen für Unternehmen
 Weiterbildung
W it bild
, Sensibilisierung
S
bl
 Coaching von Sicherheitsbeauftragten,
Sicherheitsbeauftragten Managern
Coaching von Sicherheitsberatern, Herstellern

Penetration Testing:

Sichere Software-Entwicklung:
Sicherheitsbewertung Ihrer Systeme und Netze
und von Dienstleistern
Identifikation unerkannter Fehler, Sicherheitslücken:
F
Fuzzing,
i
Th
Threatt M
Modeling,
d li
vergleichende
l i h d Tool-Bewertung
T l B
t
© Hartmut Pohl
Prof. Dr. Hartmut Pohl
BS Peter
BSc.
P t Sakal
S k l
Penetration Testing
Vollständige Untersuchung der HardHard
und Software-Systeme auf
Sicherheitslücken – auch unerkannte.
Simulation potentieller Angriffe: Innenund Außentätern (Intranet, Internet).
 Information Gathering (Blackbox)
 Netzwerkanalyse,
Konfigurationssicherheit, Firewalls
 Vulnerability Scanning, Detection and
V ifi ti
Verification
 Überprüfung der Verschlüsselung
 Policies: Passwords, E-Mails, Firewalls,
Server, Intrusion Detection
 Schlüssige Dokumentation mit
Handlungsempfehlungen:
Zyklischer Auditierungsprozeß zur
Erhöhung des Widerstandwerts der
gesamten IT: Clients, Server, Netze
Computer Forensic
Angriffserkennung und Nachweis
 Computermissbrauchsfälle:
Zielorientierte, gerichtsfeste Analyse
von Daten und Systemen zur
Prävention, Erkennung. Verwendung
standardisierter Methoden:
Beweismittel vor Gericht
 Qualität des ganzheitlichen
y p
Analyseprozesses:
Gerichtsverwertbare Nutzung
 lückenloser und schlüssiger
Untersuchungspfad.
Information Recovery
System Analysis
Live und Post-Mortem Analyse
 Erhöhung des Sicherheitsniveaus
5
4
Software-Vulnerabilities
Rapid in
in-depth
depth Analysis
 Überprüfung des Sicherheitsniveaus
von Software
 Erstellung sichererer Software
Threat Modeling
 Methodische Überprüfung des
Systementwurfs zur Identifizierung,
Bewertung und Korrektur von Fehlern
und Sicherheitslücken,
Sicherheitslücken
 Minimierung der möglichen
Angriffspunkte (Attack Surface).
Fuzzing
 Ausnutzen aller Angriffspunkte
(Eingabeschnittstellen) mit allen
möglichen Eingaben (Permutation):
White Box, Black Box. Priorisierung
erkannter sicherheitsrelevanter Fehler
 Report Generation: Bericht und
Vorgehensempfehlungen für erkannte
Sicherheitslücken
6
Sensibilisierung und Ausbildung, IT
IT-Sicherheitsberatung,
Sicherheitsberatung, Coaching
Von Administratoren, Software-Entwicklern und –Testern) und Management: Angriffe, Sicherheitsmaßnahmen.
Zugriffskontrolle. Best Practice-Vorgehensweisen. Spezielle Testmethoden. ISO 27000.
Auswahl und Bewertung von Produkten/Tools: File- und Platten-Verschlüsselung, VPN, PKI, …
© Hartmut Pohl
Prof. Dr. Hartmut Pohl
BS Peter
BSc.
P t Sakal
S k l
Penetration Testing
Vollständige Untersuchung der HardHard
und Software-Systeme auf
Sicherheitslücken – auch unerkannte.
Simulation potentieller Angriffe: Innenund Außentätern (Intranet, Internet).
 Information Gathering (Blackbox)
 Netzwerkanalyse,
Konfigurationssicherheit, Firewalls
 Vulnerability Scanning, Detection and
V ifi ti
Verification
 Überprüfung der Verschlüsselung
 Policies: Passwords, E-Mails, Firewalls,
Server, Intrusion Detection
 Schlüssige Dokumentation mit
Handlungsempfehlungen:
Zyklischer Auditierungsprozeß zur
Erhöhung des Widerstandwerts der
gesamten IT: Clients, Server, Netze
Computer Forensic
Angriffserkennung und Nachweis
 Computermissbrauchsfälle:
Zielorientierte, gerichtsfeste Analyse
von Daten und Systemen zur
Prävention, Erkennung. Verwendung
standardisierter Methoden:
Beweismittel vor Gericht
 Qualität des ganzheitlichen
y p
Analyseprozesses:
Gerichtsverwertbare Nutzung
 lückenloser und schlüssiger
Untersuchungspfad.
Information Recovery
System Analysis
Live und Post-Mortem Analyse
 Erhöhung des Sicherheitsniveaus
5
4
Software-Vulnerabilities
Rapid in
in-depth
depth Analysis
 Überprüfung des Sicherheitsniveaus
von Software
 Erstellung sichererer Software
Threat Modeling
 Methodische Überprüfung des
Systementwurfs zur Identifizierung,
Bewertung und Korrektur von Fehlern
und Sicherheitslücken,
Sicherheitslücken
 Minimierung der möglichen
Angriffspunkte (Attack Surface).
Fuzzing
 Ausnutzen aller Angriffspunkte
(Eingabeschnittstellen) mit allen
möglichen Eingaben (Permutation):
White Box, Black Box. Priorisierung
erkannter sicherheitsrelevanter Fehler
 Report Generation: Bericht und
Vorgehensempfehlungen für erkannte
Sicherheitslücken
6
Sensibilisierung und Ausbildung, IT
IT-Sicherheitsberatung,
Sicherheitsberatung, Coaching
Von Administratoren, Software-Entwicklern und –Testern) und Management: Angriffe, Sicherheitsmaßnahmen.
Zugriffskontrolle. Best Practice-Vorgehensweisen. Spezielle Testmethoden. ISO 27000.
Auswahl und Bewertung von Produkten/Tools: File- und Platten-Verschlüsselung, VPN, PKI, …
© Hartmut Pohl
Kontakt
Prof. Dr. Hartmut Pohl
Hochschule Bonn-Rhein-Sieg, Informationssicherheit
http://www.inf.h-bonn-rhein-sieg.de/Pohl
H t
[email protected]
t P hl@
t
T
Tel.:
l 0221 - 4847 - 553
BSc Peter Sakal
BSc.
Hochschule Bonn-Rhein-Sieg, Informationssicherheit
http://www.inf.h-bonn-rhein-sieg.de/Sakal
[email protected] Tel.: 0160-94744332
© Hartmut Pohl